软路由处理器选择

xhj

i5 12500的all in boom，好像没有性能不足过

netcao

软路由什么时候升级一下，加上POE就完美了。

dcl2009

感觉你可以来一个WYSE5070 除了有点挑内存，性能应该够用。

实测16G+4G待机3.x瓦，满载20w。

如图所示左边这个小主机，自己手动加了个2.5G网卡，里面有一个M2 SATA，一个NGFF无线网卡接口

happysun110

我选择了天邦的 14500hx，modt本身省电，性能强劲足够 all in one ，价格也不贵，板U 12xx 的价格。pve下，8小核用来跑一些优先级低的虚拟机挺合适的。

不要太在意功耗，没必要追求极致功耗。

iamyangyi

你这些需求我选硬路 OPENWRT比你软路绝对顺滑 ，硬路SOC先天有些是网络栈优化是软路没法比的，硬交换机不吃U。软路无非就是能多跑些大型服务而已，CPU上的占用还会影响网络波动，网络上没优势，更是劣势，一些人不熟悉被误解罢了，以为软路就一定比硬路强。前端就硬路（科学 DDNS 过滤  转发）+小主机跑大服务。（仅加行字，都相对以LZ提的家用需求为前提说，免得又有人硬杠）

iamyangyi

小主机能不考虑那些微型机就不考虑，性能不高  NAS没扩展条件， 搞ALL IN ONE都鸡肋。建议前端不变  买个盒子跑大的服务 或 直接品牌NAS 还有些用。

ANDYS

rx_78gp02a 发表于 2025-9-10 18:03
长期Clash使用者表示：
如果全流量过Clash，压力还是蛮大的，J4125不太够，N5105勉强。
旁路国内IP，J4125 ...

我的使用情况也是这样，论坛里那些J4125虚拟一大堆东西还能轻松跑满千兆的，可能是有黑科技

Grayness

4125太够了，我现在路由器比nas还强

zengfanxiang

iamyangyi 发表于 2025-9-11 11:48
你这些需求我选硬路 OPENWRT比你软路绝对顺滑 ，硬路SOC先天有些是网络栈优化是软路没法比的，硬交换机不吃 ...

既然说的这么自信

那能推荐几款运行openwrt且能通过硬件处理防火墙和流控规则的路由器吧

iamyangyi

zengfanxiang 发表于 2025-9-11 12:13
既然说的这么自信

那能推荐几款运行openwrt且能通过硬件处理防火墙和流控规则的路由器吧

家用需求 和 企业需求比  。不说硬路，你企业去用那微型机当前端？ 何况我还写了以LZ需求为前提，纯硬杠。

zengfanxiang

iamyangyi 发表于 2025-9-11 12:22
家用需求 和 企业需求比  。不说硬路，你企业去用那微型机当前端？ 何况我还写了以LZ需求为前提，纯硬杠 ...

所以，你是说流控和防火墙都是企业级需求？

家用完全不需要防火墙和流控？
不需要给下载机设置QOS？
路由层面不设置防火墙？所有设备完全依靠自带的防火墙上网？

iamyangyi

zengfanxiang 发表于 2025-9-11 12:43
所以，你是说流控和防火墙都是企业级需求？

家用完全不需要防火墙和流控？

嗯山都没几人家用会配专业防火墙，何况还有的光猫上的，你说这些。你可以开个贴调查下，CHH这有多人家里上了专业防火墙的。没用过硬路硬件QOS（硬路是不能QOS？再说现阶段流控也不是人人都需要。）我有说不用防火墙了？还是你认为现在光猫和OP的FW防火墙对家用根本没用还是没有这个功能。要以你所畏的安全部署，那不现在我们这些人和服务商都是错误的认知和应用方式 ，这多没人没用，现在信息安全环境不早破坏透了，就你做到了安全，可为啥我们还用着没事。不是硬杠 就是偷换概念。

zengfanxiang

iamyangyi 发表于 2025-9-11 12:58
嗯山都没几人家用会配专业防火墙，何况还有的光猫上的，你说这些。CHH有几个家用上专业防火墙的， 不服， ...

谁在这讨论专业防火墙了？都是用路由器自带的，几乎都是CPU处理。
品牌路由器IPV4防火墙还算凑合能用，IPV6环境一大堆裸奔上网。

别人照着官方提供的基本安全规范走在你这就成了抬杠？
你随便找台硬路由配置同样的防火墙规则，满载后你看看你的路由器CPU能占用多少。

RouterOS提供了基本防火墙设置就这些。这些仅仅是基本规则。还不算那些NAT、回家之类操作。

https://help.mikrotik.com/docs/spaces/ROS/pages/48660574/Filter

/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router
/ip firewall filter
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN out-interface=!bridge
add action=drop chain=forward comment="Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=jump chain=forward protocol=icmp jump-target=icmp comment="jump to ICMP filters"
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24
/ip firewall filter
  add chain=icmp protocol=icmp icmp-options=0:0 action=accept \
    comment="echo reply"
  add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
    comment="net unreachable"
  add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
    comment="host unreachable"
  add chain=icmp protocol=icmp icmp-options=3:4 action=accept \
    comment="host unreachable fragmentation required"
  add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
    comment="allow echo request"
  add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
    comment="allow time exceed"
  add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
    comment="allow parameter bad"
  add chain=icmp action=drop comment="deny all other types"

