Oui, lors de l'établissement d'un tunnel IPsec dans MikroTik, il est recommandé et souvent nécessaire de configurer des règles de pare-feu spécifiques. Ces règles sont importantes pour plusieurs raisons, notamment la sécurisation du tunnel, l'autorisation du trafic IPsec à travers le pare-feu et la protection de votre réseau.

Nous expliquons quels types de règles sont généralement nécessaires et pourquoi :

1. Autoriser le trafic IPsec

Pour que le trafic IPsec circule via votre appareil MikroTik et établisse correctement le tunnel, vous devez vous assurer que le pare-feu autorise les protocoles et les ports utilisés par IPsec. Cela comprend généralement :

• ESP (Encapsulation de la charge utile de sécurité): Autoriser le trafic du protocole IP 50, utilisé par ESP pour assurer la confidentialité, l'authentification et l'intégrité.
• AH (en-tête d'authentification): autorisez le trafic du protocole IP 51, si AH est utilisé dans votre configuration IPsec pour fournir l'authentification et l'intégrité sans confidentialité.
• IKE (échange de clés Internet): autorisez le trafic UDP sur le port 500 (et éventuellement le port 4500 pour NAT-T) pour IKE, qui est utilisé pour l'échange de clés et la négociation d'association de sécurité.

2. Sécurisez le tunnel

En plus d'autoriser simplement le trafic IPsec, vous souhaiterez peut-être créer des règles pour limiter le trafic via le tunnel à certains types de trafic ou à certaines adresses IP afin d'augmenter la sécurité. Cela peut inclure des règles pour :

• Autoriser uniquement certains types de trafic à travers le tunnel.
• Restreindre l'accès via le tunnel à certaines adresses IP ou sous-réseaux uniquement.

3. Protection contre les attaques

Il est important de prendre en compte des règles pour protéger votre appareil et votre réseau contre les attaques qui pourraient être facilitées via le tunnel IPsec. Cela pourrait inclure :

• Limitez les tentatives de connexion au VPN pour éviter les attaques par force brute.
• Bloquez le trafic anormal ou indésirable qui ne devrait pas être présent dans le tunnel.

Exemple de règle de pare-feu pour autoriser IKE et ESP :

texte en clairCopier le code/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Considérations finales :

• Ordre des règles: L'ordre dans lequel vous placez vos règles sur le pare-feu est important. Les règles sont traitées de haut en bas, vous devez donc placer les règles spécifiques avant les règles plus générales pour éviter les conflits ou les blocages indésirables.
• Surveillance et maintenance: Une fois le tunnel IPsec et les règles de pare-feu correspondantes configurés, il est recommandé de surveiller le trafic et les performances du tunnel, ainsi que de revoir périodiquement les règles de pare-feu pour les ajuster si nécessaire.

La configuration correcte des règles de pare-feu sur votre appareil MikroTik est cruciale pour le succès et la sécurité de votre tunnel IPsec.