Trong bài viết dưới đây, mình muốn chia sẻ về hệ thống homelab network mà mình tự xây dựng tại nhà. Mục tiêu chính là tạo ra một môi trường an toàn, linh hoạt và dễ quản lý cho tất cả các dịch vụ và thiết bị trong gia đình. Từ việc quản lý server, NAS, media, đến các thiết bị IoT và thiết bị di động, toàn bộ mạng đều được thiết kế sao cho bảo mật, hiệu quả và truy cập ổn định cả khi ở ngoài mạng nhà.

Giới thiệu Homelab Network Infrastructure

Trong homelab của mình, mình thiết kế mạng theo ba mô hình chính, tùy vào mục đích truy cập và mức độ bảo mật của dịch vụ:

1. Public Access từ Internet

Một số dịch vụ cần truy cập trực tiếp từ Internet, ví dụ blog cá nhân, hay một số ứng dụng như chia sẻ ảnh, hay cloud/drive cá nhân mục tiêu là để có thể dể dàng chia sẻ với mọi người, tuy nhiên vẫn đảm bảo tính an toàn

2026-03-25_13h26_32.png

  • Mình chọn Cloudflare Tunnel để chỉ giới hạn truy cập những dịch vụ được public, không mở toàn bộ mạng homelab. Tunnel tạo kênh kết nối mã hóa và xác thực, đảm bảo traffic đến các dịch vụ public an toàn. Đồng thời tận dụng dịch vụ DNS/Proxy của Cloudflare để quản lý SSL và bảo vệ khỏi DDoS.

  • Mình dùng Nginx Proxy Manager (NPM) để dễ dàng quản lý SSL/HTTPS certificate, vì quản lý từng cert cho từng app riêng lẻ khá phức tạp. Với một số app như GetHomepage không có sẵn cơ chế bảo mật hoặc phân quyền người dùng, NPM tạo một layer đơn giản chống xâm nhập trái phép. Nhờ vậy, khi cấu hình Cloudflare Tunnel, chỉ cần point tunnel vào NPM là đủ, tất cả các app phía sau đều được bảo vệ.

2. Private Access từ Internet

Các dịch vụ nhạy cảm như PVE, NAS, PBS, hoặc các dịch vụ internal chỉ dùng trong gia đình được bảo vệ bằng Tailscale VPN. Thực tế thì các dịch vụ không nhạy cảm cũng có thể được truy cập nếu có trong tailnet nên có thể nói nếu bạn được add vào tailnet bạn đã bước 1 chân vào trong homelab của mình rồi.

2026-03-25_13h28_39.png

  • Mình dùng Tailscale để tạo một lớp bảo mật bổ sung cho các dịch vụ trong homelab. Nhờ vậy, chỉ những thiết bị đã kết nối VPN mới có thể truy cập được, tăng độ an toàn cho hệ thống.

  • Các dịch vụ của mình không được public ra Internet, nên sẽ không ai ngoài mạng VPN có thể truy cập. Điều này giúp ngăn chặn truy cập trái phép từ các thiết bị lạ hoặc mạng ngoài.

  • Ngoài ra, Tailscale còn đảm bảo việc truy cập homelab từ xa ổn định. Mình vẫn có thể quản lý và sử dụng các dịch vụ của mình ngay cả khi đang ở ngoài mạng nhà mà không lo bị gián đoạn.

3. Public Request từ Homelab

Các thiết bị trong gia đình nói chung và trong homelab nói riêng khi truy cập Internet cũng được quản lý để nâng cao trải nghiệm và bảo mật. Chủ yếu là lọc quảng cáo và các domain nguy hiểm, các tracker. Vô tình cũng giúp tốc độ internet tăng lên do đã chặn một luồng lớn dữ liệu quảng cáo đi vào mạng.

2026-03-25_13h29_36.png

  • Mình chọn AdGuard Home làm DNS cho toàn bộ thiết bị kết nối mạng trong nhà vì nó lọc quảng cáo, tracker và các domain nguy hiểm ngay từ gốc. Giá trị của nó là giảm lượng traffic không cần thiết, giúp tăng tốc độ Internet, đồng thời mang trải nghiệm lướt web sạch sẽ, không thấy quảng cáo trên mọi thiết bị trong nhà.

Việc thiết kế và triển khai các mô hình mạng trong homelab không chỉ giúp mình học hỏi và trải nghiệm thực tế về cách các dịch vụ, VPN, proxy và DNS hoạt động, mà còn là một quá trình rất thú vị. Mình rất vui vì đã có cơ hội hiểu sâu về những mô hình này và áp dụng kiến thức vào thực tế.

Ngoài việc mở rộng kiến thức, homelab còn là một sở thích (hobby) của mình. Việc xây dựng và quản lý hệ thống này cũng hỗ trợ cuộc sống hàng ngày, từ truy cập dữ liệu, giải trí, đến quản lý thiết bị trong nhà một cách thuận tiện và an toàn.

Hy vọng chia sẻ của mình sẽ hữu ích cho những ai đang muốn bắt đầu xây dựng homelab. Mình luôn sẵn sàng nhận đóng góp và ý kiến từ mọi người để hệ thống của mình và các bài viết có thể ngày càng hoàn thiện hơn.