Skip to content
Cyber Foreman
DevLog

OPNsense:赛博堡垒与背锅总网关

🌱 创建: 2026/03/28 ⏱️ 更新: 2026/05/22

This content is not available in your language yet.

“只要网关配得好,全家断网跑不了;只要规则写得对,排错排到人流泪。”

各位赛博工友,欢迎来到施工现场。今天我们要干一件大事:给咱们的 N100 小主机做一次彻头彻尾的“网络外科手术”。

很多朋友拿到双网口的小主机,装完 PVE 之后,往往就止步于此了。为了彰显包工头对网络架构的绝对掌控力,我硬是在 PVE 里拉起了这道赛博长城——OPNsense 虚拟网关,彻底切断了内部集群与主路由的物理直连,开辟了极其纯净的 10.0.0.x 私有后院。

这里是所有流量的必经之路。配对了,它是坚不可摧的科技堡垒;配错了,它就是导致我被全家人拔电源的直接元凶。

🗺️ 宏观蓝图:核心网络拓扑大解析

Section titled “🗺️ 宏观蓝图:核心网络拓扑大解析”

光说不练假把式,咱们直接看开工前的毛坯房和竣工后的精装房。

1. 施工前:危机四伏的赛博大通铺 (V1.0)

Section titled “1. 施工前:危机四伏的赛博大通铺 (V1.0)”

这就是咱们最原始、最省事的 V1.0 扁平大通铺架构。

Etcher 刻录界面
  • 苦逼的“老村长”:最左边那个 192.168.100.1 的光猫主路由,就像是整个村的村长,所有设备都得找他办事。光猫的线直接插进了 N100 的物理网口 A
  • 吃灰的网口 B:而极其珍贵的物理网口 B,竟然在最右边闲置没插线!这简直是对双网口软路由的极大侮辱!
  • 漏风的大帐篷:PVE 自动建了一个叫 vmbr0 的虚拟交换机,这就好比在村里搭了个毫无遮拦的大帐篷。下面的 TrueNAS、K8s 容器全挤在这里,上网全靠顺着 A 口大喊大叫地向村长要 IP。

致命伤警告: 毫无安全可言!只要随便哪个设备中招,顺着 100 段的网络瞬间就能把 PVE 里所有虚拟机的底裤扒光;而且虚拟机内部传个大文件,流量都得去光猫那里绕一圈,极其卡脖子。这种大通铺,必须拆!

2. 施工后:戒备森严的赛博堡垒(赛博神经网) (V2.0)

Section titled “2. 施工后:戒备森严的赛博堡垒(赛博神经网) (V2.0)”

为了解决痛点,我耗时三天,画出了这张 V2.0 赛博堡垒架构图!咱们请出了一尊大神——OPNsense 防火墙,来给咱们当小区的“安保大队长”。

Etcher 刻录界面

注意看极其精妙的几处改动:

  1. 复活 B 口,打通专属高速公路:那个吃灰的物理网口 B,我把光猫的线直接插了上去。更绝的是,我在 PVE 底层使用了 PCIe 直通技术,把这块网卡直接塞给 OPNsense 独占。OPNsense 通过 B 口,直接向光猫拿到了 192.168.100.110 的 WAN 口地址。从此,B 口就是咱们堡垒对外的唯一海关口岸!
  2. 重塑内网,建立 10.0.0.x 独立战区:以前漏风的 vmbr0 帐篷被彻底切断了与外界的直连,乖乖接在 OPNsense 的屁股后面。内部全用 10.0.0.x 这个全新网段!TrueNAS 和集群现在全搬进了高档公寓,由 OPNsense 发 IP、做防火墙。大队长不点头,外面的苍蝇一只也飞不进来!
  3. A 口的华丽转身(VIP 通道):物理网口 A 现在连着外置交换机。我的 Mac 电脑插上交换机,就能自动拿到 10 段内网 IP。Mac 通过 A 口,可以直接和底下的服务器跑满千兆甚至万兆的内网速度,完全不惊动前面的防火墙和光猫!速度极其狂暴!

