En este ejemplo vamos a ver como hacer un nat con distinto origen según el destino del tunel.
Tenemos un tunel ipsec entre los dos routers, nuestro router es el Router_VPN
Tenemos un tunel configurado, nosotros solo tenemos accesos de nuestro lado. Nuestro router necesita acceso a internet luego mínimo 3 reglas de NAT
Necesitamos un nat para que todo el trafico con destino 1.1.1.1 use como origen la 2.2.2.2
Un nat para todo el trafico con destino 10.10.10.10. use como origen la 3.3.3.3
Un nat para que la red 192.168.1.0/24 pueda navegar
Creamos el nat para navegar
ip access-list extended nat
deny ip any host 1.1.1.1 ! denegamos el nat de internet el destino ipsec
deny ip any host 10.10.10.10 ! denegamos el nat de internet el destino ipsec
permit ip 192.168.1.0 0.0.0.255 any
Creamos dos access-list para los destinos que hay que hacer nat
ip access-list extended DOS
permit ip 192.168.1.0 0.0.0.255 host 1.1.1.1
ip access-list extended TRES
permit ip 192.168.1.0 0.0.0.255 host 10.10.10.10
Creamos los pool de nat y el nat de internet
ip nat pool DOS 2.2.2.2 2.2.2.2 prefix-length 24
ip nat pool TRES 3.3.3.3 3.3.3.3 prefix-length 24
ip nat inside source list NAT interface FastEthernet0/0 overload
Para hacer match usamos dos route maps
route-map TRES permit 10
match ip address TRES
!
route-map DOS permit 10
match ip address DOS
Y aplicamos la reglas de nat específicas a los destinos del tunel
ip nat inside source route-map DOS pool DOS
ip nat inside source route-map TRES pool TRES
Tampoco se nos tiene que olvidar añadir los destinos a la ACL del tunel IPSEC
ip access-list extended IPSEC
permit ip any host 1.1.1.1
permit ip any host 10.10.10.10
