ESXi虚拟机体验SOPHOS和OPNSense防火墙~

leonqin

这段时间在折腾防火墙，年前入手的飞塔FG-30E已经作为家里主路由稳定运行了10天，无论是作为防火墙还是路由器，都算得上设计精良，功能丰富。但还是打算尝试别的防火墙系统，所以陆续下载了SOPHOS Firewall OS以及OPNSense、IPFire、vyos等。前两者已经在ESXi上跑起来了，但没有真正去测试pppoe拨号当路由用，也试过在自家一台J4105小机器上裸金属安装可惜两个系统都是装好了没法启动进入。后来查了一下**，看到用户评论说我这个J4105（富士通的机器）的主板安装OP等系统就是没法用主板插着的M.2 NGFF固态来启动，只能用U盘启动。所以也试了U盘，还是不行。今晚趁着老婆孩子出去打球了，就折腾了一下，把ESXi上这两个防火墙分别连线做了PPPOE测试，结果不容乐观，大致如下。

1、先说OPNSense，因为整体操作比SOPHOS简单一些，所以先试了这个。结果是，拨号成功，笔记本WIFI连接线上互联网接通，但只有微信可以聊，网页无法打开。设置了防火墙规则也没用。
2、SOPHOS Firewall，版本是最新的20.0，用的官网下载的VMWare虚拟机文件来创建的VM。结果是，拨号成功，一开始也是无法上网，但经过对防火墙和NAT规则的调整，可以上网了，网页也能浏览，只可惜网速很慢，只有我500M宽带正常网速的不到一半。后来不断调整防火墙和NAT策略，关掉了默认的QoS，也是不行。故放弃。

再简单说一下我的ESXi主机配置，联想M750Q迷你主机，64G内存，只有一个原生千兆网口。

在背板的USB口上插了一个USB 2.5G网卡和一个USB千兆网卡，扩展出两个网口。

就是用这俩网口来给上述两个防火墙系统做LAN和WAN的。其中WAN口连接到光猫（华为B610-4E，210固件）的LAN口进行拨号。

再说一下SOPHOS Firewall系统。功能上和FortiOS基本类似，界面风格差异很大。

主页面如下。


各种信息和图表显示很丰富，但不像FortiOS那样可以灵活地设置dashboard。



这次我也是匆忙试水，但自认为对LAN和WAN口的设置并无问题。


防火墙和NAT策略也应该是OK的，还特地删掉了默认的策略来禁用了QoS，但依旧解决不了网速慢的问题。


测试网速很慢，迅雷下载最大速度也不到30MB/s。USB网卡的网线也换过了，连接光猫那边的LAN口也换过了。但虚拟机两个网口都是USB网卡，是否有ESXi驱动的问题，不得而知，抑或是SOPHOS官方给试用账号做了某些限制？

不过，还是打算过段时间找一个合适的机器来物理安装一下这两个防火墙，做更进一步的试用，看看哪个系统可以替代我目前用的FortiGate，毕竟飞塔这个硬件配置低了些，而且也只有千兆网口。

pdvc

家用还是硬路由吧，折腾UI那么好看有啥用😂

leonqin

pdvc 发表于 2024-2-15 01:30
家用还是硬路由吧，折腾UI那么好看有啥用😂

硬路由我一大堆了，没啥好玩的，折腾防火墙就是一来好玩二来学点东西。

pdvc

leonqin 发表于 2024-2-15 01:31
硬路由我一大堆了，没啥好玩的，折腾防火墙就是一来好玩二来学点东西。 ...

