thắc mắc Tư vấn build home server

plbThinh

plbThinh

Senior Member
Chào các bác,

Hiện tại em đã build được 1 server NAS dùng chung cho cả gia đình rồi, chạy TrueNAS Scale trên con Z210, 10 ổ 2.5inch ăn mỗi tháng 110k tiền điện (đã bao gồm 1 router và 2 switch).

E đang có nhu cầu build thêm media server, web server, cloud storage nên có lẽ sẽ phải mở port router. Mà e có đọc và tìm hiểu thì việc mở port sẽ ảnh hưởng đến security và cũng có biết giải pháp làm PC router có firewall để bảo vệ thêm.

E đang có ý tưởng mua thêm 2 card NIC, gắn vô Z210 rồi tạo 1 VM trong TrueNAS cài pfSense lên VM đó để đỡ phải gắn thêm thiết bị linh tinh bên ngoài. Các b thấy ý tưởng này có ổn k vậy?

Về layout network thì e dự định như sau: đường dây internet thì ngoài sẽ vào router nhà mạng trước, lấy 1 cổng 1Gbps để cắm vào cổng WAN của pfSense, ở cổng LAN sẽ nối vào 1 switch, rồi từ switch này sẽ phân phối mạng cho các thiết bị khác trong nhà (bao gồm cả Z210 đang chạy pfSense trong VM của TrueNAS).

E đặt sơ đồ ở đây cho các b dễ hình dung

1698900265469.png


Các bác thấy giải pháp của e như vậy có khả thi không ạ? Có bất lợi gì về việc triển khai và sử dụng không ạ?

Em cám ơn.
 
Về mở port, chỉ cần mở port 80/443 về 1 con reverse proxy, các web còn lại (plex, nas,...) do con reverse proxy quản lý, để ko cần mở port quá nhiều.
Ko nên đấu vòng từ 1 cổng sang cổng còn lại trên cùng 1 host (nic 2 - switch - nic trên main), cái này lại phải chạy thêm spanning-tree để chống loop, hoặc phải chạy full L3.
Nếu chạy ảo hoá: tạo sẵn 2 bridge trên truenas: bridge wan, bridge lan
  • modem - bridge wan - pfsense (wan):
  • bridge lan - pfsense (lan) - switch ngoài
Các vm trên truenas chỉ cần tạo card mạng ảo gắn vào bridge lan.
Cách này dùng 2 port trên con truenas thôi, port còn lại có thể làm lan2 trên pfsense dành riêng cho đám camera/iot device cho dễ policy, hoặc nếu line ftth có iptv mà modem ko tag vlan thì có thể dùng cổng này cắm setopbox (hơi thổ dân nhưng cũng chạy đc)
 
chacuavip10 said:
Về mở port, chỉ cần mở port 80/443 về 1 con reverse proxy, các web còn lại (plex, nas,...) do con reverse proxy quản lý, để ko cần mở port quá nhiều.
Ko nên đấu vòng từ 1 cổng sang cổng còn lại trên cùng 1 host (nic 2 - switch - nic trên main), cái này lại phải chạy thêm spanning-tree để chống loop, hoặc phải chạy full L3.
Nếu chạy ảo hoá: tạo sẵn 2 bridge trên truenas: bridge wan, bridge lan
  • modem - bridge wan - pfsense (wan):
  • bridge lan - pfsense (lan) - switch ngoài
Các vm trên truenas chỉ cần tạo card mạng ảo gắn vào bridge lan.
Cách này dùng 2 port trên con truenas thôi, port còn lại có thể làm lan2 trên pfsense dành riêng cho đám camera/iot device cho dễ policy, hoặc nếu line ftth có iptv mà modem ko tag vlan thì có thể dùng cổng này cắm setopbox (hơi thổ dân nhưng cũng chạy đc)
Click to expand...
ảo hoá router thì e nghĩ nên để riêng 1 lan port cắm vô switch, set static ip để quản lý, sau lỡ con pfsense nó lỗi gì đó không access hay cấp dhcp thì từ pc vẫn access vô proxmox/esxi mà kiểm tra được :D
 
1/ Mở cổng
Bạn có thể dùng Cloudflare Tunnel để không phải mở ports trên modem.
Bạn dùng cloudflared đào sẵn hầm (tunnel) về dịch vụ, Cloudflare cấp cho bạn 1 subdomain cho dịch vụ, người dùng truy cập trực tiếp vô dịch vụ dùng subdomain này.

