Quay lại blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Proxy cho thiết bị IoT: cách cấu hình camera thông minh và robot hút bụi qua router

Các thiết bị thông minh trong nhà và văn phòng thu thập dữ liệu và truyền cho nhà sản xuất - nhưng với proxy qua router, bạn kiểm soát lưu lượng và bảo vệ mạng. Chúng tôi sẽ hướng dẫn cách thiết lập điều này.

📅3 tháng 5, 2026
```html

Các camera thông minh, robot hút bụi, bộ điều chỉnh nhiệt độ và các thiết bị IoT khác liên tục kết nối Internet - và không phải lúc nào cũng đến nơi bạn mong đợi. Cấu hình proxy ở cấp độ router cho phép kiểm soát toàn bộ lưu lượng ra của các thiết bị thông minh, ẩn địa chỉ IP thực của mạng và vượt qua các hạn chế khu vực mà không cần cài đặt phần mềm trên chính thiết bị. Trong bài viết này, chúng ta sẽ tìm hiểu lý do tại sao điều này cần thiết, loại proxy nào phù hợp và cách thiết lập từng bước.

Tại sao thiết bị IoT cần proxy

Hầu hết người dùng thậm chí không nghĩ về việc thiết bị thông minh của họ "gọi về nhà" đến đâu. Trong khi đó, các robot hút bụi Trung Quốc như Roborock, Dreame, Xiaomi thường xuyên gửi bản đồ không gian và dữ liệu về lộ trình đến máy chủ của nhà sản xuất. Các camera IP như Hikvision, Dahua, Reolink kết nối với các dịch vụ đám mây để xem từ xa. Các ổ cắm thông minh, bóng đèn và bộ điều chỉnh nhiệt độ đồng bộ hóa với các máy chủ nước ngoài.

Proxy server được cấu hình ở cấp độ router giải quyết ngay lập tức một số vấn đề:

  • Ẩn địa chỉ IP thực của mạng bạn - nhà sản xuất thiết bị thấy địa chỉ IP của proxy, chứ không phải địa chỉ nhà của bạn.
  • Vượt qua các hạn chế địa lý - một số chức năng của thiết bị thông minh chỉ có sẵn ở một số quốc gia nhất định. Proxy với địa điểm địa lý cần thiết mở quyền truy cập vào toàn bộ chức năng.
  • Kiểm soát lưu lượng ra - bạn có thể thấy thiết bị nào kết nối với máy chủ nào.
  • Bảo vệ khỏi việc theo dõi - đặc biệt quan trọng đối với camera và các thiết bị có microphone.
  • Cho phép kiểm tra hành vi của thiết bị - hữu ích cho những ai đang theo dõi các ngôi nhà thông minh hoặc bán thiết bị IoT.

Một kịch bản riêng biệt là sử dụng cho doanh nghiệp. Nếu bạn quản lý một mạng lưới gồm nhiều văn phòng hoặc kho hàng với thiết bị IoT (camera giám sát, cảm biến, khóa thông minh), proxy qua router cho phép quản lý tập trung các địa chỉ IP của toàn bộ cơ sở hạ tầng. Điều này thuận tiện cả về mặt an ninh và quản trị.

Cần hiểu rằng:

Các thiết bị IoT không thể được cấu hình trực tiếp - chúng không có giao diện để nhập proxy. Cách duy nhất để chuyển lưu lượng của chúng qua proxy là cấu hình nó ở cấp độ router, để tất cả các thiết bị trong mạng tự động sử dụng máy chủ cần thiết.

Loại proxy nào nên chọn cho thiết bị thông minh

Không phải tất cả các loại proxy đều phù hợp cho IoT. Hãy cùng xem xét các tùy chọn và khả năng áp dụng của chúng cho các thiết bị thông minh:

Loại proxy Ưu điểm cho IoT Nhược điểm Phù hợp cho
Proxy cư trú Địa chỉ IP thực của người dùng tại nhà, độ tin cậy cao Đắt hơn, tốc độ có thể thay đổi Camera, thiết bị có quyền truy cập đám mây
Proxy di động IP của nhà mạng, độ tin cậy tối đa từ các nền tảng Lựa chọn đắt nhất Vượt qua các hạn chế địa lý nghiêm ngặt
Proxy trung tâm dữ liệu Tốc độ cao, ổn định, giá thấp Dễ dàng bị xác định là proxy Giám sát, kiểm tra, nhiệm vụ không có kiểm tra nghiêm ngặt

Đối với hầu hết các nhiệm vụ với các thiết bị thông minh tại nhà, lựa chọn tối ưu là proxy cư trú. Chúng có địa chỉ IP thực của người dùng tại nhà, điều này có nghĩa là rủi ro bị chặn từ các dịch vụ đám mây của nhà sản xuất là tối thiểu. Khi camera thông minh của bạn kết nối Internet qua IP cư trú, đối với máy chủ của nhà sản xuất, điều này trông giống như một người dùng tại nhà bình thường.

