Author: Ken

最近一段時間糾結於看奈飛的問題，因為服務提供商很不穩定。

現在的方案是，一台美國VPS，再購買一個解鎖服務，一個月的成本大概是5美金加上15元人民幣，總計一個月支出50元人民幣.

如果辦理一張亞太電信的4G吃到飽，一個月199台幣，大約是46元人民幣，但是，就需要額外的配置，大約需要一台4G路由器，一台VPN路由器，一台可以運行代理的Server，恰好這些東西我手裡都有。

拓撲圖如下所示，位於台北的4G路由器，提供網絡接入，NS5GT防火牆通過VPN連結到我位於拉斯維加斯的服務器，這一條VPN是固定的，主要用於遠程調試在台北的這台防火牆。

為什麼？

因為通過4G網路上網時，並不會分配公網IP地址，那麼位於台北的防火牆只能發起主動連結到拉斯維加斯，透過拉斯維加斯的服務器，我們現在增加一條VPN，從台北到上海的服務器，這一條VPN，由於大陸地區的不穩定性，可能會更換不同的服務器，所以才會有拉斯維加斯的那條VPN來進行保障性連結。

當台北到上海的VPN連結成功建立後，我再從本地防火牆，建立一條到上海的VPN，在上海的這台服務器上，運行了相關代理和轉發，將互聯網請求通過VPN轉發到位於台北的Mini Proxy Server，完成觀看奈飛的任務。

這個方案其實有很多隱性成本，例如，拉斯維加斯的服務器，上海的服務器，這都是我手裡現有的資源，一般人不太適用。

如果使用類似於花生殼之類的內網穿透服務，可以免去拉斯維加斯服務器的這個角色，因為透過花生殼就可以直接對位於台北的防火牆配置進行修改。

如果這個方案中，4G上網修改為寬頻上網，方案就會變得更簡單一些，因為台灣目前主要的寬頻服務都提供有免費的固定IP地址，可以免去上海的中轉服務器，和拉斯維加斯的調測服務器，從本地直接發起連結到台北就可以。但是，台灣的寬頻上網價格實在是，60M/20M的寬頻一個月至少要800台幣，比起大陸來還真是有點貴。

更正：經過查閱資料和詢問各路英雄，我發現SRX110H的VPN性能低下是因為它默認使用了較高的mtu，當修改VPN鏈路的mtu為1350左右時，VPN吞吐可以得到極大提升，接近其標稱的數值。

但是SRX110H的體積實在是太大了，發熱量也很高，我還是決定繼續使用SSG5。——2020/03/08

最近糾結於觀看YouTube的速度，台灣大選完全沒有影響到中國網封天下的形勢，但這網絡總是時不時的卡一卡，我認真的想了想，可能是防火牆的VPN速度不夠，現在使用的防火牆是Juniper NS5GT，這是一款Netscreen被Juniper收購後，銷量極高的中小企業百兆防火牆，當年買它也是機緣巧合，我最早使用的企業級防火牆是思科的Pix501，它很好用，但是有一天，我多了一條鏈路，Pix501不支持雙線接入，我本來想繼續走思科的路線，但是挑選了許久，我實在是難以接受ASA5505非常醜陋的外形設計，反而發現了NS5GT，小巧而精緻，不但具備雙線接入能力，而且第一次讓我認識到session數量並不是防火牆的決定性標準，秒開session數量才是，可以毫不客氣的說，同樣參數標準下的防火牆，Netscreen一定是強於Cisco的。

NS5GT安靜的服務了五年多的時間，作為一款十幾年前的防火牆產品，真是典範啊，經過認真的考察和研究，我打算換上SRX110，等等，

我之前換過一款SRX100，花了我六百塊，但是沒折騰多久，它就掛掉了，時至今日，在研究了SRX110，查閱了大量文章後，我才明白為什麼，因為Juniper的新款SRX防火牆系列，使用的SRX系統和以前的設計不一樣，它不但繼承了FreeBSD的穩定性，也繼承了FreeBSD掉電壞磁盤的特性，我早前購買的SRX100正是在我無數次非正常斷電後掛掉的，我完全沒有想過，為什麼SRX系列防火牆要設計一個電源開關按鈕，現在我明白，正常關閉SRX系列防火牆，必須，必須，必須要正常關機，或者按一下電源按鈕，等待關機後再拔除電源，否則，可能出現板載flash損壞再也無法讀取的問題。

在更換了SRX110之後，觀看YouTube的情況似乎改善不多，它的參數標稱VPN流量可以達到65M，但是我覺得不像，於是我做了一個測試，在我家和最近的大陸服務器之間建立一條ipsec VPN鏈路，然後使用iperf3測速，結果是讓人十分震驚的，SRX110的VPN吞吐量達不到它的標稱值，反而是NS5GT超過了它的標稱值，難道是ScreenOS和JunOS的差異？折騰了一段時間，情況無法得到改善，SRX110的配置是不錯，除去VPN功能，它依然是一款不錯的企業級防火牆，但是，我需要的功能它不能滿足。

於是我更換了一台SSG5，它也是屬於Netscreen系列的產品，同樣是一款銷量極高的中小企業百兆防火牆，作為NS5GT的升級產品出現，觀察他們的參數，具有很明顯的設計性，在我測試完SSG5的ipsec VPN吞吐之後，我覺得，SRX的JunOS雖然語法非常優美，但是它的VPN就是渣，當然，這完全有可能是因為產品線的設計而故意讓它性能這麼低，但是，SRX是作為Netscreen系列的升級產品出現的，既然是升級，為什麼性能反而下降了呢？

一些數據如下，供參考，SRX210和SRX300只是列了一下標稱參數，

NS5GT：最大吞吐流量標稱70M，實測85M，VPN吞吐標稱20M，實測33M，普通版最大併發數2064，擴展版最大併發數4064

SSG5:最大吞吐流量標稱90M，實際沒測，VPN吞吐標稱40M，實測52M，普通版最大併發數8064，擴展版最大併發數16064

SRX110H：最大吞吐流量標稱200M（聚合端口），實際沒測，VPN吞吐標稱65M，實測42M，最大併發數32000

從防火牆可以容納的併發數量，可以很明顯的看出來Juniper在產品階梯設計上的習性，總之，經過測試，我決定使用SSG5作為家用防火牆，NS5GT退役，SRX110先閒置起來，也許是我沒有搞清楚人家的配置呢？

這次升級，防火牆最大併發數量從4064升級到16064，ipsec VPN吞吐從33M升級到52M，看YouTube果然要流暢多了……

---

Product Name: NetScreen-NS5GT
Serial Number: 0082024004008983, Control Number: 00000000
Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Software Version: 6.2.0r19.0, Type: Firewall+VPN
Compiled by build_master at: Fri Dec 11 02:35:32 PST 2015
Base Mac: 0010.cb88.5a62
File Name: screenos_image, Checksum: c1dac30a

Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans

Product Name: SSG5-Serial
Serial Number: 0146074030008273, Control Number: 00000000
Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Flash Type: Samsung
Software Version: 6.3.0r26.0, Type: Firewall+VPN
Feature: AV-K
BOOT Loader Version: 1.3.3
Compiled by build_master at: Tue Jul 10 02:06:00 PDT 2018
Base Mac: 8072.2d1f.3a00
File Name: ssg5ssg20.6.3.0r26, Checksum: ea1ccba7
, Total Memory: 256MB

Sessions: 16064 sessions
Capacity: unlimited number of users
NSRP: ActiveActive
VPN tunnels: 40 tunnels
Vsys: None
Vrouters: 4 virtual routers
Zones: 10 zones
VLANs: 50 vlans