Le routeur joue le role d'un concentrateur VPN en IPsec (fonctionnalites IOS 3DES obligatoires)
Le routeur fait aussi du NAT (du PAT en réalité) entre son interface LAN (adressage en IP privé) et Internet (adressage en IP publique)
Les clients IPSec récupèrent une adresse IP par le routeur, dans un subnet IP différent de celui du LAN
Le client IPSec utilisé sur les postes de travail est un client VPN Cisco
Dans l'exemple suivant, l'interface "Ethernet 0" est celle connectée au LAN, et l'interface "Ethernet 1" est celle connectée à Internet.
!
username LOGIN-USER1 password PASSWORD-USER1
!
aaa new-model
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group NAME-VPN
key PASSWORD-VPN
dns IP-DNS-LAN
wins IP-WINS-LAN
domain DOMAIN-NAME
pool Pool-For-Vpn-Client
acl SPLIT-TUNNEL
netmask 255.255.255.0
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address initiate
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
interface Ethernet0
ip address IP-LAN 255.255.255.0
ip nat inside
no shut
!
interface Ethernet1
ip address IP-INTERNET MASK-INTERNET
crypto map clientmap
ip nat outside
no shut
!
ip local pool Pool-For-Vpn-Client VPN-FIRST VPN-LAST
ip route 0.0.0.0 0.0.0.0 IP-GW-INTERNET
!
ip nat inside source route-map NoNat interface Ethernet1 overload
!
!
ip access-list extended No-Nat-Vpn-Client
deny ip IP-NET-LAN 0.255.255.255 NET-VPN 0.0.0.255
permit ip IP-NET-LAN 0.255.255.255 any
ip access-list extended SPLIT-TUNNEL
permit ip IP-NET-LAN 0.255.255.255 NET-VPN 0.0.0.255
!
route-map NoNat permit 10
match ip address No-Nat-Vpn-Client
!
end