原來這是hEX號由器（目前型號為RB750Gr3）的升級版，主要的改變應該是CPU換了一顆基於ARM64架構的雙核心EN7562CT，記憶體也從原本的256M提升至512M，官方號稱效能提升超過一倍！（各項數據表現在100%-134%之間）至於其他規格，如儲存空間、PoE、SDCard卡槽則沒有改變，預載的作業系統則是使用RouterOS v7（我先入手的 2 台 RB750Gr3 出廠都是預載 v6）。

以下是官方介紹影片：

A地更新完後，也許是DDNS更新還需要點時間，IPSec連線無法馬上建立，手動在/ip cloud進行DDNS的強制更新後 (force update)，便成功建立IPSec連線與GRE tunnel。

確定上網正常後，便開始進行B地更新（遠端），詎料等待了10分鐘，IPSec連線仍無法建立。使用nslookup檢查了B地的DDNS域名設定，發現也早已更新完成，便使用米家app確認B地米家攝影機是否正常，發現可以正常觀看，表示B地Internet連線沒有問題，只好透過Cloudflare Tunnel連上B地伺服器，再跳到MikroTik設備裡看看有什麼端倪。

確定IPSec設定無誤，手動kill connection也沒效，重新連線，A、B兩端始終都會停在no phase 2的階段，IPSec handshake無法順利完成。於是心生一計，到GRE tunnel設定頁面，將A、B兩端的IPSec secret重新設定一次，沒想到一切都正常了（？？？）太神奇了，傑克！

1. 新增路由表
   在IP選項的Routes子選項的Routes頁籤，新增一筆，Dst. address可填0.0.0.0/0、Gateway填寫gre-tunnel1、Routing Mark填寫想要的名稱，例如：Route-to-SiteB
2. 新增路由規則
   在IP選項的Routes子選項的Rules頁籤，新增一筆，Src. address填寫本地端的某設備IP、Dst. address填寫0.0.0.0/0，table填寫Route-to-SiteB，action填寫lookup

即設定完成！

為了滿足前述的PBR (policy-based routing)需求，爬了不少文章，最後決定採用GRE tunnel over IPSec，在此將設定方式簡單做一下筆記：

1. 建立GRE Tunnel
   在Interfaces選項的GRE Tunnel頁籤，新增一個GRE tunnel，填寫Name、Remote Address、IPSec Secret、取消Allow Fast Path
2. 為GRE Tunnel介面（例：gre-tunnel1）設定IP位址
   在IP選項的Addresses子選項新增IP，填寫Address和Interfaces。記得兩地的address要錯開，但是必須是同一個網段，例如可以各別填寫172.16.0.1/24和172.16.0.2/24
3. 建立路由規則
   針對A地RouterOS，可設定往B地網段的閘道為GRE tunnel介面，如gre-tunnel1
4. 建立NAT規則
   可在srcnat表建立A地網段到B地網段的accept規則

註：只要兩地都填寫一樣的IPSec Secret且IPSec profile有共同的加密和雜湊演算法，RouterOS即可自動建立IPSec Tunnel，不必自己額外進行IPSec設定。

在參考 https://stoneapp.tech/cavern/post.php?pid=758 網頁設定後，成功啟用 Hairpin NAT 功能，小米攝影機也可正常觀看。

設定方法

在 IP / Firewall 功能頁，選擇 NAT 頁籤，新增以下 SNAT 規則：

• action=masquerade
• chain=srcnat
• out-interface=bridge
• src-address=區網網段 （例：192.168.1.0/24）

直到最近，因中華電信升速至300M的緣故，購入了Ubiquiti EdgeRouter-X和MikroTik RB750Gr3這兩台設備後，因為支援的網路功能較市售路由器來得豐富且靈活，便抽了個空做實驗，順便當做MikroTik RouterOS設定練習。

架構圖

下圖是目前成功建起來的Site-To-Site VPN架構，兩地網路架構如下。

左地（Ubiquiti EdgeRouter-X）

• WAN: 中華電信PPPoE（浮動制）
• LAN: 192.168.100.1/24
• DDNS: home1.myddns（示範用，非真實域名）

右地（MikroTik RB750Gr3）

• WAN: 中華電信PPPoE（浮動制）
• LAN: 172.16.100.1/24
• DDNS: home2.myddns（示範用，非真實域名）

目標

• 左地設備連到172.16.100.0/24網段時，透過IPSec Tunnel連至右地；其餘上網功能直接上Internet
• 右地設備連到192.168.100.0/24網段時，透過IPSec Tunnel連至左地；其餘上網功能直接上Internet

