[MikroTik]IPsec VPN(host to site)搭配DrayTek Smart VPN Client-RouterOS實作

RB750gr3 使用MediaTek MT7621 CPU，這顆晶片最大的優勢就是IPsec硬體加速可達470Mbps，但僅限用於128/192/256-bit AES-CBC; sha1/sha256，一般來說大多PPTP/SSTP/OpenVPN......等的速度都是靠CPU下去算出來，所以很慢。然而大多數的IPsec使用者都是使用site to site(兩台VPN router互連)，今天要實作host to site特殊範例，讓電腦的使用者連線至VPN router LAN端，通常只有需要又安全又大頻寬需求的VPN使用者才適合host to site特殊範例

網路架構圖
*VPN 路由器: 
MikroTik hEX(RB750gr3) V6.38.5
WAN: 中華電信 PPPoE 固定IP
LAN: 192.168.88.1/24
VPN 隧道: IPsec host to site VPN(Main mode)

*PC: 
IP: 192.168.2.100/24 Gateway:192.168.2.1
VPN IP: 192.168.88.103/24

========================================================================
首先先設定MikroTik

1. 設定好PPPoE的WAN、和LAN為192.168.88.0/24

2. 到IP/IPsec設定IPsec服務，此處的Secret就是我們說的pre-sharded key，Smart VPN Client只支援Main mode，務必啟用Generate Policy

3. 到IP/Firewall建立一條規則設定允許500,4500 IPsec UDP服務

4. 到IP/Firewall設定建立一條規則允許IPsec使用者帶著自己定義的192.168.88.103 IP進入

5. 到IP/Firewall設定建立一條規則允許IPsec使用者與192.168.88.0/24 LAN裡面的人互相存取，這次的chain是使用forward

========================================================================

接下來設定client

1. 安裝DrayTek Smart VPN Client, 請自行於此下載 http://www.draytek.com/zh/download/utility/ ，DrayTek是專門做穩定VPN路由器廠商，她的專長就是穩定的VPN，話說台X彩卷也是用他們家的，如果覺得RouterOS很麻煩，麻煩選購DrayTek路由器歐，簡單快速好方便

2. 安裝完後我們建立一個VPN profile，輸入你的VPN router的固定IP位置，以及IPsec模式

3. 設定VPN端的LAN IP，因為IPsec不會像PPTP這種發IP。安全防護必須選AES才能使用MTK的IPsec硬體加速服務，預先共用金鑰就是我們常說的pre-shared key要和VPN router一樣，最重要的一定要用ping去打VPN router的LAN IP，這樣才會讓IPsec去交涉