OPNsense on Takuron

OPNsense使用记录03：IPv6网络配置

Sun, 29 Dec 2024 00:00:00 +0000

IPv6（Internet Protocol Version 6）是网络层协议的第二代标准协议，也被称为IPng（IP Next Generation）。它是Internet工程任务组IETF（Internet Engineering Task Force）设计的一套规范，是IPv4（Internet Protocol Version 4）的升级版本。随着国内大力推进IPv6网络的建设，目前启用IPv6与IPv4的双栈网络可以在不影响网络质量的同时获得具有公网IPv6的诸多便利，这里专门介绍一下如何在国内家宽条件下在OPNsense中配置IPv6网络。

IPv6基础：为什么应该使用IPv6

本人不是猫在机房的运维，这里主要介绍家用环境有用的实践内容和也许可能大概有用的个人理解，如有错误欢迎批评指正，更多详细的基础理论可以看这里： IPv6基础曹世宏的博客。

很多人都知道IPv6具有的巨大的地址空间及其带来的公网IP不要钱，但IPv6并不只是IPv4++，比起地址空间扩大更重要的是整个协议的技术细节都进行了升级，就说对我们使用来说最重要的，其配网难度和效率都获得了提升，且一些IPv4的常见问题也获得了一定程度的解决。个人觉得最重要的其实是其自动配置和去中心化理念。

IPv6地址在小规模网络中大部分都可以通过SLAAC(Stateless Address Autoconfiguration，无状态地址自动配置)来获得，而这个过程本身的底层逻辑是终端设备自行声明检测冲突，不需要繁杂的手动配置或者DHCP通告。很多人会注意到即使在纯IPv4的网络中也会在Windows设置里看到一个IPv6地址，这就是在你网口本身启用了IPv6协议栈后尝试通过NDP（Neighbor Discovery Protocol，邻居发现协议，用于代替IPv4的ARP协议和ICMP路由发现）获取全球唯一地址的同时先行声明的链路本地地址。这个地址无需任何网关或者其他二层设备，而且由于无状态地址的声明机制和乐观DAD（Duplicate Address Detection，地址重复性检测）的存在，只要没有收到其他设备发送的ip冲突的邻居通告那么终端设备就会自己完成这个简单地本地链路建立，此时如果有其他设备与其同处一个二级链路他们之间的网络就已经自动配好了（本地链路地址根据MAC地址生成，很难冲突）。

至于公网地址同样可以不依赖传统的静态配置或者DHCP，路由器在通过NDP建立路由表的同时会进行路由器通告，若选择只使用无状态网络则只需要路由器通告默认路由地址和网络前缀即可。在无状态网络下客户端会根据路由器获得的前缀（类似IPv4的网段）自动生成至多3个IPv6地址并进行DAD后即可使用，无需路由器的更多干预。这种无状态的配网可以说解放了小规模网络里面路由器的大量任务，客户端本身就能独立自动配置大量信息有效的提升了组网能力。

而且最重要的是，这些并不是强制的换代。IPv4和IPv6的双栈网络可以同时保证兼容性和利用上新的特征，且在管理要求更高的企业那位中你仍可以选择DHCPv6和NAT这些传统的管理技术。至于其他的类似更简洁灵活的报头、自动检测链路MTU同时解决v4分片的问题、更强大的组播和更好的移动网络支持之类的，老顽固们不关心也不在乎，毕竟对他们来说问题只有不安全和麻烦。

OPNsense中为家庭网络配置IPv6

默认最佳设置

其实这个设置在第一篇中已经基本配置完毕了，这里的设置基于山东联通家宽。

首先在接口/wan口获取可供分配的前缀，这里一定要勾选的只有使用ipv4连接获取，请求前缀长度在国内家宽会被直接无视可以不用设置，委派的前缀也是从56bit到直接不允许继续委派的64bit参差不齐，如果需要设置可以照着后面获取到的前缀长度来设置。

lan口的IPv6设置为跟随wan口且允许手动调整DHCPv6和服务器通告。

然后我们打开服务，路由器通告设置。这里路由器通告的设置类型详细可以直接参考官方的注释，如上文所说，家用环境中直接只启用SLAAC即可，因为像Android这种消费级设备据称很多根本就不支持DHCPv6。然后为了简洁这里直接取消选择使用DHCPv6的dns设置。

