configurazione VPN ipsec 2 cisco 827

[bike70]

Secondo Voi , potrebbe funzionare una configurazione del genere per una Vpn Ipsec router-to -router (i 2 router in questione sono 2 cisco 827), tenendo conto che in tutte e due le sedi dispongo di adsl telecom naked con 8 ip :.

ROUTER A===========================
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ***** address **.**.**.218

crypto ipsec transform-set VPN_TEST esp-3des esp-sha-hmac

crypto map VPN local-address Loopback0
crypto map VPN 10 ipsec-isakmp
set peer **.**.**.218
set transform-set VPN_TEST
match address 150

interface Loopback0
ip address **.**.**.242 255.255.255.248
ip virtual-reassembly
no ip mroute-cache
crypto map VPN





!
!
interface Ethernet0
description *** LAN E IP PUBBLICO ***
ip address **.**.**.241 255.255.255.248 secondary
ip address 10.0.0.1 255.0.0.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address **.**.**.** 255.255.255.0
ip nat outside
ip virtual-reassembly
pvc 8/35
vbr-nrt 640 640 1
oam-pvc manage
encapsulation aal5snap
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.2.0 255.255.255.0 10.0.0.0 permanent
no ip http server
no ip http secure-server
ip nat pool INTERNET **.**.**.241 **.**.**.241 netmask 255.255.255.248

ip nat inside source list 102 pool INTERNET overload

access-list 102 permit ip 192.168.2.0 0.0.0.255 any
access-list 102 permit ip 10.0.0.0 0.255.255.255 any


access-list 150 remark ************NAT per VPN **************
access-list 150 permit 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255(lAN INTERNA DELL' ALTRA SEDE)
access-list 150 deny ip any any




ROUTER B=========================
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ***** address **.**.**.241

crypto ipsec transform-set VPN_TEST esp-3des esp-sha-hmac

crypto map VPN local-address Loopback0
crypto map VPN 10 ipsec-isakmp
set peer **.**.**.241
set transform-set VPN_TEST
match address 150

interface Loopback0
ip address **.**.**.219 255.255.255.248
ip virtual-reassembly
no ip mroute-cache
crypto map VPN





!
!
interface Ethernet0
description *** LAN E IP PUBBLICO ***
ip address **.**.**.218 255.255.255.248 secondary
ip address 192.168.1.254
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address **.**.**.** 255.255.255.0
ip nat outside
ip virtual-reassembly
pvc 8/35
vbr-nrt 640 640 1
oam-pvc manage
encapsulation aal5snap
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 192.168.2.0 255.255.255.0 permanent
no ip http server
no ip http secure-server
ip nat pool INTERNET **.**.**.218 **.**.**.218 netmask 255.255.255.248

ip nat inside source list 102 pool INTERNET overload

access-list 102 permit ip 192.168.2.0 0.0.0.255 any


access-list 150 remark ************NAT per VPN **************
access-list 150 permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(lAN INTERNA DELL' ALTRA SEDE)
access-list 150 deny ip any any

Se avete delle critiche o degli appunti da fare sarebbero graditissimi in quanto sono alle prime armi con i cisco e vorrei sapere se sto facendo una cosa inutile o che non funzionera' mai.

[Wizard]

Intanto la crypto-map nn applicarla sulla loopback ma sulla atm0.1

[bike70]

Grazie per la risposta Wiz.Quindi va applicata sull' ATM0.1 poiche' e' l' interfaccia fisica.
Secondo te quindi così potrebbe andare ??
Immagino che così pero'quando la vpn e' attiva i client delle 2 lan non riescano ad uscire sulla internet a meno che non configuri uno split tunnel....dico bene o sono fuori strada ??

[Wizard]

Immagino che così pero'quando la vpn e' attiva i client delle 2 lan non riescano ad uscire sulla internet a meno che non configuri uno split tunnel....dico bene o sono fuori strada ??

Lo split tunnel serve solo per le vpn client non l2l