[[:start|Torna all'inizio]] | [[cisco:index|Torna su]]

====== Cisco Crypto MAP IPSec Tunnels ======

Creare la policy per la Fase 1.
In questo caso, in presenza di tipologie diverse di Tunnel IPSec occorre specificarle in modo sequenziale.
Tanto lui le tenta tutte prima.

  crypto isakmp policy 10
   encr 3des
   authentication pre-share
   group 2

Creare la Preshared Key per la fase 1, riferita al nostro Endpoint del tunnel

  crypto isakmp key abcdefghi!111222! address x.y.z.a

Creare il Trasform Set e dargli un nome arbitrario. Per comodità, si preferisce chiamarlo con un nome che ricalchi il tipo di Encryption utilizzato. Nulla vieta, comunque, di chiamarlo "Pippo".

  crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac

Creare l'access list che servirà al Cisco per stabilire come "trasformare" i pacchetti verso il tunnel.
192.168.x.x rappresenta la rete locale, 192.168.y.y rappresenta la rete remota. La mask è al contrario.

  ip access-list extended VPN-TO-DOVEVUOITU
   permit ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255
   
All'access list che "fa la Nat" occorre specificare la stessa regola specificata sopra, in quanto occorre far si che i pacchetti verso la rete remota NON VENGANO NATTATI, ma fatti passare lo stesso, tanto vi sarà la Crypto MAP assegnata all'interfaccia (più avanti la assegneremo) che si occuperà di incapsularli. 

  ip access-list extended IP_NAT
   deny   ip 192.168.x.x 0.0.0.255 192.168.y.y 0.0.0.255
   permit ip 192.168.x.x 0.0.0.255 any

Creiamo la Crypto Map vera e propria (Fase 2)

  crypto map CMAP-VPN-TO-DOVEVUOITU 10 ipsec-isakmp
   set peer x.y.z.a.
   set transform-set 3des-sha1
   set pfs group2
   match address VPN-TO-DOVEVUOITU

Chiaramente, questo è solo un esempio. Di solito quando si tirano su questo tipo di Tunnel ci si mette d'accordo sul tipo di encryption usare nella fase 1 e fase 2.
Se l'altro sistemistico si mostra indeciso, usare questa che va più che bene.

Finalmente, all'interfaccia su cui viene fatto l'overload della Nat, andremo ad applicare la Crypto Map.

  interface Dialer0
   crypto map CMAP-VPN-TO-DOVEVUOITU

ATTENZIONE: per effettuare le prove, di solito in locale sul router NON si riesce quasi mai a pingare.
Occorre fare un ping esteso, specificando da quale interfaccia far partire il ping (tipicamente, l'interfaccia LAN della rete locale).