这里为IPv6配置再设置一下DNS，其实对于双栈网络来说设置IPv6的DNS服务器不是必须的，通过IPv4的DNS查询也可以获取AAAA类型的解析来进行IPv6访问。打开AdGuardHome，找到设置这里的设置向导，这里显示了所有AdGuardHome绑定的接口ip，这里可以记下pppoe接口的本地链路地址设置给IPv6通告。

再次查看AdGuardHome的日志可以看到已经有来自IPv6的查询记录。

DHCPv6的设置

当然你依然可以选择传统的DHCPv6，先讲直接分配公网前缀的方法。当你按照上述的wan口拨号配置正确获取到了IPv6前缀且lan口正确跟随后，打开服务/DHCPv6可以看到你获取的前缀。此时只需要设置子网可分配范围和前缀委派范围就好了。前者类似DHCPv4，后者则允许下面的路由器继续获取子网前缀，所有这些设置只需要设置后缀的范围就可以了，前缀会根据wan口获取的产生变化，按照IPv6简写方法省略即可。

同时你也可以选择设置为局域网地址，这里我们回到lan口，修改IPv6为静态，然后从IPv6的内网地址段选取一段作为局域网地址。此时可以看到DHCPv6也会跟随变化，此时就可以使用IPv6的局域网地址了。

不过不太推荐这样设置，自动配置的本地链路地址已经能满足大多数情况家用局域网的局域网互访需求了。这样为了保留IPv6公网能力还需要配置NAT转发或者NPTv6来做和公网地址前缀的映射，这里我不太需要就不详细演示了。

OPNsense使用记录02：第三方软件源和AdGuardHome配置

Wed, 27 Nov 2024 00:00:00 +0000

为了更好的管理家庭网络，我们可以为OPNsense添加更多类型的软件来实现更多功能。

添加第三方软件源

首先为了开启第三方源我们要启动ssh，这个选项可以在系统/设置/管理里面启用安全shell（不建议持续打开，在配置完成后建议关掉）。

然后用你服务的的ip登录ssh，这里我选择的是Windows11自带的终端界面，PowerShell里面提供了ssh的登录程序我们直接敲命令登录即可，用户名密码即为你安装的时候的用户名和密码。

输入如下命令：

1

fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf

然后更新缓存

1

pkg update

此时打开系统/固件/插件里面搜AdGuardHome，如果有显示即说明mimugmail源添加成功。

启动AdGuardHome

AdGuard Home 是一款全网广告拦截与反跟踪软件，安装在路由器后即可充当dns服务器对整个网络（通过dhcp设置dns）的设备的dns请求进行处理和广告过滤。

首先在上面那个界面点击加号安装AdGuardHome，下载完成后刷新网页，如果能在服务里面看到AdGuardHome即为安装成功。

在启用AdGuardHome之前我们先关掉自带的Unbound DNS，这样我们就可以直接让AdGuardHome监听53端口了。打开服务/Unbound DNS/常规，取消启用（这里我顺便给了个其他端口免得出奇怪问题）。

此时启用AdGuardHome，浏览器打开你的网关ip:3000 的网页，就可以开始进行常规AdGuardHome配置了。

AdGuardHome个人配置

AdGuardHome网上的各种教程就比较多了，这里就简单分享下个人的配置方式。注意以上规则是适用于局域网dns分发的规则，自建dns服务和终端设备使用的契合度请自行设计。

dns上游这里我选择了思科的OpenDNS并且直接ip访问DNS over https，其没有污染、支持EDNS的同时访问速度亲测在国内还算过得去，不过为了提高效率建议手动拉大缓存容量并且开启乐观缓存（你不开很多上游实际也是乐观缓存，所以开就行了）,然后选择了阿里和DNSpod做后备,启用EDNS提高查询准确性。实测在乐观缓存条件下响应时间整体在50ms以内。

