求安全靠谱的家用 x86 软路由系统推荐

RouterOS

跟着作者的固件用了一年半了，感觉不错。 http://www.right.com.cn/FORUM/thread-174926-1-1.html

pfsense

为什么需要软路由？

@leloext 好主意，家里的 AP 和出口路由使用的是 openwrt(原版和潘多拉)，还没试过 x86 版本的 wrt ，回去试试看能不能跑一些之前的小程序。

---

@Love4Taylor 试着使用过一阵，感觉略复杂...= =

---

@lbp0200 因为有需求 ，家用全千兆网络（有线 /无线）设备活跃数量在 20 个左右，有两三台设备做 NAS 输出， 5G 设备略多，个人希望在路由上有大量黑白名单，所以选择使用软路由。: )

OPNsense ， pfsense 的一个 fork

@hezhile thx ，六月的下一个发行版的功能蛮诱人的： HTTPS proxy support / traffic analysis / Two factor authentication

debian testing netinst

却什么装什么,需要什么写什么,我就是从配置这个路由开始正式接触 linux 发行版的

@lbp0200

别人不太清楚,我的情况是,

1.处理运营商劫持,DNS 抢答,单向 RST.

2.局部地址 vpn 透明越墙,干净的国外 DNS 解析.

3.20 条线路均衡负载,总带宽 550M 下,100M 上.

4.BT RSS 挂机自动下载

前三条都逃不调和 iptables 有关系,买个洋垃圾刷个 openwrt 真带不动

@soulteary 这个固件集成了 debian ，也集成了 python ，可以跑些小程序。我没有多拨的需求，所以没用多拨，上软路由是要高转发和 AES 加解密用(你懂的)，现在用的是 3150 ，可以跑到~75Mbps 了，估计就是线路的极限上不去。

@KCheshireCat 感觉可以一试， apt 好评，不过直觉这个方案缺少界面= =...需要自己撸么

需求这个事情，千人千面不纠结，存在即（ or 质疑也）合理。

我现在选择是软路由 wan 口加一层关闭无线的 openwrt 做 dns 过滤，多拨；软路由 lan 口加一个交换机一级一台只开无线的 openwrt 做 AP ，感觉扩展性还好，安全性的话，只要软路由不搞反向链接和各种劫持我就能接受...

@soulteary

我是全程 ssh 连上去设置

用几个 linux 常见命令偶尔看下,并没有自己写管理界面,什么 top,iftop,uptime,这样的

出现奇怪的问题就 tcpdump 抓包看一下

然后写了个脚本 5 分钟一次检查 pppoe 和 vpn 是否掉线

然后定期自动重播 pppoe 重新设置负载,和清空日志

@leloext 大家都是好人，不给站长找麻烦，刻意忽略描述一些关键词，(捂脸笑。

我#11L 的回复中使用的方案，目前有线多台设备同步文件都是 100MB/s 左右（交换机和各种网卡立功）；

有线因为用的是 WNDR4300 ，只有 30 多 MB/s 好像，但是支持几部手机、平板、电脑、游戏机一起同步文件，看视频等。

----


@KCheshireCat 你的第二个需求或许走无特征的某 tunnel 会更靠谱，一到开会时间点附近， VPN 特征流量各种被堵...

PS: 你线路真多，看来小区棒棒的。

windows server+hyper-v 桥接，虚拟机里 LINUX 或者 OPENWRT
电脑可以连电视看片斗地主

哈哈，又一次证明国产货能不用尽量不用

openwrt

@soulteary

恩,我跑的是一个我模仿网上现成的代码写的隧道,但是效率非常差,最近都在头痛这个事情,半吊子就是惨

我都是移动的线路,只是简单地叠加带宽,要是不同运营商的话还要好好写策略

果然免费的又一次变成最贵的了
不过我也挺惊奇……这事竟然才出来……一直以为软路由用户也算是比较有技术的群体……才发现？

@walkman660 之前这样做过，现在还有两台小机器残留着这样的『 feature 』...

这样做有个问题，这台设备最好不要有重启更新这种事情，因为别人都连着它，依赖它做中转呢，但是 win10 的更新，你懂的。

还试过用 win2k3 配软路由，用了几天，对比了一下路由专用的 os ，实在是配置略麻烦，而且软件也缺的比较多（比较 debian 系 /openwrt 发行版），个别功能还需要自己写脚本调用 WMI 来搞...

