Sí, al establecer un túnel por IPsec en MikroTik, es recomendable y a menudo necesario configurar reglas de firewall específicas. Estas reglas son importantes por varias razones, que incluyen asegurar el túnel, permitir el tráfico IPsec a través del firewall y proteger tu red.

Te explicamos qué tipos de reglas suelen ser necesarias y por qué:

1. Permitir el Tráfico IPsec

Para que el tráfico IPsec pueda fluir a través de tu dispositivo MikroTik y establecer el túnel correctamente, necesitas asegurarte de que el firewall permita los protocolos y puertos utilizados por IPsec. Esto generalmente incluye:

• ESP (Encapsulating Security Payload): Permitir el tráfico del protocolo IP 50, utilizado por ESP para proporcionar confidencialidad, autenticación e integridad.
• AH (Authentication Header): Permitir el tráfico del protocolo IP 51, si se utiliza AH en tu configuración de IPsec para proporcionar autenticación e integridad sin confidencialidad.
• IKE (Internet Key Exchange): Permitir el tráfico UDP en el puerto 500 (y posiblemente el puerto 4500 para NAT-T) para IKE, que se utiliza para el intercambio de claves y la negociación de la asociación de seguridad.

2. Asegurar el Túnel

Además de simplemente permitir el tráfico IPsec, es posible que desees crear reglas para limitar el tráfico a través del túnel a ciertos tipos de tráfico o a ciertas direcciones IP para aumentar la seguridad. Esto puede incluir reglas para:

• Permitir solo ciertos tipos de tráfico a través del túnel.
• Restringir el acceso a través del túnel solo a ciertas direcciones IP o subredes.

3. Protección contra Ataques

Es importante considerar reglas para proteger tu dispositivo y red contra ataques que podrían ser facilitados a través del túnel IPsec. Esto podría incluir:

• Limitar los intentos de conexión a la VPN para prevenir ataques de fuerza bruta.
• Bloquear tráfico anómalo o no deseado que no debería estar presente en el túnel.

Ejemplo de Regla de Firewall para Permitir IKE y ESP:

plaintextCopy code/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Consideraciones Finales:

• Orden de las Reglas: El orden en el que colocas tus reglas en el firewall es importante. Las reglas se procesan de arriba hacia abajo, por lo que debes colocar las reglas específicas antes de las reglas más generales para evitar conflictos o bloqueos no deseados.
• Monitoreo y Mantenimiento: Una vez configurado el túnel IPsec y las reglas de firewall correspondientes, es una buena práctica monitorear el tráfico y el rendimiento del túnel, así como revisar periódicamente las reglas de firewall para ajustarlas según sea necesario.

Configurar adecuadamente las reglas de firewall en tu dispositivo MikroTik es crucial para el éxito y la seguridad de tu túnel IPsec.