NextDNS

Bài viết dưới đây giới thiệu và hướng dẫn sử dụng dịch vụ DNS có tên NextDNS. Nếu thấy bài viết hữu ích, hãy ủng hộ dự án bằng cách vào Shopee <tại đây>. Cám ơn!

Mục lục

• Tổng quan
• Chuẩn bị
• Đăng ký
• Mức giá
• Quyền riêng tư
• Phần 1: NextDNS cá nhân
  • 1. Setup
    • Link IP
  • 2. Security
  • 3. Privacy
  • 4. Parental Control
  • 5. Denylist
  • 6. Allowlist
  • 7. Analytics
  • 8. Logs
  • 9. Settings
  • 10. Account
• Phần 2: Hướng dẫn cài đặt
• Phần 3: NextDNS công cộng
  • 1. Trình duyệt
  • 2. Hệ điều hành
  • 3. Adguard Home
• Phần 4: Cấu hình mẫu

Tổng quan

• NextDNS là dịch vụ phân giải tên miền (gọi tắt là DNS) với hơn 132 vị trí máy chủ trên khắp thế giới.
• Đã có máy chủ DNS tại Việt Nam và hoạt động như DNS công cộng (chỉ khả dụng khi sử dụng DNS mã hóa). Trong đó, 2 máy chủ ở Hà Nội và 2 máy chủ ở TP.Hồ Chí Minh (theo yêu cầu <ở đây>).
• Hỗ trợ đầy đủ các kiểu DNS mã hóa hiện nay như DNS-over-HTTPS, DNS-over-HTTP/3, DNS-over-TLS, DNS-over-QUIC.
• Cung cấp dịch vụ ở 2 kiểu: DNS công cộng (miễn phí) và DNS cá nhân (trả phí):
  • Với DNS công cộng, NextDNS sẽ nhận truy vấn từ bất kỳ thiết bị hỏi và trả lời mà không chặn bất kỳ truy vấn DNS nào. Không lưu trữ nhật ký truy vấn DNS khi sử dụng DNS công cộng.
  • Với DNS cá nhân, NextDNS sẽ chặn các tên miền theo các dựa trên bộ lọc được cài đặt khi đăng ký ID. Toàn quyền quyết định việc lưu trữ, thời gian lưu trữ và máy chủ lưu trữ truy vấn DNS khi sử dụng DNS cá nhân
• NextDNS được Firefox thông báo đối tác mới trong việc cung cấp dịch vụ DNS riêng tư và bảo mật cho người dùng. <Chi tiết>
• NextDNS giúp các quốc gia ở Châu Âu xây dựng hệ thống DNS có tên DNS0.eu.

Đăng ký

Truy cập: https://nextdns.io/?from=s2a4jt7q > chọn my.nextdns.io ở góc phải phía trên.

Khi trả phí với đường dẫn tiếp thị sẽ giúp dự án hostsVN phát triển bộ lọc lâu dài trong tương lai.

Chuẩn bị

• DNS là gì? https://github.com/bigdargon/hostsVN/wiki/DNS
• Mã hóa DNS là gì? https://github.com/bigdargon/hostsVN/wiki/DNS-Encryption

Lưu ý:

• Máy chủ DNS anycast của NextDNS đang hoạt động ở dãy IPv4 45.90.28.0/24, 45.90.30.0/24 và dãy IPv6 2a07:a8c0::/33, 2a07:a8c1::/33.
• Khi sử dụng địa chỉ IP điền vào router sẽ chỉ sử dụng máy chủ anycast (quốc tế).
• Khuyến khích mọi người chuyển sang sử dụng DNS mã hóa, chỉ khi sử dụng DNS mã hóa mới sử dụng máy chủ DNS ultralow (trong nước).

Mức giá

Nguồn: https://nextdns.io/pricing

• Gói miễn phí:

  • Đăng ký sử dụng hoàn toàn miễn phí với giới hạn 300.000 truy vấn/tháng.
  • Giới hạn sẽ được cài lại vào ngày đầu tiên của tháng kế tiếp.
  • Không bắt buộc thêm thẻ thanh toán.
  • Không giới hạn cấu hình (ID).
  • Không giới hạn thiết bị.
  • Được sử dụng tất cả tính năng.
  • Vượt 300.000 truy vấn/tháng, tất cả tính năng tạm thời vô hiệu, truy vấn như DNS công cộng.

