英国电信收我60英镑/月，OPNsense 1个功能让我当场退网

英国电信（BT）的千兆宽带报价是每月60英镑以上，而我用了十年的网络突然在账单面前显得愚蠢。这不是价格敏感，是功能饥饿——当你发现家用路由器能把访客网络和智能家居彻底隔离，而你的"智能枢纽2代"连VLAN配置入口都没给，那种被当成傻子的感觉比涨价更刺人。

作者James built his own router. 不是买，是从零组装。Zen宽带+二手迷你主机+OPNsense开源系统，这套组合拳打出去之后，他发现了运营商白标设备藏了十年的秘密：它们不是不能做，是不让你做。

从"够用就行"到"为什么不行"

BT的Smart Hub 2在作者家里跑了多年，覆盖稳定、没掉过线，属于"沉默的好员工"。但好员工有个致命缺陷——它只按说明书干活。作者开始自建NAS、跑Home Assistant、搭家庭服务器集群，这时候才发现：运营商路由器的管理界面像儿童餐，彩色图标背后是把成人锁在门外的设计逻辑。

「这些设备是为几乎所有人设计的，」作者写道，「管理员UI面向技术小白，但 eliminates the possibility for those with some knowledge to improve their LAN。」

这句话的潜台词很刺耳：你知道网络可以更好，但厂商决定你不配。

OPNsense的转折点来得具体而微小。不是某个宏大叙事，是一个叫Captive Portal（强制门户）的功能——就是机场、酒店让你先登录再上网的那套东西。作者想给访客网络加层认证，顺便把智能家居设备流放到隔离区，防止摄像头和音箱在后台搞小动作。

BT路由器：查无此功能。OPNsense：勾选即启用，还能自定义登录页、限时配额、带宽限速。

Captive Portal：被低估的网络门卫

这个功能在商用场景很常见，家用领域却像被遗忘的抽屉。作者的配置需求很实际：客人来家里，连上Wi-Fi后弹出一个简单页面，输入预设密码才能访问互联网；同时确保这些访客设备看不到家里的NAS、打印机、监控摄像头。

OPNsense的实现路径是Zone（区域）+ VLAN（虚拟局域网）的组合拳。先划一块物理隔离的网络领地，再把Captive Portal架在入口处当检票员。作者用了30分钟走完配置：创建Guest VLAN → 绑定到独立无线接入点 → 启用Captive Portal并指向认证页面 → 设置防火墙规则阻断Guest到LAN的访问。

结果？访客设备拿到的是"互联网通行证"，不是"家庭网络钥匙"。更妙的是，作者给智能家居设备（那些没法输密码的冰箱、灯泡、扫地机器人）单独开了IoT VLAN，同样走Captive Portal但用MAC地址白名单自动放行——人不用动，设备自己领票进场。

「我意识到我的旧路由器多年来一直缺少这个，」作者的语气带着后知后觉的恼火，「不是技术限制，是商业选择。」

运营商设备的逻辑是：功能越少，支持成本越低。一个不会配置VLAN的用户不会打电话投诉VLAN不存在，但一个误操作切断自家网络的用户会。所以干脆把门焊死，皆大欢喜——除了那5%想自己动手的用户。

自组路由器的隐藏成本

作者没有美化DIY之路。OPNsense的学习曲线真实存在：pfSense的遗产代码、BSD系统的脾气、插件生态的碎片化。他提到自己有过pfSense经验，这降低了迁移门槛——对纯新手，第一晚可能就会卡在WAN口拨号设置上。

硬件选择也是门功课。作者用了二手迷你主机，CPU是低功耗赛扬，双网口做WAN/LAN分离。这套配置跑千兆宽带足够，但想加IDS/IPS（入侵检测/防御）深度包检测，CPU占用会瞬间起飞。他坦诚：「如果你要全开安全功能，得算好性能账。」

运营商白标设备的隐性价值在此显现——它们确实"够用"，而且省电、静音、售后有人接电话。作者每月省下的20英镑宽带费（Zen比BT便宜），要摊到硬件折旧和学习时间成本上，第一年未必回本。

但Captive Portal带来的控制权，让他觉得这笔账不该这么算。「知道我的IoT设备不能偷偷回传数据到某朵云，这个 peace of mind 有标价吗？」

