ผมย้ายจาก Pihole & Adguard มาใช้ NextDNS

security

Table of Contents

NextDNS คือ

DNS Server ที่สามารถช่วยในการป้องกัน security threads, block โฆษณา หรือ block การ tracking ของ website หรือ application ต่าง ๆ โดยที่เราสามารถตั้งค่าได้ว่าในแต่ละ device จะใช้ policy ใดในการป้องกัน

โดยวิธีการทำงานตัว NextDNS จะมี list ของ domain ที่เป็นอันตราย (สามารถใช้ Blacklist มาตรฐานทั่ว ๆ ไปของ Adguard หรือ PiHole ได้) เมื่อมีการพยายาม query ข้อมูลที่เป็นอันตรายจาก domain ที่อยู่ใน blacklist ตัว NextDNS ก็จะทำการ block คำขอดังกล่าวแทน

วิธีการใช้งานตั้งค่าจะคล้าย ๆ กับ Pihole หรือ Adguard เลยครับ แต่ต่างตรงที่เราไม่ต้อง self-hosted เอง, สามารถจัดการเองได้บน website "my.nextdns.io" ครับ

Pricing

ข้อมูล ณ วันที่ 12/5/68 จะมีให้ใช้ 4 Plan หลัก ๆ ด้วยกันโดยที่มี version free ให้ใช้ด้วยครับ สามารถตั้งค่าได้เหมือนกับ version เสียตัง แต่จะแตกต่างตรงที่หากครบ 300,000 queries ต่อเดือนแล้วหลังจากนั้นจะไม่มีการ block query (จะกลายเป็นเหมือน DNS ธรรมดาทั่ว ๆ ไป) เลยไม่ต้องกังวลไปนะครับว่าหลังจากครบโควต้าฟรีแล้วจะใช้งาน DNS ไม่ได้

ส่วนตัวผมเลือกเป็น Version Pro ครับ ปีละ 590 บาท (ทดลองใช้ตัวฟรีประมาณ 1 สัปดาห์ก็ตัดสินใจจ่ายเงินเลยครับ)

ควรเลือก Plan ไหนดี

สำหรับผมแล้ว 300,000 queries ต่อเดือน บอกเลยครับว่า "ไม่พอ" 5555 เลยตัดสินใจ subscription เป็นตัว pro แทน แต่ก็แนะนำว่าให้ลองใช้ดูก่อนก็ได้ครับ ว่าเข้ากับ lifestyle ของตัวเองรึเปล่า ถ้าถูกใจค่อยจ่ายตังก็ได้ครับ เพราะตัว free มี featureเหมือนกับตัว pro หรือตัวเสียตังเลย

เอาเงินค่า subscription ไปเช่า server แล้ว self-hosted เองจะดีกว่ามั้ย

เครื่อง server 1 ปีในราคา 590 บาทถ้าถามว่ามีมั้ย ก็ต้องบอกว่าพอจะหาได้ครับ ผมเองก็เป็นสาย Self-hosted, Home Lab ที่ชอบการ self-hosted อะไรหลาย ๆ อย่าง แต่ผมมีความคิดนึงครับว่าจะมีอยู่ไม่กี่อย่างที่จะไม่ self-hosted เองได้แก่ Email Server, Bitwarden (password manager) และ DNS เพราะสิ่งเหล่านี้การดูแลรักษาให้ใช้งานได้และปลอดภัยถือว่าเป็น challenge มากครับ ถ้าใช้งานไม่ได้ขึ้นมางานหยาบทันที ดังนั้นยอมเสียตังหน่อยเพื่อใช้ความ stable ตรงนี้ดีกว่าครับ (อันนี้มุมมองผมนะ)

แล้วก็เคยมีประสบการณ์ที่ Internal ช้าเพราะว่า Setup Pihole & Adguard ไม่ดีทำให้จังหวะ query มันแปลก ๆ กว่าจะหาเหตุผลเจอว่าเป็นที่การตั้งค่าของตัวเอง ก็โทษ ISP อยู่หลายวัน 55555 (อันนี้ยอมรับว่าเป็น skill issue ของตัวเอง) แต่ก็อยากแชร์เป็น use-case ให้ฟังครับ

DNS over HTTPS

อันนี้เป็นอีกเหตุผลนึงที่ผมย้ายมาใช้ NextDNS เพราะว่ามี DoH ให้ใช้ อธิบายให้เห็นภาพง่าย ๆ ให้มองว่าถ้าเราใช้ DNS แบบปกติทางผู้ให้บริการ internal หรือผู้ดูแลระบบจะสามารถดู DNS query ได้ (DNS query จะไม่ได้มีการเข้ารหัสไว้) ซึ่งการมาใช้ DoH จะทำให้มี Privacy ในส่วนนี้มากยิ่งขึ้น จะเป็นการ encryption DNS query อีกทั้งยังสามารถป้องกันการโดน DNS Proxy จากผู้ดูแลได้อีกด้วย (สำหรับคนที่กังวลในเรื่อง Privacy แบบผมอันนี้คือจุดสำคัญเลยครับ)