更多DoH服务器列表可以参考下这个帖子

广告过滤规则我选择的是217heidai/adblockfilters中的DNS拦截版本，只用开启这一个就好了。

OPNsense使用记录01：安装与基本配置

Sat, 16 Nov 2024 00:00:00 +0000

自从去年受够openwrt各种插件之间的兼容性问题和遭遇了n5105小包总线速度问题导致的系统崩溃之后转向了OPNsense系统。作为一个专业的开源防火墙，其中文资料却少得可怜，去年第一次装的时候就准备全程记录一下配置的过程，一直因为时间问题没能实现。到了现在软路由硬件都换了一遍，结果再装还是资料少的可怜频频踩坑，故开坑记录一下，免得我自己也天天往一个坑里跳。

前置条件

能选择这个系统的应该对软路由硬件挑选已经有自己的见解了吧，OPNsense 是基于 FreeBSD 的开源防火墙系统，理论上有驱动的硬件你随便选就可以。这里本人使用的是畅网n100的四网畅想版ddr4的版本来安装，并不是什么高性价比的东西单纯偷懒。内存为8g，硬盘则是用了一个傲腾16g，反正不记录log只装系统我就没见过用爆的，本身量大寿命又长，除了强制要有m.2口外其实很适合做这种工控机的系统盘。

这里可以查到官方的硬件要求。

你可以在这里下载到OPNsense，下载类型选择amd64和dvd，镜像国内选北京大学的即可。下载好后可以直接用rufus写入u盘安装。

系统安装

因本人没有采集卡并且不喜欢拍屏，故本节非web界面的截图均来自b站@狐狸Nomad，顺便感谢大佬的指南。

从u盘启动，一直跑马直到出现“Press any key to start the configuration importer: …”。不用管。

等到跑马出现“Press any key to start the manual interface assignment”的时候，你可以点击任何键来配置接口，在这里你可以手动配置一下wan口和lan口。但由于OPNsense的逻辑和openwrt不太一样这里的lan口只能配置一个，我倾向于直接跳过回头webui里面配置。如果你需要改可以按提示设置一下lan和wan对应的网口，其他选项除了最后保存全都直接回车跳过即可。

然后就提示登录了，这里我们可以看到OPNsense为我们启动了一个体验版的系统，你可以连接lan口来体验。这里我们登录安装账号来开始安装到本地，在24.7版本安装账号名为installer,密码opnsense。

登录后就进入了安装界面，选择默认键盘布局。

选择安装的硬盘分区格式，现在默认就是ZFS选择就可以了。

选择冗余模式，你可以在这里给系统做软raid，这里一块盘选stripe。

选择安装的硬盘

然后就开始安装了，安装结束后会显示这个界面，建议在这里修改一下root用户的密码，回头你需要用这个密码登录管理界面。

重启，然后等待到提示登录时按照显示的lan口和网关地址打开浏览器就可以看到登录界面了（ssl证书错误请直接了解详细，仍要访问即可）。登录用户名为root，密码为你上一步设置的密码。

然后就可以接上wan口开始配置了。

基本配置

初始化

初始化其实按照引导一步步设置即可，首先设置时间和时区，这里可以改成阿里的btp服务器也可以不动。

设置主机名、dns和语言，这些我们都不用动后面会用AdGuardHome。

这里有一个图少截了，会问你WAN口的类型，我这里还没插网线直接选的pppoe但没给账号密码，如果上一步你接上了网线可以这会儿就配置了。

设置LAN ip和网段，选一个自己喜欢的局域网网段即可。这里我写错了网关地址应为172.24.0.1。

然后机器就会重启，初始化就基本完成了。

启用所有LAN口

pfsense和OPNsense的第一个坑就是他们的接口（interface）都只能实际绑定一个物理网口，如果需要给几个网口做默认桥接就要每个网口单独设置一个没有网络的接口，然后用网桥连接这些接口后绑定在LAN上。这和openwrt的习惯是不一样的。

