大唐N100小工控机实战直装pfsense做主路由（补充散热措施）~

leonqin

继续折腾~年前入手的飞塔FG-30E防火墙在家里用得好好的，做主路由半个月了，很稳，但因为FortiOS的缘故，打开了我对防火墙系统的认知和兴趣之门，有点一发不可收拾。过年期间曾经用家里一台富士通J4105小主机来尝试着装了SOPHOS和OPNsense，都装不上，后来看了张大妈的用户评论说那个机器装第三方如OP等系统是没法用硬盘启动的，只能用U盘，试了U盘也不行，就放弃了。后来用虚拟机装了上述俩系统，SOPHOS可以了，短暂做主路由测试了一下，结果网速居然明显降低，而OPNsense则完全没法连通上网。于是决心还是再搞一台机器来直装这些系统。心动不如行动，所以春节假最后一天选定了大唐的NX100，贵是很贵，配置也一般，看中的是它的全金属外壳和设计颜值，毕竟是打算弄好了做主路由放家里电视柜上的东西，那种X网X控之类的牌子，都是千篇一律工控机的样子，真的让人看不下去。也在小黄鱼上看到有些老机器外观设计不错，但配置陈旧过时，怕是没法战未来，考虑再三还是选择了购买大唐那个主机。

闲话不多说，先给大唐N100来个简单开箱。物流很快，虽然是春节期间，但下单第二天就送到了。

是不是很有Intel NUC的范儿？这熟悉的配色。



打开后先拿出主体。


然后看到其他配件。有HDMI线、WIFI天线、不锈钢背板、螺丝、SATA接头等，但我暂时都用不上。


来看一下正主儿。这颜值，这全金属外壳的质感，没得说吧。。



正面的一溜儿接口，不多不少刚好够。


背面是两个2.5G电口，RTL8125B的芯片；一个USB 3.0一个USB2.0，两个HDMI 2.0和DC电源口（5525的孔）。原配的12V 3.3A电源，线很长，我正好在公司有个闲置不知啥设备的12V 5A的电源，也是蛮好的牌子的，轻小很多，就用那个电源的。


拧开底部4颗螺丝，打开底板就看到机器内部了。一个DDR4槽，一个M.2 SATA槽，还有原配的AX200网卡及接好的天线线路。


把在JD买的内存和M.2 SATA 128G装上。


说到这儿还有个小插曲，那个M.2槽的螺丝很紧，我整废了三个小螺丝刀都没拧开。。跑去别的部门找个玩硬件的同事借了一套工具，用最小号的十字头才拧开了。。另外，有点后悔没有直接买官方配置的8G+256G的机型，实际也就比我自己买8+128贵了60块钱而已，但是官配的内存是英睿达的，明显比我买的这个酷兽好吧。不过酷兽也还行，第一次买这个牌子，看着做工还是不错的。

然后开始装系统，结果第一个难关来了。大唐机器外接我在公司里自购的一台山寨4K显示器，开机后显示器黑屏，按OSD显示说无信号输入，换了HDMI口和线也一样，差点以为机器是坏的。然后又拿来我另外一台14寸2K屏的便携显示器，随便接起来试，能顺利开机了，damn，居然和我的山寨4K显示器不兼容吗？

开机后进BIOS看了一下。是AMI的BIOS，蛮久没看到过AMI的启动画面了。


当时是准备了两个启动盘，一个SOPHOS的，一个pfsense的。结果SOPHOS的根本启动不了，只能装pfsense了。
这时又碰到另外一个问题，pfsense CE 2.7.2版本系统本身不包含8125B的驱动。。。检测不到网卡的存在，结果安装进行不下去。于是只能接上一个USB千兆网卡，连到我工位的路由上这样，总算是安装好了。

接下来又是另外一个难题，得把8125B的驱动装起来才行。事先已经收藏了相关的帖子文章，知道2.7.2版的官方package库其实已经有realtek的最新驱动包了，去shell安装一下即可（官方论坛里是这样说）。然后我装好了，重启系统，还是没检测到网卡。又仔细看了一下相关帖子，有几个老外都说还要创建一个/boot/loader.conf.local文件，添加两行命令。照做了，重启系统，这回看到两个网口认出来了。