Nếu nhiệm vụ là vượt qua các hạn chế khu vực nghiêm ngặt (ví dụ, mở khóa các chức năng của thiết bị thông minh chỉ có sẵn ở Mỹ hoặc Châu Âu), bạn nên xem xét proxy di động - chúng có IP của các nhà mạng và gần như không bao giờ bị đưa vào danh sách đen.

Đối với các nhiệm vụ giám sát, kiểm tra cơ sở hạ tầng IoT hoặc làm việc với các thiết bị không có kiểm tra nghiêm ngặt, proxy trung tâm dữ liệu sẽ phù hợp - chúng cung cấp tốc độ cao và ổn định với chi phí thấp hơn.

Cách cấu hình proxy qua router: hướng dẫn từng bước

Cấu hình proxy trên router là cách duy nhất để bao quát tất cả các thiết bị IoT trong mạng mà không cần cấu hình từng cái một. Hãy xem xét một số kịch bản phổ biến.

Tùy chọn 1: Router với firmware OpenWRT / DD-WRT

Đây là tùy chọn linh hoạt nhất. Các firmware OpenWRT và DD-WRT hỗ trợ cài đặt các gói bổ sung, bao gồm cả các client proxy. Nếu router của bạn hỗ trợ một trong những firmware này (ASUS, TP-Link, Netgear và nhiều hãng khác), bạn sẽ có toàn quyền kiểm soát lưu lượng.

Bước 1. Truy cập vào giao diện web của router. Thông thường địa chỉ là 192.168.1.1 hoặc 192.168.0.1.

Bước 2. Chuyển đến phần System → Software (trong OpenWRT) hoặc Administration → Commands (trong DD-WRT).

Bước 3. Cài đặt gói redsocks - đây là công cụ cho phép proxy lưu lượng qua SOCKS5 hoặc HTTP proxy.

opkg update
opkg install redsocks

Bước 4. Chỉnh sửa tệp cấu hình /etc/redsocks.conf. Nhập thông tin của máy chủ proxy của bạn:

base {
  log_debug = off;
  log_info = on;
  daemon = on;
  redirector = iptables;
}

redsocks {
  local_ip = 0.0.0.0;
  local_port = 12345;
  ip = ĐỊA_CHỈ_PROXY_CỦA_BẠN;
  port = CỔNG_CỦA_BẠN;
  type = socks5;
  login = "TÊN_DANG_NHẬP_CỦA_BẠN";
  password = "MẬT_KHẨU_CỦA_BẠN";
}

Bước 5. Cấu hình iptables để chuyển hướng lưu lượng qua redsocks. Bạn có thể chuyển hướng toàn bộ lưu lượng hoặc chỉ từ các địa chỉ IP cụ thể (ví dụ, chỉ từ IP của camera của bạn):

# Chuyển hướng lưu lượng của thiết bị cụ thể (IP camera: 192.168.1.50)
iptables -t nat -A PREROUTING -s 192.168.1.50 -p tcp -j REDIRECT --to-ports 12345

# Hoặc chuyển hướng toàn bộ lưu lượng của mạng (trừ router)
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 12345
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 12345

Bước 6. Khởi động redsocks và thêm nó vào khởi động tự động:

/etc/init.d/redsocks start
/etc/init.d/redsocks enable

Tùy chọn 2: Router ASUS với firmware Merlin

Firmware Asuswrt-Merlin (cho các router ASUS dòng RT) hỗ trợ các script và cho phép cấu hình proxy qua trình quản lý tích hợp. Nguyên tắc giống nhau - cài đặt redsocks hoặc công cụ tương tự qua trình quản lý gói Entware, được tích hợp vào Merlin.

Quy trình: kết nối USB với router → cài đặt Entware qua phần Administration → Scripts → cài đặt redsocks qua opkg → cấu hình giống như ví dụ trên.

