Reverse proxy là một trong những phương pháp hiệu quả nhất để truy cập các dịch vụ tự host của bạn. Các công cụ như Caddy hay Nginx Proxy Manager cho phép bạn lưu trữ nhiều dịch vụ trên các tên miền phụ khác nhau của một tên miền mà bạn sở hữu, hoàn chỉnh với chứng chỉ SSL riêng biệt. Tuy nhiên, mặt trái của việc này là nếu được host trên địa chỉ IP công cộng, các kết nối của bạn sẽ phải đi ra khỏi mạng gia đình và sau đó quay trở lại, hoặc có thể yêu cầu bạn phải giữ một VPN như Tailscale luôn kết nối. May mắn thay, có một giải pháp tối ưu hơn: Pi-hole.
Pi-hole thường được biết đến là một công cụ chặn quảng cáo và theo dõi trên toàn mạng, nhưng thực chất, nó còn nhiều hơn thế. Pi-hole là một công cụ quản lý DNS mạnh mẽ, chặn quảng cáo bằng cách phản hồi dữ liệu trống cho các yêu cầu DNS tới các tên miền bị chặn. Tuy nhiên, với vai trò là một công cụ quản lý DNS, bạn cũng có thể triển khai các bản ghi DNS tùy chỉnh của riêng mình, cho phép bất kỳ tên miền nào cũng có thể được ghi đè để trỏ đến một địa chỉ cụ thể. Điều tuyệt vời hơn nữa là các tên miền của bạn không nhất thiết phải là các bản ghi DNS hợp lệ. Chẳng hạn, tôi sử dụng “.home” cho một số dịch vụ, vốn là một đề xuất TLD đã bị ICANN từ chối vào năm 2018. Tôi có thể truy cập dashboard Zigbee2MQTT của mình bằng “http://z2m.home“. Điều này càng trở nên mạnh mẽ hơn khi bạn sử dụng tính năng ghi đè DNS cho một tên miền hiện có. Mặc dù các dịch vụ tự host của tôi đều được truy cập qua Tailscale, tôi vẫn có thể truy cập chúng khi ở nhà mà không cần Tailscale, tất cả là nhờ vào Pi-hole.
Sức Mạnh Tiềm Ẩn Của Pi-hole Trong Quản Lý DNS
Ghi Đè DNS Cục Bộ: Lợi Ích Vượt Trội Cho Hệ Thống Tự Host
Tính năng ghi đè DNS cục bộ (Local DNS override) của Pi-hole mở ra nhiều khả năng mới cho việc quản lý và truy cập các dịch vụ tự host trong mạng nội bộ. Thay vì phải dựa vào các bản ghi DNS công cộng hay VPN, bạn có thể định tuyến lưu lượng trực tiếp đến các máy chủ cục bộ, mang lại hiệu suất vượt trội và sự tiện lợi.
Với Pi-hole, bạn có thể chỉ định rằng một tên miền nhất định (ví dụ: jellyfin.example.ie) thay vì trỏ đến IP công cộng hoặc IP của Tailscale, sẽ trỏ trực tiếp đến địa chỉ IP cục bộ của máy chủ reverse proxy của bạn. Điều này đảm bảo rằng khi bạn ở nhà, yêu cầu truy cập sẽ được xử lý hoàn toàn trong mạng nội bộ, loại bỏ độ trễ không cần thiết và sự phụ thuộc vào kết nối internet bên ngoài. Lợi ích tương tự cũng áp dụng cho các tên miền không hợp lệ hoặc không tồn tại công khai, như ví dụ “.home”, cho phép bạn tạo ra các địa chỉ ngắn gọn, dễ nhớ để truy cập các dịch vụ nội bộ (ví dụ: z2m.home cho Zigbee2MQTT).
Hướng Dẫn Cấu Hình Ghi Đè DNS Với Pi-hole
Chuẩn Bị: Cài Đặt Pi-hole và Phân Phối DNS
Điều đầu tiên bạn cần làm là thiết lập một hoặc nhiều Pi-hole mà các thiết bị của bạn đã được cấu hình để sử dụng làm máy chủ DNS. Tôi có hai Pi-hole: một trên máy chủ Proxmox và một trên máy chủ TrueNAS, chúng là bản sao trực tiếp của nhau. Các máy chủ DNS trong DHCP của bộ định tuyến của tôi được đặt thành cả hai địa chỉ này, để chúng được tự động phân phối cho tất cả các thiết bị trong mạng. Điều này có nghĩa là khi một Pi-hole gặp sự cố, mạng của tôi vẫn mạnh mẽ và có thể phân giải tên miền.