然后回家后，就连上光猫和交换机来正式开搞了。也是费了一点功夫才搞定基本的上网，以及主要设备的端口转发。还是那些情况，防火墙做路由比起普通路由多了一层规则需要设置，有些规则会自动创建，有些不会。例如PPPoE拨号这事儿，本身很简单，在WAN口里设置好用户名和密码就行，但是还得去防火墙那儿增加一个wan->lan的规则，简单点就是放行 any->any，否则没法上网。至于端口转发，要去NAT那儿添加相应的转发，并且还要去创建对应这个转发的防火墙规则。在没有仔细研究的前提下，我目前认为飞塔在这方面做得比pfsense更易用，界面和设置都更易懂更方便，例如防火墙规则，飞塔是可以针对虚拟IP group来设置的，一个VIP Group可以包含多个端口映射。pfsense貌似没那么方便，可能我没仔细看。并且，pfsense的NAT的端口转发，需要设置好NAT reflection，也就是NAT回流，否则从内网通过外网IP或者域名来访问那些端口转发的目标设备，是访问不了的，NAT reflection默认的是“系统默认”，得改成NAT + Proxy这种模式才可以。这个问题让我折腾到半夜1点多才搞定，看了很多官方论坛的帖子及相关文章，最后是一个国内的文章里提到的。所以这儿特别说一下，感兴趣的网友可以注意必坑。


弄好系统后，大唐N100+pfsense的新组合就正式取代我的飞塔FG-30E成为主路由了，先叠个罗汉。


但实际上后来我还是把大唐拿到旁边放了，毕竟TP交换机也还是有点点热度，会增加大唐的热量。大唐这个纯被动散热，外壳的温度不低，当时室温20度左右，开机几小时后摸上去，外壳至少四五十度了。到了三十五六度的大夏天，如果不加风扇，恐怕外壳会到六七十度。 静音和颜值并非没有代价。



whatever，pfsense可算是跑起来了。dashboard的系统信息很全，但所显示的温度是错误的，一直都固定在27.9度不变，实际上CPU肯定至少四五十度了。不知道有没有插件能正确读取和显示温度的，得找找看。


接下来，还有好些东西要研究折腾的，pfsense的V  PN，还有一些有用的插件，如adguard home等这些。V  PN昨天也算是研究了半天，L2TP也设置了，但从公司的win11上没能连接起来。wired guard和openv pn还没怎么搞，只是设置了一下，没深入看。

另外，目前还发现一个问题，通过DDNS和端口转发我打开家里esxi上的fedora虚拟机的GNOME桌面环境，用里边的浏览器来打开pfsense管理页面进行各种设置，发现CPU占用率挺高，经常20-40%之间浮动，但在家里内网直接访问，CPU占用率就很低，一般也就1-5%之间，除非是有迅雷下载等操作才会高一些。后来换成DDNS远程登录esxi上的win10虚拟机，用RDP来操作，明显好多了，和家里内网访问一样的，pfsense里看到的CPU占用率就极低了。不得不说，RDP还是厉害啊，远程操作这方面。

先写到这儿，后续的折腾再陆续补充吧。

============================

刚才去设置那儿选择了一下Thermal Sensor，现在可以看到正确的CPU温度了。现在家里室温23度左右，CPU温度接近46度，按照简单等比估算的话，36度的时候可能CPU会达到75度左右，理论上问题不大，但还是要考虑下边搁一个静音风扇来吹着降温比较妥当。


============================
被动散热的效果还是让人不太放心，尤其是大唐这个小机器的散热鳍片面积较小。所以拿出来一个闲置的12cm风扇，先暂时这样搁在机器底下，从下往上吹。一定程度影响了美观度，但也还凑合。打算过几天在网上找个设计得漂亮一点的风扇底座。



