Chiphell - 分享与交流用户体验

标题: OPNsense 的安装与设置分享 [打印本页]
作者: aitkots    时间: 2023-4-18 10:36
标题: OPNsense 的安装与设置分享
最近在尝试使用 OPNsense ,分享在了 Gitee 上: OPNsense_Toss_Notes

包含以下内容:

1、OPNsense安装
2、首次系统更新
3、系统初始化
4、分配网络接口
5、设置DHCPv4
6、设置DHCPv6
7、设置路由器通告
8、设置Unbound
9、设置防火墙
10、设置系统参数

如果不开 Suricata,当做一个纯粹的路由器来使用也是不错的。

很高兴能与喜欢折腾 OPNsense 的小伙伴进行讨论,如果文章中有错误的内容,欢迎大佬指点一二

PS:OPNsense 的 IPv6 动态主机功能,雀食好用。
作者: ksong    时间: 2023-4-18 13:57
同用opnsense,帮顶下
作者: voandrew    时间: 2023-4-18 14:35
通用opnsense中,opnsense本身插件也不错。
作者: liansishen    时间: 2023-4-18 14:40
有机会折腾一下
作者: qhdxy    时间: 2023-4-18 14:45
狐狸Nomad 本人么?这个我就纯支持了

你的  RouterOS 折腾手记 对我帮助很大,在此感谢一下
作者: aitkots    时间: 2023-4-18 15:57
qhdxy 发表于 2023-4-18 14:45
狐狸Nomad 本人么?这个我就纯支持了

你的  RouterOS 折腾手记 对我帮助很大,在此感谢一下 ...

  哈哈 被你发现了
作者: nn1122    时间: 2023-4-18 16:03
我用opnsense实现了nat6,目的是配合DDNS v6,不知楼主有兴趣研究否
作者: AxIaTErN    时间: 2023-4-18 16:08
本帖最后由 AxIaTErN 于 2023-4-18 16:11 编辑

unbound还是老了点,现在都用HTTP/3了,因为是UDP所以速度很快
adguard home就能支持,还有自定义edns IP
我用的google ipv6 HTTP/3 DNS,edns ip设置对解析结果和运营商dns差不多
(, 下载次数: 176)
作者: Cyan.Wayne    时间: 2023-4-18 16:11
雾草真的是狐狸大佬~ 我收藏了你的ROS教程,是带我入门的好东西~ 就是最近忽然页面404了,不晓得啥情况。
作者: lzhdim    时间: 2023-4-18 16:54
看这篇咯:

https://www.cnblogs.com/lzhdim/p/17073738.html
作者: kkfnaidon    时间: 2023-4-18 16:55
6666,最近正在看opnsense,当主路由用
作者: wswcx    时间: 2023-4-18 17:34
不知道对多线支持和分流效果怎么样,好的话想用来替代爱快了~
作者: voandrew    时间: 2023-4-19 08:53
wswcx 发表于 2023-4-18 17:34
不知道对多线支持和分流效果怎么样,好的话想用来替代爱快了~

支持多线负载均衡,可以自己设置负载配比,我记得。
作者: voandrew    时间: 2023-4-19 08:59
老铁,OPNsense的IPTV你搞了么?上海电信AB面验证,总是通不过,囧。。。
作者: wswcx    时间: 2023-4-19 09:03
voandrew 发表于 2023-4-19 08:53
支持多线负载均衡,可以自己设置负载配比,我记得。

多谢大佬指点~
作者: wuhao0015    时间: 2023-4-19 09:10
opnsense用过一段时间,感觉挺好的,更新比pfSense好点。但是这玩意对路由支持不是特别专业,转用vyos了。。。
作者: summerq    时间: 2023-4-19 09:25
voandrew 发表于 2023-4-19 08:53
支持多线负载均衡,可以自己设置负载配比,我记得。

你说的没错。关于负载均衡:可以设置一个wan group,里面可以选每个wan口的比例,或者是failover。关于分流,我目前是用pfblockerng,国家列表用maxmind的geoip,然后在firewall里面可以做一个lan的规则,设置访问指定国家走哪个gateway。从体验上讲还是不错的。十分稳定
作者: alsa    时间: 2023-4-19 10:17
opnsense能不能当专门的硬件防火墙用?
作者: aitkots    时间: 2023-4-19 21:37
alsa 发表于 2023-4-19 10:17
opnsense能不能当专门的硬件防火墙用?

他们倒是有专门的硬件卖
作者: aitkots    时间: 2023-4-19 21:38
Cyan.Wayne 发表于 2023-4-18 16:11
雾草真的是狐狸大佬~ 我收藏了你的ROS教程,是带我入门的好东西~ 就是最近忽然页面404了,不晓得啥情况。 ...

