Технология IPsec использует специфические протоколы 4 уровня (в рамках модели OSI): ESP (номер протокола — 50) или AH (51), в зависимости от выбранного алгоритма защиты трафика. Для нормальной работы IPsec необходимо, чтобы данный протокол не был запрещён фильтрами на входе самих VPN-шлюзов или где-либо на промежуточных узлах сети. Помимо этого, должны быть разрешены пакеты UDP с портами назначения и источника 500.

При использовании NAT Traversal дополнительно должен быть открыт порт UDP 4500.

Пример настройки разрешающего фильтра строго для входящих пакетов IPsec с сервера 123.45.67.89. Устройство NSG подключено к публичной сети несколькими интерфейсами PPP (например, двумя модемами 3G через разных операторов одновременно):

ip 
: filter 
: : INPUT 
: : : default-target = "DROP"
: : : 1 
: : : : protocol-num = 50
: : : : in-interface = "ppp+"
: : : : source = "123.45.67.89"
: : : : target = "ACCEPT"
: : : 2 
: : : : protocol-num = 51
: : : : in-interface = "ppp+"
: : : : source = "123.45.67.89"
: : : : target = "ACCEPT"
: : : 3 
: : : : protocol = "udp"
: : : : in-interface = "ppp+"
: : : : source = "123.45.67.89"
: : : : source-port = "500"
: : : : destination-port = "500"
: : : : target = "ACCEPT"
: : : 4 
: : : : protocol = "udp"
: : : : in-interface = "ppp+"
: : : : source = "123.45.67.89"
: : : : source-port = "4500"
: : : : destination-port = "4500"
: : : : target = "ACCEPT"

ПРИМЕЧАНИЕ. Настройку фильтров следует производить в последнюю очередь, предварительно убедившись в нормальной работе остальных компонент системы.

Обратно в узел ipsec...