Ja, bij het opzetten van een IPsec-tunnel in MikroTik wordt het aanbevolen en vaak noodzakelijk om specifieke firewallregels te configureren. Deze regels zijn om verschillende redenen belangrijk, waaronder het beveiligen van de tunnel, het toestaan ​​van IPsec-verkeer door de firewall en het beschermen van uw netwerk.

We leggen uit welke soorten regels meestal nodig zijn en waarom:

1. Sta IPsec-verkeer toe

Om IPsec-verkeer door uw MikroTik-apparaat te laten stromen en de tunnel correct tot stand te brengen, moet u ervoor zorgen dat de firewall de protocollen en poorten toestaat die door IPsec worden gebruikt. Dit omvat meestal:

• ESP (Encapsulerende beveiligingspayload): Sta IP 50-protocolverkeer toe, gebruikt door ESP om vertrouwelijkheid, authenticatie en integriteit te bieden.
• AH (Authentication Header): Sta IP 51-protocolverkeer toe als AH wordt gebruikt in uw IPsec-configuratie om authenticatie en integriteit te bieden zonder vertrouwelijkheid.
• IKE (Internetsleuteluitwisseling): Sta UDP-verkeer toe op poort 500 (en mogelijk poort 4500 voor NAT-T) voor IKE, dat wordt gebruikt voor sleuteluitwisseling en onderhandelingen over beveiligingskoppelingen.

2. Beveilig de tunnel

Naast het simpelweg toestaan ​​van IPsec-verkeer, wilt u wellicht ook regels maken om het verkeer door de tunnel te beperken tot bepaalde soorten verkeer of tot bepaalde IP-adressen om de veiligheid te vergroten. Dit kunnen regels zijn voor:

• Laat alleen bepaalde soorten verkeer door de tunnel.
• Beperk de toegang via de tunnel tot alleen bepaalde IP-adressen of subnetten.

3. Aanvalsbescherming

Het is belangrijk om regels te overwegen om uw apparaat en netwerk te beschermen tegen aanvallen die via de IPsec-tunnel kunnen worden gefaciliteerd. Dit kan het volgende omvatten:

• Beperk verbindingspogingen met de VPN om brute force-aanvallen te voorkomen.
• Blokkeer afwijkend of ongewenst verkeer dat niet in de tunnel aanwezig mag zijn.

Voorbeeld van een firewallregel om IKE en ESP toe te staan:

plaintextKopieer code/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Laatste overwegingen:

• Volgorde van de regels: De volgorde waarin u uw regels op de firewall plaatst, is belangrijk. Regels worden van boven naar beneden verwerkt, dus u moet specifieke regels vóór meer algemene regels plaatsen om conflicten of ongewenste blokkering te voorkomen.
• Bewaking en onderhoud: Zodra de IPsec-tunnel en de bijbehorende firewallregels zijn geconfigureerd, is het een goede gewoonte om het tunnelverkeer en de prestaties te monitoren, en de firewallregels periodiek te herzien om ze indien nodig aan te passen.

Het correct configureren van firewallregels op uw MikroTik-apparaat is cruciaal voor het succes en de veiligheid van uw IPsec-tunnel.