Việc thiết lập Cloudflare Tunnel trên Synology bằng Container Manager (trước đây là Docker) cho phép bạn truy cập các dịch vụ nội bộ (như NAS) một cách an toàn mà không cần mở bất kỳ cổng nào trên router.
Mình gặp trường hợp một khu vực mạng đặt NAS không cho mở port vì đó là một firewall router. Thay vì dùng QuickConnect của Synology, giải pháp của Cloudflare Tunnel cho tốc độ truy xuất tốt hơn với mức tốc độ truy xuất vừa phải, không quá nhiều.
Dịch vụ này được Cloudflare cung cấp gói miễn phí, tuy nhiên anh em phải mua một tên miền và chuyển phần quản lý DNS về Cloudflare để sử dụng.
Dưới đây là các bước cơ bản để tạo kết nối Cloudflare Tunnel:
Mình gặp trường hợp một khu vực mạng đặt NAS không cho mở port vì đó là một firewall router. Thay vì dùng QuickConnect của Synology, giải pháp của Cloudflare Tunnel cho tốc độ truy xuất tốt hơn với mức tốc độ truy xuất vừa phải, không quá nhiều.
Dịch vụ này được Cloudflare cung cấp gói miễn phí, tuy nhiên anh em phải mua một tên miền và chuyển phần quản lý DNS về Cloudflare để sử dụng.
Dưới đây là các bước cơ bản để tạo kết nối Cloudflare Tunnel:
Chuẩn bị
Một tài khoản Cloudflare và một tên miền đang được quản lý DNS bởi Cloudflare.Ứng dụng Container Manager đã được cài đặt trên Synology NAS của bạn.
Thiết lập trên Cloudflare Zero Trust
Đăng nhập vào tài khoản Cloudflare, truy cập mục Zero Trust. Nếu lần đầu, bạn sẽ cần thiết lập cơ bản và chọn gói Free ($0 / user / month).
Đi đến Networks > Tunnels > Create a tunnel.
Đặt tên cho Tunnel của bạn (ví dụ: SynologyNAS-Tunnel) và bấm Save Tunnel.
Ở màn hình tiếp theo, chọn môi trường là Docker và copy lại Tunnel Token (đoạn lệnh tunnel run --token <token>). Đây là thông tin quan trọng để cấu hình Container trên Synology.
Giả sử đây là đoạn mã được copy
docker run cloudflare/cloudflared:latest tunnel --no-autoupdate run --token a1d0cac3f9ebfad250bac123c0dc426a00830bbe532a44ec8355249d2a36a639NDAxNmVkYmItNGQ4Mi00MDA3ODAzLWiZDVtTDFkZTJUTDFkZTUxOWQ4NmNmL
Quảng cáo
thì chúng ta chỉ lấy cái đoạn sau chữ --token là được
a1d0cac3f9ebfad250bac123c0dc426a00830bbe532a44ec8355249d2a36a639NDAxNmVkYmItNGQ4Mi00MDA3ODAzLWiZDVtTDFkZTJUTDFkZTUxOWQ4NmNmL
Cài đặt Container trên Synology Container Manager
Đăng nhập vào giao diện quản lý của DiskStation Manager
Cài đặt Container Manager trong Package Center (nếu chưa có)
Mở Container Manager trên Synology NAS của bạn.
Vào mục Registry, tìm kiếm và tải về Image cloudflare/cloudflared:latest.
Quảng cáo
Vào mục Image, chọn image vừa tải và bấm Run (Chạy) để tạo Container.
Trong cửa sổ thiết lập General Settings (Cài đặt chung):
- Bật Enable auto-restart (Bật tự động khởi động lại).
- Container Name (Tên Container): Đặt tên dễ nhớ (ví dụ: cloudflared).
Environment (Môi trường):
- Tìm mục Execution Command (Lệnh thực thi) hoặc Command.
- Nhập lệnh bạn đã sao chép từ Cloudflare Zero Trust Dashboard vào đây theo cấu trúc
Network (Mạng):
Chọn Host (Sử dụng cùng Network với Docker Host).
Bấm Next (Tiếp theo), sau đó Done (Hoàn tất) để tạo và khởi chạy Container.
Sau khi Container chạy, quay lại Cloudflare Zero Trust Dashboard. Bạn sẽ thấy Status (Trạng thái) của Tunnel chuyển sang Healthy (Hoạt động tốt).
Hướng dẫn nhận biết Cổng (Port) Ứng dụng trên Synology
Trước khi cấu hình Public Hostnames, bạn cần xác định cổng (port) cục bộ mà dịch vụ đang chạy trên Synology NAS của mình:Đối với Giao diện Web DSM (DiskStation Manager)
Đây là cách bạn truy cập giao diện quản lý Synology:
- Trong DSM, đi tới Control Panel (Bảng điều khiển) > Login Portal (Cổng đăng nhập).
- Trong tab DSM, bạn sẽ thấy các cổng mặc định:
- HTTP: Thường là 5000 / HTTPS: Thường là 5001.
Đối với các Ứng dụng Synology khác (Drive, Photos, Download Station...)
Nếu bạn muốn tạo Tunnel cho một ứng dụng cụ thể:- Trong Control Panel (Bảng điều khiển) > Login Portal (Cổng đăng nhập).
- Chuyển sang tab Applications (Ứng dụng).
- Tìm ứng dụng bạn muốn (ví dụ: Synology Drive Server).
- Bấm đúp vào ứng dụng đó hoặc chọn Edit (Chỉnh sửa).
- Bạn sẽ thấy mục Custom Port (Cổng tùy chỉnh) hoặc Web service port (Cổng dịch vụ web) đang được sử dụng cho HTTP và/hoặc HTTPS.
Lời khuyên: Nếu ứng dụng cho phép cấu hình cổng HTTPS, hãy sử dụng cổng đó.
Cấu hình Published application routes (Public Hostnames)
Đây là bước bạn chỉ định dịch vụ nội bộ nào sẽ được truy cập thông qua Tunnel
Trong Cloudflare Zero Trust Dashboard, tại mục Tunnels, chọn Configure cho Tunnel vừa tạo.
Chuyển sang tab Published application routes (cập nhật tháng 10-2025) trước đó là Public Hostnames.
Bấm Add a Published application routes
Cấu hình như sau:
- Subdomain (Tên miền phụ): Ví dụ portal
- Domain (Tên miền): Tên miền của bạn (ví dụ: tenmiencuaban.com)
- Path (Đường dẫn): (Để trống nếu không cần)
- Service (Dịch vụ):
- Type (Loại): Chọn loại giao thức (ví dụ: https cho DSM).
- URL: Nhập địa chỉ IP nội bộ và cổng của dịch vụ trên Synology (ví dụ: 192.168.1.10:5001 cho DSM hoặc localhost:<port>).
- Nếu chọn Type là HTTPS thì cấu hình thêm trong Additional application settings - TLS - bật No TLS Verify
Bấm Save hostname (Lưu tên miền).
Bây giờ, bạn có thể truy cập dịch vụ của mình qua tên miền đã thiết lập (ví dụ: portal.tenmiencuaban.com).
Mình tóm tắt từ Nguồn này và đang dùng cho hệ thống cá nhân. Anh em rành về mạng có thể sẽ có nhiều cách tinh chỉnh khác cho phần xác thực HTTPS, nhưng mình thấy cách này đơn giản, dễ dùng, tốc độ cũng ổn định.
