我为何抛弃ISP路由器，选择OPNsense后再也无法回头

html

今年早些时候，我把ISP提供的全能路由器拔掉了，换成了一个运行在 Ugreen DXP4800 Plus NAS 上的OPNsense防火墙和路由器。虽然这无疑是一次网络的彻底改造，学习曲线也很陡峭，但好处立刻显而易见。它更快（从网络管理的角度来看），更可靠，并且在我的家庭网络方面给了我更多的控制权。

至于我为什么这么做，有几个原因。我会详细讲讲我的思考过程、遇到的陷阱，以及在切换之前我无法轻松部署的网络服务。

我的ISP路由器有什么问题呢？

它非常简单

首先，让我们明确一点：ISP提供的路由器是方便的。它们确实很不错，但设计的目的只有一个：方便大规模部署。这种便利性是有代价的，而这些妥协在我扩展家庭实验室时显然已经不够用了。话虽如此，我使用了它超过三年，直到最近我才 需要 更强大的网络平台的能力。

使用ISP路由器时，最大的妥协之一是可用的配置选项有限。虽然ISP路由器因提供商和设备制造商而异，但几乎没有听说过会有 所有 高级用户工具的路由器。之前，我有一个Vodafone Gigabox，在爱尔兰，这对任何家庭网络爱好者来说简直是个噩梦。它没有WPA3，缺乏桥接模式等功能，并且被广泛认为不稳定。虽然我不介意把我的路由器当作桥接设备接入我的网状网络（并完全禁用了SSID），但我完全理解人们对它感到沮丧的原因。就连像分离SSID这样简单的事，都得打电话给Vodafone，特别请求他们帮你设置。

此外，动态 DNS、VLANs、高级防火墙规则和流量控制等更高级的功能完全缺失。DHCP 的可定制性也不高，在我使用期间，没有看到任何固件更新。我并不是说存在漏洞或安全隐患，但几年没有一次更新会让任何人感到怀疑。几个月前，我的新 ISP 给我发送了一台 FritzBox 7530，这在功能和安全更新上有了很大提升，尽管在这个阶段我已经有了我的 OPNsense 部署。

面对所有这些问题，我最终想要更细致的控制，并希望将我的网络相关服务与网络核心结合起来。比如，运行一个安全的 VPN 端点到我的家，使用 IDS/IPS 检查流量中的威胁，以及动态 DNS 用于在我的域名指向当前 IP 地址时更新。ISP 路由器已经不能满足我的需求。

为什么选择 OPNsense？

最适合我的需求

OPNsense 是一个基于 FreeBSD 的开源防火墙/路由器发行版，旨在让使用更清晰、扩展更方便。我选择它有几个原因，在试用过 pfSense 和 OPNsense 后，我最终选择了后者。

首先，它拥有现代化的用户界面和活跃的开发。它看起来很棒，频繁更新（但不会频繁到让人厌烦），而且易于导航和设置。当我安装它时，我一头扎了进去，几个小时内就完成了所有设置并正常工作。它有大量功能，允许你以你想要的方式构建网络完全，但又不会妨碍你。如果你不使用某个功能，它不会是占用你屏幕空间的“臃肿”，但使用它也不会需要很多次点击。

例如，防火墙的控制功能非常强大。你几乎可以用它做任何事情；你可以控制你的NAT、VLAN、DHCP和DNS，如果你想的话，还有很多插件可以选择。这些插件的美妙之处在于，它们是专门为OPNsense构建的，并由Deciso或社区开发者维护。如果你不想使用它们，你完全可以不使用，OPNsense的原版开箱即用版本拥有你所需的一切，虽然在某些情况下文档可能不够完善，但总体来说还是挺不错的，而且你遇到的任何问题很可能在官方论坛上都有答案。

至于我为什么没有继续使用pfSense，我只是试用了一下，想了解一下它，但围绕公司及其做法的问题让我彻底失去了兴趣。

我使用的硬件、部署和网络设计

其实很简单

我花了很长时间想弄清楚如何使用我网络中的 Ugreen DXP4800 Plus NAS。 当然，我把它当作存储用，但我知道我可以用它做更多的事情，不仅仅是存文件、运行 Docker 和折腾 UGOS。 我已经在玩 Proxmox，我知道 Proxmox 和 OPNsense 在 PPPoE 方面配合得很好，考虑到这是我拥有的少数几台具有双网卡的机器之一，将其变成一台具有 大量 存储的 OPNsense 机器是很有意义的。

