Sì, quando si stabilisce un tunnel IPsec in MikroTik, è consigliabile e spesso necessario configurare regole firewall specifiche. Queste regole sono importanti per diversi motivi, tra cui la protezione del tunnel, il passaggio del traffico IPsec attraverso il firewall e la protezione della rete.

Spieghiamo quali tipi di regole sono solitamente necessarie e perché:

1. Consenti traffico IPsec

Affinché il traffico IPsec possa fluire attraverso il tuo dispositivo MikroTik e stabilire correttamente il tunnel, devi assicurarti che il firewall consenta i protocolli e le porte utilizzate da IPsec. Questo di solito include:

• ESP (incapsulamento del carico utile di sicurezza): consente il traffico del protocollo IP 50, utilizzato da ESP per garantire riservatezza, autenticazione e integrità.
• AH (intestazione di autenticazione): consente il traffico del protocollo IP 51, se AH viene utilizzato nella configurazione IPsec per fornire autenticazione e integrità senza riservatezza.
• IKE (scambio di chiavi Internet): consente il traffico UDP sulla porta 500 (e possibilmente sulla porta 4500 per NAT-T) per IKE, che viene utilizzato per lo scambio di chiavi e la negoziazione dell'associazione di sicurezza.

2. Metti in sicurezza il tunnel

Oltre a consentire semplicemente il traffico IPsec, potresti voler creare regole per limitare il traffico attraverso il tunnel a determinati tipi di traffico o a determinati indirizzi IP per aumentare la sicurezza. Ciò può includere regole per:

• Consenti solo determinati tipi di traffico attraverso il tunnel.
• Limitare l'accesso attraverso il tunnel solo a determinati indirizzi IP o sottoreti.

3. Protezione dagli attacchi

È importante considerare le regole per proteggere il proprio dispositivo e la propria rete dagli attacchi che potrebbero essere facilitati attraverso il tunnel IPsec. Ciò potrebbe includere:

• Limita i tentativi di connessione alla VPN per prevenire attacchi di forza bruta.
• Blocca il traffico anomalo o indesiderato che non dovrebbe essere presente nel tunnel.

Esempio di regola del firewall per consentire IKE ed ESP:

testo in chiaroCopia codice/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Considerazioni finali:

• Ordine delle regole: L'ordine in cui inserisci le regole sul firewall è importante. Le regole vengono elaborate dall'alto verso il basso, pertanto è necessario inserire regole specifiche prima di quelle più generali per evitare conflitti o blocchi indesiderati.
• Monitoraggio e Manutenzione: una volta configurato il tunnel IPsec e le corrispondenti regole del firewall, è buona norma monitorare il traffico e le prestazioni del tunnel, nonché rivedere periodicamente le regole del firewall per modificarle secondo necessità.

La corretta configurazione delle regole del firewall sul tuo dispositivo MikroTik è fondamentale per il successo e la sicurezza del tuo tunnel IPsec.