ESXi虚拟机体验SOPHOS和OPNSense防火墙~
这段时间在折腾防火墙,年前入手的飞塔FG-30E已经作为家里主路由稳定运行了10天,无论是作为防火墙还是路由器,都算得上设计精良,功能丰富。但还是打算尝试别的防火墙系统,所以陆续下载了SOPHOS Firewall OS以及OPNSense、IPFire、vyos等。前两者已经在ESXi上跑起来了,但没有真正去测试pppoe拨号当路由用,也试过在自家一台J4105小机器上裸金属安装可惜两个系统都是装好了没法启动进入。后来查了一下**,看到用户评论说我这个J4105(富士通的机器)的主板安装OP等系统就是没法用主板插着的M.2 NGFF固态来启动,只能用U盘启动。所以也试了U盘,还是不行。今晚趁着老婆孩子出去打球了,就折腾了一下,把ESXi上这两个防火墙分别连线做了PPPOE测试,结果不容乐观,大致如下。1、先说OPNSense,因为整体操作比SOPHOS简单一些,所以先试了这个。结果是,拨号成功,笔记本WIFI连接线上互联网接通,但只有微信可以聊,网页无法打开。设置了防火墙规则也没用。
2、SOPHOS Firewall,版本是最新的20.0,用的官网下载的VMWare虚拟机文件来创建的VM。结果是,拨号成功,一开始也是无法上网,但经过对防火墙和NAT规则的调整,可以上网了,网页也能浏览,只可惜网速很慢,只有我500M宽带正常网速的不到一半。后来不断调整防火墙和NAT策略,关掉了默认的QoS,也是不行。故放弃。
再简单说一下我的ESXi主机配置,联想M750Q迷你主机,64G内存,只有一个原生千兆网口。
在背板的USB口上插了一个USB 2.5G网卡和一个USB千兆网卡,扩展出两个网口。
就是用这俩网口来给上述两个防火墙系统做LAN和WAN的。其中WAN口连接到光猫(华为B610-4E,210固件)的LAN口进行拨号。
再说一下SOPHOS Firewall系统。功能上和FortiOS基本类似,界面风格差异很大。
主页面如下。
各种信息和图表显示很丰富,但不像FortiOS那样可以灵活地设置dashboard。
这次我也是匆忙试水,但自认为对LAN和WAN口的设置并无问题。
防火墙和NAT策略也应该是OK的,还特地删掉了默认的策略来禁用了QoS,但依旧解决不了网速慢的问题。
测试网速很慢,迅雷下载最大速度也不到30MB/s。USB网卡的网线也换过了,连接光猫那边的LAN口也换过了。但虚拟机两个网口都是USB网卡,是否有ESXi驱动的问题,不得而知,抑或是SOPHOS官方给试用账号做了某些限制?
不过,还是打算过段时间找一个合适的机器来物理安装一下这两个防火墙,做更进一步的试用,看看哪个系统可以替代我目前用的FortiGate,毕竟飞塔这个硬件配置低了些,而且也只有千兆网口。
家用还是硬路由吧,折腾UI那么好看有啥用😂 pdvc 发表于 2024-2-15 01:30
家用还是硬路由吧,折腾UI那么好看有啥用😂
硬路由我一大堆了,没啥好玩的,折腾防火墙就是一来好玩二来学点东西。 leonqin 发表于 2024-2-15 01:31
硬路由我一大堆了,没啥好玩的,折腾防火墙就是一来好玩二来学点东西。 ...
不如先换个2.5G LAN的光猫,突破下千兆,提升比折腾这些多。 pdvc 发表于 2024-2-15 01:38
不如先换个2.5G LAN的光猫,突破下千兆,提升比折腾这些多。
对互联网速度要求不高,我家一直用500M的宽带,完全足够了。我更看中的是内网的速度。 我也用过骚护士,简单的说它性能不行,不如pfsense或者opnsense,同时它免费版只支持4核心cpu,多余的被限制了不能使用 似乎这些UI都没有上dark mode的? pdvc 发表于 2024-2-15 02:17
似乎这些UI都没有上dark mode的?
