pfSense建立新家網路

前言

Blog主在九月的時候搬家了，在上一篇文章裡Blog主也有提到一些。在搬家前，Blog主也花了點時間用pfSense搞了一台自己的軟路由／防火牆，並適用了自己想要的特殊路由規則，執筆的當下剛好用了快兩個月，上來分享一下心得。

裝置

RS41k

在選擇灌pfSense的裝置上，基本上市面上的x86的電腦都能灌，只是看功耗在全年運轉時，實不實際而已，所以對岸有些廠商會出省電版x86 CPU配複數NIC的產品，專門就是打這部分的市場。另外一個選項是pfSense自家出的Netgate系列產品，但跟前述對岸廠商出的產品比，價格偏高，但就Blog主自己蒐集到的網路評價來說，Netgate系列的產品耐用性會比較高。

Blog主因為在這方面算是新手，一開始不想投太多錢，但又想要比較多NIC的裝置，同時也不想用舊電腦配網卡開24小時浪費電，最後選的是對岸的產品，一間叫HUNSN的公司出的，名為RS41k裝置。這台裝置配有四個I226的NIC，能每個都上2.5G，CPU用的是Intel N4500，配有4G Ram，無名廠的64G SSD，以家用網路裝置來說已經綽綽有餘了。

ASW205T

原本Blog主為了實驗買了兩台Netgear的網管型1G Switch，低階的GS308E跟上一階的GS308EP，用起來也很上手，特別是較高階的那台，UI做得很好。不過因為後來Blog主買的防火牆用上I226，就有點手癢想上2.5G。而且最後網路規則都靠用切網域達成，不需要Vlan，也因此Blog主的需求變成單純的增加2.5G Port而已。最後看了一下市面上便宜，但還算有牌子的Switch，剛好日本ASW205T有特價，就買了一台，目前已經使用一個月。

ASUS TUF-AX6000/AX4200

TUF-AX4200（上）
TUF-AX6000（下）

除了一台舊的RT-AC68U，這次Blog主為自己新買的WiFi機是華碩的AX6000跟AX4200，原本AX6000的沒貨，所以先買了AX4200，一邊等AX6000來。Blog主有一台Quest 2 VR，目前是Blog主房間放一台，客廳放一台，兩台都是AP模式，開啟WiFi Mesh，玩VR時剛好在客廳的WiFi機前面。

pfSense

關於pfSense的操作，Blog主看的是Lawrence Systems的教學，也成功實現自己想要的LAN切割跟防火牆設定，pfSense基底還蠻原始的，很像把Linux的iptables那套指令GUI化一樣。

目前Blog主家裡的網路架構

Blog主其實目前想要的路由規則不算複雜，有三個區網介面，一個WAN介面。WAN介面擋住所有外面的主動連線，三個區網界面都提供DHCP服務，其中一個是主要區網，能夠連上防火牆本身（pfSense）的Web管理畫面，也能夠主動連線其他區網，而其他兩個次要區網界面，不能連上Web管理畫面，也無法建立主動連線到其他區網，有點像是訪客網路。

遇到的一些小事情

有時還是市售裝置方便

老實說，Blog主後來發現，如果要切很多區網給一些要隔離的家用裝置，而且又只需要WiFi的話，還是市售的WiFi分享器方便。不然就算買了很多NIC的裝置灌pfSense，或著用Vlan Switch切，還是要每個NIC一台WiFi分享器。所以Blog主最後用的是混和的方式，防火牆其中一個區網給一台ASUS的無線AP之後，再讓這台AP開DHCP分IP，再開幾個訪客網路，分別給Blog主工作用的電腦，還有比較不信任的裝置使用，但這些訪客網路有開MAC Address過濾，只限這幾台裝置連線。

WAP2/WAP3

Blog主在嘗試建立新家網路時，決定強制所有（主要的）無線裝置都使用WAP3，不過發現只支援到WAP2的裝置意外的多，像是PS4 PRO，Nintendo Switch，Google nest mini...都只支援WAP2。最後想想，反正原本就需要一台舊的AP在次要區網重新分IP了，乾脆就把WAP2的裝置都連到這台，然後主要區網用比較嚴格的WAP3（畢竟這邊只要進來就能連到主要防火槍的管理頁面），防止有人破解闖進來。

I226問題

Blog主原本是看上Intel的網卡支援性很高才選了I226，不過可以說事前調查不足，不只I225，連I226也有點失敗，剛出來時有驅動問題，今年初（2023年）才陸續有驅動更新。而pfSense CE直到七月的2.7.0才有支援I226（pfSense Plus更早支援），一開始還有點擔心CE版會不會不支援。

日本集體住宅的網路架構

Blog主自從搬來日本後，一直沒很喜歡這邊的網路環境，在日本只要搬進集合住宅（不管是怎樣的公寓，大廈，塔式住宅），幾乎網路頻寬都是要跟人家共享的。集合住宅預設的網路設備逼你要共享頻寬就算了，日本大部分的集合住宅對公共空間有很嚴格的規定，網路設備也算是共用設備，所以你很難自己拉專線，這跟台灣的習慣是差很多的，台灣就算你住舊的公寓還是能自己遷一條線。

有些集合住宅就算不能自己遷線，但ISP還是能自己選的，像Blog主上個住的地方就是。但Blog主目前住的地方又更進一步，連ISP都不讓你選，直接限定你只能用他們選的網路公司，然後社區內是用日本所謂的CYBERHOME（サイバーホーム），簡單來說就是他從連線設定到DHCP服務都包了，你只要插網路線就能用，然後住戶之間用Vlan做切割，互不相連。所以Blog主這次架pfSense根本不需要設定什麼電信商給的帳號密碼，開DHCP接收IP就行了。

至於用起來的實際速度，這邊標榜的是1G的網路，Blog主去問詳細的時候，是一棟一條線，等於大概30戶平分1G，平時就算白天沒人，速度最多也只能到400M~500M左右（這是在入住的前面幾天，大家根本都還在忙搬家的時候Blog主測的速度）。現在白天有人的時候大概300M左右，晚上很擠很擠的時候還有10M的，不過這個也沒辦法，日本集合住宅都是這樣。

總結&未來

Blog主從以前一直都有想好好搞家裡的網路一次，這次算是完成的第一大步，把基礎都建好了，學習的路上也意外的有趣，甚至有些工作上遇到不清楚的部分，也因為這次增加的知識而獲得解決。雖然目前還沒有需求，也不太想拿家裡的網路試，不過也許未來會試試開放部分裝置，提供外面網路服務時的架構。