左地設定（Ubiquiti EdgeRouter-X）

原則上直接參考官方文件：https://help.ui.com/hc/en-us/articles/115011373628-EdgeRouter-Dynamic-Site-to-Site-IPsec-VPN-using-FQDNs 的ER-L設定。這邊非常簡單，直接照著文件操作即可，只差在網段要照自己實際網路設定來填寫，IPSec協議的Pre-shared secret、加密、DH Group則依自己喜好設定（或照著文件設定亦可）。

設定步驟

1. 開啟EdgeRouter Web UI（https://192.168.100.1）
2. 進入VPN 頁面、IPSec Site-to-Site頁籤
3. 點擊+Add Peer，勾選Show advanced options，勾選Automatically open firewall and exclude from NAT，並填入以下資料：
   • Peer: home2.myddns（填入右地FQDN或IP）
   • Description: To-MikroTik
   • Local IP: 0.0.0.0
   • Encryption: AES-128
   • Hash: SHA1
   • DH Group: 14
   • Pre-shared Secret: ilovevpn@9527（填入夠安全的密鑰）
   • Local subnet: 192.168.100.0/24（左地網段）
   • Remote subnet: 172.16.100.0/24（右地網段）
4. 點Apply套用設定

接下來可以繼續右地（MikroTik）設定。

右地設定（MikroTik BR750Gr3）

右地的設定一樣可以參照MikroTik官方文件：https://mikrotrik.com/ipsec-site-to-site-vpn-configuration/ 的Site A設定。MikroTik在功能設計上拆分的比較細，所以相對比EdgeRouter來得複雜，但一樣照著文件做即可。

設定步驟

1. 建立Profile
   • 在IP→IPSec頁面，Profile頁籤，點擊新增或修改既有的Default Profile，加密演算法至少要把左地設定值裡的勾起來，如：AES-128、modp2048（=DH Group 14），按OK
2. 建立Proposals
   • 在IP→IPSec頁面，Proposal頁籤，點擊新增或修改既有的Default Proposal，雜湊和加密演算法至少要把左地設定值裡的勾起來，如：sha1、aes-128 cbc，按OK
3. 建立Peers
   • 在IP→IPSec頁面，Peer頁籤，點擊新增，填寫以下資訊，按OK：
     • Name: To-EdgeRouter
     • Address: home1.myddns
     • Port: 500 （預設值，不更動）
4. 建立Identities
   • 在IP→IPSec頁面，Identities頁籤，點擊新增，填寫以下資訊，按OK：
     • Peer: 選擇剛剛建立的Peer（例：To-EdgeRouter）
     • Secret: 填入左地的Pre-shared secret（例：ilovevpn@9527）
5. 建立Policies
   • 在IP→IPSec頁面，Policies頁籤，點擊新增，填寫以下資訊，按OK：
     • Peer: 選擇剛剛建立的Peer（例：To-EdgeRouter）
     • Tunnel: 打勾
     • Src. Address: 172.16.100.0/24
     • Dst. Address: 192.168.100.0/24
6. 建立NAT規則
   • 在IP→Firewall頁面，NAT頁籤，新增規則，按OK：
     • Src. Address: 172.16.100.0/24
     • Dst. Address: 192.168.100.0/24
     • Action: Accept

測試

若在RouterOS的IPSec頁面，看到Peer已經是established狀態，原則上IPSec Tunnel就已經建立；EdgeRouter的Web UI看不出連線狀態，要在Terminal下指令show vpn ipsec sa觀察。

若要用ping指令測試，由於EdgeRouter會阻擋WAN端的ICMP封包，所以建議找一台同網段下的其他機器當ping的標的；RouterOS預設出廠不會阻擋WAN端ICMP封包，則可以用來當標的，例如：ping 172.16.100.1。

左→右

測試Windows RDP遠端連線，操作順暢，檔案傳輸至少有5MB/s。

右→左

測試SSH/SFTP連線，操作順暢，檔案傳輸正常。

斷線與PPPoE重撥測試（WAN IP改變）

測試正常，但需要給予一點時間進行DDNS更新以及IPSec Tunnel重建。

參考資料

• EdgeRouter Dynamic Site-to-Site IPsec VPN using FQDNs – https://help.ui.com/hc/en-us/articles/115011373628-EdgeRouter-Dynamic-Site-to-Site-IPsec-VPN-using-FQDNs
• MikroTik RouterOS IPSec Site-to-Site VPN Configuration – https://mikrotrik.com/ipsec-site-to-site-vpn-configuration/
• DH Group – https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-dh-group.html

