2019年底开始翻墙变得越来越难，基础宽带是联通，穿墙线路一直使用的阿里云香港线路在晚上高峰期qos限速，延迟增加，本来200m带宽严重的时候甚至掉到各位数。

这时候不得不考虑一直续费而没用的备用机场了，由于没有出口的控制权，机场理论上来说可以看到所有非加密流量内容，个人对此比较在意，但是又觊觎机场的iplc线路（阿里云cen线路），不受墙影响，不受时间段qos，曾经询问过价格，被每月几万劝退了。

那么退而求其次，利用机场的shadowsocks作外层隧道，使用openvpn或其他tcp的vpn连接gcp的vps，保证本地到出口vps的链路是加密，就既能利用iplc线路又保证安全，唯一问题是tcp over tcp受网络波动影响很大，具体请谷歌之。

下面是使用环境，本地routeros v6，本地openwrt with ShadowSocksR Plus+ ,某阿里云中转机场，gcp香港routeros v6

1，在gcp香港routeros开启openvpn服务器，并打开gcp防火墙相关端口，参考Routeros配置openvpn服务器和客户端
2，配置好openwrt上机场信息，保证能通过机场翻墙
3，本地routeros配置gcp香港服务器ip路由通过openwrt，参考Routeros配置使用openwrt作旁路由
4，配置本地routeros的openvpn客户端，参考Routeros配置openvpn服务器和客户端
5，配置gcp香港routeros通过openvpn回程路由，如果本地routeros使用masquerade等nat时不需要配置，关于masquerade相关参考routeros的默认nat尽量不要用masquerade
6，配置本地routeros的ip分流，参考routeros配置vpn分流大陆ip

前段时间分享了联想thinkcentre M920x与Intel X710-T4组建万兆迷你服务器，用的网卡是4个万兆电口的X710-T4，由于最近打算更换核心交换机，换成mikrotik的全光口40gbps交换机CRS326-24S+2Q+RM，所以M920x更换了4光口的万兆网卡X710-DA4。
由于联想官方没有支持四光口的网卡自然也不会有对应的挡板，所以对原配的vga挡板做了魔改。

先上成品图，总体还是比较满意，切割挡板的适合稍微有点歪，但是不影响使用。

内部如图

原挡板

魔改挡板

已经测试一周，目前还是比较稳定，X710-DA4由于没有了phy芯片热量少了很多。

软件系统：
底层系统：esxi
软路由系统：routeros v7，v7系统现在还在beta阶段，详见RouterOS V7 测试（持续更新至正式版发布）
应用操作系统：ubuntu

网络拓扑图待更新

ps：联想tiny系列迷你主机各个型号对比
M720Q主板B360
M920Q主板Q370，单m.2 SSD，支持雷电扩展卡
M920X主板Q370，双m.2 SSD，支持雷电扩展卡，支持标准电压CPU(不带T的65w tdp)，支持AMD RX560独立显卡
P330主板Q370，双m.2 SSD，支持雷电扩展卡，支持标准电压CPU(不带T的65w tdp，支持vPro CPU)，支持NVIDIA P620/P1000独立显卡

一般vps都可以通过dd来安装routeros软路由系统，可以参考青云主机安装routeros，附一键安装routeros脚本
gcp由于特殊的架构设计直接dd routeros的img文件不能正常启动
以下为通过gcp 的storage创建镜像方式安装routeros系统

1，macos系统安装必要工具

brew install wget
brew install truncate
brew install gnu-tar

2，下载routeros chr镜像Raw disk image

wget https://download.mikrotik.com/routeros/6.46.3/chr-6.46.3.img.zip

3，解压镜像文件

unzip chr-6.46.3.img.zip

4，按照gcp创建镜像规则制作镜像文件

4.1，扩展镜像空间，镜像占用大小需要是1G整倍数

truncate -s 1G chr-6.46.3.img

4.2，重命名镜像文件，镜像文件需要以disk.raw命名

mv chr-6.46.3.img disk.raw

4.3，打包镜像，打包文件名需要以.tar.gz结尾

gtar -Sczf chr-6.46.3.tar.gz disk.raw

我已经打包好的镜像，zip解压出gz包后再使用
5，上传到gcp到storage
6，在gcp到compute engine到映像下创建映像
来源选择Cloud Storage 文件中刚上传到chr-6.46.3.tar.gz文件
7，创建instance的时候使用自建映像或者已创建的instance删除原启动磁盘后新建以自建映像创建新磁盘

硬件：
m920x准系统
正显9900t
ddr4 32g*2
970evo 2t*2
x710-t4

单烤fpu，3.9ghz，风扇全速，噪音直升机，5秒真男人后，稳定2.5ghz，cpu功率 35w，风扇半速，温度73，噪音可以接受。

x710-t4刚刚好能放进去，但是需要稍微动手改造，以原装散热片为例（某宝有的卡是改装的长方形散热片），首先拿下x710-t4散热片后，切掉右上角突出的部分，然后pcb右上角的螺丝孔剪掉1/4，最后m920x的wifi天线架，需要把部分铁皮掰平，防止挤压网卡上的电容。

网卡挡板是i350的，需要稍微紧一下，不然一个螺丝固定的会松 主板bios 不支持sr-iov

ps：最好用塑料纸包住网卡背面并弯折到正面右侧散热片，防止支架、屏蔽泡棉等短路。我就是因为屏蔽泡棉短路了网卡右侧电容导致不能开机，排查了很久才找到原因。

改装位置参考图中红圈位置

软件：
计划esxi
routeros v7
opnsense
win
ubuntu
等

intel vpro 即AMT配置
开机logo时按enter
然后按ctrl+p进入amt配置页面
默认密码是admin，修改密码
打开所有配置，设置好IP地址
下载intel amt管理软件，我这里macos 使用的是meshcommander
打开软件后，填入amt的IP地址，用户名admin，密码刚才改的

amt的web管理页面地址http://[IP]:16992

amt对比ipmi目前发现在重启的时候kvm会断开，不知道是软件的问题还是amt就是这么设计的

20211201停止测试版本信息更新。
20211128更新：v7.1rc7，测试从chr版v7.1beta6升级，未发现问题
20210909更新：v7.1rc3新增支持docker和zerotier
20210319更新：V7.1beta5添加了6.48.1的一些功能。注意从CHR的v7.1beta4升级后不能启动，从6.48升级没有问题；beta5的pppoe接口的流量统计为零。
20210206更新：V7.1beta4修复了webfig和winbox不能配置/ip/route/路由等bug，添加了restapi支持
20201204更新：V7.1beta3发布了，此版本恢复了V6的一些路由表功能，修复了一些bug，有策略路由的可以从V6直接升级到此版本了，不再需要手动添加路由表。CHR版由v6升级到V7.1beta2的谨慎升级，renew license有问题，只能格盘重装。
20200825更新：V7.1beta2增加了wireguard，配置方法参考Routeros 配置WireGuard
20200223更新：beta5版已支持uefi，可以使用更多硬件了，比如up square的x86开发板（只支持uefi启动）
20191222更新：经测试beta4版已支持intel x710-t4，i210网卡，期待正式版
20191029更新：官网正式发布beta3版，下载地址，已发布所有硬件架构版本，增加对openvpn的udp支持
20191022更新：经测试beta2版还是不支持intel x710-t4网卡
20191008更新：经测试chr版的vmdk虚拟硬盘文件使用starwind转换成img，使用win32 disk imager写入硬盘可以引导，但是启动后有检测机制，检测到不是虚拟机后会关机。

routeros v7 beta版下载地址
基于内核4.14.131，支持更多网卡芯片，例如i210