Tùy chọn 3: Raspberry Pi như một cổng proxy

Nếu router của bạn không hỗ trợ các firmware tùy chỉnh, bạn có thể sử dụng Raspberry Pi như một cổng trung gian. Raspberry Pi kết nối giữa router và các thiết bị, cho phép lưu lượng đi qua proxy. Đây là một giải pháp linh hoạt hơn, không yêu cầu thay đổi firmware của router.

Trên Raspberry Pi, bạn cài đặt cùng một bộ: redsocks + iptables. Các thiết bị IoT kết nối vào mạng qua Raspberry Pi, tự động proxy lưu lượng của chúng.

Camera thông minh: đặc điểm cấu hình và rủi ro

Camera IP là một trong những thiết bị IoT "nói chuyện" nhiều nhất. Chúng liên tục duy trì kết nối với các máy chủ đám mây để truy cập từ xa, gửi thông báo về chuyển động, đồng bộ hóa các bản ghi. Các mẫu phổ biến - Hikvision, Dahua, Reolink, Xiaomi Mi Camera, Ezviz, TP-Link Tapo.

Các kịch bản chính sử dụng proxy cho camera thông minh:

  • Ẩn địa chỉ IP thực của đối tượng quan sát - quan trọng cho các đối tượng doanh nghiệp và cá nhân không muốn tiết lộ vị trí của mình.
  • Truy cập vào các chức năng bị chặn trong khu vực - một số dịch vụ đám mây của camera chỉ hoạt động ở một số quốc gia nhất định.
  • Giám sát nhiều đối tượng qua một proxy duy nhất - thuận tiện cho các công ty bảo vệ quản lý camera tại nhiều địa điểm khác nhau.
  • Bảo vệ khỏi các cuộc tấn công DDoS vào camera IP - địa chỉ IP thực được ẩn sau proxy.

⚠️ Cảnh báo quan trọng:

Một số camera IP sử dụng giao thức UDP để truyền tải video. Các proxy HTTP/SOCKS5 tiêu chuẩn chỉ hoạt động với TCP. Để proxy lưu lượng UDP, bạn sẽ cần một đường hầm VPN hoặc các giải pháp chuyên biệt. Hãy kiểm tra các giao thức mà camera của bạn sử dụng trước khi cấu hình proxy.

Đối với các camera sử dụng giao thức RTSP (hầu hết Hikvision và Dahua), proxy ở cấp độ router hoạt động chính xác - RTSP được truyền qua TCP. Đối với các camera P2P (Xiaomi, Ezviz, TP-Link Tapo), tình hình phức tạp hơn: chúng sử dụng các giao thức độc quyền, một phần trong số đó hoạt động qua UDP.

Lời khuyên thực tế: nếu bạn cần ẩn IP cho lưu lượng điều khiển của camera (cài đặt, thông báo, đồng bộ hóa đám mây), proxy qua router sẽ hoàn thành nhiệm vụ. Nếu bạn cần proxy toàn bộ video stream - hãy xem xét VPN như một bổ sung cho proxy.

Robot hút bụi và các thiết bị thông minh khác

Robot hút bụi là một trường hợp đặc biệt trong số các thiết bị IoT. Các mẫu như Roborock S-series, Dreame L-series, Xiaomi Mi Robot, Ecovacs Deebot, sử dụng đám mây để lưu trữ bản đồ không gian, cập nhật firmware và đồng bộ hóa cài đặt. Tất cả các dữ liệu này được gửi đến các máy chủ của nhà sản xuất - thường là ở Trung Quốc.