这两个网卡是 2.5 GbE 的 Intel I226V 和 10 GbE 的 Aquantia AQC 113。 目前爱尔兰的 FTTH 网络基础设施只支持 2Gbps，所以我用 Intel 网卡连接我的光网络终端（ONT），而 Aquantia 网卡则连接到我的交换机。 对于 Aquantia，FreeBSD 的支持目前也很缺乏，尽管有 一个功能请求。 如果我部署原生解决方案，这就成了一个问题，因此 Proxmox 将是完美的选择。 使用 Proxmox 虚拟网络适配器，OPNsense 虚拟机可以利用网卡，而 Proxmox 处理硬件交互。

我用的网络交换机是 2.5 GbE 的 YuanLey 6 端口管理交换机。 我之前写过关于这个交换机的文章，大家对这些所谓的“无名”网络交换机在硬件 和 安全漏洞方面的质疑是可以理解的。 自从我买了它，我一直在监控，挺高兴地说，我没有看到它有任何出站请求。 在硬件方面，我没有遇到任何问题，也没有遇到连接问题、过热问题或其他任何表明该交换机可能对您的网络安全或家庭构成风险的情况。 不过，我并不是说你不应该担心，始终小心你允许接入网络的设备是很重要的。 该交换机为我的 PC、家庭服务器和无线接入点提供网络访问。

无线接入点由 TP-Link XE75 网状网络提供，我有两个独立节点。网络交换机 DXP4800 Plus 和单个网状节点的组合功耗刚好低于 50W。DXP4800 Plus 配备了 Pentium Gold 8505 CPU，我将内存从附带的 8GB DDR5 升级到 32GB。我还添加了一个 1TB NVMe 驱动器用于存储，因为它只配备了一个 128GB 的启动驱动器。

我无法从我的 ISP 路由器获得的功能

网络安全变得更加简单

如前所述，有很多功能我无法通过我的 ISP 路由器获得，但显然，一些 ISP 可能会在他们的路由器上提供其中一些功能。每个人的情况可能不一样，虽然对我来说这是一个重大的升级，但对你来说可能不是。话虽如此，我现在拥有以下功能：

• VLAN 和网络分段：我可以将网络分为 LAN（受信任）和 IoT，每个都有自己的 VLAN 和 DHCP 范围，这都是通过管理交换机实现的。我还没有配置这个，但这是我期待部署的内容。
• 防火墙规则：在 OPNsense 上，防火墙默认拒绝所有流量，你只允许所需的流量。通常会通过允许所有流量然后阻止不需要的流量来覆盖这一点，但每个人的情况不同。我有一个别名，里面列出了我的 IoT 设备的 IP 地址，我只允许它们连接到我的 Home Assistant 实例，并阻止其他所有连接。
• DNS 和 DHCP：我目前正在将我的 DNS 移动到 OPNsense，使用 Unbound，并通过 DNS-over-HTTPS 管道转发查询，以提高隐私和缓存。
  • 我还可以为 DHCP 中的某些设备设置专属的 DNS 服务器，这我为一些设备做了。
• VPN：我设置了 Tailscale，并把 OPNsense 当作出口节点，这样我就能轻松地通过 VPN 连接到家里，访问所有本地服务。WireGuard 轻量且如果 CPU 支持，可以达到接近原生的速度。我还部署了一个仅连接到 VPN 提供商的接口，我可以强制某些设备使用它。
• IDS/IPS：我使用 ZenArmor 和 CrowdSec 进行入侵检测和防御。这主动保护我的网络，我可以看到被 ZenArmor 阻止的请求。使用 CrowdSec，我偶尔会看到端口扫描攻击被阻止，以及一个 SYN 洪水（DoS）实例也被阻止。

所有这些都是非常有用的功能，我很高兴能把所有网络相关的服务都集中在一个地方。当网络出现故障时，我根本不需要这些功能，所以我不必担心 OPNsense 出现问题，导致 Tailscale 也失效，无法作为出口节点。如果 OPNsense 出现故障，那我就有更大的麻烦了，网络上无论哪个设备提供的出口节点都无法使用。

此外，我的动态 DNS 是通过 OPNsense 中的 Caddy 运行的。它有一个很好的用户界面，可以添加域名、访问控制和转发规则，因此，它也是我反向代理设置中的一个不错的提升。

用 OPNsense 替换你的 ISP 路由器值得吗？

对我来说，毫无疑问

并不是每个人都需要 OPNsense 或其众多功能，但如果你想要控制、隐私和超出基本 NAT 和 Wi-Fi 的能力，值得考虑。我不会假装这对很多人来说不是多余的，如果你只想用手机、笔记本电脑和游戏机上网，那可能不值得去折腾。需要学习的东西很多，人们常常低估了从哪里开始是多么困难。对你的 ISP 路由器感到满意也没什么不好，零维护确实是一种宝贵的便利。

我无法再回到 ISP 路由器。我会怀念 OPNsense 带给我的控制、安全和隐私。这是我做过的最好的家庭网络升级之一，这让我更深入地探索自托管软件和网络调整的世界。