• Gói Pro:

  • Giá 45.000đ/tháng hoặc 450.000đ/năm (tiết kiệm 17%).
  • Giống như gói miễn phí nhưng không bị giới hạn truy vấn mỗi tháng.
  • Sử dụng mục đích cá nhân, chỉ chia sẻ trong gia đình và bạn thân.
  • Không chia sẻ ID công cộng cho nhiều người sử dụng, tài khoản của bạn sẽ bị xóa nếu vi phạm.

• Gói Business và Edu:

  • Áp dụng cho nhu cầu nhiều người sử dụng khác nhau.
  • Đối với gói Business, cứ 50 nhân viên áp dụng mức giá 450.000đ/tháng hoặc 4.500.000đ/năm (tiết kiệm 17%).
  • Đối với gói Edu, cứ 250 học sinh/sinh viên áp dụng mức giá 450.000đ/tháng hoặc 4.500.000đ/năm (tiết kiệm 17%).

Nếu có vấn đề về các gói sử dụng, liên hệ email [email protected].

Quyền riêng tư

Nguồn: https://nextdns.io/privacy

Phần 1: NextDNS cá nhân

1. Setup

• Status: Khung trạng thái sẽ hiện thị bạn đang sử dụng NextDNS.

Không sử dụng NextDNS

Đang sử dụng NextDNS công cộng

Đang sử dụng đúng ID hiện tại

• Endpoints: Thiết lập với các thông số cơ bản với cấu hình NextDNS, trong đó ID được tạo ngẫu nhiên gồm 6 chữ số (theo mã Hex). Ghi nhớ/lưu lại ID để sử dụng.

Nếu trong cùng 1 thời điểm tạo quá nhiều ID cùng lúc, NextDNS sẽ tự động nâng lên 10/12 ký tự trong ID khi tạo ID mới.

Lưu ý: ID fd88ba chỉ là ví dụ

• Link IP: Địa chỉ IPv4 được cung cấp ứng với từng IP dùng để điền vào DNS trong các modem nhà mạng cung cấp (không có tính năng DNS mã hóa). Nhiều ID sử dụng cùng IPv4 nên NextDNS không xác định được ID nào của bạn, do đó cần phải link ip mới có tác dụng nếu sử dụng IP trên router. Khi sử dụng Link IP sẽ luôn chọn máy chủ anycast.

Link IP

B1: Đăng nhập modem, tìm mục DDNS (hoặc Dynamic DNS). Xem router hỗ trợ dịch vụ bên nào, thường No-IP được hỗ trợ nhiều nhất

B2: Truy cập trang web dịch vụ DDNS đó (VD: https://www.noip.com). Đăng ký tài khoản, tạo hostname tùy ý (VD: nextdns123.ddns.net)

B3: Truy cập NextDNS, chọn config muốn Link IP. Tại thẻ Setup > Link IP > nhấn Show advenced options > nhấn Configure DDNS > điền hostname đã đăng ký ở B2 > Save lại

B4: Trở lại trang quản lý DDNS của modem, nhập các thông tin của dịch vụ DDNS đã đăng ký. Nhớ Enable/On tính năng DDNS và Save/Apply để bắt đầu cập nhật IP

B5: Chuyển sang phần DHCP (hoặc LAN). Chọn DHCP Server > Điền địa chỉ IPv4 DNS cung cấp (nếu mạng có IPv6, làm tương tự với DHCPv6)

• Setup Guide: Hướng dẫn cài đặt từng hệ điều hành mà NextDNS hỗ trợ. Hướng dẫn chi tiết ở Phần 3.

2. Security

Khuyến cáo để mặc định của NextDNS khi tạo cấu hình, chỉ bật/tắt khi bạn biết chắc chắn đã hiểu rõ tính năng đó và không nên bật các tính năng đang beta để tránh bị chặn nhầm!

• Threat Intelligence Feeds (mặc định Bật): Bộ lọc chặn mã độc, lừa đảo bởi các danh sách chặn uy tín, ít chặn nhầm nhất và cập nhật liên tục theo thời gian thực. Đã có bộ lọc chặn mã độc, lừa đảo ở Việt Nam.

• AI-Driven Threat Detection (mặc định Tắt): Nhận diện mối nguy hiểm mới tự động bằng AI. Tính năng đang thử nghiệm beta.

• Google Safe Browsing (mặc định Bật): Tương tự như tính năng Threat Intelligence Feeds nhưng sử dụng API của Google Safe Browsing để chặn. Khuyến khích Tắt, do trong một số trường hợp tính năng này chặn nhầm các tên miền CDN.