Lý do tôi thực hiện điều này và không chỉ đơn thuần sử dụng một nhà cung cấp DNS công cộng làm dự phòng là do sự khác biệt trong cách các thiết bị xử lý các truy vấn DNS. Nhiều thiết bị sẽ chỉ đơn giản sử dụng bất kỳ máy chủ DNS nào phản hồi trước khi được cấu hình bởi DHCP, và không phải là trường hợp chỉ đơn thuần thực hiện các yêu cầu theo thứ tự DNS chính và phụ. Trong khi Windows sẽ ưu tiên nhà cung cấp DNS đầu tiên, các bản phân phối Linux dựa trên systemd sẽ thực hiện một “kiểm tra song song” của tất cả các máy chủ và chọn máy chủ phản hồi nhanh nhất. Điều tương tự cũng xảy ra với Android, macOS và iOS, nơi tất cả các máy chủ được truy vấn cùng một lúc, và máy chủ trả lời nhanh nhất được coi là chính xác. Nếu bạn chỉ có thể triển khai một phiên bản Pi-hole, bạn có thể cần sử dụng nó làm nhà cung cấp DNS duy nhất của mình, tùy thuộc vào các thiết bị bạn sử dụng.
Các Bước Thêm Bản Ghi DNS Cục Bộ
Để cấu hình ghi đè DNS cục bộ cho các reverse proxy của bạn, hãy truy cập bảng điều khiển quản trị của Pi-hole và nhấp vào Settings, sau đó chọn Local DNS Records.
Thiết lập ghi đè DNS cục bộ trên Pi-hole để tối ưu mạng gia đình
Tại đây, bạn có thể thêm bất kỳ loại tên miền nào bạn muốn với một địa chỉ IP liên quan. Trong trường hợp của tôi, tôi có “jellyfin.example.ie” trỏ đến địa chỉ IP Tailscale của máy chủ reverse proxy trong các bản ghi DNS của trang web của tôi. Nhưng tôi có thể ghi đè nó để trỏ đến địa chỉ IP cục bộ của reverse proxy khi tôi ở trên mạng gia đình. Mặc dù Tailscale thường sẽ cố gắng thiết lập kết nối trực tiếp giữa các thiết bị khi ở cùng một mạng, điều này có thể không phải lúc nào cũng khả thi hoặc được Tailscale phát hiện, và điều tương tự cũng xảy ra với các nhà cung cấp tương tự khác.
Lợi Ích Vượt Trội Khi Sử Dụng DNS Ghi Đè Cục Bộ
Tuy nhiên, có một lợi ích thậm chí còn lớn hơn khi sử dụng phương pháp này. Nếu tôi ở nhà, điều đó có nghĩa là các dịch vụ của tôi có thể phân giải mà không cần sử dụng Tailscale chút nào. Tôi có thể tắt VPN Tailscale trên điện thoại hoặc máy tính của mình và vẫn truy cập tất cả các dịch vụ tự host của mình thông qua tên miền, mặc dù chúng chỉ được tham chiếu qua địa chỉ IP Tailscale trong các bản ghi A của tên miền. Reverse proxy của tôi vẫn nhận được yêu cầu tham chiếu một tên miền cụ thể, vì vậy nó biết tôi đang cố gắng sử dụng dịch vụ nào, ngay cả khi địa chỉ IP mà nó được liên hệ đã thay đổi. Điều tuyệt vời hơn nữa là chứng chỉ SSL vẫn hợp lệ, vì nó vẫn nằm trên cùng một tên miền. Điều này rất tiện lợi, giúp giảm đáng kể độ trễ, và có nghĩa là các thiết bị thậm chí không thể sử dụng Tailscale vẫn có thể tương tác với các dịch vụ tự host của tôi miễn là chúng chấp nhận các máy chủ DNS từ OPNsense (hoặc bộ định tuyến của bạn).
Nếu bạn tự host các dịch vụ của riêng mình, Pi-hole là một công cụ không thể thiếu. Ngay cả khi nó không còn giúp bảo vệ quyền riêng tư trực tuyến của tôi và chặn các trình theo dõi và quảng cáo, nó sẽ là một công cụ vô giá trong mạng của tôi để truy cập các công cụ tự host mà tôi sử dụng tại nhà. Hơn nữa, thật tuyệt khi sử dụng các địa chỉ ngắn gọn và dễ nhớ như “z2m.home” và “pi.hole” để truy cập một số dịch vụ của tôi.