Trong hành trình xây dựng và quản lý home lab cá nhân, tôi đã thử nghiệm rất nhiều phương pháp để truy cập nội dung từ bên ngoài mạng, từ các giải pháp như Tailscale Funnel, NetBird, Pangolin, cho đến vô số giải pháp reverse proxy khác. Điểm chung của tất cả các phương pháp này là khả năng tiếp cận internet rộng lớn hơn, dù là để giao tiếp với các máy chủ quản lý, VPS của tôi, hay các nameserver trỏ đến một tên miền tôi sở hữu. Điều này thường không phải là vấn đề, nhưng đôi khi tôi ưu tiên việc home lab không giao tiếp với thế giới bên ngoài.
Thêm vào đó, sẽ là một cải thiện đáng kể về trải nghiệm nếu có thể chạy reverse proxy thông qua một nameserver cục bộ, giúp tôi không phải điều chỉnh bản ghi tên miền mỗi khi địa chỉ IP công cộng thay đổi. Tôi cũng không muốn sử dụng DDNS vì thời gian chuyển đổi giữa các địa chỉ IP với bộ nhớ đệm khiến tôi khó chịu; tôi muốn mọi thứ diễn ra nhanh chóng. Đây chính là lúc OPNsense xuất hiện, giải cứu tôi một lần nữa với bộ sưu tập các plugin mạnh mẽ, bao gồm nhiều giải pháp reverse proxy và Unbound để phân giải tên miền cục bộ.
Quản lý tập trung trên một nền tảng: Sự tiện lợi không ngờ
Từ phân tách dịch vụ đến tích hợp thông minh
Thông thường, tôi luôn ủng hộ việc giữ các dịch vụ tách biệt khi việc kết hợp chúng không mang lại lợi ích rõ ràng. Tôi không thích đặt quá nhiều dịch vụ trên NAS, thay vào đó, tôi sử dụng một máy chủ khác để tránh tiêu tốn tài nguyên. Tôi cũng ưu tiên sử dụng các thiết bị mạng riêng biệt vì có điều gì đó ở các kết nối Ethernet vật lý giúp bộ não tôi hiểu rõ hơn về không gian mạng. Đồng thời, tôi rất thích sử dụng container vì chúng dễ thiết lập và có khả năng kết nối mạng giữa chúng.
Tuy nhiên, có một trường hợp việc kết hợp các dịch vụ lại hoàn toàn hợp lý với tôi, đó là thiết lập reverse proxy cho home lab ngay trên router. Khi tôi không cần truy cập từ bên ngoài mạng gia đình, tôi có thể sử dụng bất kỳ địa chỉ IP WAN nào đã được chỉ định mà không phải mò mẫm qua các cài đặt DDNS và bản ghi máy chủ tên miền bên ngoài. Đối với tôi, những thứ này là những “cái ác cần thiết” và tôi thà không phải đối phó với chúng khi thử nghiệm mọi thứ. Việc quản lý tập trung firewall, Unbound DNS và reverse proxy trên cùng một bảng điều khiển của OPNsense mang lại sự tiện lợi và hiệu quả vượt trội, vì chúng đều là các khía cạnh của việc truy cập vào mạng home lab, mặc dù có các nhiệm vụ hơi khác nhau.
Tủ mạng chứa các thiết bị chuyển mạch (switch) và dây cáp trong môi trường home lab
Đa dạng lựa chọn Reverse Proxy ngay trong OPNsense
Hiện tại, tôi đang sử dụng Caddy vì tôi khá yêu thích nó gần đây, nhưng OPNsense cũng cung cấp các plugin cho HAProxy và Nginx, cả hai đều là những công cụ tôi đã sử dụng trong quá khứ. Mặc dù tôi có thể chạy các dịch vụ này trong một container Docker trên cùng máy chủ mà tôi đang ảo hóa OPNsense, nhưng tôi vẫn thích có mọi thứ ở cùng một nơi. Điều này cho phép tôi thiết lập các quy tắc chống khóa (anti-lockout rules), đảm bảo rằng tôi luôn có thể truy cập cài đặt OPNsense nếu có sự cố xảy ra và thực hiện các sửa chữa cần thiết.
