Cách Thiết Lập Reverse Proxy Trên Synology NAS: Tăng Cường Bảo Mật & Quản Lý Ứng Dụng Tự Host

Đối với những người đam mê xây dựng hệ thống “home lab” với nhiều ứng dụng tự host, việc ghi nhớ tất cả các địa chỉ URL để truy cập từng dịch vụ có thể nhanh chóng trở thành một cơn ác mộng. Hơn nữa, nếu có bất kỳ thay đổi nào trong cấu hình mạng gia đình, bạn sẽ phải thực hiện các chỉnh sửa thủ công tốn thời gian. Giải pháp tối ưu là thiết lập một Reverse Proxy để định tuyến lưu lượng truy cập đến các ứng dụng tự host, giúp tất cả các dịch vụ có thể truy cập được từ cùng một URL bên ngoài duy nhất.

Về cơ bản, Reverse Proxy là một máy chủ khác trong mạng gia đình của bạn, nằm giữa internet công cộng và các ứng dụng, máy chủ tự host của bạn. Điều này tạo thêm một lớp bảo mật, vì các yêu cầu từ máy khách bên ngoài chỉ biết đến máy chủ mà Reverse Proxy được cài đặt. Nó cũng giúp việc quản trị trở nên dễ dàng hơn, bởi vì một khi bạn đã thiết lập các quy tắc mạng nội bộ, nơi duy nhất bạn cần thay đổi chúng là trên máy chủ DNS tùy chỉnh của mình.

Bạn có thể nghĩ rằng việc thiết lập Reverse Proxy khá phức tạp, nhưng các dịch vụ hiện đại đã làm phần lớn công việc cho bạn. Bài viết này sẽ hướng dẫn một phương pháp sử dụng Synology NAS và giải thích cách quá trình này hoạt động một cách tổng quát hơn nếu bạn muốn sử dụng một máy chủ Reverse Proxy khác.

Tủ mạng chứa các thiết bị chuyển mạch và máy chủ, tượng trưng cho một hệ thống home lab hoặc trung tâm dữ liệu nhỏ.

Những Yêu Cầu Cần Thiết Để Bắt Đầu

Mặc dù chúng ta sẽ sử dụng Synology NAS, nhưng quy trình này tương tự cho hầu hết các Reverse Proxy khác. Bạn không cần quá nhiều thứ để chạy một Reverse Proxy trên Synology NAS cho các ứng dụng tự host của mình. Chúng ta cần một danh sách các dịch vụ sẽ đặt phía sau Reverse Proxy và một Synology NAS đang chạy phiên bản DSM mới nhất.

Ngoài ra, chúng ta sẽ cần:

• Một chứng chỉ SSL (cho mục đích bảo mật, bạn có thể nhận miễn phí từ Let’s Encrypt ngay trong DSM).
• Một tên miền (ví dụ: tenmienban.com) để bạn có thể tạo các tên miền phụ (subdomain) cho mỗi ứng dụng web bạn muốn sử dụng với Reverse Proxy.
• Cổng 443 được forward (chuyển tiếp) từ router của bạn đến địa chỉ IP cục bộ của NAS.
• Địa chỉ IP và số cổng cho mỗi ứng dụng tự host.

Giao diện ứng dụng Bitwarden đang chạy trên Synology NAS, minh họa khả năng tự host các dịch vụ.

Hướng Dẫn Thiết Lập Reverse Proxy Trên Synology NAS

Hãy cùng sắp xếp các Docker container của chúng ta theo một hàng. Hiện tại, một trong những dịch vụ tự host phổ biến trên Synology là Home Assistant. Đó là một giải pháp tuyệt vời để kiểm soát nhà thông minh từ một bảng điều khiển duy nhất.

Thông thường, chúng ta kết nối với Home Assistant bằng cách sử dụng địa chỉ IP cục bộ và số cổng của nó. Tuy nhiên, điều này gây khó chịu vì một số lý do. Đầu tiên, địa chỉ IP của Synology có thể thay đổi tùy thuộc vào cách bạn thiết lập home lab, và việc phải nhớ một chuỗi các địa chỉ IP và số cổng là rất phiền phức. Ngoài ra, việc để lộ quá nhiều cổng ra internet rộng lớn cũng không phải là ý tưởng hay về mặt bảo mật.

Vì vậy, hãy bắt đầu bằng cách thiết lập DDNS để chúng ta có một tên miền để trỏ tới và một chứng chỉ SSL Wildcard để có thể sử dụng các tên miền phụ. Chúng ta cần chứng chỉ SSL Wildcard không chỉ vì bảo mật mà còn vì nó sẽ bao gồm bất kỳ tên miền phụ nào chúng ta sử dụng. Các ứng dụng web của chúng ta sẽ được thiết lập dưới dạng tenungdungweb1.tenmienban.com, tenungdungweb2.tenmienban.com, v.v.