วิธีการใช้งาน

ต้องบอกว่าสามารถใช้งานได้ในแทบทุกอุปกรณ์เลย ส่วนตัวผมเองใช้งานบน Windows, MacOS, IPAD OS, iOS โดยจะมีการตั้งค่าหลายวิธีเลยครับ แต่แนะนำว่าให้ใช้วิธีการติดตั้ง Application ดีกว่า ตัวอย่างเช่น iOS

ซึ่งสามารถใช้งานได้ 2 วิธีคือการลง Profile กับติดตั้ง Application บอกตรง ๆ ว่าผมไม่กล้าเลือกการติดตั้งโดยใช้ Profile ครับ เลยเลือกเป็น Download Application จาก App Store แทน

วิธีการใช้งานง่ายมากจริง ๆ อ่านตรงข้างล่างก็ทำตามได้แล้วครับ

ผมเองใช้งานทั้งในรูปแบบของการติดตั้งบน end devices และติดตั้งบน router ที่บ้านเลยครับ แต่ถ้าเป็นการติดตั้งบน router ที่ไม่ได้รองรับการ setup next dns (อุุปกรณ์ที่รองรับเช่น Mikrotik, Tailscale, pfSense) จำเป็นต้องตั้งค่า DNS แบบปกติ (เอา IP มาใส่) แล้ว Update ตรง "Linked IP"

ให้ IP เป็นของบ้านเรา แล้วจะสามารถใช้ Profile นั้น ๆ ได้ จะใช้เป็นตั้งค่า DDNS หรือทำ scheduler เพื่อไป update ip ก็ได้ครับ (ผมใช้ n8n ทำ workflows ให้ loop fetch เรื่อย ๆ)

ป้องกันอะไรได้บ้าง

ภายใน Tab Security จะมี options ให้ตั้งค่าได้ครับว่า Profile นี้จะให้มีการป้องกันอะไรบ้าง เช่น

  • Threat Intelligence Feeds: ป้องกัน domain ที่เป็นอันตรายเช่น Phishing, c2 server
  • DNS Rebinding Protection: ป้องกัน DNS ประเภทที่ Mapping เป็น Private IP
  • Typosquatting Protection: ป้องกัน domain ประเภทที่เจตนาเล่นกับการพิมพ์ผิด เช่น gooogle.com เป็นต้น (เว็บจริงคือ google.com)

และอื่น ๆ อีกตั้งค่าได้เยอะประมาณนึงเลยครับ

เลือก Blacklists เองได้ เหมือนกับ Adguard & Pihole เลย

มี Parental Control ใช้สำหรับการสร้าง Profile เพื่อป้องกันเด็ก ๆ ที่บ้านดูในสิ่งที่ไม่ควรจะดูได้ สามารถ block การเข้าถึง application ต่าง ๆ ได้ ตั้งเวลาในการเข้าใช้งาน domain ต่าง ๆ ได้ครับ

รองรับหลาย Profile

ในบางกรณีจะนำไปใช้ในการควบคุมการเข้าถึงของบุคคลอื่น ๆ เช่นผู้สูงอายุที่บ้าน, เด็ก ๆ ที่บ้าน ทาง NextDNS เองก็มีการให้ตั้งค่า Profile ได้เช่นเดียวกัน โดยที่แต่ละ Profile จะมี ID ของตัวเองและตั้งค่าแยกกันโดยอิสระ ในเครื่องที่ต้องการใช้ Profile อื่นก็ให้นำ ID ใน Tab Setup ไปใส่ได้เลยครับ

ดู query logs ได้

สามารถดู Logs การ query domain ต่าง ๆ ได้ครับ สิ่งจะเห็นทุก ๆ อุปกรณ์ที่ใช้ Profile ID นี้ แต่ตรงนี้สามารถปิดได้นะครับ (ปกติก็ผมจะปิดไว้)

Server มีที่ไหนบ้าง

มีหลาย Server มากครับโดยใกล้สุดคืออยู่ที่กรุงเทพ ซึ่ง Ping เพียงแค่ "7ms" น้อยมาก ๆ อันนี้เลยเป็นอีกเหตุผลที่ผมเลือกใช้

สรุป

ผมใช้งานมาได้ประมาณ 1 เดือนแล้วครับ ตอนนี้ก็เอา Adgaurd ออกจาก Home Server แล้ว จากที่ใช้มายังไม่เจอเหตุการณ์ที่ Server Down แล้วทำให้ใช้งานไม่ได้เลยครับ ส่วนตัวให้ 9/10 หัก 1 คะแนนตรงที่ ถ้ามี Custom DNS record ให้ใช้จะดีเลยครับ แต่อันนี้ไม่มี

สนใจสมัครได้ที่

(affiliate link): https://nextdns.io/?from=2ggah5wn

(link ปกติ): https://my.nextdns.io/

กดสมัครผ่าน affiliate link เพื่อเป็นกำลังใจเล็ก ๆ น้อย ๆ ได้นะครับ ~