Proxy qua router cho phép:

  • Ẩn địa chỉ IP và vị trí thực tế khỏi nhà sản xuất
  • Mở khóa các chức năng không có sẵn trong khu vực của bạn (ví dụ, một số lệnh thoại hoặc tích hợp)
  • Giám sát các máy chủ mà thiết bị kết nối
  • Chặn các kết nối không mong muốn (thông qua sự kết hợp giữa proxy và tường lửa)

Logic tương tự áp dụng cho các thiết bị thông minh khác:

Thiết bị Gửi dữ liệu đến đâu Tại sao cần proxy
Bộ điều chỉnh nhiệt thông minh (Nest, Tuya) Google, Tuya Cloud Ẩn IP, vượt qua các hạn chế khu vực
Ổ cắm và bóng đèn thông minh Nhà sản xuất (Tuya, SmartLife) Kiểm soát lưu lượng, quyền riêng tư
Loa thông minh (Amazon Echo, Yandex) Amazon AWS, máy chủ của Yandex Quyền riêng tư của các yêu cầu giọng nói
TV thông minh (Samsung, LG) Nhà sản xuất + mạng quảng cáo Truy cập vào các dịch vụ streaming nước ngoài
Cảm biến nhà thông minh (hub Zigbee) Home Assistant, đám mây của nhà sản xuất An ninh và kiểm soát

HTTP vs SOCKS5: chọn cái nào cho IoT

Khi cấu hình proxy cho các thiết bị IoT qua router, bạn sẽ gặp phải sự lựa chọn giao thức. Đây là những gì bạn cần biết:

Proxy HTTP/HTTPS

Chỉ hoạt động với lưu lượng web (cổng 80 và 443). Phù hợp cho các thiết bị giao tiếp với đám mây chỉ qua các yêu cầu HTTP. Ưu điểm - dễ cấu hình và có thể phân tích lưu lượng ở cấp độ proxy. Nhược điểm - không hỗ trợ các cổng và giao thức không chuẩn mà một số thiết bị IoT sử dụng.

Proxy SOCKS5

Hoạt động ở mức thấp hơn và hỗ trợ bất kỳ kết nối TCP nào trên bất kỳ cổng nào. Điều này làm cho SOCKS5 trở thành lựa chọn ưu tiên cho các thiết bị IoT, vì chúng thường sử dụng các cổng không chuẩn và các giao thức riêng trên TCP. Redsocks, mà chúng tôi đã đề cập ở trên, hoạt động với SOCKS5.

Khuyến nghị cho IoT:

Sử dụng SOCKS5 như giao thức chính để proxy lưu lượng IoT qua router. Nó bao phủ tối đa các kịch bản và tương thích với hầu hết các thiết bị thông minh. Proxy HTTP chỉ sử dụng khi bạn chắc chắn rằng thiết bị hoạt động hoàn toàn qua HTTP/HTTPS.

An ninh và kiểm soát lưu lượng của mạng thông minh

Cấu hình proxy chỉ là một phần của công việc đảm bảo an ninh cho mạng IoT. Để bảo vệ toàn diện, nên sử dụng một cách tiếp cận tổng thể.

Phân đoạn mạng

Tách các thiết bị IoT vào một subnet riêng (VLAN). Đây là một thực hành an ninh tiêu chuẩn: nếu một trong các thiết bị bị xâm phạm, kẻ tấn công sẽ không có quyền truy cập vào mạng chính với máy tính và smartphone. Hầu hết các router hiện đại (ASUS, TP-Link, Mikrotik) hỗ trợ VLAN qua giao diện web.

Giám sát các kết nối ra

Sau khi cấu hình proxy, hãy sử dụng các công cụ giám sát để phân tích lưu lượng của các thiết bị IoT. Trên OpenWRT, có gói tcpdump để bắt gói và ntopng để giám sát trực quan. Điều này sẽ cho phép bạn thấy các máy chủ mà thiết bị của bạn kết nối và chặn các kết nối không mong muốn nếu cần.

Danh sách trắng và đen IP

Sử dụng iptables kết hợp với proxy, bạn có thể tạo danh sách trắng các địa chỉ IP được phép cho mỗi thiết bị. Ví dụ, camera Reolink của bạn chỉ nên kết nối với các máy chủ Reolink - mọi thứ khác sẽ bị chặn. Đây là một biện pháp bảo vệ hiệu quả chống lại các kết nối không mong muốn và các lỗ hổng tiềm ẩn của firmware.

Xác thực trên proxy

Sử dụng proxy với tên đăng nhập và mật khẩu - điều này ngăn chặn việc sử dụng trái phép máy chủ proxy bởi các thiết bị hoặc người khác có thể truy cập vào mạng của bạn. Tất cả các nhà cung cấp proxy nghiêm túc đều hỗ trợ xác thực bằng tên đăng nhập/mật khẩu hoặc theo địa chỉ IP.

Các vấn đề thường gặp và cách giải quyết

Khi cấu hình proxy cho các thiết bị IoT qua router, bạn có thể gặp phải một số vấn đề điển hình. Dưới đây là những vấn đề phổ biến nhất và cách giải quyết chúng:

Vấn đề 1: Thiết bị không kết nối với đám mây sau khi cấu hình proxy

Nguyên nhân: Thiết bị sử dụng certificate pinning - kiểm tra SSL certificate, điều này không cho phép hoạt động qua proxy trong suốt với việc thay thế certificate.

