Mình gặp trường hợp một khu vực mạng đặt NAS không cho mở port vì đó là một firewall router. Thay vì dùng QuickConnect của Synology, giải pháp của Cloudflare Tunnel cho tốc độ truy xuất tốt hơn với mức tốc độ truy xuất vừa phải, không quá nhiều.

Dịch vụ này được Cloudflare cung cấp gói miễn phí, tuy nhiên anh em phải mua một tên miền và chuyển phần quản lý DNS về Cloudflare để sử dụng.

Dưới đây là các bước cơ bản để tạo kết nối Cloudflare Tunnel:

Chuẩn bị

Một tài khoản Cloudflare và một tên miền đang được quản lý DNS bởi Cloudflare.

Ứng dụng Container Manager đã được cài đặt trên Synology NAS của bạn.

Thiết lập trên Cloudflare Zero Trust

Đăng nhập vào tài khoản Cloudflare, truy cập mục Zero Trust. Nếu lần đầu, bạn sẽ cần thiết lập cơ bản và chọn gói Free ($0 / user / month).

Đi đến Networks > Tunnels > Create a tunnel.



Đặt tên cho Tunnel của bạn (ví dụ: SynologyNAS-Tunnel) và bấm Save Tunnel.
Ở màn hình tiếp theo, chọn môi trường là Docker và copy lại Tunnel Token (đoạn lệnh tunnel run –token <token>). Đây là thông tin quan trọng để cấu hình Container trên Synology.

Giả sử đây là đoạn mã được copy
docker run cloudflare/cloudflared:latest tunnel –no-autoupdate run –token eyJhIjoiNmZlYzdkNjc5NzMzMjQxMTFjZGIzZTFiMTg0ODA5N2QiLCJ0IjoiZDg5YzVlM2UtYmQ5Zi00MDNiLWFkYzktMmZiM2EzNDkxYTR43434lIiwicyI6IlltRmxOamcxWmpBdFpXUTJNUzAwWkdZd0xXSTRZbVF0TURGalpEaGpOalV6TkaM1ZNSJ9

Cài đặt Container trên Synology Container Manager

Đăng nhập vào giao diện quản lý của DiskStation Manager

Cài đặt Container Manager trong Package Center (nếu chưa có)
Mở Container Manager trên Synology NAS của bạn.

Vào mục Registry, tìm kiếm và tải về Image cloudflare/cloudflared:latest.

Vào mục Image, chọn image vừa tải và bấm Run (Chạy) để tạo Container.Trong cửa sổ thiết lập General Settings (Cài đặt chung):

• Bật Enable auto-restart (Bật tự động khởi động lại).
• Container Name (Tên Container): Đặt tên dễ nhớ (ví dụ: cloudflared).

Chuyển sang tab Advanced Settings (Cài đặt nâng cao):
Environment (Môi trường):

• Tìm mục Execution Command (Lệnh thực thi) hoặc Command.
• Nhập lệnh bạn đã sao chép từ Cloudflare Zero Trust Dashboard vào đây theo cấu trúc

tunnel run –token paste-token-từ-cloudflare-vào-đây

Network (Mạng):
Chọn Host (Sử dụng cùng Network với Docker Host).

Bấm Next (Tiếp theo), sau đó Done (Hoàn tất) để tạo và khởi chạy Container.

Sau khi Container chạy, quay lại Cloudflare Zero Trust Dashboard. Bạn sẽ thấy Status (Trạng thái) của Tunnel chuyển sang Healthy (Hoạt động tốt).

Hướng dẫn nhận biết Cổng (Port) Ứng dụng trên Synology

Trước khi cấu hình Public Hostnames, bạn cần xác định cổng (port) cục bộ mà dịch vụ đang chạy trên Synology NAS của mình:

Đối với Giao diện Web DSM (DiskStation Manager)

Đây là cách bạn truy cập giao diện quản lý Synology:

• Trong DSM, đi tới Control Panel (Bảng điều khiển) > Login Portal (Cổng đăng nhập).
• Trong tab DSM, bạn sẽ thấy các cổng mặc định:
• HTTP: Thường là 5000 / HTTPS: Thường là 5001.

Lưu ý quan trọng: Khi thiết lập Tunnel, bạn nên sử dụng giao thức HTTPS và cổng tương ứng (thường là 5001) để đảm bảo kết nối được mã hóa từ NAS đến Cloudflare.

Đối với các Ứng dụng Synology khác (Drive, Photos, Download Station…)

Nếu bạn muốn tạo Tunnel cho một ứng dụng cụ thể:

• Trong Control Panel (Bảng điều khiển) > Login Portal (Cổng đăng nhập).
• Chuyển sang tab Applications (Ứng dụng).
• Tìm ứng dụng bạn muốn (ví dụ: Synology Drive Server).
• Bấm đúp vào ứng dụng đó hoặc chọn Edit (Chỉnh sửa).
• Bạn sẽ thấy mục Custom Port (Cổng tùy chỉnh) hoặc Web service port (Cổng dịch vụ web) đang được sử dụng cho HTTP và/hoặc HTTPS.

Ví dụ: Synology Drive thường sử dụng cổng 6690 cho đồng bộ và có thể là một cổng HTTPS tùy chỉnh (ví dụ: 10001) cho giao diện web.
Lời khuyên: Nếu ứng dụng cho phép cấu hình cổng HTTPS, hãy sử dụng cổng đó.

Cấu hình Published application routes (Public Hostnames)

Đây là bước bạn chỉ định dịch vụ nội bộ nào sẽ được truy cập thông qua Tunnel

Trong Cloudflare Zero Trust Dashboard, tại mục Tunnels, chọn Configure cho Tunnel vừa tạo.
Chuyển sang tab Published application routes (cập nhật tháng 10-2025) trước đó là Public Hostnames.

Bấm Add a Published application routes
Cấu hình như sau:

• Subdomain (Tên miền phụ): Ví dụ portal
• Domain (Tên miền): Tên miền của bạn (ví dụ: tenmiencuaban.com)
• Path (Đường dẫn): (Để trống nếu không cần)
• Service (Dịch vụ):
• Type (Loại): Chọn loại giao thức (ví dụ: https cho DSM).
• URL: Nhập địa chỉ IP nội bộ và cổng của dịch vụ trên Synology (ví dụ: 192.168.1.10:5001 cho DSM hoặc localhost:<port>).

• Nếu chọn Type là HTTPS thì cấu hình thêm trong Additional application settings – TLS – bật No TLS Verify

Bấm Save hostname (Lưu tên miền).

Bây giờ, bạn có thể truy cập dịch vụ của mình qua tên miền đã thiết lập (ví dụ: portal.tenmiencuaban.com).

Mình tóm tắt từ Nguồn này và đang dùng cho hệ thống cá nhân. Anh em rành về mạng có thể sẽ có nhiều cách tinh chỉnh khác cho phần xác thực HTTPS, nhưng mình thấy cách này đơn giản, dễ dùng, tốc độ cũng ổn định.