我们现在就来把我这个机器的igc1/2/3设置成互相桥接的LAN口，目前我已经给igc1在安装的时候设置成了机器的LAN，所以我们献给igc2/3建立一个网桥。先建立两个接口，分别绑定物理的网口2/3并启用，不需要任何ip设置。

然后我们建立网桥，在接口/其他类型/网桥里面点一下加号，将刚才新建的两个接口加进去。

进入我们原先的LAN接口，把LAN接口改成我们新建立的网桥，保存。（注意所有的接口配置都需要二次选择应用才能生效）

接入网口2/3，再将已经释放的igc1同样的创建接口并加入网桥即可。

防火墙初步

以上述方法设置的LAN口虽然都可以正常访问网络，而且我们实际做局域网DHCP和NAT的“LAN”接口的规则是进出全部放行，但由于我们引入了新的接口，而这些接口的默认规则是放行出口禁止进口，这样会导致局域网下设备无法互相访问。

我们点开防火墙/规则，随便选择一个lan口，加号新建规则，这里我用最简单的方法先放行了所有LAN网络下的主机的入站，这样可以把最需要解决的局域网互相访问先处理好，后续感觉应该修改掉LAN口的全放行来控制流量更符合家用的环境。记得保存完规则后刷新让防火墙生效。

拨号、DHCP和IPV6初步

我们转回到接口WAN，这里以山东联通普通家用有v6的环境为例进行拨号和通过上级路由分配ipv6地址。PPPoe设置非常的简单，只需要在这里写你宽带的用户名和密码就行。

然后是ipv6，拖到最底下可以看到DHCPv6客户端的设置，这里比较重要的是使用ipv4连接和仅请求地址前缀（request prefix only）必须打开。前缀委派大小和发送前缀大小这俩开与不开意义不大反正会被运营商美美无视。

在LAN口中打开允许手动调整DHCPv6和路由器通告。

此时打开服务/DHCPv6，如果宽带能正常获取ipv6前缀应该可以看到分配的网段，长度从56bits到64bits不等，说明获取ipv6前缀成功。（不过先不要用DHCPv6，我们现在先用SLAAC分配v6更加方便快捷）

我们打开服务/路由器通告，将通告模式设置成unmanaged仅使用SLAAC分配ipv6，这样最基本的拥有ipv6地址就做到了，后面我们会更详细的设置DHCPv6。

同一级菜单下还可以改变DHCPv4的设定，最需要设置的可能是类似我这种给了更大的局域网网段，这种情况下DHCP可选的ip范围还是不够使用的话可以手动选择范围。

更新备份杂项

转到系统/固件/设置，这里可以先把更新源改成国内的，然后保存返回状态进行更新。

系统/设置/其他里面可以修改主页温度传感器的温度源，志强用户还可以开启硬件加速。

系统/设置/任务里面可以为系统设置定时任务，这里我让他每周重启。

最后我们可以吧已经配置好的配置文件下载下来，这样出现问题直接上传配置文件即可恢复全部设置了。

结束

最后吐槽一下国内折腾软路由的，表面说支持开源和稳定，实际用着各种高大全魔改TUN的固件，为了开个魔法上网拒绝一切技术进步，ipv6这些和全局魔法冲突的统统全杀了还是避免不了不同模块打架出奇葩问题。你要和他说起稳定转头就投了有黑历史的闭源ikuai，就这样还热衷于all in boom建议两个全都真是系统简洁明了稳定。

我个人不喜欢纯粹的全局代理，因为没有一个固定的规则让我满意能完成我的一切需求，毕竟人的需求也是会根据实际情况变动的。个人还是更喜欢细化的给每个需要分流的软件单独设置代理，浏览器直接用两个，这种手动分类才是效率最高的。