Hạn chế là nếu service dùng cổng lạ (khác: 80, 443, 22) thì cần phải cài cloudflared cho client.

Về sau này, bạn có muốn trỏ domain plbThinh.com, dùng luôn Cloudflare Dynamic DNS thì cũng tiện.

2/ Ảo hoá modem/router
Không nên.
Mình đã từng cấu hình modem/router trên máy ảo, có sự cố xử lý mất thời gian và phải chính bạn sửa. Nếu chỉ mình bạn dùng không sao, nhiều người thì nên tách máy riêng.
 
Last edited:
lostsomeone said:
ảo hoá router thì e nghĩ nên để riêng 1 lan port cắm vô switch, set static ip để quản lý, sau lỡ con pfsense nó lỗi gì đó không access hay cấp dhcp thì từ pc vẫn access vô proxmox/esxi mà kiểm tra được :D
Click to expand...
có tận 3 cổng, dùng 2 cổng, 1 cổng còn lại set static ip làm quản trị out of band cho true nas cũng đc.
 
chacuavip10 said:
Về mở port, chỉ cần mở port 80/443 về 1 con reverse proxy, các web còn lại (plex, nas,...) do con reverse proxy quản lý, để ko cần mở port quá nhiều.
Ko nên đấu vòng từ 1 cổng sang cổng còn lại trên cùng 1 host (nic 2 - switch - nic trên main), cái này lại phải chạy thêm spanning-tree để chống loop, hoặc phải chạy full L3.
Nếu chạy ảo hoá: tạo sẵn 2 bridge trên truenas: bridge wan, bridge lan
  • modem - bridge wan - pfsense (wan):
  • bridge lan - pfsense (lan) - switch ngoài
Các vm trên truenas chỉ cần tạo card mạng ảo gắn vào bridge lan.
Cách này dùng 2 port trên con truenas thôi, port còn lại có thể làm lan2 trên pfsense dành riêng cho đám camera/iot device cho dễ policy, hoặc nếu line ftth có iptv mà modem ko tag vlan thì có thể dùng cổng này cắm setopbox (hơi thổ dân nhưng cũng chạy đc)
Click to expand...

Con reverse proxy này có cần phải đặt trên VM riêng k ạ?
Với cả làm sao để gắn ổ NAS vào sau pfSense được nhỉ?

johndo100 said:
Vấn đề là khi NAS tạch thì mạng cũng tạch.
Nên mua riêng 1 con router mà chạy.
Click to expand...

Còn về giải pháp: router - nic1 - bridge wan - pfsense - bridge lan - nic2 - switch thì e nghĩ nếu NAS tạch thì e chỉ việc cắm trực tiếp switch vào router là được.

dizaime said:
1/ Mở cổng
Bạn có thể dùng Cloudflare Tunnel để không phải mở ports trên modem.
Bạn dùng cloudflared đào sẵn hầm (tunnel) về dịch vụ, Cloudflare cấp cho bạn 1 subdomain cho dịch vụ, người dùng truy cập trực tiếp vô dịch vụ dùng subdomain này.

Hạn chế là nếu service dùng cổng lạ (khác: 80, 443, 22) thì cần phải cài cloudflared cho client.

Về sau này, bạn có muốn trỏ domain plbThinh.com, dùng luôn Cloudflare Dynamic DNS thì cũng tiện.

2/ Ảo hoá modem/router
Không nên.
Mình đã từng cấu hình modem/router trên máy ảo, có sự cố xử lý mất thời gian và phải chính bạn sửa. Nếu chỉ mình bạn dùng không sao, nhiều người thì nên tách máy riêng.
Click to expand...

