原來這是hEX號由器（目前型號為RB750Gr3）的升級版，主要的改變應該是CPU換了一顆基於ARM64架構的雙核心EN7562CT，記憶體也從原本的256M提升至512M，官方號稱效能提升超過一倍！（各項數據表現在100%-134%之間）至於其他規格，如儲存空間、PoE、SDCard卡槽則沒有改變，預載的作業系統則是使用RouterOS v7（我先入手的 2 台 RB750Gr3 出廠都是預載 v6）。

以下是官方介紹影片：

A地更新完後，也許是DDNS更新還需要點時間，IPSec連線無法馬上建立，手動在/ip cloud進行DDNS的強制更新後 (force update)，便成功建立IPSec連線與GRE tunnel。

確定上網正常後，便開始進行B地更新（遠端），詎料等待了10分鐘，IPSec連線仍無法建立。使用nslookup檢查了B地的DDNS域名設定，發現也早已更新完成，便使用米家app確認B地米家攝影機是否正常，發現可以正常觀看，表示B地Internet連線沒有問題，只好透過Cloudflare Tunnel連上B地伺服器，再跳到MikroTik設備裡看看有什麼端倪。

確定IPSec設定無誤，手動kill connection也沒效，重新連線，A、B兩端始終都會停在no phase 2的階段，IPSec handshake無法順利完成。於是心生一計，到GRE tunnel設定頁面，將A、B兩端的IPSec secret重新設定一次，沒想到一切都正常了（？？？）太神奇了，傑克！

1. 新增路由表
   在IP選項的Routes子選項的Routes頁籤，新增一筆，Dst. address可填0.0.0.0/0、Gateway填寫gre-tunnel1、Routing Mark填寫想要的名稱，例如：Route-to-SiteB
2. 新增路由規則
   在IP選項的Routes子選項的Rules頁籤，新增一筆，Src. address填寫本地端的某設備IP、Dst. address填寫0.0.0.0/0，table填寫Route-to-SiteB，action填寫lookup

即設定完成！

為了滿足前述的PBR (policy-based routing)需求，爬了不少文章，最後決定採用GRE tunnel over IPSec，在此將設定方式簡單做一下筆記：

1. 建立GRE Tunnel
   在Interfaces選項的GRE Tunnel頁籤，新增一個GRE tunnel，填寫Name、Remote Address、IPSec Secret、取消Allow Fast Path
2. 為GRE Tunnel介面（例：gre-tunnel1）設定IP位址
   在IP選項的Addresses子選項新增IP，填寫Address和Interfaces。記得兩地的address要錯開，但是必須是同一個網段，例如可以各別填寫172.16.0.1/24和172.16.0.2/24
3. 建立路由規則
   針對A地RouterOS，可設定往B地網段的閘道為GRE tunnel介面，如gre-tunnel1
4. 建立NAT規則
   可在srcnat表建立A地網段到B地網段的accept規則

註：只要兩地都填寫一樣的IPSec Secret且IPSec profile有共同的加密和雜湊演算法，RouterOS即可自動建立IPSec Tunnel，不必自己額外進行IPSec設定。

在參考 https://stoneapp.tech/cavern/post.php?pid=758 網頁設定後，成功啟用 Hairpin NAT 功能，小米攝影機也可正常觀看。

設定方法

在 IP / Firewall 功能頁，選擇 NAT 頁籤，新增以下 SNAT 規則：

• action=masquerade
• chain=srcnat
• out-interface=bridge
• src-address=區網網段 （例：192.168.1.0/24）

直到最近，因中華電信升速至300M的緣故，購入了Ubiquiti EdgeRouter-X和MikroTik RB750Gr3這兩台設備後，因為支援的網路功能較市售路由器來得豐富且靈活，便抽了個空做實驗，順便當做MikroTik RouterOS設定練習。

架構圖

下圖是目前成功建起來的Site-To-Site VPN架構，兩地網路架構如下。

左地（Ubiquiti EdgeRouter-X）

• WAN: 中華電信PPPoE（浮動制）
• LAN: 192.168.100.1/24
• DDNS: home1.myddns（示範用，非真實域名）

右地（MikroTik RB750Gr3）

• WAN: 中華電信PPPoE（浮動制）
• LAN: 172.16.100.1/24
• DDNS: home2.myddns（示範用，非真實域名）

目標

• 左地設備連到172.16.100.0/24網段時，透過IPSec Tunnel連至右地；其餘上網功能直接上Internet
• 右地設備連到192.168.100.0/24網段時，透過IPSec Tunnel連至左地；其餘上網功能直接上Internet

