Trong thế giới tự host dịch vụ ngày càng phát triển, reverse proxy như Caddy và Nginx Proxy Manager đã trở thành công cụ không thể thiếu. Chúng cho phép bạn truy cập các dịch vụ tự host trên nhiều tên miền phụ khác nhau của một tên miền chính bạn sở hữu, đi kèm với chứng chỉ SSL riêng biệt. Tuy nhiên, một nhược điểm thường gặp là khi các dịch vụ này được đặt trên một địa chỉ IP công cộng, mọi kết nối của bạn sẽ phải đi ra khỏi mạng gia đình và quay trở lại, hoặc yêu cầu bạn phải giữ một VPN như Tailscale luôn kết nối. May mắn thay, có một giải pháp tối ưu hơn cho vấn đề này: Pi-hole – một công cụ mà ít người biết đến tiềm năng vượt trội của nó trong việc quản lý DNS nội bộ, đặc biệt cho các dịch vụ tự host. Bài viết này sẽ đi sâu vào cách Pi-hole giúp bạn tối ưu hóa việc truy cập các dịch vụ của mình ngay trong mạng gia đình.
Pi-hole: Hơn Cả Một Công Cụ Chặn Quảng Cáo
Pi-hole thường được biết đến là giải pháp hàng đầu để chặn quảng cáo và các trình theo dõi trên toàn mạng. Tuy nhiên, thực chất, Pi-hole là một công cụ quản lý DNS mạnh mẽ. Nó chặn quảng cáo bằng cách phản hồi dữ liệu trống cho các yêu cầu DNS đến các tên miền bị chặn. Nhưng với tư cách là một công cụ quản lý DNS toàn diện, Pi-hole còn cho phép bạn triển khai các bản ghi DNS thay thế của riêng mình, từ đó mọi tên miền đều có thể được ghi đè để trỏ đến một vị trí cụ thể trong mạng nội bộ của bạn.
Điều thú vị hơn là các tên miền bạn ghi đè không nhất thiết phải là các bản ghi DNS hợp lệ trên internet. Ví dụ, bạn có thể sử dụng các tên miền cấp cao nhất (TLD) không chính thức như “.home” – một đề xuất TLD đã bị ICANN từ chối vào năm 2018. Với Pi-hole, bạn vẫn có thể truy cập bảng điều khiển Zigbee2MQTT của mình bằng địa chỉ “http://z2m.home“. Tuy nhiên, khả năng này trở nên mạnh mẽ hơn rất nhiều khi bạn áp dụng việc ghi đè DNS cho một tên miền hiện có mà bạn đang sử dụng cho reverse proxy. Mặc dù các dịch vụ tự host của tôi đều được truy cập qua Tailscale, tôi vẫn có thể truy cập chúng khi ở nhà mà không cần kích hoạt Tailscale, tất cả là nhờ Pi-hole.
Cấu Hình Ghi Đè DNS Với Pi-hole: Đơn Giản và Đáng Giá
Yêu cầu Tiên Quyết: Cài Đặt Pi-hole và Thiết Lập DNS
Điều đầu tiên bạn cần đảm bảo là Pi-hole đã được cài đặt và các thiết bị trong mạng của bạn đã được cấu hình để sử dụng Pi-hole làm máy chủ DNS. Cá nhân tôi sử dụng hai Pi-hole: một trên máy chủ Proxmox và một trên máy chủ TrueNAS, cả hai đều là bản sao trực tiếp của nhau để đảm bảo tính sẵn sàng cao. Các máy chủ DNS trong cấu hình DHCP của router của tôi được đặt thành địa chỉ của cả hai Pi-hole này, giúp chúng tự động phân phối đến tất cả các thiết bị trong mạng. Điều này có nghĩa là khi một Pi-hole gặp sự cố, mạng của tôi vẫn hoạt động mạnh mẽ và có thể phân giải tên miền bình thường.