Tks bác. Kết hợp với ý kiến của bác chacuavip10 thì e nghĩ layout sẽ là: router - nic1 - bridge wan - pfsense - bridge lan - cloudfare - VM (webserver, nextcloud, plex...)
 
plbThinh said:
Con reverse proxy này có cần phải đặt trên VM riêng k ạ?
Với cả làm sao để gắn ổ NAS vào sau pfSense được nhỉ?



Còn về giải pháp: router - nic1 - bridge wan - pfsense - bridge lan - nic2 - switch thì e nghĩ nếu NAS tạch thì e chỉ việc cắm trực tiếp switch vào router là được.



Tks bác. Kết hợp với ý kiến của bác chacuavip10 thì e nghĩ layout sẽ là: router - nic1 - bridge wan - pfsense - bridge lan - cloudfare - VM (webserver, nextcloud, plex...)
Click to expand...
Cổng vật lý của nas add vào bridge lan của pfsense, thì khi cổng đó up (đấu vào switch) thì nó sẽ đc pfsense cấp ip luôn, còn ko có thể đặt ip tĩnh để lỡ sau vm pfsense tạch thì nếu thiết bị mạng sau switch cũng có ip tĩnh thì vẫn thông sang nhau bình thường.
Ngoài ra con modem nhà mạng có thể backup cấu hình internet quay pppoe trên nó, lỡ server đi hẳn thì restore lại, cắm switch vào modem là ok thôi.
Nếu chạy reverse proxy rồi ko cần chạy cloudflare tunnel nữa, vì cloud flare tunnel traffic sẽ bị proxy qua CloudFlare, chưa kể sẽ bị ratelimit nữa, use-case thằng này chủ yếu là khi bị cgnat hoặc muốn tận dụng hạ tầng service của CloudFlare (xác thực, chống ddos).
 
Tôi vẫn chưa hiểu mô hình lắm.
Mô hình tôi đang chạy là modem nhà mạng bridge > router opnsense > switch > các thiết bị + nas + server ..
Tôi vẫn chưa thấy nhiều lợi ích của việc đưa opnsense / pfsense vào nas / promox cho lắm. Có giảm tí tiền điện và chi phí đầu tư ban đầu chăng.
Mỗi lần thằng nas / promox cần off thì về máng lợn modem nhà mạng à :shame:
Nên làm thêm con minipc tàu 4NIC 2.5 tha hồ vẽ.
 
johndo100 said:
Tôi vẫn chưa hiểu mô hình lắm.
Mô hình tôi đang chạy là modem nhà mạng bridge > router opnsense > switch > các thiết bị + nas + server ..
Tôi vẫn chưa thấy nhiều lợi ích của việc đưa opnsense / pfsense vào nas / promox cho lắm. Có giảm tí tiền điện và chi phí đầu tư ban đầu chăng.
Mỗi lần thằng nas / promox cần off thì về máng lợn modem nhà mạng à :shame:
Nên làm thêm con minipc tàu 4NIC 2.5 tha hồ vẽ.
Click to expand...
tiết kiệm tiền đó bác, ngoài ra muốn tua băng thì phải chơi ảo hoá :))
 
johndo100 said:
Tôi vẫn chưa hiểu mô hình lắm.
Mô hình tôi đang chạy là modem nhà mạng bridge > router opnsense > switch > các thiết bị + nas + server ..
Tôi vẫn chưa thấy nhiều lợi ích của việc đưa opnsense / pfsense vào nas / promox cho lắm. Có giảm tí tiền điện và chi phí đầu tư ban đầu chăng.
Mỗi lần thằng nas / promox cần off thì về máng lợn modem nhà mạng à :shame:
Nên làm thêm con minipc tàu 4NIC 2.5 tha hồ vẽ.
Click to expand...
Thực sự là để tiết kiệm bác ạ :) miniPC cũng 2 củ r mà :)
 
