Sim, ao estabelecer um túnel IPsec no MikroTik, é recomendado e muitas vezes necessário configurar regras de firewall específicas. Essas regras são importantes por vários motivos, incluindo a segurança do túnel, a permissão do tráfego IPsec através do firewall e a proteção da sua rede.

Explicamos quais tipos de regras geralmente são necessárias e por quê:

1. Permitir tráfego IPsec

Para que o tráfego IPsec flua através do seu dispositivo MikroTik e estabeleça o túnel corretamente, você precisa garantir que o firewall permite os protocolos e portas usados ​​pelo IPsec. Isso geralmente inclui:

• ESP (Encapsulando Carga Útil de Segurança): Permite tráfego do protocolo IP 50, usado pelo ESP para fornecer confidencialidade, autenticação e integridade.
• AH (cabeçalho de autenticação): permite tráfego do protocolo IP 51, se AH for usado em sua configuração IPsec para fornecer autenticação e integridade sem confidencialidade.
• IKE (troca de chaves da Internet): permite o tráfego UDP na porta 500 (e possivelmente na porta 4500 para NAT-T) para IKE, que é usado para troca de chaves e negociação de associação de segurança.

2. Proteja o túnel

Além de simplesmente permitir o tráfego IPsec, você pode criar regras para limitar o tráfego através do túnel a determinados tipos de tráfego ou a determinados endereços IP para aumentar a segurança. Isso pode incluir regras para:

• Permitir apenas determinados tipos de tráfego através do túnel.
• Restrinja o acesso através do túnel apenas a determinados endereços IP ou sub-redes.

3. Proteção contra ataques

É importante considerar regras para proteger o seu dispositivo e a sua rede contra ataques que poderiam ser facilitados através do túnel IPsec. Isso pode incluir:

• Limite as tentativas de conexão à VPN para evitar ataques de força bruta.
• Bloqueie tráfego anômalo ou indesejado que não deveria estar presente no túnel.

Exemplo de regra de firewall para permitir IKE e ESP:

texto simplesCopiar código/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Considerações Finais:

• Ordem das Regras: A ordem em que você coloca suas regras no firewall é importante. As regras são processadas de cima para baixo, portanto você deve colocar regras específicas antes de regras mais gerais para evitar conflitos ou bloqueios indesejados.
• Monitoramento e Manutenção: depois que o túnel IPsec e as regras de firewall correspondentes estiverem configurados, é uma boa prática monitorar o tráfego e o desempenho do túnel, bem como revisar periodicamente as regras de firewall para ajustá-las conforme necessário.

Configurar corretamente as regras de firewall no seu dispositivo MikroTik é crucial para o sucesso e a segurança do seu túnel IPsec.