在ESXi上把OpenWrt变成真正的路由器

本文引用自大佬“铁军哥”，已和大佬沟通，获得转载权限，感谢大佬的授权。

前面把OpenWrt装到了VMware workstation上（软路由是啥？OpenWrt又是啥？长啥样？在VMware装一个瞅瞅），本来想把OpenWrt直接安装到ESXi的，但是转换镜像的时候不能生成OVF或者OVA文件。所以就先把镜像安装到了workstation，再导出来OVF文件，再迁移到ESXi。

OpenWrt运行中，先检查一下主机状态信息。

磁盘空间利用率和内存利用率真是出奇的低啊，一共272.5 M的磁盘用了20 M，内存用了25 M。

查看资源利用率，99%的资源剩余。感觉内存分给他256 M都用不清。

这么看我的360路由器应该可以搞一搞。

先修改网络控制器为“桥接模式”。

然后导出OVF。

在ESXi中，新建虚拟机，创建类型选择“从OVF或OVA文件部署虚拟机”。

选中导出的OVF文件和VMDK文件两个文件，再给虚拟机起个名。

选择存储。

然后第4步和第6步就消失了，只剩下了第5步“部署选项”。磁盘置备选择“精简”。

确认主机配置，点击“完成”。

自动启动成功，导入成功。

按照上次的方法，把主机网卡地址修改为192.168.1.221，测试访问正常。

正常的路由器怎么能只有一个网卡呢？再新加一个，同时把适配器类型都更改为VMXNET。

查看网卡信息，其中eth0和br-lan是绑定的，对应主机的网络适配器1，连接网络VM Network，正常应该算是WAN口，现在却作为LAN口使用，肯定是有问题的。

为避免出现脱管情况，先把eth1配置为LAN口，协议选择“静态地址”，勾选“Bridge interfaces”将接口设置为桥接口，接口选择“eth1”。

配置地址为172.16.113.1，掩码24位。自己就是网关，所以不用配置网关。

然后在这个接口上开启“DHCP”，掩码默认是24位，表示自动分配LAN口地址所在的C段地址。

再从后台查看接口信息，新的二层口创建成功。

然后找台主机，连上eth1这个网卡对应的端口组“LINK01”。可以看到新的网卡成功拿到了地址。

然后在这台主机使用LAN口的网关登录路由器，删掉之前的eth0绑定的LAN口，并在eth0接口上创建新的WAN口。

设置名称为WAN，协议选择静态地址，接口选择eth0。

然后设置接口IP地址、掩码、网关和DNS信息。

创建一个名为WAN的安全域。然后，主机就能上网了。

到这里，网卡调整也就完成了。

用iperf打个流，测试一下带宽，捎带看见流量拓扑能不能用。

不确定什么原因，打流的大小波动还算是比较大的。不经过OpenWrt，转发速率最大可达4 G，经过OpenWrt流量平均是2.35 G，OpenWrt监控到的是2.4 G，差不太多。即使流量很大，但是设备负载一点都不高。甚至都不到10 %。

查看接口流量统计，LAN口收到28.77 G，WAN口转发出28.99 G，基本准确。

这才是路由器嘛。

这个防火墙功能还是很吸引我的，试一下功能好用不好用。先删掉所有规则，重启防火墙，流量应声而断。

但是此时到设备的流量还是可以通的，比如ping设备的LAN口和WAN口，但是再上层的设备就不通了。

首先要确认安全域设置，配置规则会调用这里。

然后创建一条规则，允许ICMP报文。

发现点了应用之后不生效，在防火墙状态页面重启防火墙之后才生效，不知道正常不正常。

重启之后就通了，不过为什么时延变成1ms，TTL变成64了呢？

ping百度也是一样，传说中的“鬼打墙”？

地址解析都是正常的，就是时延和TTL不对。迷糊了吧？上面配置的是DNAT，正常应该是在下面这个页面配置SNAT。

然后就把“鬼”给赶跑了。

还有一个配置就是放通ICMP流量，在Traffic Rules中配置的。

现在只有ICMP放通了，TCP端口5201的流量却不通。

那就再放通一下iperf打流的流量。创建一条规则，匹配TCP端口5201。

其实这里就可以通了。

那么问题来了，看了今天的防火墙配置。下面有3种状态，一种是超时，一种是拒绝，还有一种是正常的，服务器端都是正常的，你知道是什么原因吗？

原文链接：在ESXi上把OpenWrt变成真正的路由器
大佬公众号：铁军哥