Ya, ketika membuat terowongan IPsec di MikroTik, disarankan dan sering kali diperlukan untuk mengkonfigurasi aturan firewall tertentu. Aturan ini penting karena beberapa alasan, termasuk mengamankan terowongan, mengizinkan lalu lintas IPsec melalui firewall, dan melindungi jaringan Anda.

Kami menjelaskan jenis aturan apa yang biasanya diperlukan dan alasannya:

1. Izinkan Lalu Lintas IPsec

Agar lalu lintas IPsec mengalir melalui perangkat MikroTik Anda dan membangun terowongan dengan benar, Anda perlu memastikan bahwa firewall mengizinkan protokol dan port yang digunakan oleh IPsec. Ini biasanya meliputi:

• ESP (Enkapsulasi Muatan Keamanan): Izinkan lalu lintas protokol IP 50, yang digunakan oleh ESP untuk memberikan kerahasiaan, otentikasi, dan integritas.
• AH (Header Otentikasi): Izinkan lalu lintas protokol IP 51, jika AH digunakan dalam konfigurasi IPsec Anda untuk memberikan otentikasi dan integritas tanpa kerahasiaan.
• IKE (Pertukaran Kunci Internet): Izinkan lalu lintas UDP pada port 500 (dan mungkin port 4500 untuk NAT-T) untuk IKE, yang digunakan untuk pertukaran kunci dan negosiasi asosiasi keamanan.

2. Amankan Terowongan

Selain mengizinkan lalu lintas IPsec, Anda mungkin ingin membuat aturan untuk membatasi lalu lintas melalui terowongan ke jenis lalu lintas tertentu atau ke alamat IP tertentu untuk meningkatkan keamanan. Ini mungkin termasuk aturan untuk:

• Izinkan hanya jenis lalu lintas tertentu yang melewati terowongan.
• Batasi akses melalui terowongan hanya pada alamat IP atau subnet tertentu.

3. Perlindungan Serangan

Penting untuk mempertimbangkan aturan untuk melindungi perangkat dan jaringan Anda dari serangan yang dapat difasilitasi melalui terowongan IPsec. Ini dapat mencakup:

• Batasi upaya koneksi ke VPN untuk mencegah serangan brute force.
• Blokir lalu lintas yang tidak wajar atau tidak diinginkan yang seharusnya tidak ada di terowongan.

Contoh Aturan Firewall untuk Mengizinkan IKE dan ESP:

teks biasaSalin kode/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Pertimbangan Akhir:

• Urutan Aturan: Urutan penempatan aturan pada firewall adalah hal yang penting. Aturan diproses dari atas ke bawah, jadi Anda harus menempatkan aturan spesifik sebelum aturan yang lebih umum untuk menghindari konflik atau pemblokiran yang tidak diinginkan.
• Pemantauan dan Pemeliharaan: Setelah terowongan IPsec dan aturan firewall terkait dikonfigurasi, praktik yang baik adalah memantau lalu lintas dan kinerja terowongan, serta meninjau aturan firewall secara berkala untuk menyesuaikannya bila diperlukan.

Mengonfigurasi aturan firewall dengan benar pada perangkat MikroTik Anda sangat penting untuk keberhasilan dan keamanan terowongan IPsec Anda.