当网络主权成为消费品

作者的故事有个微妙的时代背景：英国Ofcom近年允许运营商在合同期内涨价，BT、Virgin Media、Sky集体行使这项"权利"。用户愤怒的不是涨价本身，是「我签了两年约，你中途改规则」的无力感。这种无力感从账单蔓延到设备——既然运营商能在价格上背刺，凭什么相信他们在网络安全上更仁慈？

OPNsense代表的软路由生态，本质是把网络主权从运营商手里赎回。Captive Portal只是入口，往里走还有Suricata流量分析、WireGuard远程接入、HAProxy反向代理——这些名字对普通用户是噪音，对作者这样的人是工具箱。

一个值得注意的细节：作者没有彻底否定BT的基础设施。他反复称赞OpenReach网络的稳定性，「十年没掉线，在家办公的救星」。他的叛逃针对的是服务捆绑模式——把优质管道和残缺终端打包销售，拒绝解耦。

这像买了一条高速公路，但只能开指定品牌的车，且引擎盖焊死。

Zen作为替代运营商，允许用户只买"裸宽带"（bare broadband），光猫之后自由发挥。这种模式在英国仍是小众，但增长明显：Ofcom 2024年报告显示，选择"仅宽带"套餐的用户比例从2019年的7%升至17%。不是所有人都想自建路由器，但越来越多人想要选择权。

Captive Portal的启示在于：网络功能的颗粒度可以极细。作者给访客网络设了2小时自动断连，防止密码被长期滥用；给孩子的设备绑了时段规则，晚10点后强制下线。这些需求不极端，但运营商界面里不存在——它们被归类为"企业级功能"，默认你不配。

软路由社区的反击是开源的、零边际成本的。一个德国团队维护的OPNsense，功能迭代速度远超硬件厂商的年度换壳。作者安装的Captive Portal插件，上周刚更新了对RADIUS外部认证的支持——这意味着他可以对接公司AD域，让家里Wi-Fi用同一套账号体系。

这种灵活性的代价是责任自负。配置错误导致断网时，没有客服热线可打，只有Reddit论坛和Discord频道里的陌生人。作者的经历是幸运的：迁移当晚一切正常，Zen的光猫桥接模式一次点亮。但搜索"OPNsense PPPoE失败"的帖子，能看到大量深夜崩溃的同行。

风险与控制的权衡，最终指向一个产品哲学问题：用户到底该被保护到什么程度？BT的选择是"过度保护"——功能阉割换取零投诉。OPNsense的选择是"知情放权"——给你所有工具，后果自己扛。没有 universally correct 的答案，但作者用账单投票了。

他的新网络架构里，Captive Portal只是冰山一角。更深层的变化是可视性：现在他能看见每个设备的实时流量，发现某台扫地机器人凌晨三点向境外IP发送数据包。旧路由器里，这些连接淹没在聚合统计中，不可见即不存在。

这种可见性带来了新的焦虑，也带来新的行动。作者给那台机器人单独建了阻断规则，「它还能扫地，只是不能打电话回家」。这种微调的自由，是白标设备永远无法提供的——不是技术限制，是商业模式不允许。

英国宽带市场的价格竞争正在白热化。Community Fibre、Hyperoptic等全光纤运营商把千兆套餐压到30英镑以下，迫使传统巨头降价自保。但作者认为价格战掩盖了更关键的分化：有些运营商在卖"连接"，有些在卖"笼子"。

他的Zen套餐比BT便宜，但核心价值不是省钱，是解锁。光猫之后的网络拓扑完全自主，从防火墙规则到DNS劫持，从VPN分流到广告过滤。Captive Portal只是他解锁后的第一个玩具，而玩具箱刚刚打开。

文章结尾，作者没有给出购买建议或配置教程。他只是记录了一个发现：原来家用网络可以有这样的颗粒度控制，原来运营商一直在假装这是不可能的。这种"原来可以"的瞬间，对技术从业者来说，比任何参数对比都更具腐蚀性。

下一个被腐蚀的会是谁？当软路由硬件成本跌破100英镑，当OPNsense的安装教程在TikTok上获得百万播放，当"网络主权"从极客黑话变成消费者维权话术——英国电信们或许该重新算算账：焊死引擎盖省下的支持成本，能不能抵过用户集体解锁的流失率？

而此刻，作者家里的访客正在输入Captive Portal密码，页面背景是他孩子画的涂鸦。这个细节没有功能价值，但他说：「这是我的网络，所以我的规则可以包括一些没意义的浪漫。」运营商的路由器，永远不会让你改登录页的背景图。