1. Chuẩn Bị DDNS và Chứng Chỉ SSL Wildcard

Đầu tiên, chúng ta sẽ thiết lập DDNS và chứng chỉ SSL:

1. Đăng nhập vào Synology NAS của bạn.
2. Mở Control Panel, điều hướng đến External Access > DDNS, và chọn Add.
   Danh sách các mục DDNS đã cấu hình trong giao diện Synology DSM 7, cho thấy một hostname mẫu.
3. Điền vào biểu mẫu như sau: Service Provider: Synology, Hostname: tenmienriengcuaban (ví dụ: xda.synology.me), và nhấp vào Test Connection.
   Biểu mẫu thêm dịch vụ DDNS mới trên Synology DSM 7, điền thông tin nhà cung cấp và hostname.
4. Nếu kết nối thất bại, tức là hostname đó đã được sử dụng. Bạn sẽ phải thử một vài phiên bản khác cho đến khi tìm được một cái trống.
5. Ngoài ra, trước khi tiếp tục, hãy tích vào ô bên cạnh Get a certificate from Let’s Encrypt and set it as default.
6. Nhấp vào OK.
7. Điều hướng đến Security > Certificate và chọn Add.
   Menu chứng chỉ SSL trong Control Panel của Synology DSM, nơi quản lý các chứng chỉ bảo mật.
8. Chọn Replace an existing certificate và chọn chứng chỉ mà chúng ta vừa tạo, sau đó nhấp vào Next.
9. Chọn Get a certificate from Let’s Encrypt và tích vào ô bên cạnh Set as default certificate.
10. Chọn Next.
11. Điền Hostname: tenmienban.com, địa chỉ email của bạn: [email protected], và đừng quên đặt wildcard vào ô với *`.tenmienban.synology.me`**.
    Hướng dẫn điền thông tin để tạo chứng chỉ SSL Wildcard trên Synology, bao gồm hostname và email.
12. Chứng chỉ SSL Wildcard cho phép chúng ta sử dụng các tên miền phụ từ cùng một chứng chỉ mà không cần tạo chứng chỉ mới. Điều này rất quan trọng, vì vậy hãy nhấp Next khi bạn hoàn thành để lưu chứng chỉ SSL.

2. Cấu Hình Reverse Proxy Cho Ứng Dụng

Bây giờ, là lúc thiết lập Reverse Proxy cho ứng dụng tự host đầu tiên của chúng ta. Nếu bạn có nhiều hơn một ứng dụng, hãy lặp lại phần này của quy trình, thay đổi tên miền phụ mỗi lần để nó đại diện cho ứng dụng web bạn muốn trỏ tới.

1. Chúng ta vẫn đang làm việc trên Control Panel của Synology.
2. Đi đến Login Portal > Advanced.
3. Nhấp vào Reverse Proxy.
4. Nhấp vào Create.
5. Đặt một Proxy name, thay đổi giao thức nguồn thành HTTPS, nhập hostname tên miền phụ của bạn (ví dụ: hass.tenmienban.synology.me), đặt cổng nguồn thành 443, Enable HSTS, đặt hostname đích thành localhost hoặc địa chỉ IP của ứng dụng web của bạn và cổng đích thành cổng mà ứng dụng web của bạn cần.
   Màn hình thiết lập Reverse Proxy trên Synology NAS, cấu hình tên proxy, giao thức và cổng nguồn/đích.
6. Chọn tab Custom Header.
7. Nhấp vào Create.
8. Chọn WebSocket.
9. Nhấp vào Save.
10. Nhấp vào Close.
11. Đi đến Network > Connectivity và Enable HTTP/2, sau đó nhấp vào Apply.
12. Sau đó đi đến Security > Advanced, enable HTTP Compression, và nhấp vào Apply.
13. Sau đó đi đến Security > Certificate, nhấp vào Settings, và chọn chứng chỉ SSL của bạn từ menu thả xuống bên cạnh mục hass.tenmienban.synology.me.
    Cài đặt chứng chỉ SSL trong Synology DSM, gán chứng chỉ cho Reverse Proxy của Home Assistant.

Bây giờ, Reverse Proxy của bạn đã được thiết lập để truy cập phiên bản Home Assistant của bạn từ cả bên trong và bên ngoài mạng gia đình bằng cách sử dụng hass.tenmienban.synology.me.

Thiết bị Synology DiskStation DS923+ màu đen, một mẫu NAS phổ biến cho home lab và doanh nghiệp nhỏ.

Kết Luận: Reverse Proxy – Giải Pháp Toàn Diện Cho Home Lab

Việc thiết lập Reverse Proxy giúp việc truy cập các dịch vụ tự host như Vaultwarden hay Home Assistant để điều khiển nhà thông minh trở nên dễ dàng hơn rất nhiều. Đồng thời, nó cũng làm cho mạng gia đình của bạn an toàn hơn tổng thể, vì bạn chỉ để lộ một cổng duy nhất ra internet rộng lớn cho tất cả các ứng dụng tự host của mình. Tuy nhiên, điều này không có nghĩa là bạn có thể lơ là bảo mật. Bạn vẫn cần cẩn thận để đảm bảo rằng mình đã liên kết các chứng chỉ SSL đúng cách và tuân thủ các nguyên tắc bảo mật cơ bản. Bằng cách áp dụng Reverse Proxy, bạn đã nâng cấp đáng kể khả năng quản lý và bảo vệ hệ thống home lab của mình.

Bạn đã từng thiết lập Reverse Proxy cho hệ thống của mình chưa? Hãy chia sẻ kinh nghiệm và những mẹo hữu ích của bạn trong phần bình luận bên dưới nhé!