不如先换个2.5G LAN的光猫，突破下千兆，提升比折腾这些多。

leonqin

pdvc 发表于 2024-2-15 01:38
不如先换个2.5G LAN的光猫，突破下千兆，提升比折腾这些多。

对互联网速度要求不高，我家一直用500M的宽带，完全足够了。我更看中的是内网的速度。

summerq

我也用过骚护士，简单的说它性能不行，不如pfsense或者opnsense，同时它免费版只支持4核心cpu，多余的被限制了不能使用

pdvc

似乎这些UI都没有上dark mode的？

kevinho86

pdvc 发表于 2024-2-15 02:17
似乎这些UI都没有上dark mode的？

Opnsense和pfsense都有Dark mode的，印象中

shrine

我试过用ROS+OPNsense+OP的复合软路由

jcd_chh

发个坏消息，居然没人转，VMWare把免费产品砍了https://www.servethehome.com/broadcom-vmware-ends-free-vmware-vsphere-hypervisor-closing-an-era/
老版的授权看样子不受影响？但以后估计是没有新硬件支持了

hu2851

高端的防火墙
哎

leonqin

pdvc 发表于 2024-2-15 02:17
似乎这些UI都没有上dark mode的？

OPNsense肯定是有的，我都下载了好几个dark的主题，但也就是变个暗色改点CSS之类的，差别不大。SOPHOS刚才仔细看过了系统设置，也看了一些官方的文档，完全没找到可以设置主题的，只有WAF等地方可以自己定制错误返回页面这样子。

leonqin

summerq 发表于 2024-2-15 02:11
我也用过骚护士，简单的说它性能不行，不如pfsense或者opnsense，同时它免费版只支持4核心cpu，多余的被限 ...

S这么弱的吗？我在esxi上跑的VM也是，主页面的加载卡卡的，让人震惊，我的宿主机可是6C12T的i5 12400桌面版，别的几个系统都很溜，就是S的后台好些页面都卡卡的，感觉是前端优化不足所致。但是弄个J4125或者N4100之类的物理机来跑免费版，千兆带宽总应该能跑满吧。。。

leonqin

shrine 发表于 2024-2-15 07:36
我试过用ROS+OPNsense+OP的复合软路由

这个玩法有点6了，多年不碰ROS了，不知道现在它有没有好的WEB UI了？

leonqin

jcd_chh 发表于 2024-2-15 08:50
发个坏消息，居然没人转，VMWare把免费产品砍了https://www.servethehome.com/broadcom-vmware-ends-free-v ...

这个我早就注意到了。。。但貌似是不影响正在使用的授权的吧。不去管了，反正我的ESXi一直都是白嫖的，能用多久是多久。

shrine

pdvc 发表于 2024-2-15 01:30
家用还是硬路由吧，折腾UI那么好看有啥用😂

还是功能需要吧，比如科学之类的，怎么会为UI折腾

coolbo

目前在用的4个系统，ROS、UnifiOS、FortiOS、Pfsense。之前用过半年的OPNsense，他家的V P N site to site和open V P N 新版UI逻辑改的我不能理解，不如Pfsense操作直观所以放弃了，之前上OPNsense主要是因为它支持ipv6前缀二次下发，而Pfsense不支持。更早之前还玩过Vyos、TNSR

jop

路由只用ROS一把梭

gaoyi124

我觉着如果不用esxi模拟一档子的话,或许不会因为网速卡脖子,如果想切实体验,还是直接装最好,多一道手续,可能不知道什么地方设置不匹配,就会导致莫名其妙的问题

声色茶马

leonqin 发表于 2024-2-15 09:01
这个玩法有点6了，多年不碰ROS了，不知道现在它有没有好的WEB UI了？

ROS的UI，它就是非常geek。其实界面逻辑、功能安排、甚至那干净利落的画风，个人觉得都很不错。

leonqin

shrine 发表于 2024-2-15 09:17
还是功能需要吧，比如科学之类的，怎么会为UI折腾

我主要是最近正对防火墙系统兴趣大，并且也在玩**。之前的主路由是ASUS、ER-X、小米和TP的，TP的**有但模式太少，别的方面功能也太过阳春已经玩腻了。各种openwrt也不太想玩了，感觉都千篇一律。所以才转来玩防火墙。

leonqin

gaoyi124 发表于 2024-2-15 09:42
我觉着如果不用esxi模拟一档子的话,或许不会因为网速卡脖子,如果想切实体验,还是直接装最好,多一道手续,可 ...

