Hola Allan,

Entiendo, que los nuevos clientes se van a conectar a otra IP publica, diferente a los clientes que ya estan establecidos. Por ejemplo:

- Nuevos Clientes se conectaran a: XXXXXXXX

- Clientes ya establecidos:  YYYYYYYYY

Por lo cual se podria decir que tenemos dos ISP en dos Interfaces con IPs publicas, si tienes el crypto map aplicado a la Interfaz con la IP YYYYYY y una ruta por defecto hacia esa interfaz, y ahora ocupas que los nuevos clientes se conecten a la XXXXXXX, debes crear un nuevo crypto map, y aplicar ese nuevo crypto map a la interfaz con la IP publica XXXXXX, y tambien el crypto IKEv1 a la interfaz XXXXXXX, luego crear rutas estaticas que apunten hacia el next hop de la interfaz XXXXXX para el trafico interesante:

Configuracion:

crypto ikev1 interface Outside-XXXXX   --> Este aplica fase 1 en la interface con IPs XXXX

crypto map MAP-XXX interface Outside-XXXXX

crypto map MAP-XXX match address (ACL creada para el trafico interesante)

crypto map MAP-XXX peer (IP publica del Cliente)

crypto map MAP-XXX set ikev1 transform-set (IPSec transform set)

route Outside-XXXX 10.10.10.0 255.255.255.0 X.X.X.X  --> Este es un ejemplo con IPs privadas, seria el trafico interesante.

Luego debes configurar un NAT exemption, que evitaria la traduccion del NAT, por ejemplo:

Local IPS: 192.168.1.0 255.255.255.0

Remote IPs: 10.10.10.0 255.255.255.0

Configuracion:

object network obj-10.10.10.0/24

  subnet 10.10.10.0 255.255.255.0

object network obj-192.168.1.0/24

  subnet 192.168.1.0 255.255.255.0

nat (inside,outside-XXX) 1 source static obj-10.10.10.0/24 obj-10.10.10.0/24 destination static obj-192.168.1.0/24 obj-192.168.1.0/24 no-proxy-arp route-lookup

Corre un par de packet tracers y test y el VPN deberia levantar. Lo puedes verificar con los comandos:

show crypto ikev1 sa    --> Fase 1

show crypto ipsec sa peer (IP publica)  --> Fase 2

Dejame saber si hay alguna pregunta, por favor no olvides calificar la respuesta y marcarla como correcta,

David Castro,