应该是我最近调整了文件名,我重构了我的文档,访问我的项目的个人首页就好
作者: aitkots    时间: 2023-4-19 21:39
nn1122 发表于 2023-4-18 16:03
我用opnsense实现了nat6,目的是配合DDNS v6,不知楼主有兴趣研究否

有点兴趣啊
作者: aitkots    时间: 2023-4-19 21:40
AxIaTErN 发表于 2023-4-18 16:08
unbound还是老了点,现在都用HTTP/3了,因为是UDP所以速度很快
adguard home就能支持,还有自定义edns IP
...

延迟怎么样,不过我没用过edns客户端子网,据说是要公网ip的才比较好用
作者: AxIaTErN    时间: 2023-4-19 21:43
本帖最后由 AxIaTErN 于 2023-4-19 21:55 编辑
aitkots 发表于 2023-4-19 21:40
延迟怎么样,不过我没用过edns客户端子网,据说是要公网ip的才比较好用 ...


几十个ms,不高
就是因为没公网v4 IP才需要自定义edns,用了v6 dns你不设置好edns也会调度到很远的cdn去
(, 下载次数: 121)
作者: tankren    时间: 2023-4-20 16:54
pfsense用了好多年 好用 够用
作者: 二手烟    时间: 2023-4-20 18:21
vyos 感觉更难用。
作者: Emmerich    时间: 2023-4-21 08:59
aitkots 发表于 2023-4-18 15:57
哈哈 被你发现了

感谢+1 大佬的RouterOS教程很好用
作者: tommytroy    时间: 2023-4-21 12:56
现在主路由就在用opnsense。之前捣鼓半天配置我看老哥都有提到。很详细了。牛逼。

关于防火墙 ips 个人推荐用 crowdsec。直接插件安装。比自带的好用
另外教程里建议加上upnp配置章节。以及配置 lan 入站把nat4 提升到nat3。
要不然默认bt啥的都没速度,
作者: mdeu    时间: 2023-4-21 13:03
给dalao顶一下
作者: aitkots    时间: 2023-4-22 12:13
AxIaTErN 发表于 2023-4-18 16:08
unbound还是老了点,现在都用HTTP/3了,因为是UDP所以速度很快
adguard home就能支持,还有自定义edns IP
...

最近登录看了我常年自动运行的 Adguard Home ,雀食近期 ADH 更新了自定义 EDNS 公网地址的功能,不过这个公网地址貌似只支持 IPv4 ? 还有这个具有地理位置的地址段你是在哪里找到的呢?
作者: aitkots    时间: 2023-4-22 12:17
tommytroy 发表于 2023-4-21 12:56
现在主路由就在用opnsense。之前捣鼓半天配置我看老哥都有提到。很详细了。牛逼。

关于防火墙 ips 个人推 ...

我这里木有公网IPv4地址,估计upnp也是瞎的。
crowdsec倒是可以尝试使用一下,我一直使用的就是Suricata。
不过把 NAT4 提升到 NAT3 这种,OPNsense 支持么?
作者: aitkots    时间: 2023-4-22 12:17
mdeu 发表于 2023-4-21 13:03
给dalao顶一下

感谢支持
作者: AxIaTErN    时间: 2023-4-22 12:28
aitkots 发表于 2023-4-22 12:13
最近登录看了我常年自动运行的 Adguard Home ,雀食近期 ADH 更新了自定义 EDNS 公网地址的功能, ...

你说Google dns那个ipv6地址?翻dns.google的ssl证书就能看到
(, 下载次数: 117)
作者: aitkots    时间: 2023-4-22 14:52
AxIaTErN 发表于 2023-4-22 12:28
你说Google dns那个ipv6地址?翻dns.google的ssl证书就能看到

证书很好弄,主要是edns需要指定你所在地区的公网ip地址段,这样才能达到dns服务器返回离你就近的解析地址呀
作者: AxIaTErN    时间: 2023-4-22 15:02
本帖最后由 AxIaTErN 于 2023-4-22 15:03 编辑
aitkots 发表于 2023-4-22 14:52
证书很好弄,主要是edns需要指定你所在地区的公网ip地址段,这样才能达到dns服务器返回离你就近的 ...


保护隐私我填的本地运营商DNS IP
作者: icyboy    时间: 2023-4-22 15:12
mark下 手上有个1220l v3平台正准备弄路由系统
作者: gungnir    时间: 2023-11-4 20:18
大佬,按照教程里设置unbound,用了阿里的dot,不知道为啥会报这两个错误:error: outgoing tcp: connect: Address family not supported by protocol family for 233.5.5.5 port 853和error: duplicate forward zone . ignored,麻烦大佬抽空解答下
作者: aitkots    时间: 2023-11-6 02:53
gungnir 发表于 2023-11-4 20:18
大佬,按照教程里设置unbound,用了阿里的dot,不知道为啥会报这两个错误:error: outgoing tcp: connect:  ...