嗯，这些天就是在找合适做防火墙路由的小主机了。其实之前买过一个5205U的6口千兆路由，玩OP，没用半年就放弃了，后来骨折卖掉了。目前市面上主流的软路由都是工控机风格，真的看不下去。二手鱼上倒是有些旧机器的外观看着不错，但配置硬件太老没法战未来。

leonqin

coolbo 发表于 2024-2-15 09:31
目前在用的4个系统，ROS、UnifiOS、FortiOS、Pfsense。之前用过半年的OPNsense，他家的V P N site to site ...

受教！看来我可以尝试一下PFsense啦。ER-X一直是我的珍藏备用机，UnifiOS做路由实际很不错，不过貌似至今没有开放出来给第三方硬件安装是吗？有点可惜。

gaoyi124

leonqin 发表于 2024-2-15 09:55
嗯，这些天就是在找合适做防火墙路由的小主机了。其实之前买过一个5205U的6口千兆路由，玩OP，没用半年就 ...

要性能就组个itx,散热好,体积稍大些,我是用的3770s搭配dq77kb和pcie的4口2.5g网卡,用了得5六年了,感觉还是挺稳的,esxi我也有单独的主机跑,看自己需求进行搭配才好

leonqin

gaoyi124 发表于 2024-2-15 10:03
要性能就组个itx,散热好,体积稍大些,我是用的3770s搭配dq77kb和pcie的4口2.5g网卡,用了得5六年了,感觉还 ...

多谢建议。ITX还是太大了些。我只考虑软路由工控机那种尺寸的，并且低功耗被动散热。看来实在不行也只有买4口2.5G那种N4100了，基本符合要求，就是没啥外观好看的。唯一看着顺眼的是大唐的工控机，但实在太贵了，同配置比公模的那些贵出差不多一倍。

coolbo

leonqin 发表于 2024-2-15 09:57
受教！看来我可以尝试一下PFsense啦。ER-X一直是我的珍藏备用机，UnifiOS做路由实际很不错，不过貌似至今 ...

ER X系统Edge OS（基于Vyos）早就被ubnt放弃了，我有俩豆出掉了，后来转投ROS了，RB450G x4是个不错的代替者，后来还入了RB4011、RB5009、CCR2004

nn1122

我在esxi上配合2.5G猫棒，虚拟了一个OPNsense，E3 V5分配了6个核心，千兆宽带跑speedtest测试1200M，CPU占用不到10%，完美的实现了光猫路由一体化。你这个不能打开网页基本是DNS问题，也许是版本问题，最好用23年以前的版本

coolbo

leonqin 发表于 2024-2-15 10:09
多谢建议。ITX还是太大了些。我只考虑软路由工控机那种尺寸的，并且低功耗被动散热。看来实在不行也只有 ...

小作坊的工控机别考虑了，给你两个建议
1. 300块钱的双intel千兆网卡X5-E3940精英工控小主机 i211网卡
2. 700块钱的silicom uCPE madrid desktop 软路由小主机 c3558 + 8 gb 板载内存 + 64gb emmc
2 i350 + 4 x553  共6口千兆，2个光电复用

leonqin

coolbo 发表于 2024-2-15 10:20
小作坊的工控机别考虑了，给你两个建议
1. 300块钱的双intel千兆网卡X5-E3940精英工控小主机 i211网卡
2. ...

多谢。大唐的工控机应该算是可以的吧。
第1个那种我在小黄鱼看到了，感觉外观可以的，符合我的审美，但就是CPU弱了些，网卡也只有千兆，等到时升级到千兆宽带后估计就得换了，只能算暂时玩一段时间。第2种silicom的也看过了，外观做工也很好，就是网口太多对我没啥意义，我有2.5G交换机，不需要这么多千兆口。估计我会考虑第1种。

gaoyi124

leonqin 发表于 2024-2-15 10:09
多谢建议。ITX还是太大了些。我只考虑软路由工控机那种尺寸的，并且低功耗被动散热。看来实在不行也只有 ...

极致小巧的软路由就是高温,尤其是夏天,真是谁用谁知道,有些路,只能自己蹚一遍才能知道