虽然使用软路由了，但是节能还是要考虑的...个人不偏向直接使用大功率的笔记本或者台式来做这个事情...

----

#12 @KCheshireCat 我觉得你的需求可以用『洁净』后的爱快...简直不要太偷懒...然而这个『洁净』操作，可能挺麻烦的。

----

@missdeer 潘多拉 /石像鬼也是国人智造的说，基于此派生出来的各种『智能家具 /路由设备』不在少数... / 还是回归正题，讨论靠谱的系统吧，不要在意这些讨厌的渣渣了。

----

#17 @KCheshireCat 我是两条线路，小带宽考虑直接再挂一个路由给各种插座 /监控使用了，大水管学习&娱乐，两条带宽叠加&多拨，各种麻烦事....

@KCheshireCat
@soulteary
为啥你们都可以多拨。。。我的移动光纤入户，死活都多拨不了（或者是我姿势不对？）

@KCheshireCat 乃能不能给一个联系方式（ telegram 等），想请教一下如何设置 iptables 才能避免被运营商各种劫持，我是联通，感觉总会被劫持到缓存服务器

@soulteary 求问软路由硬件方案

@DesignerSkyline

看看 iptables 的 U32 模块的用法

用 iptables 来 DROP 包不能只考虑 http 协议这层里面传输的数据信息,
去抓包,去抓 isp 到底发过来那些包,然后对比 TCP 头,IP 头,有什么异常的地方
包的头部的特征用 U32 模块匹配是相当容易的.

你也可以翻翻我的页面的"最近回复",我在很多主题里都提过拦截这些抢答包的构想和实现,
但是我没法直接帮助你,我们的宽带运营商不同,抢答包的构造和方法也很大可能性是不同的

本来我想用站内信之类的功能来交流的,但是 V2EX 似乎没有这样的功能

@EchoWhale 各地运营商不同，还有可能你多拨软件有问题…

@DesignerSkyline 第一个问题可以参考关键词，自建 dns, tunnel, redsocks, chinadns

第二个问题，选择功率低的 atom 或者奔腾小主机，根据自己需求适当加其他设备即可。

既然是 x86 ，上虚拟机 + RouterOS 。
RouterOS 纯路由，其他的功能用独立的虚拟机跑完事。

RouterOS

直接上 FreeBSD / Ubuntu Server

@gamexg #19 有提到一些，另外个人适合跑这些的低功率设备(带硬盘跑一些小程序和服务，耗电 20w 内)比较古老， N230/N270/D525 都不适合这个方案， N3250 虽然支持虚拟机，但是缺少双网口支持，而且会降频……

笔记本或者娱乐设备功率太大了…

我推荐 RouterOS

L4 授权足够家用了 不过价格也好像要一两百块 再算上你的硬件开销

因此更推荐直接买现成的 RouterBoard 已经自带授权了 价格挺好

@JackBlack2006 求推荐前端管理界面，不然过个半年各种忘记当初如何折腾的…(可以类似 webadmin ，折腾完还能 share 出来福利大家)

@dommyet 感谢推荐，我去看看是订阅制还是版本终身付费。

Ros 或者石像鬼

虚拟机 + openwrt x86 + R6300v2(纯 AP) 公司用
netgear R8000 刷 openwrt 家用

其实 Linux 已经是自带全功能的路由， iptables, hostapd, dhcp, bind, 再加上自编译核心，就看你自己怎么配置了。

@soulteary 授权只会和你说 Upgradeable to version xxx 然而放心好了 5.x 时代就是可升级到 7.x 了现在五六年过去了吧版本才好像是 6.3 这样 Routerboard 的话好像是无限的？具体真的不太记得反正用就是了短期内不会过期

你们都用什么硬件啊？我有块主板 B85 有双千兆口，再买个交换机是否也可以装 linux 做路由

@phx13ye 把 Linux 配置成交换机也可以，按需要端口量加网卡。

楼主在杭州的话，转让未使用的软路由，全新 CCR1009-8G-1S, 带万兆 SPF 口

正版 RouterOS 良心之作

家用直接路由器不够么？

x86 直接安装 linux 自己配置 还可以学习 linux
一般家用的话够了吧

@dommyet RouterOS 没什么天朝黑科技可以玩

openwrt 自己配置

@jasontse 如果自带的功能还不能满足你的话那你用 metarouter 跑一个 openwrt 即可 随意折腾

在用 Panabit

@dommyet 看起来付费不怎么坑。


@phx13ye 挑选手头千兆网口多的带 sata/usb 多的 x86 机器即可，功率捡小的上，一般情况带硬盘 20w 内都能接受（一个月可能差不多一个企鹅会员左右的电费，手头有一个 n3250 跑满 10w ，但是网口只有一个）


