VPN GRE over IPsec

Если на обоих сторонах есть статический белый IP адрес, то можно, скорее даже нужно использовать GRE.

Использовать или не использовать IPsec зависит от мощности устройства и типа передаваемой информации.

Если устройство не поддерживает аппаратный IPsec, то процессор почти всегда будет загружен на 100%. Если информация передается не важная, например видеотрафик с камер или зашифрованные соединения, например SSH, то шифровать не имеет смысла.

Для домашнего использования и небольших офисов рекомендую hAP AC2.
Для крупных офисов RB4011 и выше.

Легенда

Имеется 2 офиса с MikroTik, сети которых нужно соединить.

Офис 1 имеет белый IP 1.1.1.2 через PPPoE, адресация офиса 192.168.44.0/24
Офис 2 имеет белый IP 2.2.2.2 через IPoE, адресация офиса 172.16.0.0/24

Настройка GRE

Interfaces -> GRE Tunnel
На 1 стороне создаем подключение, где указываем:
Local Address: IP адрес с которого подымаем соединение
Remote Address: IP адрес до которого подымаем соединение
IPsec Secret: пароль для шифрования GRE
Keepalite: проверка жизни канала. 3 раза через 3 секунды
Так же нужно подобрать значение MTU. Для разных соединений оно отличается, с двух сторон должно быть одинаковым
/interface gre
add allow-fast-path=no ipsec-secret=12345678 keepalive=3s,3 local-address=1.1.1.2 mtu=1380 name=GRE_WAN1 remote-address=2.2.2.2
Аналогично настройке выше.
/interface gre
add allow-fast-path=no ipsec-secret=12345678 keepalive=3s,3 local-address=2.2.2.2 mtu=1380 name=GRE_WAN1 remote-address=1.1.1.2

В данном примере 1 провайдер PPPoE, 2 провайдер IPoE, MTU я выставил 1380

IP -> IPsec можно увидеть как динамически создаются правила для шифрования GRE
На основе этих правил можно сделать IPsec на сертификатах

IP адресация на GRE

Нужно повесить IP адреса на созданные GRE интерфейсы
Использовать нужно /32 маску, так как участвуют только 2 стороны.

На 1 стороне
172.29.255.2/32
172.29.255.1/32
/ip address
add address=172.29.255.2 interface=GRE_WAN1 network=172.29.255.1
На 2 стороне
172.29.255.1/32
172.29.255.2/32
/ip address
add address=172.29.255.1 interface=GRE_WAN1 network=172.29.255.2

Проверим как проходит ICMP

ping 172.29.255.1
ping 172.29.255.2

Если ping не проходит, нужно разрешить ICMP в firewall и проверить еще раз.

Далее настраивается маршрутизация