Opnsense和pfsense都有Dark mode的,印象中 我试过用ROS+OPNsense+OP的复合软路由 发个坏消息,居然没人转,VMWare把免费产品砍了[困惑]https://www.servethehome.com/broadcom-vmware-ends-free-vmware-vsphere-hypervisor-closing-an-era/
老版的授权看样子不受影响?但以后估计是没有新硬件支持了[流泪] 高端的防火墙
哎
pdvc 发表于 2024-2-15 02:17
似乎这些UI都没有上dark mode的?
OPNsense肯定是有的,我都下载了好几个dark的主题,但也就是变个暗色改点CSS之类的,差别不大。SOPHOS刚才仔细看过了系统设置,也看了一些官方的文档,完全没找到可以设置主题的,只有WAF等地方可以自己定制错误返回页面这样子。 summerq 发表于 2024-2-15 02:11
我也用过骚护士,简单的说它性能不行,不如pfsense或者opnsense,同时它免费版只支持4核心cpu,多余的被限 ...
S这么弱的吗?我在esxi上跑的VM也是,主页面的加载卡卡的,让人震惊,我的宿主机可是6C12T的i5 12400桌面版,别的几个系统都很溜,就是S的后台好些页面都卡卡的,感觉是前端优化不足所致。但是弄个J4125或者N4100之类的物理机来跑免费版,千兆带宽总应该能跑满吧。。。 shrine 发表于 2024-2-15 07:36
我试过用ROS+OPNsense+OP的复合软路由
这个玩法有点6了,多年不碰ROS了,不知道现在它有没有好的WEB UI了? jcd_chh 发表于 2024-2-15 08:50
发个坏消息,居然没人转,VMWare把免费产品砍了https://www.servethehome.com/broadcom-vmware-ends-free-v ...
这个我早就注意到了。。。但貌似是不影响正在使用的授权的吧。不去管了,反正我的ESXi一直都是白嫖的,能用多久是多久。 pdvc 发表于 2024-2-15 01:30
家用还是硬路由吧,折腾UI那么好看有啥用😂
还是功能需要吧,比如科学之类的,怎么会为UI折腾 目前在用的4个系统,ROS、UnifiOS、FortiOS、Pfsense。之前用过半年的OPNsense,他家的V P N site to site和open V P N 新版UI逻辑改的我不能理解,不如Pfsense操作直观所以放弃了,之前上OPNsense主要是因为它支持ipv6前缀二次下发,而Pfsense不支持。更早之前还玩过Vyos、TNSR [偷笑]路由只用ROS一把梭 我觉着如果不用esxi模拟一档子的话,或许不会因为网速卡脖子,如果想切实体验,还是直接装最好,多一道手续,可能不知道什么地方设置不匹配,就会导致莫名其妙的问题 leonqin 发表于 2024-2-15 09:01
这个玩法有点6了,多年不碰ROS了,不知道现在它有没有好的WEB UI了?
ROS的UI,它就是非常geek。其实界面逻辑、功能安排、甚至那干净利落的画风,个人觉得都很不错。 shrine 发表于 2024-2-15 09:17
还是功能需要吧,比如科学之类的,怎么会为UI折腾
我主要是最近正对防火墙系统兴趣大,并且也在玩**。之前的主路由是ASUS、ER-X、小米和TP的,TP的**有但模式太少,别的方面功能也太过阳春已经玩腻了。各种openwrt也不太想玩了,感觉都千篇一律。所以才转来玩防火墙。 gaoyi124 发表于 2024-2-15 09:42
我觉着如果不用esxi模拟一档子的话,或许不会因为网速卡脖子,如果想切实体验,还是直接装最好,多一道手续,可 ...