Giải pháp: Sử dụng proxy trong suốt mà không có SSL inspection (redsocks ở chế độ socks5 mà không chặn TLS). Thiết bị sẽ hoạt động qua proxy, nhưng nội dung của lưu lượng sẽ vẫn được mã hóa - điều này là bình thường cho các nhiệm vụ ẩn IP.

Vấn đề 2: Độ trễ cao khi hoạt động qua proxy

Nguyên nhân: Proxy server cách xa về mặt địa lý so với các máy chủ của nhà sản xuất thiết bị.

Giải pháp: Chọn proxy với địa điểm địa lý gần với các máy chủ của nhà sản xuất. Ví dụ, đối với các thiết bị Trung Quốc (Xiaomi, Roborock), hãy sử dụng proxy ở Hồng Kông hoặc Singapore. Đối với các thiết bị Mỹ (Amazon, Google) - proxy ở Mỹ.

Vấn đề 3: Proxy hoạt động, nhưng lưu lượng UDP không được proxy

Nguyên nhân: Redsocks và hầu hết các proxy SOCKS5/HTTP chỉ hoạt động với TCP.

Giải pháp: Đối với các thiết bị sử dụng UDP (một số camera, loa thông minh), hãy thêm một đường hầm VPN vào proxy (WireGuard hoặc OpenVPN trên router). VPN cung cấp proxy cho lưu lượng UDP, trong khi proxy SOCKS5 được sử dụng cho TCP.

Vấn đề 4: Sau khi khởi động lại router, các quy tắc iptables bị đặt lại

Nguyên nhân: Các quy tắc iptables không được lưu tự động trong hầu hết các hệ thống.

Giải pháp: Lưu các quy tắc bằng iptables-save và thêm việc khôi phục chúng vào script khởi động tự động. Trong OpenWRT, hãy sử dụng tệp /etc/firewall.user cho các quy tắc cố định. 

# Lưu các quy tắc iptables (hệ thống dựa trên Debian/Ubuntu)
iptables-save > /etc/iptables/rules.v4

# Khôi phục khi khởi động
iptables-restore < /etc/iptables/rules.v4

Vấn đề 5: Proxy server từ chối các kết nối từ router

Nguyên nhân: Proxy được cấu hình để xác thực theo IP, và IP của router không được thêm vào danh sách trắng.

Giải pháp: Hoặc thêm IP của router vào danh sách trắng của nhà cung cấp proxy, hoặc sử dụng xác thực bằng tên đăng nhập/mật khẩu trong cấu hình redsocks (các tham số login và password trong cấu hình).

Kết luận và khuyến nghị

Cấu hình proxy cho các thiết bị IoT qua router không phải là một nhiệm vụ khó khăn cho những ai sẵn sàng dành một giờ để thiết lập, nhưng kết quả là rất đáng giá. Bạn có toàn quyền kiểm soát dữ liệu nào và đến đâu mà các thiết bị thông minh của bạn gửi, ẩn địa chỉ IP thực của mạng và vượt qua các hạn chế khu vực nếu cần.

Hãy tóm tắt các điểm chính:

  • Các thiết bị IoT không thể được cấu hình trực tiếp - proxy được cấu hình trên router
  • Công cụ redsocks + iptables - giải pháp tiêu chuẩn cho OpenWRT/DD-WRT/Merlin
  • SOCKS5 ưu tiên hơn HTTP cho IoT vì hỗ trợ các cổng không chuẩn
  • Đối với lưu lượng UDP (một số camera), cần VPN bổ sung cho proxy
  • Phân đoạn các thiết bị IoT vào VLAN riêng để tăng cường an ninh
  • Chọn proxy với địa điểm địa lý gần với các máy chủ của nhà sản xuất thiết bị

Nếu nhiệm vụ của bạn là ẩn địa chỉ IP thực của các thiết bị thông minh và đảm bảo độ tin cậy tối đa từ các dịch vụ đám mây của nhà sản xuất, chúng tôi khuyên bạn nên xem xét proxy cư trú - chúng sử dụng địa chỉ IP thực của người dùng tại nhà và gần như không gây nghi ngờ cho các máy chủ của các nhà sản xuất thiết bị IoT.

```