@webdev 楼主离开杭州久矣，答主隐约透露壕的迷之气息。

@fzinfz 感谢推荐，稍后看看再说。


似乎还有一个 openwrt 加 chroot linux 的方案可以兼顾两个平台软件，等回家后看看…

@soulteary 爱快为什么会需要洁净 。有什么秘密吗。

@Had 感谢推荐。

@GPU 好吧 ，刚刚打开了 anywlan 的帖子知道了。

@GPU 详细事件帖子链接有说。

routeros 啊!
嵌入式的就 openwrt

趁机问一下， hyper-v 开虚拟机做路由，那么宿主机想通过虚拟机上网要如何设置？
我添加了一个宿主机-虚拟机的网卡，然后设置网关为虚拟机后连 ping 都 ping 不通，同样的操作逻辑在 vmware 上面测试过却正常使用，不知道有没人能发个设置看看？

@digimoon hyper-v 虚拟机直通网卡么？不能直通的话速度会很感人吧？

随便装个 linux 不久行了？ 并不觉得还需要什么专门的路由系统。

@21grams 参考 9L 13L

@soulteary 你说的这些在 linux 上那个不能实现？

@21grams 感觉不需要较真，因为配置一台 linux 服务器，易用性和时间成本高于业界流行靠谱的路由系统，如果你实在觉得没必要，不需要参加讨论，可以节约回复和浏览时间成本。

@soulteary 我回你一句呵呵，很节约成本。

@leloext 请问您无线网卡用的是什么，手头的 rtl 系列的速度太差了

@21grams 已 block

@soulteary 已 block

@zhengnanlee 如果有闲置路由，或者不想浪费一个网卡，或者网卡非 pci ，可以试试 软路由加一个路由做 AP ，用六类线连接，速度蛮靠谱。

@zhengnanlee 路由器里面的无线网卡吗？我软路由没有无线网卡，只做拨号和转发功能，无线是用另外的无线路由器做的，纯 AP 形式。

上了一课

@dommyet 正确

@soulteary WIN10 不太靠谱了， 2008 或者 2012 靠谱些。功耗不是问题， INTEL 低功耗的 U 很容易满足，比如 N3150 ，整机 23 瓦左右。要连电视之类的就用 2008 或者 2012+虚拟化，不需要就实机装 LINUX

x86 的路由那性能简直是不摆了, 15 年前就有个叫 bbagent 的基于 Linux 内核的固件, 可以用一块 1.44M 的软盘在 x86 的电脑上跑起来. 当时我用一台学校二手市场上淘的 IBM 原装 286 电脑用 bbagent 做软路由, 支撑了整个寝室楼 400 多号学生上网的流量, 无论是网游, 还是在线视频都完全没问题, 运行的 3 年来除了寝室因为市政停电之外重启都没有过, 超级稳定

@Had 看了一下，好像不开源...有点不敢用了 : (

---

@walkman660 看来你有故事...赞同选件，我有一台 3250 ，加一块 SSD ，一块机械，满载 10W 好像（完事再确认一下），可惜单网卡，暂时不想上 USB 外接，或者放弃目前的外壳，比较尴尬。

在对比 @hezhile 推荐的 OPNsense ，比较多人推荐的 openwrt x86 、 RouterOS 。

@ipconfiger 这个听起来屌屌的!....

Router OS 感觉也并不是很复杂吧…我家里用的都是这个

@shakespaces 是的..不过话说回来，现在的各种基于 OpenWRT 的界面 /功能封装真的是可以惯坏(懒)用户...