Nếu không có quy tắc này, tôi biết rằng sớm muộn gì cũng sẽ có lỗi xảy ra khi cấu hình tường lửa hoặc reverse proxy, và tôi sẽ bị khóa khỏi một trong số chúng, buộc phải bắt đầu từ bản sao lưu gần nhất hoặc nhiều khả năng là từ đầu. Tôi đang cố gắng học Ansible để có thể thiết lập mọi thứ như một playbook và có một cấu hình OPNsense dễ tái tạo. Tuy nhiên, điều này khá thách thức vì tôi thường không chắc mình đã làm đúng điều gì để lưu lượng mạng hoạt động trơn tru.
Giao diện plugin Caddy Reverse Proxy trong OPNsense, hiển thị các tùy chọn cấu hình dịch vụ
DNS nội bộ với Unbound: Đơn giản hóa quản lý tên miền
Unbound biến OPNsense thành máy chủ DNS cục bộ
Việc chạy reverse proxy trên router OPNsense của tôi đã mang lại rất nhiều lợi ích, nhưng việc thêm Unbound còn giúp nó trở nên hiệu quả hơn nữa. Sử dụng một tên miền dễ đọc thay vì phải ghi nhớ các địa chỉ IP và số cổng là một yếu tố tiết kiệm thời gian rất lớn trong home lab. Thông thường, tôi sẽ phải vào bảng điều khiển Cloudflare của mình, thiết lập tên miền và bản ghi A, sau đó quay lại OPNsense để cài đặt Dynamic DNS (DDNS) để không phải thay đổi địa chỉ IP bên ngoài mỗi khi ISP của tôi thay đổi.
Đó chỉ là một sự khó chịu nhỏ, nhưng tôi luôn muốn loại bỏ mọi ma sát trong hệ thống mạng của mình, và đó là lý do tại sao tôi rất yêu thích việc sử dụng Unbound để phân giải DNS cục bộ. Nó đi kèm với tất cả các lợi ích thông thường của bộ nhớ đệm DNS cục bộ, bao gồm tốc độ và quyền riêng tư. Hơn nữa, tôi có thể thiết lập các bản ghi ghi đè (override records) để sử dụng tên miền cục bộ cho mọi máy tính, dịch vụ và container trong home lab của mình. Điều này không chỉ giúp việc thiết lập reverse proxy dễ dàng hơn mà còn đơn giản hóa việc quản lý và lập danh mục, giúp tôi ít phải đau đầu hơn sau khi hoàn tất thiết lập ban đầu.
Màn hình cấu hình tính năng chặn (blocklist) của Unbound DNS trong OPNsense
OPNsense là nơi lý tưởng cho Reverse Proxy của Home Lab
Tôi nhận thấy rằng OPNsense là sự lựa chọn hoàn hảo cho các “trò nghịch” trong home lab của mình, và việc chạy một reverse proxy trên firewall hoàn toàn có ý nghĩa đối với tôi. Tôi không chắc mình sẽ làm điều tương tự nếu cài đặt OPNsense này là router chính cho mạng gia đình, vì tôi coi trọng sự ổn định hơn tất cả mọi thứ khác đối với thiết bị đó và tôi có xu hướng thiết lập rồi để yên nó càng lâu càng tốt.
Tuy nhiên, đối với định tuyến nội bộ với các tên miền cục bộ, sự kết hợp giữa OPNsense, Caddy và Unbound có nghĩa là tôi chỉ cần mở một bảng điều khiển duy nhất để thiết lập các tuyến tĩnh đến các dịch vụ đang thử nghiệm, giúp cuộc sống của tôi dễ dàng hơn rất nhiều.