Jak skonfigurować tunel VPN site 2 site na Cisco ?

W poniższej konfiguracji istotna cześć tycząca się tunelu została pogrubiona. Tunel zabezpieczony hasłem psk. Szyfrowanie dla pierwszej fazy i drugiej to 3des i sha1. Kolorki mają pomóc w zrozumieniu konfiguracji.

Pomarańczowy to faza pierwsza ISAKMP (IKE) czyli wymiana kluczy znanych po obu stronach.
Czerwony to faza druga (IPsec) gdzie tworzy się tunel.
Niebieski to crypto mapa która spina w sobie wszystkie potrzebne konfiguracje i informacje
czyli adres ip peer’a i na zielono adresy sieci pomiędzy jakimi ma zostać nawiązany tunel.
Natomiast bez list dostępowych oznaczonych na żółto nie było by wyjśćia na świat bo cały ruch
jest kierowany w tunel. Dlatego blokujemy w tej liscie ruch do tunelu i puszczany cały inny poprzez NAT oznaczony kolorem fioletowym.

ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool vlan1pool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 194.204.159.1
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key zmień_swój_secretpass address 83.83.83.83 no-xauth
!
crypto ipsec transform-set my_phase2 esp-3des esp-sha-hmac
!
crypto map my_cry_map 1 ipsec-isakmp
set peer 83.83.83.83
set transform-set my_phase2
set pfs group2
match address 100
!
interface FastEthernet4
ip address 82.82.82.82 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map my_cry_map
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 82.82.82.81
!
ip nat inside source route-map my_rmap1 interface FastEthernet4 overload
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any
!
route-map my_rmap1 permit 1
match ip address 101
!