OPNsense là một nền tảng router và tường lửa mạnh mẽ mà tôi đã sử dụng trong nhiều tháng qua, và theo thời gian, tôi ngày càng chuyển nhiều dịch vụ của mình sang nó. Lý do của tôi là nhiều dịch vụ mạng của tôi được lưu trữ trên các thiết bị khác đều phụ thuộc vào việc mạng gia đình tôi hoạt động, vì vậy việc tích hợp chúng vào OPNsense không phải là vấn đề lớn. Nếu mạng của tôi gặp sự cố (kéo theo các dịch vụ đó), thì tôi cũng không có truy cập internet.
Kết quả là, đây là một số dịch vụ tôi đã chuyển sang OPNsense mà có thể quản lý trực tiếp từ giao diện web. Đây là một cách tuyệt vời để hợp nhất nhiều dịch vụ vào một nơi duy nhất, và tôi thực sự hài lòng với nó.
Thiết lập mạng gia đình với switch, NAS và router OPNsense
5. Reverse Proxy (Proxy Đảo Ngược): Sức mạnh của Caddy trên OPNsense
Tôi dùng Caddy cho mục đích này
Tôi đã chuyển từ Nginx Proxy Manager (NPM) sang Caddy vài tháng trước, và tôi rất yêu thích sự thay đổi này. Trong khi NPM có một giao diện web tiện lợi để chỉnh sửa cấu hình, Caddy lại đơn giản hơn với một “Caddyfile” chứa tất cả các tùy chọn reverse proxy và có thể dễ dàng chỉnh sửa, di chuyển sang các thiết bị khác nếu cần. Plugin Caddy trên OPNsense cũng hoạt động theo cách tương tự, nhưng mọi tùy chọn đều được hiển thị rõ ràng trên giao diện người dùng.
Nói cách khác, bạn không chỉ có được sự đơn giản của Caddy (vì vẫn có một Caddyfile bạn có thể xem và sao chép), mà còn tận hưởng những điều tốt nhất của cả hai thế giới nhờ giao diện web. Tôi đã chuyển tất cả các reverse proxy của mình sang Caddy trong OPNsense, và tất cả những gì tôi cần làm là thay đổi cổng của giao diện web mà OPNsense đang chạy. Với reverse proxy, tôi có thể truy cập router của mình thông qua một tên miền thực sự (ví dụ: router.home, được định nghĩa trong DNS cục bộ của tôi) và mọi thứ hoạt động hoàn hảo.
4. VPN: Giao diện WireGuard an toàn và hiệu quả
Tạo giao diện WireGuard để chia sẻ với các thiết bị
Giao diện cấu hình và trạng thái WireGuard VPN trên OPNsense
Gần đây, tôi đã tạo một giao diện WireGuard trên OPNsense để có thể định tuyến lưu lượng từ các thiết bị được chỉ định thông qua VPN. Mặc dù điều này nghe có vẻ lạ lúc đầu, nhưng nó thực sự khá hữu ích. Thông thường, các công ty VPN giới hạn số lượng thiết bị đồng thời bạn có thể có trên mạng, điều đó có nghĩa là bạn sẽ bị giới hạn ở số lượng thiết bị nhất định tại bất kỳ thời điểm nào. Tuy nhiên, việc triển khai nó trên OPNsense cho phép tôi coi nhiều thiết bị là một thiết bị duy nhất.
Hiện tại, nó không tiện lợi cho những thiết bị mà tôi chỉ muốn thỉnh thoảng sử dụng VPN, nhưng đối với những container, máy ảo (VM) hoặc thậm chí toàn bộ thiết bị mà tôi muốn luôn được bảo vệ trực tuyến, đây là một thiết lập tuyệt vời. Nó hoạt động cực kỳ hiệu quả và tôi không thể không giới thiệu. Nó tốt hơn rất nhiều so với việc định tuyến container trên thiết bị với Gluetun (hoặc một ứng dụng tương đương) trên NAS của tôi, ví dụ. Đó không phải là một lời chê bai Gluetun, mà chỉ là OPNsense tốt đến mức nào cho loại cấu hình đó.
3. Tailscale: Biến OPNsense thành Exit Node mạng gia đình
Biến router của tôi thành một exit node
Màn hình cấu hình và quản lý Tailscale trên hệ thống OPNsense
Nếu bạn sử dụng Tailscale, có lẽ bạn đã thử nghiệm tùy chọn “exit node” tại một thời điểm nào đó. Về cơ bản, thay vì định tuyến lưu lượng đến các địa chỉ Tailscale, nó sẽ định tuyến toàn bộ lưu lượng của bạn đến một thiết bị được chỉ định trước khi đi ra internet rộng hơn. Hãy nghĩ về nó giống như một VPN truyền thống, nơi bạn có thể ở bất cứ đâu trên thế giới, nhưng duyệt web như thể bạn đang ở nhà.
