Hola Allan,
Entiendo, que los nuevos clientes se van a conectar a otra IP publica, diferente a los clientes que ya estan establecidos. Por ejemplo:
- Nuevos Clientes se conectaran a: XXXXXXXX
- Clientes ya establecidos: YYYYYYYYY
Por lo cual se podria decir que tenemos dos ISP en dos Interfaces con IPs publicas, si tienes el crypto map aplicado a la Interfaz con la IP YYYYYY y una ruta por defecto hacia esa interfaz, y ahora ocupas que los nuevos clientes se conecten a la XXXXXXX, debes crear un nuevo crypto map, y aplicar ese nuevo crypto map a la interfaz con la IP publica XXXXXX, y tambien el crypto IKEv1 a la interfaz XXXXXXX, luego crear rutas estaticas que apunten hacia el next hop de la interfaz XXXXXX para el trafico interesante:
Configuracion:
crypto ikev1 interface Outside-XXXXX --> Este aplica fase 1 en la interface con IPs XXXX
crypto map MAP-XXX interface Outside-XXXXX
crypto map MAP-XXX match address (ACL creada para el trafico interesante)
crypto map MAP-XXX peer (IP publica del Cliente)
crypto map MAP-XXX set ikev1 transform-set (IPSec transform set)
route Outside-XXXX 10.10.10.0 255.255.255.0 X.X.X.X --> Este es un ejemplo con IPs privadas, seria el trafico interesante.
Luego debes configurar un NAT exemption, que evitaria la traduccion del NAT, por ejemplo:
Local IPS: 192.168.1.0 255.255.255.0
Remote IPs: 10.10.10.0 255.255.255.0
Configuracion:
object network obj-10.10.10.0/24
subnet 10.10.10.0 255.255.255.0
object network obj-192.168.1.0/24
subnet 192.168.1.0 255.255.255.0
nat (inside,outside-XXX) 1 source static obj-10.10.10.0/24 obj-10.10.10.0/24 destination static obj-192.168.1.0/24 obj-192.168.1.0/24 no-proxy-arp route-lookup
Corre un par de packet tracers y test y el VPN deberia levantar. Lo puedes verificar con los comandos:
show crypto ikev1 sa --> Fase 1
show crypto ipsec sa peer (IP publica) --> Fase 2
Dejame saber si hay alguna pregunta, por favor no olvides calificar la respuesta y marcarla como correcta,
David Castro,