加个风扇效果还是颇为明显的，目前室温24度的情况下，机器温度能维持在38度左右了，只要没啥重负荷运算（例如迅雷全速下载），就不会超过40度。

moveable

畅网n100大背头放桌面上都挺烫的，大唐这个我买来看了看散热规模就退了。

leonqin

moveable 发表于 2024-2-20 10:48
畅网n100大背头放桌面上都挺烫的，大唐这个我买来看了看散热规模就退了。

我是考虑纯做路由来用，并且我不玩PT，平时也没有疯狂下载，就是普通路由+防火墙规则，端口转发这样，CPU占用率一般不高，所以发热情况想来不会致命。大不了底部搁一个风扇吹着呗，也不太影响颜值。

nn1122

pfsense/opnsense防火墙都是企业商用防火墙类型，都是空白配置，需要自己建立规则，ROS这类路由同是如此，玩过这些才会明白

leonqin

nn1122 发表于 2024-2-20 11:42
pfsense/opnsense防火墙都是企业商用防火墙类型，都是空白配置，需要自己建立规则，ROS这类路由同是如此， ...

是的。我是从飞塔FortiGate开始玩起来的，所以现在玩pfsense基本没有问题，但还是得继续多折腾研究别的方面的设置应用。

aitkots

leonqin 发表于 2024-2-20 11:53
是的。我是从飞塔FortiGate开始玩起来的，所以现在玩pfsense基本没有问题，但还是得继续多折腾研究别的方 ...

我自己玩过 opnsense 和 pfsense ，opnsense 的驱动应该比 pfsense 稍微多那么一点，而且 opnsense 支持动态 ipv6 host ，个人感觉 opnsense 比 pfsense 可玩性高一点。

而且现在 pfsense 的收费和升级策略，让人看不懂

leonqin

aitkots 发表于 2024-2-20 12:00
我自己玩过 opnsense 和 pfsense ，opnsense 的驱动应该比 pfsense 稍微多那么一点，而且 opnsense 支 ...

多谢分享经验。我也是没实际用过opnsense，打算先用一段时间pfsense后，看情况再换装别的系统来折腾。反正我有备份路由，随时可以接替上去，不影响家里上网。

zealotxx

我在esxi里跑的pfsense，纯路由模式，进出万兆，测带宽，4核跑满了，得分8核

lovest

我的asus的pn42，内存16G，也是被动散热。温度现在再65左右。可能夏天应该会在80.

lanq98

温度这么高，ssd 会不会很快报废

zsecsqawdx

pfsense运行效率低，以前看了个评测，转发率差不多只有ROS的1/3。

w4546711

富士通J4105那个奇葩故障我也遇到了，安装爱快无法启动

leonqin

zsecsqawdx 发表于 2024-2-20 14:47
pfsense运行效率低，以前看了个评测，转发率差不多只有ROS的1/3。

我也看过一篇评测，貌似性能确实不太好。不过想想就是个人家用，应该也影响不大吧。

leonqin

w4546711 发表于 2024-2-20 17:48
富士通J4105那个奇葩故障我也遇到了，安装爱快无法启动

幸亏这机器安装普通的操作系统倒是没啥问题，我装过好几种linux和windows，都很OK，目前装个Fedora 39，放公司中午看B站用。

summerq

zsecsqawdx 发表于 2024-2-20 14:47
pfsense运行效率低，以前看了个评测，转发率差不多只有ROS的1/3。

都是内核转发，性能上没有质的区别。就如同一个人考试只得了10分，只有另一个考了30分的30%一个道理。

coolbo

额，默认是可以上网的，有默认wan和lan的规则啊，“还得去防火墙那儿增加一个wan->lan的规则，简单点就是放行 any->any”，你增加一个wan到lan的any to any岂不是没有防火墙防护了

ksjssj

主路由还是ROS吧。
RB5009用了两年了，最近看到一个减配版的L009系列，红色壳子真好看，都想买一个给我妈家里用上。

leonqin

coolbo 发表于 2024-2-20 19:53
额，默认是可以上网的，有默认wan和lan的规则啊，“还得去防火墙那儿增加一个wan->lan的规则，简单点就是放 ...