chacuavip10 said:
Cổng vật lý của nas add vào bridge lan của pfsense, thì khi cổng đó up (đấu vào switch) thì nó sẽ đc pfsense cấp ip luôn, còn ko có thể đặt ip tĩnh để lỡ sau vm pfsense tạch thì nếu thiết bị mạng sau switch cũng có ip tĩnh thì vẫn thông sang nhau bình thường.
Ngoài ra con modem nhà mạng có thể backup cấu hình internet quay pppoe trên nó, lỡ server đi hẳn thì restore lại, cắm switch vào modem là ok thôi.
Nếu chạy reverse proxy rồi ko cần chạy cloudflare tunnel nữa, vì cloud flare tunnel traffic sẽ bị proxy qua CloudFlare, chưa kể sẽ bị ratelimit nữa, use-case thằng này chủ yếu là khi bị cgnat hoặc muốn tận dụng hạ tầng service của CloudFlare (xác thực, chống ddos).
Click to expand...
Em đọc của b từ hồi chiều mà k hình dung được "cổng vật lý của NAS add vào bridge lan của pfsense" là làm như thế nào trong TrueNAS luôn ấy. Vì ổ NAS của e nằm trên OS gốc TrueNAS, còn pfSense e định tạo VM rồi đặt lên đó (e hiểu chỗ tạo 2 cái bridge rồi).

Xong e lọ mọ tìm hiểu thêm về proxmox và ESXi thì mới hiểu. Cơ bản là cái HDH chứa ổ NAS nó cũng là 1 VM luôn mới trỏ được. Chiều giờ e lọ mọ tìm hiểu "cổng vật lý của NAS add vào bridge lan trong TrueNAS" mà k có ai làm hết :eek: haha. Hoặc có lẽ e tìm hiểu chưa tới.

Nhưng mà cho e hỏi chút vì thực sự sau này e còn build hosting cho 1 cái web tin tức nữa, nên việc chống ddos là việc cần làm, thế thì chắc phải xài Cloudfare rồi chứ ạ? Hay b có flatform reverse proxy nào có mấy function đó luôn k? E tìm thì thấy có Nginx, Traefik... mà k biết có các function đó hay k
 
Người ae cho hỏi nếu bị ddos thì giải quyết thế nào được nhỉ, hay tắt sever

Chứ đặt sever tại nhà có cái là rẻ nhưng bị phá là toang phết
 
dizaime said:
Mình vẽ sơ lại sơ đồ lớp mạng 1, 2, 3, bạn thêm địa chỉ IP nhé. Vấn đề hóc búa, không đơn giản đâu. Bạn sơ đồ hoá lại mọi người giúp bạn dễ hơn.
Voz1.drawio (https://drive.google.com/file/d/1BysndTHJVILhwwziiHXaiOvixVH8bfrr/view)


View attachment 2161691
Click to expand...
Vẽ xong sơ đồ rồi thì triển khai cũng dễ thôi mà. Không có sơ đồ triển khai linh tinh nó mới khó.
Mà vẽ bằng cái gì vậy fen, trước giờ toàn tưởng tượng trong đầu hơi thủ công :shame:
 
plbThinh said:
Em đọc của b từ hồi chiều mà k hình dung được "cổng vật lý của NAS add vào bridge lan của pfsense" là làm như thế nào trong TrueNAS luôn ấy. Vì ổ NAS của e nằm trên OS gốc TrueNAS, còn pfSense e định tạo VM rồi đặt lên đó (e hiểu chỗ tạo 2 cái bridge rồi).

Xong e lọ mọ tìm hiểu thêm về proxmox và ESXi thì mới hiểu. Cơ bản là cái HDH chứa ổ NAS nó cũng là 1 VM luôn mới trỏ được. Chiều giờ e lọ mọ tìm hiểu "cổng vật lý của NAS add vào bridge lan trong TrueNAS" mà k có ai làm hết :eek: haha. Hoặc có lẽ e tìm hiểu chưa tới.

