IT‑proffs: Cisco IPsec S2S på 15 min – utan strul

💡 Konfigurera Cisco IPsec site‑to‑site – utan huvudvärk

Du har två sajter som måste prata privat: huvudkontor i Stockholm och verkstad i Jönköping. Filservrar, ERP, skrivare – allt ska gå över en säker tunnel. Och du sitter med en Cisco‑burk som kräver “rätt kommandon i rätt ordning”, annars säger den bara nope. Låter bekant?

Sanningen: de flesta guider är antingen för generiska eller för labbiga. Här får du en hands‑on svensk guide som sätter upp en stabil IPsec site‑to‑site på Cisco IOS/IOS XE – med IKEv2 (rekommenderat), både klassisk crypto map och modern SVTI (tunnel‑interface), plus snabb felsökning för vanliga ISP‑scenarion i Sverige (CGNAT på mobilt bredband, NAT‑T, MTU/MSS). Vi väver också in några praktiska vardagsgrejer: varför inkognitoläge inte är anonymt, vad som gäller för streaming när du är “utanför” och hur du minskar riskerna på hotell‑Wi‑Fi. Exempelvis pekar en färsk uppdatering på att Chrome ska blocka fingerprinting‑script i privat läge – men anonymt är det fortfarande inte, vilket Google‑nära medier understryker [blogdumoderateur, 2025-08-19].

Vårt mål: få dig från noll till stabil tunnel på 15–30 minuter, utan att du måste grotta i tio PDF:er. Vi börjar med en snabb reality check (vad måste vara sant för att detta ska funka), tar sedan steg‑för‑steg‑kommandon du kan klistra in och anpassa, och avslutar med en fält‑checklista för felsökning. På köpet får du lite street‑smarta tips från svensk vardag – typ varför “publik IP” inte alltid är publik om du kör mobilt bredband, och hur du tänker kring DNS, split‑tunnel och “intressant trafik” i dina ACL:er. Deal? Nu kör vi.

📊 Tre sätt att “skydda” anslutning – och när de passar

Webbläsarens privat läge tar inte bort din IP eller krypterar trafiken; det rensar mest lokala spår. Google skruvar visserligen åt fingerprinting i Chrome, men “anonymitet” är det inte [blogdumoderateur, 2025-08-19]. Konsument‑VPN på router (t.ex. OpenVPN‑profiler mot en leverantör) är grymt för streaming från “fel land” och snabb privacy on‑the‑go – Tom’s Guide trycker ofta på att du kan titta “från var som helst”, vilket förklarar varför många väljer en sådan lösning hemma [tomsguide, 2025-08-19].

IPsec site‑to‑site är annat syfte: knyta ihop två nät (LAN↔LAN) som om de låg i samma byggnad. Det är det du använder för affärskritiska tillämpningar – domän, ERP, skrivare, kamerasystem – och det ska vara alltid‑på, stabilt och snabbt. För resor och publika wifi:n är en app‑ eller router‑VPN fortfarande bäst för enskilda användare; resesajter påminner regelbundet om riskerna med öppna nät, skumma USB‑portar och phishing när man är på språng [clarin, 2025-08-19].

Kort sagt: använd rätt verktyg för rätt jobb. Den här guiden fokuserar på Cisco‑varianten – men vi droppar även några tips om konsument‑VPN när det är mer rätt i vardagen.

😎 MaTitie – Nu kör vi

Hej! Jag är MaTitie – skribenten här och din polare som gärna jagar bra deals och genvägar (och ja, lite för mycket stil ibland).

VPN spelar roll i Sverige – för integritet, streaming och för att slippa sega, strypta uppkopplingar. Om du vill ha fart, no‑drama och att det bara funkar: jag rekommenderar NordVPN efter hundratals tester och lite väl mycket experimenterande på blockerade hörn av nätet.

Vill du slippa gissa? 👉 🔐 Testa NordVPN nu – 30 dagar riskfritt.

Det funkar hur smidigt som helst i Sverige, och du får pengarna tillbaka om det inte är din grej. Ingen risk. Ingen cirkus. Bara access.

Detta inlägg innehåller affiliatelänkar. Köper du via dem kan MaTitie få en liten provision. Tack – det hjälper verkligen.

🧱 Steg‑för‑steg: IPsec site‑to‑site på Cisco (IKEv2, IOS/IOS XE)

Innan du börjar – snabba förutsättningar:

• Publika IP:n på båda sidor (eller åtminstone på hubben). Mobilt bredband i Sverige kan ligga bakom CGNAT; då syns du inte utifrån. Beställ statisk IPv4 eller använd en hub med statisk IP och låt “spoke” köra dynamisk identitet (FQDN).
• Öppna UDP 500/4500 ut (IKE/NAT‑T). De flesta svenska ISP:er släpper utgående trafik, men brandväggsregler kan strula.
• Matchande subnät utan överlapp (ex: Site A 10.10.10.0/24, Site B 10.20.20.0/24).
• Korrekt licens/funktion i IOS/IOS XE (crypto). På klassiska Cisco‑routermodeller är det standard, men dubbelkolla.