记得当年毕业设计的选题其中一个就是写一个软路由, 不过当时 web 管理还不是主流, 所以命令界面还是通过 snmp 协议, 不过我觉得加个 web 的壳应该还是多简单的. 从设计的角度来说, 功能越简单性能会越稳定, 那些花里胡哨的功能大多数都是稳定性杀手,比如极路由什么的, 装两个插件就死翘翘了, 简直弱鸡爆了. 愿意折腾的话淘宝买个 x86 的低功耗工程机, 找块小 SSD, 其实运行起来都是在内存里运行和硬盘快不快的没关系, 但是 1 是现在 ssd 便宜, 特别是小的,64G 什么的 2 是重启的时候肯定可以快很多. openwrt 能支持 x86 平台, 装个当前最新的稳定版即可. 要是不想折腾银子也够的话, 买个水果的时间胶囊, 我用了 2 年, 除了停电 0 重启, 性能超强超级稳定, 除了少了那些花里胡哨的功能外

我入了个研域工控的 J1900 四网口路由上 openwrt ，接 ac68u 当 ap ，家用，感觉好浪费

@soulteary 这样的话，软路由可以起到什么作用呢？除了拨号，转发，还可以有别的功能吗？
@leloext 问题同上

@soulteary
@leloext

我明白了，将这个无线路由器的 LAN 接到软路由的 LAN 上，关掉无线路由器的 DHCP 功能，相当于一个无线的交换机，也相当于软路由的无线网卡，对吗？

http://www.right.com.cn/forum/thread-156033-1-1.html 希望对你有启发

@zhengnanlee 对的 一定要把无线路由的 dhcp 关掉，这样无线路由就可以安心做无线网卡了。 另外软路由可以做的事情还是很多的，比如做个小型的 nas ，下载机，跑些脚本之类的，做 nas 的时候如果硬盘多的话要注意供电。

@yueye 建议用 1.8 或以上，因为 1.8 以前，标准的 ipk 包不能用 opkg 安装，略麻烦。

@leloext 0 0 作者没有开源吧？你不怕有问题？我只是发个链接给楼主看看，叫我自己用，我还是有点担心的。

另外如果用工控机自己 DIY x86 路由器的话, 你还要自己多掏钱买 AP, 拿无线网卡来代替始终是敌不过专业的无线设备的

@yueye 我倒不担心。 1 ：如果是不开开源就怕有问题的话，先把 win 和 osx 之类的全部放弃。 2 ：就算是开源了，你也没精力把每行代码都看了。 3 ：个人用户用户没必要担心这个了，你又不是干坏事。 4 ：开个脑洞，没准已知的算法都有后门，又能防多少呢？

@ipconfiger 多数事情你说的是对的，比如『多花钱省时间少折腾』、『需求尽可能简单，功能职责尽可能单一』。然而实际应用，如果超过 10 个设备同时在线（我一个人就有大概二十个左右的设备在线，并且 5G 设备不少），路由本身做转发和 AP 的负载就很高了，还要兼顾各种其他的服务，简直是『不拿路由当"人"看，惨绝"人"寰』... 关于界面这个，功能简单还好，一旦复杂起来，自己折腾界面蛮坑的（特别爱好折腾除外，一直做 WEB 开发的飘过）

---


@cye3s AP 绝对浪费，主机如果是单系统缺实感觉稍微有点浪费...

---


@zhengnanlee 是的，随着你无线设备需求的提高，你可以随意换 AP ，把老 AP 还原成路由模式送人（路由专业芯片做只做 AP 完全抗的住原来扛不住的无线设备数量）。/ 软路由如果选择系统得当，有花样多的软件，而且有各种硬件接口，扩展？ PCI/PCI-E/USB/SATA/M2 ，绝对够你玩各种花样了，带宽叠加，各种定时任务，各种拆包做小 99 ，各种吃 CPU 的操作，比如我们提到的某 AES 加解密，或者 5G 设备的加解密（无线加解密特别耗性能）...

---


@yueye 谢谢，我觉得这个作者做的事情很赞，这几天把他搞的 x86 的帖子和固件都试了一下，感觉还不错啊。

----

#73 ， @yueye ,石像鬼本身开源的，插件编译不麻烦，调优感觉费时。

---


#75 @ipconfiger ，是的，没有芯片转发加速，以及缺少温度控制等，所以我倾向用软路由+无线路由做 AP ，价格比单纯软路由+一般的无线网卡贵一些，但是灵活性会高一些，价格会大幅低于高端路由的价格。

---


#76 @leloext 这个还是有一些顾虑的，不需要往带着热情做事的作者作恶的角度想，单从固件可能带着 fork 源的 bug 的角度想，蛮忧桑的。毕竟这个下面接着你的家用 NAS ，开着各种端口的机器啊。

@soulteary 觉得有顾虑就可以不用的，每个人选择不一样的。这个作者也是死党的好朋友，也了解他的情况，觉得他没必要做这种后门，自己也没精力去查代码，嘛，就选择相信了，信任使一切更简单。呃，这没有安利或其它的意思，纯粹是我自己的想法和做法，供大家参考而已，不喜请勿喷 -_-

@leloext 嗯，求同存异。（感觉你把回复两个人的话合并在一起回复了...）

@leloext 你认识作者啊?太好了,作者他有博客或者推特账号吗?我挺好奇他开发这个固件的故事的,开发插件他是用的什么语音?

