Một trong những dịch vụ hữu ích nhất cho bất kỳ người dùng home lab nào là mạng riêng ảo (VPN), giúp bạn truy cập mạng tại nhà từ bất cứ đâu và duyệt web như thể đang ở nhà. Điều này không chỉ cho phép bạn sử dụng các dịch vụ tự host trên NAS mà không cần mở cổng ra internet, mà còn giúp vượt qua các dịch vụ bị chặn địa lý và mã hóa dữ liệu, đảm bảo không ai có thể theo dõi.
Tuy nhiên, một vấn đề khác thường nảy sinh khi bạn có nhiều máy chủ, dịch vụ container hóa và các thiết bị khác trong home lab. Việc kết nối chúng bằng địa chỉ IP và cổng trở nên phiền phức. Đơn giản hơn nhiều là thiết lập một reverse proxy để đơn giản hóa việc truy cập và quản lý từ một địa chỉ IP duy nhất. Bên trong, bạn sẽ chuyển đổi các yêu cầu đến thành tên miền của ứng dụng tự host và thậm chí có thể thiết lập các bảng điều khiển đẹp mắt để mọi thứ dễ dàng hơn.
Tôi đã sử dụng nhiều loại VPN, từ WireGuard tự host đến ZeroTier và Tailscale, cùng với nhiều sự kết hợp reverse proxy khác nhau. Chúng hoạt động tốt nhưng lại gây phiền toái là bạn phải quản lý hai dịch vụ cùng lúc và không phải tất cả đều có giao diện web dễ đọc.
Nhưng sau đó tôi đã tìm thấy Pangolin, và mọi thứ trở nên rõ ràng. Đây là một máy chủ quản lý reverse proxy tự host, dễ dàng triển khai, tích hợp các client đường hầm WireGuard và Traefik, đồng thời có kiểm soát truy cập. Về cơ bản, nó giống như một Cloudflare Tunnel, nhưng bạn tự host nó, vì vậy mọi thứ đều nằm trong tầm kiểm soát của bạn. Pangolin đang nhanh chóng trở thành giải pháp reverse proxy và VPN yêu thích của tôi.
Hệ thống tủ mạng và switch trong một home lab hiện đại
Pangolin là gì và tại sao bạn nên sử dụng nó?
Quản lý reverse proxy với máy chủ tự host, tích hợp xác thực và nhiều tính năng khác
Pangolin đã khiến tôi rất phấn khích khi bắt đầu đọc tài liệu của nó, bởi vì nó thực hiện rất nhiều điều mà một người dùng home lab mong muốn, một cách dễ dàng và tinh tế. Hãy tưởng tượng Nginx, Authelia và Cloudflare Tunnel gộp lại thành một gói, nhưng có thể tự host trên VPS hoặc máy chủ của riêng bạn, giúp bạn luôn kiểm soát mọi thứ. Nó được xây dựng dựa trên WireGuard và Traefik, với một ứng dụng quản lý và máy chủ trung tâm tùy chỉnh, một số plugin độc quyền và một client WireGuard tùy chỉnh. Các thành phần đó bao gồm:
- Pangolin: Máy chủ quản lý trung tâm.
- Gerbil: Giao diện quản lý đường hầm WireGuard.
- Traefik: Reverse proxy mô-đun với khả năng mở rộng.
- Badger: Plugin Traefik dành cho xác thực.
- Newt: Client WireGuard ở không gian người dùng tối thiểu.
Vì sử dụng đường hầm WireGuard, bạn không cần mở bất kỳ cổng nào trên tường lửa hoặc bộ định tuyến. Điều này lý tưởng cho người dùng phía sau các hạn chế như CGNAT, DS-Lite hoặc tường lửa ISP nghiêm ngặt, vì nó có thể xuyên qua NAT và kết nối với các ứng dụng tự host của bạn mà không cần lộ chúng ra ngoài. Nó được triển khai chỉ trong vài phút nhờ Docker, và một khi giao diện dựa trên web hoạt động, nó sẽ hướng dẫn bạn thiết lập phần còn lại của các kết nối. Mọi thứ đều cực kỳ đơn giản, và giờ đây tôi không còn phải lo lắng về các lệnh CLI hay SSH vào reverse proxy của mình để kết nối mọi thứ.
Logo Pangolin – một chú tê tê với biểu tượng mạng
Tại sao Pangolin tốt hơn các giải pháp thay thế?
