Đối với bất kỳ ai sở hữu một “home lab” – hệ thống máy chủ cá nhân tại gia – một trong những dịch vụ hữu ích nhất là Mạng Riêng Ảo (VPN). VPN cho phép bạn truy cập mạng gia đình từ bất cứ đâu và duyệt web như thể bạn đang ở nhà. Điều này không chỉ giúp bạn sử dụng các dịch vụ tự host (self-hosted) trên NAS mà không cần mở cổng ra internet công cộng, mà còn giúp vượt qua các giới hạn địa lý (geo-blocked services) và mã hóa dữ liệu của bạn một cách an toàn, tránh bị theo dõi.
Tuy nhiên, khi bạn có một hệ thống home lab kết hợp nhiều máy chủ, dịch vụ containerized và các thành phần khác, một vấn đề khác phát sinh. Việc kết nối đến chúng bằng địa chỉ IP và số cổng trở nên cực kỳ rắc rối. Thay vào đó, việc thiết lập một reverse proxy sẽ đơn giản hóa đáng kể việc truy cập và quản lý từ một địa chỉ IP duy nhất. Bên trong reverse proxy, bạn có thể chuyển tiếp các yêu cầu đến tên miền của các ứng dụng tự host, thậm chí thiết lập các bảng điều khiển trực quan để mọi thứ trở nên dễ dàng hơn.
Tôi đã từng sử dụng nhiều loại VPN khác nhau, từ WireGuard tự host đến ZeroTier và Tailscale, kết hợp với nhiều giải pháp reverse proxy. Chúng hoạt động tốt nhưng gây khó chịu vì bạn phải quản lý hai dịch vụ cùng lúc, và không phải tất cả đều có giao diện web dễ đọc.
Thế rồi tôi phát hiện ra Pangolin, và mọi thứ trở nên thật rõ ràng. Đây là một máy chủ quản lý reverse proxy tự host, dễ dàng triển khai, tích hợp Traefik và các máy khách tunnel WireGuard, đồng thời có khả năng kiểm soát truy cập. Về cơ bản, nó giống như một Cloudflare Tunnel, nhưng bạn tự host mọi thứ, vì vậy bạn hoàn toàn kiểm soát dữ liệu của mình. Pangolin nhanh chóng trở thành giải pháp reverse proxy và VPN yêu thích của tôi.
Pangolin là gì và tại sao bạn nên sử dụng?
Quản lý reverse proxy tập trung với xác thực và nhiều hơn thế
Pangolin thực sự khiến tôi phấn khích khi bắt đầu đọc tài liệu của nó, bởi vì nó thực hiện rất nhiều điều mà một người dùng home lab mong muốn, và thực hiện chúng một cách dễ dàng, tinh tế. Hãy hình dung Nginx, Authelia và Cloudflare Tunnel trong một gói duy nhất, nhưng có thể tự host trên VPS hoặc máy chủ của riêng bạn, để bạn luôn nắm quyền kiểm soát. Nó được xây dựng dựa trên WireGuard và Traefik, với một ứng dụng quản lý và máy chủ trung tâm tùy chỉnh, một số plugin độc đáo và một máy khách WireGuard riêng. Các thành phần đó bao gồm:
- Pangolin: Máy chủ quản lý chính.
- Gerbil: Giao diện quản lý WireGuard.
- Traefik: Reverse proxy mô-đun với khả năng mở rộng.
- Badger: Plugin Traefik dành cho xác thực.
- Newt: Máy khách WireGuard tối giản hoạt động trong không gian người dùng.
Vì Pangolin sử dụng các tunnel WireGuard, bạn không cần phải mở bất kỳ cổng nào trên tường lửa hoặc bộ định tuyến của mình. Điều này khiến nó trở nên hoàn hảo cho người dùng đứng sau các mạng CGNAT, DS-Lite hoặc tường lửa ISP nghiêm ngặt, vì nó có thể “đấm xuyên” qua NAT và kết nối đến các ứng dụng tự host của bạn mà không cần phải phơi bày chúng ra bên ngoài. Pangolin được triển khai chỉ trong vài phút nhờ Docker, và một khi giao diện dựa trên web đã hoạt động, nó sẽ hướng dẫn bạn thiết lập phần còn lại của các kết nối. Mọi thứ đều vô cùng đơn giản, và giờ đây tôi không cần phải lo lắng về các lệnh CLI hay SSH vào reverse proxy của mình để thiết lập kết nối.
