Ok, asumiendo que en el router de la otra oficina ya se realizo la configuracion equivalente y que la IP falsa de la red remota (sitioA) es 192.168.250.0/24
Seria algo asi:
1. Creas un NAT pool
ip nat pool FAKE-NET 192.168.240.1 192.168.240.254 netmask 255.255.255.0 type match-host
el "match-host" va a hacer que la IP: 10.10.10.1 sea traduciada a la IP 192.168.250.1 la .10.2 a la 240.2 y asi hasta la 10.254 y la 240.254 de esta manera si tienes servidores con IPs fijas puedes accesderlas utilizando la IP falsa con el mismo numero de Host.
2. Crea una lista de acceso para identificar el trafico desde tu red hacia la red remota (sitioA):
ip access-list extended FAKE-NAT
permit ip 10.10.10.0 0.0.0.255 192.168.250.0 0.0.0.255 !! Este es el trafico que ira desde tu LAN hacia la LAN remota
deny ip any any
3. Creas la regla de NAT para que el trafico que vaya desde tu LAN hacia la LAN remota sea enmascarado en la red Falsa:
ip nat source list FAKE-NAT pool FAKE-NET
4. Modificas tu regla de NAT global excluyendo el trafico que definiste en la regla de acceso anterior (FAKE-NAT)
ip access-lists extended NAT-GLOBAL
deny ip 10.10.10.0 0.0.0.255 192.168.250.0 0.0.0.255
permit ip 10.10.10.0 0.0.0.255 any
5. Por ultimo creas la lista de acceso del trafico que debe ser encriptado en tu IPSec MAP:
ip access-list extended VPN-TRAFFIC
permit ip 192.168.240.0 0.0.0.255 192.168.250.0 0.0.0.255
deny ip any any
en esta ultima lista de acceso utilizar la red Falsa ya que el proceso de NAT se ejecuta antes que el proceso de encripcion, esto quiere decir que cuando el paquete este listo para ser encriptado ya ha sido NATeado por las reglas creadas anteriormente.
Esto mismo lo tienes que hacer en la oficina remota. Si esto no se realiza en la oficina remota no se podra lograr la conexion.
Cordialmente,
Jose Cortes
