[cisco] ACL op tunnel interface

Ik heb een VPN tussen drie routers.
Router A is de hoofdrouter, Router B en C zijn 'sub'-routers
nu wil ik een ACL op de hoofdrouter plaatsen, zodat niet alle verkeer naar de hoofdrouter kan.
Ik wil ook de ACL op de hoofdrouter plaatsen, zodat ik 1 ACL voor alle sub routers kan gebruiken.

de tunnels zijn als volgt aangemaakt:

interface Tunnel x
ip access-group 110 in
tunnel mode ipip

nu heb ik het volgende probleem dat het verkeer dat in de tunnel zit
van type ipinip is dus een ACL van het type

access-list 110 permit icmp any any
gaat niet werken, is er een commando dat ik een ACL op het tunnelverkeer kan toepassen?

De ACL verplaatsen naar de ethernet poorten is inderdaad een alternatief
maar eerst wil ik even zeker weten ofdat er een mogelijkheid is om de ACL op de tunnel te plaatsen. Tevens kan ik als ik een misconfiguratie zou doen op de Tunnel interface altijd
nog inloggen op de router via het outside adres.

Misschien kan ik het met een voorbeeld duidelijk maken:

wat ik wil is het volgende:
op de tunnel interface een access-list samenstellen waar bijvoorbeeld alleen icmp
verkeer doorheen kan
met bijvoorbeeld
access-list 110 permit icmp any any
access-list 110 deny ip any any

als ik nu sh ip access-list 110 doe
zie ik alleen maar hits op
access-list 110 deny ip any any

dus ik ging even iets verder kijken en heb de ACL als volgt veranderd:

access-list 110 permit ipinip any any
access-list 110 permit icmp any any
access-list 110 deny ip any any

en na de counters gereset te hebben zie ik bij
sh ip access-list 110
alleen maar hits op
access-list 110 permit ipinip any any
oftewel het verkeer is nog niet uitgepakt, wat ik dus wel verwacht had.
hopelijk is mijn probleem nu iets duidelijker

Nee GRE is geen optie, omdat niet in het standaard IOS wordt ondersteund van de Cisco 826, hier heb je een PLUS image voor nodig