⚠️ 高危架构警告:先有鸡还是先有蛋的死锁

Section titled “⚠️ 高危架构警告:先有鸡还是先有蛋的死锁”

想要抄作业的工友,包工头必须给你们敲个极其响亮的警钟!这种“All-in-One”的极致架构,存在一个极其烧脑的逻辑死锁。

PVE 的全局网络指望 OPNsense 做网关发 IP,但 OPNsense 又是跑在 PVE 里的虚拟机。这意味着:如果你 PVE 断电重启了,在 OPNsense 完全开机之前,你内网的 DHCP 服务器是宕机的。 你的电脑插上网线,会极其绝望地发现自己拿不到 IP,上不了网。

🛟 赛博末日逃生指南(极客必修)

Section titled “🛟 赛博末日逃生指南(极客必修)”

很多人到这一步就以为内网彻底瘫痪,准备砸机箱了。错!大错特错!

这就是我要教给你们的终极保命神技:既然底层的虚拟交换机 vmbr0 还在(它是个二层 Layer 2 设备),我们根本不需要路由!

  1. 掏出你的电脑,插上网线连接物理网口 A(或者下挂的交换机)。
  2. 无视 DHCP 失败,进入电脑网络设置,极其粗暴地手动配置一个静态 IP:
    • IP 地址: 10.0.0.100 (避开已分配的 IP)
    • 子网掩码: 255.255.255.0
    • 网关/路由器: 留空 (因为此时没有网关)
  3. 直捣黄龙:打开浏览器,直接访问 10.0.0.50。你会发现,不需要任何软路由,你依然能在物理二层网络里极其嚣张地登录 PVE 后台,手动把 OPNsense 拉起来!

💡 包工头神谕: 这就好比小区物业跑路了,但小区的内部道路还在。你只要自己带个指南针,照样能走到 PVE 老天爷的家门口! 当然,终极防坑建议是:一定要在 PVE 选项里,把 OPNsense 虚拟机的 【开机自启动 (Start at boot)】 设为 Yes,并且把 【启动/关机顺序 (Start/Shutdown order)】 设为绝对的第一顺位(1),确保它永远第一个醒来!

🔌 赛博拔管抢救指南(物理直连篇)

Section titled “🔌 赛博拔管抢救指南(物理直连篇)”

如果你真的非酋附体,遇到 OPNsense 彻底死透、连 PVE 管理界面都进不去的地狱级灾难……别慌!放弃任何通过局域网恢复的幻想,启动最高级别的物理介入协议:

请直接抱个显示器和键盘,插到那台物理机上,通过底层终端手动重新设置可以访问的 PVE IP 和网关。

🛠️ 核心抢救思路:

  1. 盲敲 root 账号密码登录 PVE 底层终端。
  2. 输入 nano /etc/network/interfaces 强行修改底层网络配置文件。
  3. 把 PVE 宿主机的 IP 改到一个你电脑能直连的网段,并把失效的 OPNsense 网关暂时注释掉。
  4. 保存退出后,执行命令重启网络服务使配置生效。
  5. 笔记本拿网线直连物理网口,强行登录 Web 后台进行终极抢救。

(包工头碎碎念:嗯……上面这套连招的详细实操命令行我还没写,因为我也还没亲自踩过这个深坑。核心抢救思路先记录在这里备忘,后续万一真的倒霉遇到了,实操抢修完我再来这里补上完整的操作代码和避坑细节。最好这辈子都用不上这段!)

🚀 下一步:进入指挥舱

Section titled “🚀 下一步:进入指挥舱”

这就是咱们今天抡大锤的全部底气所在。架构讲完了,脑子要是还没烧坏,咱们就准备实操,开始给 浇筑OPNsense 系统!