不得不說，3C商品在淘寶和蝦皮的價差實在有點多，若不考慮保固想賭一下的話，在淘寶買可以省下不少錢。

在此先曬一下開箱照，之後RouterOS玩出心得再補上。

將需求、預算拿來綜合評估後，歸納出的方案如下：

1. 一般市售路由器
2. OpenWRT軟路由
3. MikroTik

【方案1】一般市售路由器

基本上這次可以分成二個路線，一個就是放棄我原本的Dual-WAN需求，直接選一台至少支援802.11ac + gigabit接口的路由器，基本上二千元左右的設備應該可以滿足。

另一個方案，就是選擇稍微進階一點的設備，例如TP-Link商用系列（可惜一般電商通路比較少見，在蝦皮買價格又偏貴了點），不然就是居易DrayTek的產品（但有點爆預算）。

【方案2】OpenWRT軟路由

走軟路由方案的話，就需要弄台電腦，當然考慮到體積和功耗，能有迷你主機可以用，是最好不過的。手邊能拿來用的現成設備主要有二款：一款是樹莓派4B，另一款是今年新加入的成員──MOREFINE S500+。

樹莓派的缺點就是單網口，為了測試軟路由，我還特地弄了一個USB Gigabit Ethernet網卡。安裝完OpenWRT進行測試，基本上網沒什麼大問題，比較在意的還是板子的穩定性、供電、以及半裸露的電路板（外殼非完全密封）。

再看到MOREFINE S500+，拿來當軟路由，算是大材小用了。除了效能過剩外，多重顯示接口也浪費了。雖說可以安裝PVE跑虛擬機，但如果要當NAS用，頂多只能安裝一個2.5吋SATA硬碟，總覺得不太滿足。

【方案3】MikroTik

MikroTik是一家位於拉脫維亞的網路設備製造公司，最為人所知的就是其RouterOS，功能強大且自由，讓消費者用消費級產品的價錢，買到商用級路由器的享受。看到RouterOS文件厚到可以當枕頭，為了減少折騰，本次就先說掰掰，但我心中的下一台路由器已經決定是MikroTik RB750Gr3，期待下次開箱。

【最終選擇】EdgeRouter-X

連續好幾天在網上不斷爬文，發現到一個從來沒見過的關鍵字：「EdgeRouter」！

原來鼎鼎大名的Ubiquiti旗下竟還有EdgeMax這個產品線（雖然近年好像沒有很積極的發展），但EdgeRouter不管在價格和需求面似乎都能滿足，猶豫了不到一天就下單，訂了一台EdgeRouter-X！

入手之後，發現ER-X非常袖珍，金屬外殼，5個Gigabit網口（甚至還支援POE），Dual-WAN甚至Triple-WAN需求，可以自行設定看要使用哪些網路介面（例如eth0 + eth1），整體而言，設定上給予使用者很高大彈性，常見的需求和使用情境可以在官方網站找到文件https://help.tw.ui.com/sections/360008075214/。

ER內含的韌體名叫EdgeOS，雖然有Wizard功能，但是只提供常見的簡單情境，若沒有滿足自己的需求，要嘛在Config Tree調整，要嘛就是透過CLI自行下指令設定。舉例來說：預設的PPPoE是沒有啟動IPv6支援的，若使用Wizard設定WAN連接到中華電信光世代非固定制寬頻，預設僅會得到IPv4 address，想要有IPv6 address必須另外啟用ipv6以及autoconf等設定（參考：https://www.minaduki.cn/2022/04/16/ubnt-edgerouter-x-pppoe-and-ipv6/），這是需要花點時間學習的。

後記

原本的規畫是Dual-WAN：

• WAN1撥號取得浮動IP（預設路由）
• WAN2撥號取得固定IP（特定目的網段路由）

但設定完後，發現家中的網路攝影機有點異常，懷疑起路由和NAT問題，便僅設定單一WAN而已，結果攝影機問題依舊，沒有解決（雖然其中一個問題是不小心接線接出loop，但還是沒有解決）。為了讓住所能有基本的上網功能，同時釐清攝影機問題，就以此設定運行了一週以上，使用上非常順暢。

至於攝影機問題？其實和EdgeRouter無關（對不起ER，我錯了），之後再找時間把攝影機問題和實驗心得寫下來，只不過問題似乎出在業者平台和ISP業者路由身上，可能無解 。