原本在二個住處間建立了IPSec tunnel,使兩地之間的設備可以互相通訊,例如讓B地的小米攝影機能將影像檔上拋至A地的SAMBA伺服器。前一陣子,又有了策略路由需求,例如讓A地某設備經由B地再路由到Internet,但剛好一地是EdgeRouter-X,一地是MikroTik RB750Gr3,被設定搞得很頭疼。恰好雙十一時又淘了一台RB750Gr3回來,本來是要當備用機的,趁著元旦連假有空,便把EdgeRouter-X換成RB750Gr3。如此一來,兩地都是MikroTik設備,RouterOS的設定變得輕鬆許多。
為了滿足前述的PBR (policy-based routing)需求,爬了不少文章,最後決定採用GRE tunnel over IPSec,在此將設定方式簡單做一下筆記:
- 建立GRE Tunnel
在Interfaces選項的GRE Tunnel頁籤,新增一個GRE tunnel,填寫Name、Remote Address、IPSec Secret、取消Allow Fast Path
- 為GRE Tunnel介面(例:gre-tunnel1)設定IP位址
在IP選項的Addresses子選項新增IP,填寫Address和Interfaces。記得兩地的address要錯開,但是必須是同一個網段,例如可以各別填寫172.16.0.1/24和172.16.0.2/24
- 建立路由規則
針對A地RouterOS,可設定往B地網段的閘道為GRE tunnel介面,如gre-tunnel1
- 建立NAT規則
可在srcnat表建立A地網段到B地網段的accept規則
註:只要兩地都填寫一樣的IPSec Secret且IPSec profile有共同的加密和雜湊演算法,RouterOS即可自動建立IPSec Tunnel,不必自己額外進行IPSec設定。