Snabb “firmware‑vana”: Om du möter ett webbgränssnitt (mer vanlig på konsumentroutrar), nås det ofta via 192.168.1.1, eller kontrollera “Default Gateway” via ipconfig på din dator. Det rådet gäller generellt och är bra att ha i ryggen om du sidarbetar med en hemrouter <— det är ett tips som ofta nämns i grundguider för routerinställningar.

Här gör vi dock CLI‑vägen, eftersom Cisco på företagsnivå i regel konfigureras så.

Exempel‑topologi:

• Site A (Stockholm, publik IP: 203.0.113.10, LAN: 10.10.10.0/24)
• Site B (Jönköping, publik IP: 198.51.100.20, LAN: 10.20.20.0/24)
• Fördel: IKEv2 + AES‑GCM

1. IKEv2 policy/proposal och keyring

• Sätt starka algoritmer som båda sidor stöder.

conf t
!
crypto ikev2 proposal IKEV2-PROP
 encryption aes-gcm-256
 integrity null
 group 14
!
crypto ikev2 policy IKEV2-POL
 proposal IKEV2-PROP
!
crypto ikev2 keyring IKEV2-KR
 peer SITEB
  address 198.51.100.20
  pre-shared-key superHemligNyckel123
!
crypto ikev2 profile IKEV2-PROF
 match identity remote address 198.51.100.20 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local IKEV2-KR
 lifetime 86400
 dpd 10 5 on-demand
!

Tips: Om remote saknar statisk IP, använd match identity remote fqdn och sätt ett dynamiskt DNS‑namn på motparten.

2. IPsec transform/proposal och profile

crypto ipsec transform-set TS-GCM esp-gcm 256
 mode tunnel
!
crypto ipsec profile IPSEC-PROF
 set transform-set TS-GCM
 set ikev2-profile IKEV2-PROF
 security-association lifetime seconds 3600
!

3A) Alternativ A – Klassisk crypto map (enkelt och beprövat)

• Definiera “intressant trafik” med en ACL.
• Bind crypto map till WAN‑interfacet.

ip access-list extended ACL-VPN
 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
!
crypto map CMAP 10 ipsec-isakmp
 set peer 198.51.100.20
 set security-association lifetime seconds 3600
 set transform-set TS-GCM
 set ikev2-profile IKEV2-PROF
 match address ACL-VPN
!
interface GigabitEthernet0/0
 description WAN
 ip address 203.0.113.10 255.255.255.248
 crypto map CMAP
!

3B) Alternativ B – SVTI (tunnel interface, “VTI”/“SVTI”)

• Renare routing och enklare felsökning.

interface Tunnel10
 ip address 172.16.10.1 255.255.255.252
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 198.51.100.20
 tunnel protection ipsec profile IPSEC-PROF
!
ip route 10.20.20.0 255.255.255.0 172.16.10.2

På Site B speglar du allt: byt IP:n, nät och nyckel åt rätt håll. Viktigt: ACL för “intressant trafik” måste spegla exakt nät‑till‑nät, annars etableras tunneln men du får ingen data.

4. NAT och “exempt” Om du kör PAT för internet ut ska trafiken mellan sajterna INTE NAT:as. Lägg in en NAT‑exempt‑regel före din generella NAT, eller definiera zones rätt. Exempel (klassisk NAT‑ordning):

ip access-list extended ACL-NAT-EXEMPT
 deny   ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 any
!
ip nat inside source list ACL-NAT-EXEMPT interface GigabitEthernet0/0 overload

5. MTU/MSS‑trim Vissa svenska operatörer + IPsec + vissa appar = fragment och strul. Säkerställ MSS‑clamp på LAN‑interfacet:

interface Vlan10
 ip tcp adjust-mss 1350

6. Verifiera

show crypto ikev2 sa
show crypto ipsec sa
ping 10.20.20.1 source 10.10.10.1

Best practice:

• Kör IKEv2 och AES‑GCM om möjligt.
• Håll livslängder rimliga (ex: IKE 24h, IPsec 1h).
• Logga till syslog/SEIM, slå på dpd för snabbare återhämtning.
• Dokumentera pre‑shared keys och rotera enligt schema.
• Undvik överlappande subnät – det är roten till 50% av “allt ser rätt ut men inget pingar”.

Sido‑notis om konsument‑VPN på router: Om du i stället konfar en hemrouter mot en tjänst (typ OpenVPN‑profil mot NordVPN), kopierar du servernamnet ur leverantörens konfiglista och klistrar in i routerns VPN‑inställningar. Aktivera kill switch, malware/phishing‑skydd och ad block om routern stöder det – då slipper du läckor om anslutningen droppar och minskar spårare. Det här är typiskt i GUI‑firmware: du loggar in på routern (ofta 192.168.1.1), letar upp VPN‑fliken, klistrar in server/profil och klickar Apply. Det är en annan “klass” av lösning än site‑to‑site, men praktiskt för streaming och resor.

