Chia sẻ cách mình bảo mật cho NAS và hệ thống mạng gia đình tốt hơn:

22/10/2025 11:04
Chia sẻ cách mình bảo mật cho NAS và hệ thống mạng gia đình tốt hơn:


Chia sẻ cách mình bảo mật cho NAS và hệ thống mạng gia đình tốt hơn:
- Tắt toàn bộ DDNS, đóng hết port, không expose port ra internet nữa

- Ngưng hết các loại VPN truyền thống của Router và NAS để dùng loại khác hịn hơn

- Cài Tailscalse - VPN Mesh lên 2 cái NAS và các thiết bị di động muốn truy cập NAS từ xa. Tạo ra một Tailnet, nơi mà chỉ các thiết bị nằm trong Tailnet này truy cập được lẫn nhau

- Trên NAS, set Subnet Advertiser, để các thiết bị có thể truy cập vào các IP local, bao gồm cả những thiết bị không cài được Tailscale như router, switch, AP… Và giúp giữ nguyên cách các thiết bị truy cập vào NAS thông qua Local IP.


- Xong bước này là đã có thể truy cập mọi thiết bị trong hệ thống mạng gia đình từ xa an toàn dưới sự bảo vệ của VPN mã hoá đầu cuối. Ví dụ như truy cập NAS, remote PC, Home Assitant, mini-server trên Rasberry Pi…

- Bản thân 2 cái NAS ngày xưa phải dùng Router xịn có VPN Site-to-Site, để backup 3-2-1, giờ chả cần dùng đến tính năng đó của Router nữa. Cùng nằm trong Tailnet, nên hoạt động không khác gì VPN Site-to-Site.

- Set NAS là Exit-Node, để khi ra ngoài, dùng wifi không an toàn thì cho thiết bị di động chuyển dữ liệu qua VPN bảo mật về NAS ở nhà rồi mới đi ra internet, giảm rủi ro Man-in-the-middle, hoặc các hình thức tracking, tấn công traffic thông thường. Tương tự như khi dùng VPN truyền thống, nhưng tiện lợi hơn nhiều vì không cần cấu hình phức tạp.

- Lấy TLS Certificate cho domain của Tailscale dành cho NAS. Mục đích là để dùng HTTPS với ứng dụng sẽ chia sẻ ngay sau đây

- Cài Vaultwarden host trên NAS thông qua Docker. Đây là một bản community self-host cho Bitwarden, một ứng dụng quản lý mật khẩu, mã OTP, dùng đa nền tảng

- Bình thường dùng Bitwarden sẽ lưu trữ mật khẩu trên server của họ, còn giờ mình tự host được thì mình lưu trữ trên server của mình nằm trên NAS

- Vaultwarden yêu cầu HTTPS để hoạt động, vì thế dùng Resevered Proxy trên NAS để gán container của Vaultwarden vào domain tailscale của NAS. Như vậy là có https cho Vaultwarden

- Vaultwarden cần có tính năng gửi email thông qua SMTP server để xác thực tài khoản user, hoặc gửi invite user. Vậy là lấy thông tin SMTP của Google Mail + App Password để sử dụng. Vaultwarden self-host đã có thể gửi email xác thực bằng chính gmail cá nhân của mình

QUẢNG CÁO


Tóm lại là đã tích hợp thành công TailScale hoàn toàn vào hệ thống mạng gia đình để truy cập mọi thứ an toàn, cài đặt TailScale dễ hơn cách truyền thống mà hiệu quả cao hơn.

Tin xem thêm

Nubia sẽ ra mắt điện thoại thông minh tích hợp trợ lý ảo đầu tiên trên thế giới.

Chuyên mục Ngày
09/07/2026 09:55

MXH mygo - Nubia sẽ ra mắt điện thoại thông minh tích hợp trợ lý ảo đầu tiên trên thế giới.

Apple sẽ ngừng hỗ trợ ổ đĩa Mac OS Extended được mã hóa vào năm tới

Chuyên mục Ngày
08/07/2026 23:34

MXH mygo - Apple đã công bố một tài liệu hỗ trợ mới cảnh báo rằng macOS 28 sẽ không còn hỗ trợ các ổ đĩa Mac OS Extended (HFS+) được mã hóa, có nghĩa là các ổ đĩa ngoài b...

iPhone gập - bắt nguồn từ niềm cảm hứng Samsung?

Chuyên mục Ngày
08/07/2026 23:12

MXH mygo - Thiết bị được mong chờ nhất của Apple năm nay đánh dấu vị thế dẫn đầu ngành của Samsung và ifan sẽ có được một thiết kế mà Samsung đã dành nhiều năm để xây dựn...

Samsung dự kiến ​​lợi nhuận tăng gấp 18 lần nhờ nhu cầu bộ nhớ AI tăng vọt

Chuyên mục Ngày
07/07/2026 10:08

MXH mygo - Sự bùng nổ về bộ nhớ của Samsung tiếp tục tăng trưởng mạnh mẽ, nhưng phép tính cộng thêm có thể làm phức tạp con số tổng quan.

Microsoft tiếp tục làn sóng nhân viên, mảng Xbox bị ảnh hưởng nặng nề..

Chuyên mục Ngày
07/07/2026 09:51

MXH mygo - Microsoft sa thải gần 5.000 nhân viên trên toàn bộ mảng Xbox và bán hàng thương mại.

Anthropic khởi động các chương trình nghiên cứu liên quan tới mảng dược phẩm

Chuyên mục Ngày
06/07/2026 15:30

MXH mygo - Anthropic khởi động các chương trình nghiên cứu phát hiện thuốc riêng để giải quyết các bệnh mà các công ty dược phẩm lớn cho là không sinh lời.

Alibaba được cho là cấm nhân viên sử dụng Claude Code

Chuyên mục Ngày
06/07/2026 15:09

MXH mygo - Theo nhiều nguồn tin, Alibaba (Trung Quốc) sẽ cấm nhân viên sử dụng Claude Code – công cụ lập trình của Anthropic – bắt đầu từ ngày 10 tháng 7.

Vivo X500 Pro Max sẽ được nâng cấp camera lớn nhất trong nhiều năm qua.

Chuyên mục Ngày
05/07/2026 23:01

MXH mygo - Thông số kỹ thuật camera chi tiết bị rò rỉ của Vivo X500 Pro Max hé lộ về bản nâng cấp camera lớn nhất của Vivo trong nhiều năm qua.

Vì sao bạn không thể tắt âm thanh chụp ảnh trên iPhone phiên bản Nhật Bản?

Chuyên mục Ngày
05/07/2026 22:32

MXH mygo - Không nhiều người biết: Vì sao bạn không thể tắt âm thanh chụp ảnh trên iPhone phiên bản Nhật Bản?