嗯,这些天就是在找合适做防火墙路由的小主机了。其实之前买过一个5205U的6口千兆路由,玩OP,没用半年就放弃了,后来骨折卖掉了。目前市面上主流的软路由都是工控机风格,真的看不下去。二手鱼上倒是有些旧机器的外观看着不错,但配置硬件太老没法战未来。 coolbo 发表于 2024-2-15 09:31
目前在用的4个系统,ROS、UnifiOS、FortiOS、Pfsense。之前用过半年的OPNsense,他家的V P N site to site ...
受教!看来我可以尝试一下PFsense啦。ER-X一直是我的珍藏备用机,UnifiOS做路由实际很不错,不过貌似至今没有开放出来给第三方硬件安装是吗?有点可惜。 leonqin 发表于 2024-2-15 09:55
嗯,这些天就是在找合适做防火墙路由的小主机了。其实之前买过一个5205U的6口千兆路由,玩OP,没用半年就 ...
要性能就组个itx,散热好,体积稍大些,我是用的3770s搭配dq77kb和pcie的4口2.5g网卡,用了得5六年了,感觉还是挺稳的,esxi我也有单独的主机跑,看自己需求进行搭配才好 gaoyi124 发表于 2024-2-15 10:03
要性能就组个itx,散热好,体积稍大些,我是用的3770s搭配dq77kb和pcie的4口2.5g网卡,用了得5六年了,感觉还 ...
多谢建议。ITX还是太大了些。我只考虑软路由工控机那种尺寸的,并且低功耗被动散热。看来实在不行也只有买4口2.5G那种N4100了,基本符合要求,就是没啥外观好看的。唯一看着顺眼的是大唐的工控机,但实在太贵了,同配置比公模的那些贵出差不多一倍。 leonqin 发表于 2024-2-15 09:57
受教!看来我可以尝试一下PFsense啦。ER-X一直是我的珍藏备用机,UnifiOS做路由实际很不错,不过貌似至今 ...
ER X系统Edge OS(基于Vyos)早就被ubnt放弃了,我有俩豆出掉了,后来转投ROS了,RB450G x4是个不错的代替者,后来还入了RB4011、RB5009、CCR2004 我在esxi上配合2.5G猫棒,虚拟了一个OPNsense,E3 V5分配了6个核心,千兆宽带跑speedtest测试1200M,CPU占用不到10%,完美的实现了光猫路由一体化。你这个不能打开网页基本是DNS问题,也许是版本问题,最好用23年以前的版本 leonqin 发表于 2024-2-15 10:09
多谢建议。ITX还是太大了些。我只考虑软路由工控机那种尺寸的,并且低功耗被动散热。看来实在不行也只有 ...
小作坊的工控机别考虑了,给你两个建议
1. 300块钱的双intel千兆网卡X5-E3940精英工控小主机 i211网卡
2. 700块钱的silicom uCPE madrid desktop 软路由小主机 c3558 + 8 gb 板载内存 + 64gb emmc
2 i350 + 4 x553共6口千兆,2个光电复用 coolbo 发表于 2024-2-15 10:20
小作坊的工控机别考虑了,给你两个建议
1. 300块钱的双intel千兆网卡X5-E3940精英工控小主机 i211网卡
2. ...
多谢。大唐的工控机应该算是可以的吧。
第1个那种我在小黄鱼看到了,感觉外观可以的,符合我的审美,但就是CPU弱了些,网卡也只有千兆,等到时升级到千兆宽带后估计就得换了,只能算暂时玩一段时间。第2种silicom的也看过了,外观做工也很好,就是网口太多对我没啥意义,我有2.5G交换机,不需要这么多千兆口。估计我会考虑第1种。 leonqin 发表于 2024-2-15 10:09
多谢建议。ITX还是太大了些。我只考虑软路由工控机那种尺寸的,并且低功耗被动散热。看来实在不行也只有 ...
极致小巧的软路由就是高温,尤其是夏天,真是谁用谁知道,有些路,只能自己蹚一遍才能知道