@soulteary http://www.ydstech.com/prod_view.aspx?TypeId=50001&Id=132&FId=t3:50001:3 在用这一款，装上了二楼提到的固件，正在试着用其他的功能，感谢！

@zhengnanlee 看起来板子不错，配个盒子完美；我在尝试 @Had 推荐的 OS ；感觉这类 OS 同质化蛮严重的。

PS ：这个 OS 之前版本也被爆有后门，以及有劫持...不过这个 OS 的协议库更新比较频繁，私以为只有靠谱的协议库才能做靠谱的 QOS （这个或许也是 OPENWRT 未来的方向吧，爱快就是基于 OP ，添加了这个功能）

@soulteary Panabit 还算良心，我是用 J1900 装的，就负载均衡能力来看， Panabit 比 ikuai 好些

@Had 数据估计得虚拟机多装几套系统，跑分来看了， CH 好像有一篇旧的跑分， ikuai 的优化能力蛮不错的，奈何..

题外话，关于系统基础，这个也会影响负载均衡的能力（资源占用角度）：

- panabit 选择的似乎是 BSD （这几天试用略多，感觉选择 BSD 的厂商挺多的，但是不知道为啥）；
- ikuai 选择的似乎是 openwrt 12.09 （选择 OP 作为基础系统的厂商更多了...）

突然想起来了， panabit 使用的系统甚至安装和 pfsense/OPNsense 一样... @Had

@soulteary 好像是之前 Panabit 还没有路由的时候，一般的部署方案就是和 pfsense 装在一起...

@Boki 一些高级功能自己配很麻烦吧？

@yueye 不好意思，我写得有点问题，应该是那个作者是我死党的好朋友，我暂时还不认识他。你问的问题不太方便问他，见谅。据传他是想学下编译而做这个东东的。

@cye3s 哈哈，和我一样的配置

@Had 再次感谢，目前使用 panabit 中，: )

稍后整理成文，分享一些配置经验，互相探讨下（或许你也可以先 share 一些）。

---

PS ：参考修改爱快固件的方式，似乎也可以修改 panabit ，有兴趣的童鞋可以试试。

@hanqi7012 软路由多是网吧在用吧，他们用的各种系统和软件乱七八糟的东西都很多。他们应该是能用就行，有劫持广告什么的也无所谓的。

@soulteary 为什么不用 Atom D525 ？功耗太高？ Benchmark 分数 D525 是 N3700 的一半的样子，可是我手头上有个 hp 的 Thin client ，价格超便宜，准备用来试试看。

@shijingshijing 主要原因：

1. 性能差一些，个人使用 wd+黑群晖进行数据交换 /储存，考虑迁移和管理成本，把群晖和 Panabit 以及一些其他的小功能约束在虚拟机中，如果使用 D525 ，只有同时开两台小主机了，功率大概是 3700 的两倍+。

（群晖环境编译 openwrt 软件巨麻烦，我是放弃的...）

2. 硬件可替代性不太好，如果 N3700 挂了，淘宝订单再来一份（时间越长，同款硬件越便宜），不算快递时间半天之内，个人之前使用的功能是恢复回来的，小主机的话，需要+1 台一样的。

（如果你愿意，可以准备两台，一台做备机）

3. 跑分这个呀都是浮云，实际用起来，同核心主频差 0.3GHz 的机器感受都很明显，更何况差了好几个世代的产品，况且出了主频外，缓存，带宽各种都差很远 = =...如果计划自己 diy ，不要考虑入 3700 ，如果你不做媒体播放器的话，视频接口全部浪费了。


如果硬要利用 D525 并享受千兆网卡的福利的话，我会选择把 D525 放在办公室一类的地方和小伙伴用群晖共享文件，以及跑几个负载低的 docker 应用。


最后，左下角的一堆小主机，找个时间该挂咸鱼了...

@soulteary 写了这么多。。。。

目测有 PS4 ，还有难道是用了很多笔记本来做服务器？
赞这个机架，真是处理的好。