没有截图看不到具体原因的,不过你的alidns的地址已经写错了
作者: iamyangyi    时间: 2023-11-6 05:23
我想请教个问题,因为一直是食用OPENWRT作路由系统,从硬路由到软路由交换用,就是好奇别的路由OS,ROS及OPENSENSE,是否网络响应及延迟会比OP有提高 ,优势在哪呢。感谢。
作者: iamyangyi    时间: 2023-11-6 05:26
wswcx 发表于 2023-4-18 17:34
不知道对多线支持和分流效果怎么样,好的话想用来替代爱快了~

就国情来说,爱快分流的优势是特征库,要精确的多 ,这是别的路由系统不能及的。
作者: aitkots    时间: 2023-11-6 14:25
iamyangyi 发表于 2023-11-6 05:23
我想请教个问题,因为一直是食用OPENWRT作路由系统,从硬路由到软路由交换用,就是好奇别的路由OS,ROS及OP ...

这问题就有点宽泛了,如果都是默认设置,你的延迟来自于不同系统的内核,路由系统的资源状态,网卡驱动,网卡buffer,wifi,ISP 这些。
如果你特别在意延迟,考虑上 CAKE Fq-CoDel 之类的拥塞控制算法,或者 https://libreqos.io/  。
如果你只是单纯做路由器使用,除了稳定性方面的差别,IPv6方面的差别,其他的都差不多。毕竟 OpenWRT 是基于 linux 内核的,但是性能调优方面(x86)做的并不多,ROS是专注于路由领域的,OPNsense 则是防火墙。
作者: aitkots    时间: 2023-11-6 14:29
iamyangyi 发表于 2023-11-6 05:26
就国情来说,爱快分流的优势是特征库,要精确的多 ,这是别的路由系统不能及的。 ...

爱快我用的不多,但是曾经看到也是基于 openwrt 开发出来的。
你说的分流我看到的官方文档是这个:https://www.ikuai8.com/zhic/ymgn/lyym/lkfl/ea195.html
如果是按照文档中所说的 【源IP+目的IP+目的端口分配】 ,那么只要你的路由器能够操作防火墙规则,基本都能实现这种需求。
不清楚你说的特征库是什么,爱快的特征库好像只是为了识别应用,应用识别之后的多ISP选路,只能算分流的一个子集吧
作者: tankren    时间: 2023-11-6 15:03
上周刚从pfsense转OPNsense
大同小异
作者: lanq98    时间: 2023-11-6 16:03
start了
作者: 大敛猫    时间: 2023-11-6 16:37
求问
OPNsense和RouterOS
是一类的东西么??
作者: iamyangyi    时间: 2023-11-6 16:58
aitkots 发表于 2023-11-6 14:29
爱快我用的不多,但是曾经看到也是基于 openwrt 开发出来的。
你说的分流我看到的官方文档是这个:https: ...

手工录规则效率太低。爱快无非把端口抓好了。
作者: tonimy    时间: 2023-11-6 16:58
大敛猫 发表于 2023-11-6 16:37
求问
OPNsense和RouterOS
是一类的东西么??

OPNsense核心是防火墙吧,RouterO是路由。个人理解。
作者: kevinho86    时间: 2023-11-6 17:16
本帖最后由 kevinho86 于 2023-11-6 17:20 编辑
大敛猫 发表于 2023-11-6 16:37
求问
OPNsense和RouterOS
是一类的东西么??


Opnsense/pFsense等是专业的防火墙系统(包含路由功能)。
RouterOS是路由器系统附带较专业的防火墙

以上是我个人接触过之后的理解
作者: iamyangyi    时间: 2023-11-6 17:27
本帖最后由 iamyangyi 于 2023-11-6 17:28 编辑
aitkots 发表于 2023-11-6 14:25
这问题就有点宽泛了,如果都是默认设置,你的延迟来自于不同系统的内核,路由系统的资源状态,网卡驱动 ...


我到没指望QOS,就是好奇都说ROS比OP快 ,我想知道怎么这快法。哈哈 ,我就是图能尽可能的压榨影响,
作者: 大敛猫    时间: 2023-11-6 17:43
tonimy 发表于 2023-11-6 16:58
OPNsense核心是防火墙吧,RouterO是路由。个人理解。

明白
OPNsense 防火墙专精 附带路由系统
RouterO 路由系统专精 附带防火墙
作者: 大敛猫    时间: 2023-11-6 17:43
tonimy 发表于 2023-11-6 16:58
OPNsense核心是防火墙吧,RouterO是路由。个人理解。

明白
OPNsense 防火墙专精 附带路由系统
RouterO 路由系统专精 附带防火墙
作者: gungnir    时间: 2023-11-6 20:02
aitkots 发表于 2023-11-6 02:53
没有截图看不到具体原因的,不过你的alidns的地址已经写错了

一不留神223写成了233,问题已经解决了
作者: aitkots    时间: 2023-11-6 22:59
tankren 发表于 2023-11-6 15:03
上周刚从pfsense转OPNsense
大同小异

pfSense 的收费策略改了,而且现在他们的开发重点放在 https://www.netgate.com/tnsr 上了
作者: aitkots    时间: 2023-11-6 23:00
大敛猫 发表于 2023-11-6 16:37
求问
OPNsense和RouterOS
是一类的东西么??

