Reverse proxy là một trong những cách hiệu quả nhất để truy cập các dịch vụ tự host của bạn. Các công cụ như Caddy hay Nginx Proxy Manager cho phép bạn lưu trữ dịch vụ trên nhiều tên miền phụ (subdomains) của một miền mà bạn sở hữu, đi kèm với chứng chỉ SSL riêng biệt. Tuy nhiên, nhược điểm của việc này là nếu được host trên một địa chỉ IP công cộng, các kết nối của bạn sẽ phải đi ra khỏi mạng gia đình và sau đó quay trở lại, hoặc có thể yêu cầu bạn phải giữ một VPN như Tailscale luôn kết nối. May mắn thay, có một giải pháp tối ưu cho vấn đề này: đó là Pi-hole.
Pi-hole thường được biết đến là công cụ chặn quảng cáo và theo dõi trên toàn mạng, nhưng thực tế nó còn nhiều hơn thế. Pi-hole là một công cụ quản lý DNS mạnh mẽ. Nó chặn quảng cáo bằng cách phản hồi dữ liệu trống cho các yêu cầu DNS của các miền bị chặn. Tuy nhiên, với vai trò là một công cụ quản lý DNS, bạn cũng có thể tự thực hiện các ghi đè DNS của riêng mình, để bất kỳ miền nào cũng có thể được ghi đè để trỏ đến một địa chỉ cụ thể.
Điều tuyệt vời hơn là các miền của bạn thậm chí không cần phải là các mục DNS hợp lệ. Chẳng hạn, tôi sử dụng “.home” cho một số dịch vụ, đây là một đề xuất TLD (Top-Level Domain) đã bị ICANN từ chối vào năm 2018. Tôi có thể truy cập bảng điều khiển Zigbee2MQTT của mình bằng “http://z2m.home“. Tuy nhiên, điều này trở nên mạnh mẽ hơn nữa với tính năng ghi đè DNS cho một miền hiện có. Trong khi các dịch vụ được host của tôi đều được truy cập qua Tailscale, tôi cũng có thể truy cập chúng khi ở nhà mà không cần Tailscale, tất cả là nhờ Pi-hole của mình.
Hướng Dẫn Cấu Hình Ghi Đè DNS Cục Bộ Với Pi-hole
Sự Đơn Giản và Hiệu Quả Đáng Kinh Ngạc
Điều đầu tiên bạn cần làm là thiết lập Pi-hole và cấu hình các thiết bị của bạn sử dụng nó làm máy chủ DNS. Cá nhân tôi có hai Pi-hole: một trên máy chủ Proxmox và một trên máy chủ TrueNAS, và chúng là bản sao trực tiếp của nhau. Các máy chủ DNS trong DHCP của bộ định tuyến của tôi được đặt là địa chỉ của cả hai Pi-hole này, để chúng tự động được phân phối cho tất cả các thiết bị trong mạng. Điều này đảm bảo khi một Pi-hole gặp sự cố, mạng của tôi vẫn hoạt động ổn định và có thể phân giải các miền.
Lý do tôi làm điều này và không đơn thuần sử dụng một nhà cung cấp DNS công cộng làm dự phòng là do sự khác biệt trong cách các thiết bị xử lý các truy vấn DNS. Nhiều thiết bị sẽ chỉ sử dụng bất kỳ máy chủ DNS nào phản hồi nhanh nhất khi được cấu hình bởi DHCP, và không phải là trường hợp chỉ đơn thuần thực hiện các yêu cầu theo thứ tự DNS chính và phụ. Trong khi Windows sẽ ưu tiên nhà cung cấp DNS đầu tiên, các bản phân phối Linux dựa trên systemd sẽ thực hiện một “cuộc thăm dò song song” của tất cả các máy chủ và chọn phản hồi nhanh nhất. Điều tương tự cũng xảy ra với Android, macOS và iOS, nơi tất cả các máy chủ được truy vấn cùng một lúc, và phản hồi nhanh nhất được coi là chính xác. Nếu bạn chỉ có thể triển khai một phiên bản Pi-hole, bạn có thể cần sử dụng nó làm nhà cung cấp DNS duy nhất của mình, tùy thuộc vào các thiết bị bạn sử dụng.
Để cấu hình ghi đè DNS cục bộ cho các reverse proxy của bạn, hãy truy cập bảng điều khiển quản trị của Pi-hole và nhấp vào Settings, sau đó chọn Local DNS Records. Tại đây, bạn có thể thêm bất kỳ loại miền nào bạn muốn với một địa chỉ IP liên kết. Trong trường hợp của tôi, tôi có “jellyfin.example.ie” trỏ đến địa chỉ IP Tailscale của máy chủ reverse proxy trong bản ghi DNS của trang web của tôi, nhưng tôi có thể ghi đè nó để trỏ đến địa chỉ IP cục bộ của reverse proxy khi tôi ở trên mạng gia đình. Mặc dù Tailscale thường sẽ cố gắng thiết lập kết nối trực tiếp giữa các thiết bị khi cùng mạng, điều này không phải lúc nào cũng có thể hoặc được Tailscale phát hiện, và điều tương tự cũng xảy ra với các nhà cung cấp tương tự khác.
Giao diện cấu hình ghi đè DNS cục bộ trên Pi-hole
Tuy nhiên, có một lợi ích lớn hơn nữa khi sử dụng phương pháp này. Nếu tôi ở nhà, điều đó có nghĩa là các dịch vụ của tôi có thể phân giải mà không cần sử dụng Tailscale. Tôi có thể tắt VPN Tailscale trên điện thoại hoặc PC của mình và vẫn truy cập tất cả các dịch vụ tự host thông qua tên miền của mình, mặc dù chúng chỉ được tham chiếu qua địa chỉ IP Tailscale trong bản ghi A của miền tôi. Reverse proxy của tôi vẫn nhận được yêu cầu tham chiếu một tên miền cụ thể, vì vậy nó biết dịch vụ tôi đang cố gắng sử dụng, ngay cả khi địa chỉ IP mà nó đang được liên hệ đã thay đổi. Hơn nữa, chứng chỉ SSL vẫn hợp lệ, vì nó vẫn nằm trên cùng một tên miền. Điều này rất tiện lợi, giúp giảm đáng kể độ trễ, và có nghĩa là các thiết bị thậm chí không thể sử dụng Tailscale vẫn có thể tương tác với các dịch vụ tự host của tôi miễn là chúng chấp nhận các máy chủ DNS từ OPNsense (hoặc router của bạn).
Nếu bạn tự host các dịch vụ của riêng mình, Pi-hole là một công cụ không thể thiếu. Ngay cả khi nó không còn giúp bảo vệ quyền riêng tư trực tuyến và chặn các trình theo dõi và quảng cáo, thì nó vẫn là một công cụ vô giá trong mạng của tôi để truy cập các công cụ tự host mà tôi sử dụng tại nhà. Thêm vào đó, thật tuyệt vời khi sử dụng các địa chỉ ngắn gọn và dễ nhớ như “z2m.home” và “pi.hole” để truy cập một số dịch vụ của tôi.
