OK, por lo ke entendi, lo ke kieres lograr es configurar 2 routers conectados por VPN.

Primero ke todo, CISCO tiene 2 coneptos de VPN uno Remote Access y el otro Site to Site,

Resumiendo la diferencia entre ambos, el primero permite usuarios remotos conectarse a una red, y el segundo permite conectar 2 redes entre si, (Si no entendi mal esto es lo ke kieres lograr).

Comenzare suponiendo ke los dos reouters esten conectados y configurados a internet.

llamare uno R1 y el otro router R2

Suponiendo ke tu router (Red_Local) tenga una interface Serial conectada a Internet y una Fastethernet conectada a tu LAN con las siguientes direcciones:
S0/1 - 192.168.0.1/24
Fa0/1 - 10.0.0.1/24

Y suponiendo ke tu router (Red_Remota) tenga el mismo escenario.
S0/1 - 192.168.0.2/24
Fa0/1 - 10.0.1.1/24

En el router R1 debes comenzar por configurar el Tunel.

// Configuras una itnerface con numero 0 para el tunel.
R1(config)# interface tunnel 0

// Le asignas IP y mascara.
R1(config-if)# ip address 192.168.1.1 255.255.255.0

// Configuras el IP de donde se originara el tunnel.
R1(config-if)# tunnel source 192.168.0.1 255.255.255.0

// Configuras el IP de destino del tunel.
R1(config-if)# tunnel destination 192.168.0.2 255.255.255.0

// Configuras el modo de tunel como GRE.(es el modo por defecto) GRE trabaja
// junto con IPSec, GRE encapsula el pakete despues IPSec lo encripta.
R1(config-if)# tunnel mode gre ip

// Despues iniciar la interface.
R1(config)# interface tunnel 0
R1(config-if)# no shutdown

// Sales del modo de configuracion de la interface.
R1(config-if)# exit

// Configuras la ruta para la LAN de la red remota a traves del tunel.
R1(config)# ip route 10.0.1.0 255.255.255.0 tunnel 0

// Configuras NAT
R1(config)# interface fastethernet0/1
R1(config-if)# ip nat inside
R1(config-if)# exit
R1(config)# interface serial0/1
R1(config)# ip nat outside
R1(config-if)# exit
R1(config)# ip nat pool WAN-IP 192.168.0.3 192.168.0.10 prefix-length 24
R1(config)# ip nat inside source list 10 pool WAN-IP overload
R1(config)# access-list 10 permit 10.0.0.0 0.0.0.255

// Ahora deberas configurar IPSec y el tipo de encriptacion.
// IKE es un protocolo de seguridad y esta iniciado por defecto, provee autentificacion, negocia entre los
// extremos la asociascion de seguridad de IPSec, establece las llaves de IPSec provee los tiempos de los paketes
// para checkear el estado del enlace (keepalive). Deberas crear politicas para IKE estas politicas definen la
// combinacion de parametros de seguridad ke seran usadas durante la negociacion de IKE.
R1(config)# crypto isakmp policy 1

// COnfigurar la encriptacion. por defecto es DES ke usa algoritmo de 56 Bit, si kieres mas segura puedes usar 3DES
// ke usa de 168 Bit 3 veces mas.
R1(config-isakmp)# encryption 3des

// Especificar el algoritmo hash, puede ser MD5 o sha, SHA es mejor.
R1(config-isakmp)# hash sha

// Especificar el metodo de autentificacio, "Clave compartida".
R1(config-isakmp)# authentication pre-share

// Especificar el grupo de Diffie-Hellman esto determina la longitud de la llave usada en el proceso de intercambio
// de llaves, 1 - 768 Bit y 2- 1024 Bit.
R1(config-isakmp)# group 1

// Aki especificas el tiempo en segundos de la asociasion de seguridad en este caso un dia.
R1(config-isakmp)# lifetime 86400

// Sales de la configuracion de IKE.
R1(config-isakmp)# exit

// Ahora tendras ke configurar la llave compartida ke configurastes anteriormente en el metodo de autentificacion.
// aki especificas la llave como direccion ip o como nombre del ekipo, en este caso usarias IP
R1(config)# crypto isakmp identity address

// Ahora especificaras las llave compartida y la direccion remota en la ke este router utilizara la llave en el
// caso de R1 router contra el ip del router de la red_remota
R1(config)# crypto isakmp key llave123 address 192.168.0.2

// Creas una access list para definir ke trafico va a estar protegido por crypto.
// si te fijas no especifica para IPSec ke es lo ke keremos permitir en este caso,
// despues en el mapeo de crypto le daremos el numero de access list y y en
// este mapeo aplicara la seguridad al trafico ke haga refencia a las rutas ke configuras aki para ke sea protegido
// por crypto. en este caso el trafico entre ambos routers.
R1(config)# access-list 110 permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255


// Configuras el modo de tunel de IPSec. debes definir el nombre del trannsform-set.
R1(config)# crypto ipsec transform-set Transform-Nombre ah-sha-hmac esp-3des

// Configuras el modo puede ser tunel o setting. Setting es solo para trafico generado por las direcciones IP de
// origen y destinado configurados en las interface IPSec. y Tunel es para todo el trafico.
R1(cfg-crypto-trans)# mode tunnel

// sales de la configuracion del transform-set ke acabas de crear con el nombre Transform-Nombre.
R1(cfg-crypto-trans)# exit

// Cuando los dos router traten de establecer una asociasion segura necesitaran tener por lo menos un crypto map
// ke tendra ke ser compatible con el otro extremo crypto map. Creas el crypto map y especificas la interface local
// ke va a ser usada para el trafico IPSec, puede ser statico o dinamico, mejor escoger statico porke manejara mejor
// los dispositivos remotos, el dinamico por su parte solo acepta pedidos IKE nunca los inicia por lo ke es mas // seguro el statico. Para configurar el mapeo estatico.
R1(config)# crypto map map-nombre local-address serial 0/1

// especificas un numero de secuencia para el mapeo ke creastes anteriormente. y configuras este mapeo para ke use // IKE ke fue el protocolo ke configuramos anterior para establecer asociacion seguras.
R1(config)# crypto map map-nombre 2 ipsec-isakmp

// aki especificas la access list extendida ke creastes antriormente para determinar ke trafico sera protegido por // IPSec y cual no.
R1(config-crypto-map)# match address 110


// especificas el punto remoto de IPSec.
R1(config)# set peer 192.168.0.2

// Configuras ke transform-set sera permitido para este mapeo, o sea, el ke creamos anteriormente.
R1(config-crypto-map)# set transform-set Transform-Nombre

// Sales de la configuracion del mapeo
R1(config-crypto-map)# exit

// Ahora necesitras aplicar le mapeo a la interface
R1(config)# interface serial 0/1

// le dices el nombre ke le pusistes al mapeo ke configurastes de forma estatico.
R1(config-if)# crypto map map-nombre

// Sales de la configuracion de la interface
R1(config-if)# exit