acm's blog

今天心血來潮，檢查了MikroTik RouterOS v6是否有新版本，發現4月釋出了v6.49.15版，都過了這麼久，也許算是穩定版了，便著手進行系統升版（設備版本為v6.49.11）。

A地更新完後，也許是DDNS更新還需要點時間，IPSec連線無法馬上建立，手動在/ip cloud進行DDNS的強制更新後 (force update)，便成功建立IPSec連線與GRE tunnel。

確定上網正常後，便開始進行B地更新（遠端），詎料等待了10分鐘，IPSec連線仍無法建立。使用nslookup檢查了B地的DDNS域名設定，發現也早已更新完成，便使用米家app確認B地米家攝影機是否正常，發現可以正常觀看，表示B地Internet連線沒有問題，只好透過Cloudflare Tunnel連上B地伺服器，再跳到MikroTik設備裡看看有什麼端倪。

確定IPSec設定無誤，手動kill connection也沒效，重新連線，A、B兩端始終都會停在no phase 2的階段，IPSec handshake無法順利完成。於是心生一計，到GRE tunnel設定頁面，將A、B兩端的IPSec secret重新設定一次，沒想到一切都正常了（？？？）太神奇了，傑克！

原本在二個住處間建立了IPSec tunnel，使兩地之間的設備可以互相通訊，例如讓B地的小米攝影機能將影像檔上拋至A地的SAMBA伺服器。前一陣子，又有了策略路由需求，例如讓A地某設備經由B地再路由到Internet，但剛好一地是EdgeRouter-X，一地是MikroTik RB750Gr3，被設定搞得很頭疼。恰好雙十一時又淘了一台RB750Gr3回來，本來是要當備用機的，趁著元旦連假有空，便把EdgeRouter-X換成RB750Gr3。如此一來，兩地都是MikroTik設備，RouterOS的設定變得輕鬆許多。

為了滿足前述的PBR (policy-based routing)需求，爬了不少文章，最後決定採用GRE tunnel over IPSec，在此將設定方式簡單做一下筆記：

1. 建立GRE Tunnel
   在Interfaces選項的GRE Tunnel頁籤，新增一個GRE tunnel，填寫Name、Remote Address、IPSec Secret、取消Allow Fast Path
2. 為GRE Tunnel介面（例：gre-tunnel1）設定IP位址
   在IP選項的Addresses子選項新增IP，填寫Address和Interfaces。記得兩地的address要錯開，但是必須是同一個網段，例如可以各別填寫172.16.0.1/24和172.16.0.2/24
3. 建立路由規則
   針對A地RouterOS，可設定往B地網段的閘道為GRE tunnel介面，如gre-tunnel1
4. 建立NAT規則
   可在srcnat表建立A地網段到B地網段的accept規則

註：只要兩地都填寫一樣的IPSec Secret且IPSec profile有共同的加密和雜湊演算法，RouterOS即可自動建立IPSec Tunnel，不必自己額外進行IPSec設定。