🙋 Vanliga fallgropar och Sverige‑specifika tips

• CGNAT på mobilt bredband: Om “publik” IP är privat (100.64.0.0/10), kommer ingen att nå dig utifrån. Kör hub‑and‑spoke där hubben har riktig statisk IP, eller beställ statisk IP‑tillägg.
• Fel ordning i NAT: NAT‑exempt måste träffa innan din generella overload‑regel.
• Speglade ACL: En “permit ip A B C D” på ena sidan måste ha exakta motsatsen på andra sidan.
• DNS och split‑tunnel: Låt interna resurser ligga i split‑routen via tunneln, men låt övrig internet gå rakt ut – annars fastnar streaming och SaaS ibland i onödig latens.
• MSS/MTU: 1350 som MSS‑clamp är ofta sweet spot. Testa ping size 1400 df-bit över tunneln för att se om fragmentering spökar.
• Felsökningskommandon du kommer älska:
  • show crypto ikev2 sa
  • show crypto ipsec sa
  • debug crypto ikev2 protocol
  • debug crypto ipsec
  • traceroute mellan LAN‑ändpunkter
  • På ASA: packet-tracer är guld.

Och nej – inkognitoläge räddar dig inte från att exponera IP eller undvika geoblock. Det har blivit tydligare i och med nya skydd i Chrome som fokuserar på fingerprinting, inte anonymitet [blogdumoderateur, 2025-08-19]. För streaming “var som helst” är en kund‑VPN‑tjänst fortfarande mycket enklare [tomsguide, 2025-08-19]. För resor: lita inte på hotellnät – kör VPN‑app och undvik random USB‑portar, som resesajter varnar för [clarin, 2025-08-19].

🙋 Frequently Asked Questions

❓ Hur vet jag om min Cisco‑router stödjer IPsec/IKEv2?

💬 Kolla show version och show crypto ikev2. I IOS/IOS XE är IPsec standard i många licenspaket. Saknas kommandon – då saknas ofta rätt feature set/licens. Googla modell + “IPsec IKEv2” och dubbelkolla release notes.

🛠️ Varför ser jag IKE SA uppe men inga bytes i IPsec SA?

💬 Det luktar ACL‑mismatch eller NAT som smiter in. Verifiera “intressant trafik” på båda sidor och lägg NAT‑exempt före overload. Testa att pinga från ett faktiskt host i 10.10.10.0/24 till 10.20.20.0/24 – vissa enheter skapar inte IPsec SA förrän riktig trafik syns.

🧠 SVTI eller crypto map framåt? Vad rekommenderar du för nya deployment?

💬 SVTI (tunnel‑interface) varje dag i veckan. Renare routing, enkel policy, lätt att mäta och styra QoS. Crypto map är stabilt och “färre rörliga delar”, men blir knöligt när du växer.

🧩 Final Thoughts…

Site‑to‑site IPsec på Cisco är inte “magi” – det är tre byggstenar: IKE (förhandla), IPsec (kryptera) och policy (vilken trafik). Kör IKEv2 + AES‑GCM, håll ordning på NAT‑exempt och spegla ACL:er, så kommer du 90% av vägen. För resor och streaming: ta en konsument‑VPN parallellt. Använd rätt verktyg för rätt problem – och dokumentera allt, för framtida du.

📚 Further Reading

Här är 3 färska artiklar som ger mer kontext – från verifierade källor:

🔸 PNC Financial Services Group Inc. Has $155,000 Stock Position in Lumen Technologies, Inc. $LUMN
🗞️ Källa: defenseworld – 📅 2025-08-19
🔗 Läs artikeln

🔸 Commissioner: Close loophole allowing children to access online pornography
🗞️ Källa: watfordobserver – 📅 2025-08-19
🔗 Läs artikeln

🔸 Commissioner: Close loophole allowing children to access online pornography
🗞️ Källa: wiltshiretimes_uk – 📅 2025-08-19
🔗 Läs artikeln

😅 En snabb, skamlös pitch (hoppas det är okej)

De flesta seriösa testsajter sätter NordVPN i topp av en anledning.
Vi på Top3VPN har använt det i åratal – det levererar i fart, stabilitet och åtkomst.

Det kostar lite mer, visst – men bryr du dig om integritet, hastighet och att streaming faktiskt funkar, är det värt det.

Bonus: 30 dagars öppet köp. Installera, prova, få full återbetalning om det inte klickar.

📌 Ansvarsbegränsning

Den här texten kombinerar offentligt tillgänglig information med ett stänk AI‑assistans. Den är avsedd för delning och diskussion – inte som officiell dokumentation. Verifiera alltid detaljer i din miljö innan produktionssättning.