Đơn giản, bảo mật toàn diện và nhiều hơn thế nữa
Sử dụng Pangolin mang lại một số lợi ích lớn so với các reverse proxy truyền thống, nhưng lớn nhất đối với tôi là nó không cần mở bất kỳ cổng nào để hoạt động. Hơn nữa, nó có tính năng SSO tập trung với kiểm soát truy cập dựa trên vai trò (RBAC) và hỗ trợ xác thực hai yếu tố (2FA) để tăng cường bảo mật. Pangolin tự động hóa quản lý SSL bằng Let’s Encrypt, được xây dựng với nguyên tắc Zero Trust và có khả năng tự host – một lợi thế lớn so với nhiều dịch vụ tương tự khác.
Pangolin là một giải pháp hiện đại, hỗ trợ các plugin mô-đun mà Traefik có thể sử dụng, dễ dàng triển khai với Docker Compose và có tính năng cân bằng tải tích hợp. Nó tập trung vào bảo mật, có khả năng tạo đường hầm tích hợp và giúp home lab của bạn dễ quản lý hơn rất nhiều.
Giao diện quản lý trực quan của Pangolin hiển thị các dịch vụ và kết nối
Lý do tôi ngừng sử dụng Nginx và WireGuard truyền thống
Hoặc chính xác hơn, lý do tôi không muốn tự mình quản lý nữa
Nginx đã tồn tại từ lâu, nhưng nó không phải là reverse proxy dễ sử dụng nhất hay ổn định nhất. Nó cũng thiếu khả năng mở rộng, điều mà reverse proxy dựa trên Traefik trong Pangolin cho phép, cùng với nhiều thứ khác. Nhờ đó, bạn có thể thêm các module an ninh mạng như CrowdSec, Fail2Ban và Geoblock. Ngay cả việc sử dụng Nginx Proxy Manager cũng không phải là điều dễ dàng nhất, và mặc dù nó có Let’s Encrypt tích hợp, nó cũng không có sức mạnh VPN của Pangolin.
WireGuard chắc chắn dễ sử dụng hơn, nhưng nó yêu cầu tường lửa và bộ định tuyến tại nhà của bạn phải mở một số cổng ra bên ngoài để hoạt động. Pangolin và client Newt đã khắc phục điều đó, tạo ra các đường hầm mã hóa mà không cần thiết lập chuyển tiếp cổng nào. Tất cả những gì bạn cần là client Newt chạy trên NAS hoặc máy chủ có các ứng dụng tự host, và máy chủ Pangolin trung tâm sẽ làm phần việc khó khăn cho bạn. Truy cập vào tên miền riêng của bạn và đăng nhập bằng thông tin xác thực Pangolin sẽ cấp cho bạn quyền truy cập vào tất cả các ứng dụng tự host của mình, và điều đó thật tuyệt vời.
Khả năng tự host một máy chủ quản lý cho VPN và reverse proxy là một bước ngoặt lớn
Pangolin không chỉ là một giải pháp VPN và reverse proxy cực kỳ dễ cấu hình; nó còn là một khám phá vĩ đại về sự đơn giản trong tự host. Nó cung cấp cho bạn một bảng điều khiển được xác thực trên một tên miền bạn kiểm soát để truy cập tất cả các ứng dụng tự host của bạn một cách an toàn thông qua các đường hầm được mã hóa. Nó thậm chí còn hỗ trợ 2FA, làm cho nó an toàn như bất kỳ dịch vụ nào khác bạn sử dụng, nhưng tất cả đều thuộc sở hữu và kiểm soát của bạn, vì vậy dữ liệu của bạn không bị sử dụng ở nơi khác.
Thậm chí còn có rất nhiều tính năng đang được phát triển trong tương lai, như cài đặt Crowdsec tự động để bảo vệ sâu hơn, các quy tắc dựa trên IP và đường dẫn để bỏ qua xác thực khi cần, và hỗ trợ đa tên miền hoàn toàn với SSO. Tôi không thể hình dung mình sẽ sử dụng bất cứ thứ gì khác để truy cập các ứng dụng tự host của mình, bởi vì nó đã loại bỏ mọi công việc phức tạp trong quá trình thiết lập. Nếu bạn là một người yêu công nghệ và sở hữu home lab, Pangolin chắc chắn là một giải pháp đáng để khám phá và trải nghiệm!