Các giải pháp reverse proxy như Caddy hay Nginx Proxy Manager là lựa chọn tuyệt vời để truy cập các dịch vụ tự host của bạn, cho phép bạn sử dụng nhiều subdomain khác nhau trên cùng một tên miền riêng, kèm theo chứng chỉ SSL đầy đủ. Tuy nhiên, một nhược điểm thường thấy là nếu được đặt trên một địa chỉ IP công cộng, các kết nối của bạn sẽ phải đi ra ngoài mạng gia đình và quay trở lại, hoặc yêu cầu bạn phải luôn bật VPN như Tailscale. May mắn thay, có một giải pháp tối ưu hơn: Pi-hole.
Pi-hole thường được biết đến là công cụ chặn quảng cáo và theo dõi trên toàn mạng, nhưng thực tế nó còn nhiều hơn thế. Đây là một công cụ quản lý DNS mạnh mẽ, chặn quảng cáo bằng cách phản hồi dữ liệu trống cho các yêu cầu DNS của các tên miền bị chặn. Tuy nhiên, với khả năng quản lý DNS, bạn cũng có thể tự định nghĩa các bản ghi DNS riêng, cho phép ghi đè bất kỳ tên miền nào để trỏ đến một địa chỉ cụ thể. Điều tuyệt vời hơn là các tên miền này không nhất thiết phải là các bản ghi DNS hợp lệ. Ví dụ, tôi sử dụng tên miền “.home” cho một số dịch vụ, vốn là một đề xuất TLD đã bị ICANN từ chối vào năm 2018. Tôi có thể truy cập bảng điều khiển Zigbee2MQTT của mình qua “http://z2m.home“. Khả năng này càng trở nên mạnh mẽ hơn khi áp dụng tính năng ghi đè DNS cho một tên miền hiện có. Dù các dịch vụ tự host của tôi đều được truy cập qua Tailscale, tôi vẫn có thể truy cập chúng ngay cả khi ở nhà mà không cần Tailscale, tất cả là nhờ Pi-hole.
Hướng Dẫn Cấu Hình Ghi Đè DNS với Pi-hole
Đơn Giản và Đáng Giá
Điều đầu tiên bạn cần là một Pi-hole đã được thiết lập và các thiết bị của bạn đã được cấu hình để sử dụng nó làm DNS. Cá nhân tôi có hai Pi-hole: một trên máy chủ Proxmox và một trên máy chủ TrueNAS, chúng hoạt động như bản sao của nhau. Các máy chủ DNS trong cài đặt DHCP của bộ định tuyến của tôi được đặt là địa chỉ của cả hai Pi-hole này, đảm bảo chúng tự động được phân phối cho tất cả các thiết bị trong mạng. Điều này giúp mạng của tôi luôn ổn định và có thể phân giải tên miền ngay cả khi một trong số chúng gặp sự cố.
Lý do tôi thực hiện điều này và không chỉ đơn giản sử dụng một nhà cung cấp DNS công cộng làm giải pháp dự phòng là do sự khác biệt trong cách các thiết bị xử lý các truy vấn DNS. Nhiều thiết bị sẽ chỉ sử dụng máy chủ DNS phản hồi đầu tiên khi được cấu hình bởi DHCP, và không phải lúc nào chúng cũng thực hiện các yêu cầu theo thứ tự của DNS chính và phụ. Trong khi Windows sẽ ưu tiên nhà cung cấp DNS đầu tiên, các bản phân phối Linux dựa trên systemd sẽ thực hiện “kiểm tra song song” tất cả các máy chủ và chọn máy chủ phản hồi nhanh nhất. Điều tương tự cũng áp dụng cho Android, macOS và iOS, nơi tất cả các máy chủ đều được truy vấn cùng lúc và máy chủ phản hồi nhanh nhất sẽ được coi là chính xác. Nếu bạn chỉ có thể triển khai một phiên bản Pi-hole, bạn có thể cần sử dụng nó làm nhà cung cấp DNS duy nhất của mình, tùy thuộc vào các thiết bị bạn sử dụng.
Để cấu hình ghi đè DNS cục bộ cho các reverse proxy của bạn, hãy truy cập vào bảng điều khiển quản trị Pi-hole và nhấp vào Settings (Cài đặt), sau đó chọn Local DNS Records (Bản ghi DNS Cục bộ). Tại đây, bạn có thể thêm bất kỳ loại tên miền nào bạn muốn với một địa chỉ IP liên kết.
Màn hình cấu hình ghi đè DNS cục bộ trong giao diện quản trị Pi-hole
Trong trường hợp của tôi, tôi có “jellyfin.example.ie” trỏ đến địa chỉ IP Tailscale của máy chủ reverse proxy trong bản ghi DNS của trang web. Tuy nhiên, tôi có thể ghi đè nó để trỏ đến địa chỉ IP cục bộ của reverse proxy khi tôi ở trong mạng gia đình. Mặc dù Tailscale thường cố gắng thiết lập kết nối trực tiếp giữa các thiết bị khi chúng ở cùng một mạng, điều này không phải lúc nào cũng khả thi hoặc được Tailscale phát hiện, và điều tương tự cũng xảy ra với các nhà cung cấp tương tự khác.
Tuy nhiên, có một lợi ích thậm chí còn lớn hơn khi sử dụng phương pháp này. Nếu tôi ở nhà, điều đó có nghĩa là các dịch vụ của tôi có thể được phân giải mà không cần sử dụng Tailscale. Tôi có thể tắt VPN Tailscale trên điện thoại hoặc máy tính và vẫn truy cập tất cả các dịch vụ tự host của mình thông qua tên miền, mặc dù chúng chỉ được tham chiếu qua địa chỉ IP Tailscale trong các bản ghi A của tên miền. Reverse proxy của tôi vẫn nhận được yêu cầu tham chiếu đến một tên miền cụ thể, vì vậy nó biết dịch vụ nào tôi đang cố gắng sử dụng, ngay cả khi địa chỉ IP mà nó được liên hệ đã thay đổi. Hơn nữa, chứng chỉ SSL vẫn hợp lệ, vì nó vẫn nằm trên cùng một tên miền. Điều này rất tiện lợi, giúp giảm đáng kể độ trễ và có nghĩa là các thiết bị thậm chí không thể sử dụng Tailscale vẫn có thể tương tác với các dịch vụ tự host của tôi miễn là chúng chấp nhận các máy chủ DNS từ OPNsense.
Kết Luận
Nếu bạn là người tự host các dịch vụ của riêng mình, Pi-hole là một công cụ không thể thiếu. Ngay cả khi nó không còn giúp bảo vệ quyền riêng tư trực tuyến và chặn các trình theo dõi và quảng cáo, thì nó vẫn là một công cụ vô giá trong mạng của tôi để truy cập các công cụ tự host mà tôi sử dụng tại nhà. Ngoài ra, việc sử dụng các địa chỉ ngắn và dễ nhớ như “z2m.home” và “pi.hole” để truy cập một số dịch vụ của tôi cũng rất tiện lợi. Hãy khám phá và trải nghiệm những lợi ích mà Pi-hole mang lại cho hệ thống của bạn!