左地設定（Ubiquiti EdgeRouter-X）

原則上直接參考官方文件：https://help.ui.com/hc/en-us/articles/115011373628-EdgeRouter-Dynamic-Site-to-Site-IPsec-VPN-using-FQDNs 的ER-L設定。這邊非常簡單，直接照著文件操作即可，只差在網段要照自己實際網路設定來填寫，IPSec協議的Pre-shared secret、加密、DH Group則依自己喜好設定（或照著文件設定亦可）。

設定步驟

1. 開啟EdgeRouter Web UI（https://192.168.100.1）
2. 進入VPN 頁面、IPSec Site-to-Site頁籤
3. 點擊+Add Peer，勾選Show advanced options，勾選Automatically open firewall and exclude from NAT，並填入以下資料：
   • Peer: home2.myddns（填入右地FQDN或IP）
   • Description: To-MikroTik
   • Local IP: 0.0.0.0
   • Encryption: AES-128
   • Hash: SHA1
   • DH Group: 14
   • Pre-shared Secret: ilovevpn@9527（填入夠安全的密鑰）
   • Local subnet: 192.168.100.0/24（左地網段）
   • Remote subnet: 172.16.100.0/24（右地網段）
4. 點Apply套用設定

接下來可以繼續右地（MikroTik）設定。

右地設定（MikroTik BR750Gr3）

右地的設定一樣可以參照MikroTik官方文件：https://mikrotrik.com/ipsec-site-to-site-vpn-configuration/ 的Site A設定。MikroTik在功能設計上拆分的比較細，所以相對比EdgeRouter來得複雜，但一樣照著文件做即可。

設定步驟

1. 建立Profile
   • 在IP→IPSec頁面，Profile頁籤，點擊新增或修改既有的Default Profile，加密演算法至少要把左地設定值裡的勾起來，如：AES-128、modp2048（=DH Group 14），按OK
2. 建立Proposals
   • 在IP→IPSec頁面，Proposal頁籤，點擊新增或修改既有的Default Proposal，雜湊和加密演算法至少要把左地設定值裡的勾起來，如：sha1、aes-128 cbc，按OK
3. 建立Peers
   • 在IP→IPSec頁面，Peer頁籤，點擊新增，填寫以下資訊，按OK：
     • Name: To-EdgeRouter
     • Address: home1.myddns
     • Port: 500 （預設值，不更動）
4. 建立Identities
   • 在IP→IPSec頁面，Identities頁籤，點擊新增，填寫以下資訊，按OK：
     • Peer: 選擇剛剛建立的Peer（例：To-EdgeRouter）
     • Secret: 填入左地的Pre-shared secret（例：ilovevpn@9527）
5. 建立Policies
   • 在IP→IPSec頁面，Policies頁籤，點擊新增，填寫以下資訊，按OK：
     • Peer: 選擇剛剛建立的Peer（例：To-EdgeRouter）
     • Tunnel: 打勾
     • Src. Address: 172.16.100.0/24
     • Dst. Address: 192.168.100.0/24
6. 建立NAT規則
   • 在IP→Firewall頁面，NAT頁籤，新增規則，按OK：
     • Src. Address: 172.16.100.0/24
     • Dst. Address: 192.168.100.0/24
     • Action: Accept

測試

若在RouterOS的IPSec頁面，看到Peer已經是established狀態，原則上IPSec Tunnel就已經建立；EdgeRouter的Web UI看不出連線狀態，要在Terminal下指令show vpn ipsec sa觀察。

若要用ping指令測試，由於EdgeRouter會阻擋WAN端的ICMP封包，所以建議找一台同網段下的其他機器當ping的標的；RouterOS預設出廠不會阻擋WAN端ICMP封包，則可以用來當標的，例如：ping 172.16.100.1。

左→右

測試Windows RDP遠端連線，操作順暢，檔案傳輸至少有5MB/s。

右→左

測試SSH/SFTP連線，操作順暢，檔案傳輸正常。

斷線與PPPoE重撥測試（WAN IP改變）

測試正常，但需要給予一點時間進行DDNS更新以及IPSec Tunnel重建。

參考資料

• EdgeRouter Dynamic Site-to-Site IPsec VPN using FQDNs – https://help.ui.com/hc/en-us/articles/115011373628-EdgeRouter-Dynamic-Site-to-Site-IPsec-VPN-using-FQDNs
• MikroTik RouterOS IPSec Site-to-Site VPN Configuration – https://mikrotrik.com/ipsec-site-to-site-vpn-configuration/
• DH Group – https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-dh-group.html