都能提供路由器功能的两类东西
作者: aitkots    时间: 2023-11-6 23:02
iamyangyi 发表于 2023-11-6 17:27
我到没指望QOS,就是好奇都说ROS比OP快 ,我想知道怎么这快法。哈哈 ,我就是图能尽可能的压榨影响, ...

这个是路由效率上的区别,你 OpenWRT 软的可以开 software offload,RouterOS 可以开 fast-track
作者: iamyangyi    时间: 2023-11-6 23:19
aitkots 发表于 2023-11-6 23:02
这个是路由效率上的区别,你 OpenWRT 软的可以开 software offload,RouterOS 可以开 fast-track ...

我现在在用HNAT硬加速。
作者: aitkots    时间: 2023-11-6 23:41
iamyangyi 发表于 2023-11-6 23:19
我现在在用HNAT硬加速。

是啥硬件呀
作者: iamyangyi    时间: 2023-11-7 00:31
aitkots 发表于 2023-11-6 23:41
是啥硬件呀

你瞧不上的, 一台红米AX6000 一台GL MT6000,都是MTK的FILOIGCB 830 CPU,也叫MT7986
作者: aitkots    时间: 2023-11-7 00:54
iamyangyi 发表于 2023-11-7 00:31
你瞧不上的, 一台红米AX6000 一台GL MT6000,都是MTK的FILOIGCB 830 CPU,也叫MT7986 ...

我有一台 ER-X ,所以知道 MT7621 是支持 HWNAT 的,不知道官方这几年有没有适配出其他的硬件也能支持这个
作者: coolbo    时间: 2023-11-7 06:43
aitkots 发表于 2023-11-6 22:59
pfSense 的收费策略改了,而且现在他们的开发重点放在 https://www.netgate.com/tnsr 上了 ...

tnsr,家庭和实验室用户还能免费用么?
作者: iamyangyi    时间: 2023-11-7 08:23
本帖最后由 iamyangyi 于 2023-11-7 08:26 编辑
aitkots 发表于 2023-11-7 00:54
我有一台 ER-X ,所以知道 MT7621 是支持 HWNAT 的,不知道官方这几年有没有适配出其他的硬件也能支持这 ...


MT7986就是MTK现最新最好的,支持有线及无线HNAT,4核A53 2G性能比N1还强,温度也不高。ER-X我也有台,一直没怎么用,再考虑要不出掉。
作者: tankren    时间: 2023-11-7 13:10
aitkots 发表于 2023-11-6 22:59
pfSense 的收费策略改了,而且现在他们的开发重点放在 https://www.netgate.com/tnsr 上了 ...

没有诚信 忽悠用户 只能被用户抛弃
作者: kcp0717    时间: 2023-12-5 21:02
LZ的教程很好,希望能再多点其它插件的教程。
比如:Zenarmor、suricata等
作者: LarryWons    时间: 2023-12-5 21:37
不错,给我白嫖一下?
作者: chicken_fong    时间: 2023-12-5 23:28
收藏备用,稳定用了一段时间的ROS,准备折腾一下
作者: 孔昊天同学    时间: 2024-2-2 14:38
捕捉狐狸大佬
作者: aitkots    时间: 2024-2-2 21:42
孔昊天同学 发表于 2024-2-2 14:38
捕捉狐狸大佬

捕捉百大UP昊天同学
作者: leonqin    时间: 2024-2-7 09:18
看着很不错!收藏了,过年期间就研究一下。
作者: 坏木頭    时间: 2024-2-7 10:37
感谢分享

不怕你笑,上一次折腾 pfSense 还是10年前,最近两年折腾 openwrt 多一点,家用和出国做研究也够了

到是最近想学习一下 ROS,手里还有一台ERX,去年入的,一直在吃灰
作者: aitkots    时间: 2024-2-7 17:19
坏木頭 发表于 2024-2-7 10:37
感谢分享

不怕你笑,上一次折腾 pfSense 还是10年前,最近两年折腾 openwrt 多一点,家用和出国做研究也够 ...

可以玩 OPNsense 入门,然后玩 RouterOS (



欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/) Powered by Discuz! X3.5