Pangolin logo: biểu tượng chim tê tê của nền tảng quản lý home lab tích hợp VPN và reverse proxy
Tại sao Pangolin vượt trội hơn các giải pháp thay thế?
Đơn giản, bảo mật và nhiều hơn thế
Sử dụng Pangolin mang lại một số lợi ích lớn so với các reverse proxy truyền thống, nhưng lợi ích lớn nhất đối với tôi là nó không cần mở bất kỳ cổng nào để hoạt động. Thêm vào đó, nó có SSO tập trung với kiểm soát truy cập dựa trên vai trò (role-based access control) và hỗ trợ xác thực hai yếu tố (2FA) để tăng cường bảo mật. Pangolin tự động quản lý chứng chỉ SSL với Let’s Encrypt, được xây dựng với nguyên tắc Zero Trust và có thể tự host, đây là một điểm cộng lớn so với nhiều dịch vụ tương tự khác.
Giao diện quản lý Pangolin hiển thị các dịch vụ tự host và cài đặt cấu hình VPN, reverse proxy
Nền tảng này hiện đại, hỗ trợ plugin mô-đun cho bất kỳ thứ gì Traefik có thể sử dụng, dễ dàng triển khai với Docker Compose và có tính năng cân bằng tải (load balancing) tích hợp. Nó tập trung vào bảo mật, có tích hợp tunneling và giúp việc quản lý home lab của bạn trở nên đơn giản hơn rất nhiều.
Lý do tôi dừng sử dụng Nginx và WireGuard (hoặc không muốn tự quản lý nữa)
Nginx đã tồn tại từ rất lâu, nhưng nó không phải là reverse proxy dễ sử dụng nhất hoặc ổn định nhất. Nó cũng thiếu khả năng mở rộng, điều mà reverse proxy dựa trên Traefik trong Pangolin cho phép, cùng với nhiều thứ khác. Bạn có thể thêm các mô-đun an ninh mạng như CrowdSec, Fail2Ban và Geoblock. Ngay cả việc sử dụng Nginx Proxy Manager cũng không phải là điều dễ dàng nhất, và mặc dù nó có tích hợp Let’s Encrypt, nó cũng không có sức mạnh VPN như Pangolin.
WireGuard chắc chắn dễ sử dụng hơn, nhưng nó yêu cầu tường lửa và bộ định tuyến tại nhà bạn phải mở một số cổng ra bên ngoài để hoạt động. Pangolin và máy khách Newt đã giải quyết vấn đề đó, tạo ra các tunnel mã hóa mà không cần thiết lập chuyển tiếp cổng (port forwarding). Tất cả những gì bạn cần là máy khách Newt chạy trên NAS hoặc máy chủ có các ứng dụng tự host của bạn, và máy chủ Pangolin trung tâm sẽ thực hiện công việc khó khăn cho bạn. Truy cập vào tên miền của riêng bạn và đăng nhập bằng thông tin xác thực Pangolin sẽ cấp cho bạn quyền truy cập vào tất cả các ứng dụng tự host của mình, và điều đó thật tuyệt vời.
Tự host một máy chủ quản lý cho VPN và reverse proxy là một bước ngoặt lớn
Pangolin không chỉ là một giải pháp VPN và reverse proxy cực kỳ dễ cấu hình; nó còn là một cuộc cách mạng trong sự đơn giản của việc tự host. Nó cung cấp cho bạn một bảng điều khiển được xác thực trên một tên miền mà bạn kiểm soát để truy cập tất cả các ứng dụng tự host của mình một cách an toàn thông qua các tunnel được mã hóa. Nó thậm chí còn hỗ trợ 2FA, khiến nó an toàn như bất kỳ dịch vụ nào khác mà bạn sử dụng, nhưng tất cả đều thuộc quyền sở hữu và kiểm soát của bạn, vì vậy dữ liệu của bạn không bị sử dụng ở nơi khác.
Pangolin còn có rất nhiều tính năng đang được phát triển trong lộ trình tương lai, chẳng hạn như cài đặt Crowdsec tự động để bảo vệ sâu hơn, các quy tắc dựa trên IP và đường dẫn để bỏ qua xác thực khi cần, và hỗ trợ đa tên miền đầy đủ với SSO. Tôi không thể tưởng tượng mình sẽ sử dụng bất cứ thứ gì khác để truy cập các ứng dụng tự host của mình, bởi vì nó loại bỏ mọi công việc vất vả trong quá trình thiết lập.