/ipv6 firewall address-list add address=fd12:672e:6f65:8899::/64 list=allowed
/ipv6 firewall filter
add action=accept chain=input comment="allow established and related" connection-state=established,related
add chain=input action=accept protocol=icmpv6 comment="accept ICMPv6"
add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="accept DHCPv6-Client prefix delegation."
add action=drop chain=input in-interface=in_interface_name log=yes log-prefix=dropLL_from_public src-address=fe80::/10
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input
/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=xxxx::/48 list=allowed
add address=ff02::/16 comment=multicast list=allowed
/ipv6 firewall filter
add action=accept chain=forward comment=established,related connection-state=established,related
add action=drop chain=forward comment=invalid connection-state=invalid log=yes log-prefix=ipv6,invalid
add action=accept chain=forward comment=icmpv6 in-interface=!in_interface_name protocol=icmpv6
add action=accept chain=forward comment="local network" in-interface=!in_interface_name src-address-list=allowed
add action=drop chain=forward log-prefix=IPV6

iamyangyi

zengfanxiang 发表于 2025-9-11 13:56
谁在这讨论专业防火墙了？都是用路由器自带的，几乎都是CPU处理。
品牌路由器IPV4防火墙还算凑合能用，I ...

说了，你所谓的网络安全等级问题。叫你开贴调研家用多人配了单独防火墙完事，还把个ROS拿出来，这是给家用的吗？光猫和路由防火墙就不能家用上网了，家用只控制个进出端口权和防探测，硬累加规则数，不是硬缸是啥。按你这要求现在路由和光猫都不能单独加防火墙规则都不该卖。普通家用户还要自学习防火墙配置使用。拆到性能，又扯到跑特定规则，那按这样说，光猫那些性能都不能上网了。

zengfanxiang

iamyangyi 发表于 2025-9-11 14:01
说了，你所谓的网络安全等级问题。叫你开贴调研家用多人配了单独防火墙完事，别BB了，还把个ROS拿出来， ...

麻烦截一下我说的内容，我可一个字没有编辑过。我想看下那句话让你有这种理解。

RouterOS的官方文档都发出来了，你不会看么？

这个页面明确说明了
Firewall Example
Lets look at basic firewall example to protect router itself and clients behind the router, for both IPv4 and IPv6 protocols.

basic不知道什么意思可以自己去查。

iamyangyi

zengfanxiang 发表于 2025-9-11 14:14
麻烦截一下我说的内容，我可一个字没有编辑过。我想看下那句话让你有这种理解。

RouterOS的官方文档都发 ...

现在新点设备又不是没V6防火墙。你怕你就上。跟我有关系吗，又不是我去主动@你说话，我干嘛去看，还要被你指挥。这贴至此到终，有提过用ROS 了吗，硬凑。

arieslo

买J6412还不如买8505.。。性能翻倍，价格差不多。。

其实最优的方法是在咸鱼买一台J4125先用用。。确实不满意再换其他更好的。。

一般家用，J4125真的够用了。。发热也低。。夏天不加风扇也能正常使用。。

callyoulater

要稳定还是硬路由

jwlili

不要把防火墙想的那么高大上，只要把iptables 弄明白，防火墙就几条命令，外面的访问就进不来了，个人推荐朱双印博客

moveable

我家弱电箱环境下，J6412是本体不用加风扇的最强选项了，n100、3758必须在底部装个排风扇或者去掉防尘网钻一堆散热孔。

nbplus

moveable 发表于 2025-9-11 16:35
我家弱电箱环境下，J6412是本体不用加风扇的最强选项了，n100、3758必须在底部装个排风扇或者去掉防尘网钻 ...

我也是弱电箱，自己家乡下用的J4125装了个PVE，就跑了一个istore，温度还是有点点高，然后接了个9025的风扇。虽然不卡，但是温度吓人。我老丈人家里放了个J1900工控机，就几百兆的网，使用率也不高，但是温度高的吓人，多媒体箱在楼梯间，也没人上下，就索性开着没关。城里的房子用的p330 cpu8100.散热没改，插了个4口 i226，ESXI跑了个ikuai主路由，OP旁路由，放在客厅，温度也是吓人。基本就在60℃左右徘徊。看着挺吓人的

lolofive1

久往孤海 发表于 2025-9-10 20:54
0：编译的好软路由是比硬路由稳定的。。
1：一般来说不是太老旧的CPU也没问题。。
2：难，有点难。。看肯花 ...

我不确定你说的DDNS跟我现在用的是不是一样，我办公室跟家里用的都是DDNS，路由器不支持，我就部署了一个群晖或者飞牛，上面有DDNS，国内随便注册个域名，搞个二级就可以直接访问了。当然这个前提是必须得有公网V4地址，家里跟办公室都找运营商要到了。

我系我

实现的方式很多，各人喜好也不同，没有哪个特别好的，只有自己喜欢的。。。

就像我主力ROS+旁路op，

45块钱的小米R3G刷Op，只支持酸酸乳，后来才换的AC86U，现在又准备折腾rax3000m，一两百能搞定的就不多花钱，

你们出去是买的成品多节点，还是自己买主机搭cl/vless？

eneiku

我用12400，功耗也很低，还能战未来