kaffa9

原本在二個住處間建立了IPSec tunnel，使兩地之間的設備可以互相通訊，例如讓B地的小米攝影機能將影像檔上拋至A地的SAMBA伺服器。前一陣子，又有了策略路由需求，例如讓A地某設備經由B地再路由到Internet，但剛好一地是EdgeRouter-X，一地是MikroTik RB750Gr3，被設定搞得很頭疼。恰好雙十一時又淘了一台RB750Gr3回來，本來是要當備用機的，趁著元旦連假有空，便把EdgeRouter-X換成RB750Gr3。如此一來，兩地都是MikroTik設備，RouterOS的設定變得輕鬆許多。

為了滿足前述的PBR (policy-based routing)需求，爬了不少文章，最後決定採用GRE tunnel over IPSec，在此將設定方式簡單做一下筆記：

1. 建立GRE Tunnel
   在Interfaces選項的GRE Tunnel頁籤，新增一個GRE tunnel，填寫Name、Remote Address、IPSec Secret、取消Allow Fast Path
2. 為GRE Tunnel介面（例：gre-tunnel1）設定IP位址
   在IP選項的Addresses子選項新增IP，填寫Address和Interfaces。記得兩地的address要錯開，但是必須是同一個網段，例如可以各別填寫172.16.0.1/24和172.16.0.2/24
3. 建立路由規則
   針對A地RouterOS，可設定往B地網段的閘道為GRE tunnel介面，如gre-tunnel1
4. 建立NAT規則
   可在srcnat表建立A地網段到B地網段的accept規則

註：只要兩地都填寫一樣的IPSec Secret且IPSec profile有共同的加密和雜湊演算法，RouterOS即可自動建立IPSec Tunnel，不必自己額外進行IPSec設定。