你说得有道理，其实我也是一直有疑惑，为啥要搞这样一条wan-lan: any-any的规则才能上网？我记得之前用飞塔，是wan口设置好就能上网的，也有自动创建的默认规则，是能看到的规则。但是pfsense我装好后，没看到默认的wan-lan规则，只有一条Block bogon networks的，而且当时就是没法上网，我找来找去没看到别的默认规则，只好自己创建了一条any-any的才能上网了。如下图，红色框的那条就是刚装好时唯一的规则，蓝色框那条是我实在没办法才创建的。不过，刚才我把我建的这条any-any的规则给禁用了，也不影响上网，神奇了。。难道当时系统服务还没完成初始化所以才没法上网吗。

leonqin

ksjssj 发表于 2024-2-20 20:37
主路由还是ROS吧。
RB5009用了两年了，最近看到一个减配版的L009系列，红色壳子真好看，都想买一个给我妈家 ...

话说我也算是ROS曾经的老用户了，2016年那时就开始用RB951G，后来才换成ER-X的。ROS的界面和用户交互真的是不太能接受，现在不知道有没有改进了。

coolbo

leonqin 发表于 2024-2-20 22:41
你说得有道理，其实我也是一直有疑惑，为啥要搞这样一条wan-lan: any-any的规则才能上网？我记得之前用飞 ...

默认就是禁用，lan to wan是有一个permit，wan to lan默认就是deny，这样就可以上网了

coolbo

leonqin 发表于 2024-2-20 22:46
话说我也算是ROS曾经的老用户了，2016年那时就开始用RB951G，后来才换成ER-X的。ROS的界面和用户交互真的 ...

其实我玩来玩去，最后还是ROS使用起来最舒服了，用起来很灵活，啥需求都能自定义实现，所以我4地互联最后都是ros连接的

coolbo

另外L2TP可以放弃了，基本上就是IPsec、open v p n走天下了，IPsec作为site to site，open v p n作为remote access（ssl。vp n代替）。wg也很适合site to site

archimedes

coolbo 发表于 2024-2-20 22:58
其实我玩来玩去，最后还是ROS使用起来最舒服了，用起来很灵活，啥需求都能自定义实现，所以我4地互联最后 ...

大哥，四地互联具体怎么实现的？

leonqin

coolbo 发表于 2024-2-20 22:56
默认就是禁用，lan to wan是有一个permit，wan to lan默认就是deny，这样就可以上网了 ...

主要是当时刚接接好光猫设置好WAN的PPPoE后，一直死活没法上网，所以才想着去建了一个any-any的规则，我记得飞塔设置是能看到wan-lan的默认规则的，等过两天把飞塔接起来看看它那边怎么设置的。

leonqin

coolbo 发表于 2024-2-20 23:01
另外L2TP可以放弃了，基本上就是IPsec、open v p n走天下了，IPsec作为site to site，open v p n作为remote ...

pfsense的L2TP是with IPSec隧道的，不是直接L2TP，安全性应该也算足够吧，之前用TP的R5408PEF-AC和飞塔做主路由时，我都用的是L2TP，这俩的L2TP设置都很简单，公司那边我的windows机器也创建了L2TP的连接，所以才想也继续用L2TP先。openv pn和wired guard还得研究一下才能搞起来，设置上感觉比之前两个路由的L2TP复杂多了。

coolbo

leonqin 发表于 2024-2-21 00:59
pfsense的L2TP是with IPSec隧道的，不是直接L2TP，安全性应该也算足够吧，之前用TP的R5408PEF-AC和飞塔做 ...

opnsense比较激进，都干掉了L2TP，默认只保留了ipsec和openvp n，android也不支持了

leonqin

搞定了Wire Guard了，之前一直有点稀里糊涂，按照官方和网上的文章设置好tunnel后，peer和client这边就不知咋整，对于tunnel的address、allowed ips这些也没太明白。不过刚连通时，本机这边不能上网，只能访问家里的设备，又仔细看了文档才知道我贪方便在client这边用了全时隧道方式，allowed ips=0.0.0.0/0，导致所有流量都走隧道了。后来试着用拆分模式，把家里的网段和公司的网段都加入到allowed ips里去，就可以了。如下图。


虽然还是没太明白为啥所有流量走隧道的全时模式就使我这边没法上网了，我也在interface那儿设置了DNS了，但慢慢再研究吧，现在反正是可以用WG连家里了。

Yjd

原来也弄爱快，手机，电脑和pf对联用的ipsec，然后爱快我一直没升级用老版本不支持WireGuard。还是WireGuard配置简单。