Os voy a poner un pequeño ejemplo de VPN site-to-site (voy a conectar las dos LAN) pero esta vez configurada con certificados es decir voy a utilizar RSA en lugar de preshared keys.
Lo primero que tengo que hacer es montar una CA, en este caso una CA de Microsoft bajo Windows Server 2008 R2. En ella instalo los roles de Entidad de certificación, Inscripción web y NDES.
Ahora tocaría la configuración de cada uno de los routers de los extremos de la VPN.
1-Nombre de dominio y equipo, asi como entradas de host para los nombres
ip domain name 2008-cisco.com
ip host CAVPN 172.26.26.50
ip host CAVPN.2008-cisco.com 172.26.26.50
2-Generamos las claves rsa.
crypto key generate rsa label misclaves modulus 1024
3-Configuramos la entidad. La claveCA y el fingerCA lo sacamos de la URL http://CAVPN.2008-cisco.com:80/certsrv/mscep_admin
crypto pki trustpoint CAVPN
enrollment mode ra
enrollment url http://CAVPN.2008-cisco.com:80/certsrv/mscep/mscep.dll
serial-number
password 7 ClaveCA
fingerprint FingerCA
subject-name CN=Router1.2008-cisco.com,OU=Mia,O=CCNA,C=ES,St=ES,L=Oviedo
revocation-check crl none
rsakeypair misclaves
4-Autenticacion de CA
crypto pki authentication CAVPN
5-Pido el certificado
crypto pki enroll CAVPN
6-Configuracion de VPN tradicional Site-To-Site
crypto isakmp policy 110
encr 3des
authen rsa-sig
group 2
crypto ipsec transform-set IPSEC esp-3des
crypto map MIMAP 10 ipsec-isakmp
set peer 172.30.5.2
set transform-set IPSEC
match address 102
access-list 102 permit ip 10.0.1.0 0.0.0.255 10.0.99.0 0.0.0.255
interface Serial0/3/0
ip address 172.30.1.2 255.255.255.252
clock rate 8000000
crypto map MIMAP