Lý do tôi thực hiện điều này và không chỉ đơn giản sử dụng một nhà cung cấp DNS công cộng làm dự phòng là vì sự khác biệt trong cách các thiết bị xử lý các truy vấn DNS. Nhiều thiết bị sẽ đơn giản sử dụng bất kỳ máy chủ DNS nào phản hồi nhanh nhất khi được cấu hình qua DHCP, chứ không phải là ưu tiên tuần tự theo máy chủ DNS chính và phụ. Trong khi Windows sẽ ưu tiên nhà cung cấp DNS đầu tiên, các bản phân phối Linux dựa trên systemd sẽ thực hiện “kiểm tra song song” tất cả các máy chủ và chọn máy chủ phản hồi nhanh nhất. Điều tương tự cũng xảy ra với Android, macOS và iOS, nơi tất cả các máy chủ được truy vấn cùng lúc và máy chủ trả lời nhanh nhất được coi là đúng. Nếu bạn chỉ có thể triển khai một Pi-hole, bạn có thể cần sử dụng nó làm nhà cung cấp DNS duy nhất của mình, tùy thuộc vào các thiết bị bạn sử dụng.
Các Bước Cấu Hình Local DNS Records trên Pi-hole
Để cấu hình ghi đè DNS cục bộ cho các reverse proxy của bạn, hãy truy cập vào bảng điều khiển quản trị của Pi-hole và chọn mục Settings (Cài đặt), sau đó nhấp vào Local DNS Records (Các bản ghi DNS cục bộ). Tại đây, bạn có thể thêm bất kỳ loại tên miền nào bạn muốn với một địa chỉ IP tương ứng.
Giao diện quản trị Pi-hole với mục Local DNS Records hiển thị các bản ghi DNS cục bộ đã được cấu hình để truy cập dịch vụ tự host.
Trong trường hợp của tôi, tôi có tên miền “jellyfin.example.ie” trỏ đến địa chỉ IP của máy chủ reverse proxy Tailscale trong các bản ghi DNS công cộng của tôi. Tuy nhiên, tôi có thể ghi đè nó để trỏ đến địa chỉ IP cục bộ của reverse proxy khi tôi ở trong mạng gia đình. Mặc dù Tailscale thường cố gắng thiết lập kết nối trực tiếp giữa các thiết bị khi chúng ở cùng một mạng, điều này không phải lúc nào cũng khả thi hoặc được Tailscale phát hiện, và điều tương tự cũng áp dụng cho các nhà cung cấp tương tự khác.
Lợi Ích Vượt Trội Khi Sử Dụng DNS Nội Bộ
Tuy nhiên, có một lợi ích thậm chí còn lớn hơn khi sử dụng phương pháp này. Nếu tôi ở nhà, điều đó có nghĩa là các dịch vụ của tôi có thể truy cập được mà không cần sử dụng Tailscale. Tôi có thể tắt VPN Tailscale trên điện thoại hoặc máy tính của mình và vẫn truy cập tất cả các dịch vụ tự host thông qua tên miền của mình, mặc dù chúng chỉ được tham chiếu qua địa chỉ IP của Tailscale trong các bản ghi A của tên miền công cộng. Reverse proxy của tôi vẫn nhận được yêu cầu tham chiếu một tên miền cụ thể, vì vậy nó biết tôi đang cố gắng sử dụng dịch vụ nào, ngay cả khi địa chỉ IP mà nó được liên hệ đã thay đổi. Hơn nữa, chứng chỉ SSL vẫn hợp lệ, vì nó vẫn nằm trên cùng một tên miền. Điều này cực kỳ tiện lợi, giúp giảm đáng kể độ trễ và có nghĩa là các thiết bị thậm chí không thể sử dụng Tailscale vẫn có thể tương tác với các dịch vụ tự host của tôi, miễn là chúng chấp nhận các máy chủ DNS từ OPNsense (hoặc router của bạn).
Nếu bạn tự host các dịch vụ của riêng mình, Pi-hole là một công cụ không thể thiếu. Ngay cả khi nó không còn giúp bảo vệ quyền riêng tư trực tuyến của tôi và chặn các trình theo dõi cùng quảng cáo, nó vẫn sẽ là một công cụ vô giá trong mạng của tôi để truy cập các công cụ tự host mà tôi sử dụng tại nhà. Thêm vào đó, việc sử dụng các địa chỉ ngắn gọn và dễ nhớ như “z2m.home” và “pi.hole” để truy cập một số dịch vụ của tôi cũng rất tuyệt vời và tiện lợi.