Nhưng mà cho e hỏi chút vì thực sự sau này e còn build hosting cho 1 cái web tin tức nữa, nên việc chống ddos là việc cần làm, thế thì chắc phải xài Cloudfare rồi chứ ạ? Hay b có flatform reverse proxy nào có mấy function đó luôn k? E tìm thì thấy có Nginx, Traefik... mà k biết có các function đó hay k
Click to expand...
Lúc bạn tạo bridge, mặc định bridge là local chỉ có các vm với card mạng ảo trong đó thông nhau, nhưng bạn có thể add thẳng interface vật lý vào bridge được. Promox thì check cái bridge mặc định của nó là thấy. Tuy nhiên nếu ko cắm dây vào cổng vật lý đi đâu thì cổng nó down thôi, nên mới bảo cắm vào switch là thế.
Chống ddos thì homelab chỉ có ratelimit hoặc dùng cloudflare để proxy thôi.
 
fit_vimaru_haiphong said:
Người ae cho hỏi nếu bị ddos thì giải quyết thế nào được nhỉ, hay tắt sever

Chứ đặt sever tại nhà có cái là rẻ nhưng bị phá là toang phết
Click to expand...
Có DDoS vào thật thì vui bạn, chứng tỏ website có giá trị :LOL:. Lúc ấy thì đi thuê VPS, kiếm anh nào có sẵn Anti DDoS hoặc dùng với Cloudflare.

Thông thường Homelab chúng mình đóng vai trò attacker (bị lợi dụng tấn công nơi khác), ít khi là nạn nhân. :LOL:

johndo100 said:
Vẽ xong sơ đồ rồi thì triển khai cũng dễ thôi mà. Không có sơ đồ triển khai linh tinh nó mới khó.
Mà vẽ bằng cái gì vậy fen, trước giờ toàn tưởng tượng trong đầu hơi thủ công :shame:
Click to expand...
draw.io đấy fen

chacuavip10 said:
Lúc bạn tạo bridge, mặc định bridge là local chỉ có các vm với card mạng ảo trong đó thông nhau, nhưng bạn có thể add thẳng interface vật lý vào bridge được. Promox thì check cái bridge mặc định của nó là thấy. Tuy nhiên nếu ko cắm dây vào cổng vật lý đi đâu thì cổng nó down thôi, nên mới bảo cắm vào switch là thế.
Chống ddos thì homelab chỉ có ratelimit hoặc dùng cloudflare để proxy thôi.
Click to expand...
Rate Limit chỉ phòng được người ngay thôi, không phòng được kẻ gian :p
 
dizaime said:
Có DDoS vào thật thì vui bạn, chứng tỏ website có giá trị :LOL:. Lúc ấy thì đi thuê VPS, kiếm anh nào có sẵn Anti DDoS hoặc dùng với Cloudflare.

Thông thường Homelab chúng mình đóng vai trò attacker (bị lợi dụng tấn công nơi khác), ít khi là nạn nhân. :LOL:


draw.io đấy fen


Rate Limit chỉ phòng được người ngay thôi, không phòng được kẻ gian :p
Click to expand...

Trước mình làm cho mấy bác MMO hay reup bị bọn nước ngoài thuê ddos suốt.

Có lúc nó ddos mà sập cả đường internet 1 FPT của 1 nhà cung cấp data center khá lớn và có tên tuổi trên HN.

Nếu mình tự ứng phó thì cần làm thế nào vậy người ae
 

Similar threads

manhhihi
thảo luận Em muốn build một con server phục vụ đồ hoạ.
Replies
17
Views
662
goamzz
goamzz
tuandao2061996
thắc mắc Hỏi cách để triển khai 1 proxy server
Replies
3
Views
230
chienbinhso13
chienbinhso13
plbThinh
thảo luận Xin tư vấn giải pháp home cloud storage truy cập được từ public
Replies
11
Views
966
plbThinh
plbThinh
quangbomtusat2
thảo luận Cần xin tư vấn cấu hình server này trên shopee
Replies
7
Views
604
chienbinhso13
chienbinhso13
azzaxxexxv
thắc mắc Tư vấn mạng gia đình nhỏ
Replies
14
Views
336
ITDUNG
ITDUNG

Share this page

Back
Top