Trong khi trước đây tôi đã sử dụng NAS của mình cho tính năng này, việc sử dụng router OPNsense của tôi hợp lý hơn. Có ít bước nhảy hơn, và một lần nữa, đây là một trong những dịch vụ yêu cầu internet hoạt động để hữu ích. Nếu phiên bản OPNsense của tôi bị lỗi, thì tôi có những vấn đề lớn hơn cần lo lắng hơn là Tailscale. Đây thực sự là một sự kết hợp tự nhiên.
2. Dynamic DNS (DDNS): Cập nhật tên miền tự động không gián đoạn
Giữ cho các tên miền được cập nhật
Thiết lập Dynamic DNS (DDNS) với các nhà cung cấp dịch vụ trên OPNsense
Trước đây, tôi đã sử dụng một container riêng để cập nhật các bản ghi A trên tên miền của mình để trỏ đến địa chỉ IP, đầu tiên là dùng ddns-updater và sau đó chuyển sang cloudflare-ddns. Tuy nhiên, tôi đã chuyển cấu hình này sang OPNsense, vốn có hỗ trợ tích hợp sẵn cho Dynamic DNS với nhiều tên miền. Đây lại là một trong những cấu hình hợp lý, bởi vì nếu tôi không có internet, thì tôi có lẽ cũng không có địa chỉ IP để tham chiếu cho lưu lượng truy cập đến… dù sao thì lưu lượng truy cập đến cũng không thể tạo kết nối.
Điều tuyệt vời là OPNsense hỗ trợ rất nhiều nền tảng cho Dynamic DNS, cùng với hỗ trợ các yêu cầu GET, PUT và POST tùy chỉnh nếu dịch vụ của bạn không có trong danh sách. Nó hoạt động rất tốt với Cloudflare, và tôi chưa gặp bất kỳ vấn đề nào với việc các bản ghi A của tôi không được cập nhật khi địa chỉ IP của tôi thay đổi. Chúng chỉ đơn giản là hoạt động.
1. Wake on LAN (WoL): Khởi động thiết bị từ xa tiện lợi
Mặc dù tôi cũng thực hiện điều này với Home Assistant
Giao diện tính năng Wake on LAN (WoL) trong OPNsense để khởi động thiết bị từ xa
Điều này hơi khác một chút, nhưng Wake-on-LAN (WoL) là một tính năng khá hữu ích. Tôi đã sử dụng tích hợp Wake-on-LAN của Home Assistant để khởi động máy chủ và PC của mình vào buổi sáng, nhưng tôi không thiết lập WoL cho tất cả các thiết bị, vì tôi thường không cần đến nó. Tuy nhiên, tôi đã sử dụng nó một vài lần trước khi triển khai Home Assistant, và nếu Home Assistant của tôi bị lỗi hoặc tôi chưa cấu hình thiết bị đó, thì trong tình huống cấp bách sẽ rất phiền phức.
May mắn thay, OPNsense cũng có tính năng Wake-on-LAN tích hợp sẵn. Tôi có thể vào danh sách DHCP, sao chép địa chỉ MAC của một thiết bị, sau đó gửi một “magic packet” để khởi động nó. Nó hoạt động rất hiệu quả, và nhờ có cả OPNsense và Home Assistant, tôi đã có thể loại bỏ container mà tôi đã sử dụng ban đầu cho chức năng đó.
OPNsense có thể làm được rất nhiều
Đây thậm chí còn chưa phải là tất cả những gì OPNsense có thể thay thế trong mạng gia đình của bạn. Nếu bạn sử dụng Pi-hole, Unbound DNS hỗ trợ các danh sách chặn, vì vậy bạn thậm chí có thể chạy Unbound trên phiên bản OPNsense của mình và sử dụng nó làm DNS của bạn. Tôi vẫn chưa thực hiện điều này, nhưng tôi muốn thử nó trong tương lai. Thêm vào đó, bạn thậm chí có thể lưu trữ một cổng thông tin web cơ bản trên OPNsense và nhiều hơn thế nữa. Nó cực kỳ linh hoạt, và đối với bất kỳ dịch vụ nào quan trọng đối với mạng của bạn, việc chạy nó trong OPNsense là đáng giá. Bởi vì nếu OPNsense của bạn bị lỗi, chúng cũng sẽ gặp sự cố dù sao.