• Cryptojacking Protection (mặc định Bật): Chặn các tên miền đào tiền ảo trái phép trên thiết bị của bạn. Nếu thường xuyên truy cập các trang đào tiền ảo, có thể Tắt.

• DNS Rebinding Protection (mặc định Tắt): Chặn các tên miền được trả về với địa IP nội bộ thuộc dãy 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16,.. Nếu Bật, sẽ không thể truy cập vào các mạng Wifi công cộng (hiện popup xác nhận kết nối internet).

• IDN Homograph Attacks Protection (mặc định Bật): Chặn các tên miền sử dụng ký tự gần giống nhằm gây nhầm lẫn để điều hướng đến tên miền mã độc, lừa đảo. VD: Thay thế ký tự chữ Latin "e" với ký tự chữ Kirin "е".

• Domain Generation Algorithms (DGAs) Protection (mặc định Bật): Chặn các tên miền được tạo bởi Thuật toán tạo tên miền (DGA) được thấy trong nhiều phần mềm độc hại khác nhau có thể được sử dụng làm điểm hẹn với máy chủ chỉ huy và kiểm soát của chúng.

• Block Newly Registered Domains (NRDs) (mặc định Tắt): Chặn các tên miền vừa mới tạo trong 30 ngày, thường thấy với các tên miền popup quảng cáo. Nếu Bật, một số tên miền mới đăng ký không phải popup quảng cáo hay mã độc mới đăng ký trong 30 ngày cũng sẽ bị chặn theo.

• Block Dynamic DNS Hostnames (mặc định Tắt): Chặn các dịch vụ DNS động (DDNS) thường sử dụng trong các chiến dịch lừa đảo. Tính năng đang thử nghiệm beta.

• Block Parked Domains (mặc định Tắt): Chặn các tên miền trỏ hướng, thường thấy ở các tên miền hết hạn sẽ bị chuyển đến trang khác có chứa quảng cáo.

• Block Top-Level Domains (TLDs) (mặc định Tắt): Chặn tất cả các tên miền trong tên miền cấp cao nhất. NextDNS cung cấp tên miền cấp cao nhất bị đánh dấu thường xuyên xuất hiện nhiều mã độc. VD: chọn TLD .cn sẽ chặn tất cả tên miền như abc.cn, xyz.cn.

• Block Child Sexual Abuse Material (mặc định Bật): Chặn các tên miền lưu trữ tài liệu lạm dụng tình dục trẻ em.

3. Privacy

Khu vực cấu hình các bộ lọc

• Blocklists: Chặn các tên miền với các danh sách chặn phổ biến, được cập nhật theo thời gian thực. Bộ lọc nên sử dụng:
  • NextDNS Ads & Trackers Blocklist: Bộ lọc mặc định của NextDNS, đã bao gồm các bộ lọc <chi tiết>
  • hostsVN: Bộ lọc hosts tối ưu cho người Việt, ưu tiên sử dụng.
  • AdGuard DNS filter: Bộ lọc DNS của Adguard, đã bao gồm các bộ lọc từ Adguard, Easylist,.. nên không cần chọn thêm các bộ lọc tương tự <Chi tiết>

Bài viết hướng dẫn thêm các danh sách tối ưu nhất với kinh nghiệm đang sử dụng NextDNS. Nếu thêm các bộ lọc khác nêu trên, bạn phải biết xem Logs để xử lý các tên miền khi bị chặn gây lỗi không truy cập được trang web, ứng dụng.

• Native Tracking Protection (tính năng đang thử nghiệm beta): Chặn theo dõi của một số hệ điều hành thông dụng.

• Block Disguised Third-Party Trackers (mặc định Bật): Chặn các tên miền máy theo dõi bên thứ 3 được ngụy trang.

• Allow Affiliate & Tracking Links (mặc định Tắt): Cho phép truy cập các tên miền tiếp thị liên kết, theo dõi nhấn chuột trong email hay các liên kết quảng cáo trong kết quả tìm kiếm của Google, đường dẫn chia sẻ các trang thương mại điện tử (shopee, lazada,..). Tính năng cho phép truy cập các tên miền theo dõi thông qua địa chỉ IP máy chủ của NextDNS nên sẽ không làm lộ địa chỉ IP thực của bạn. Danh sách các tên miền <ở đây>.

4. Parental Control

Khu vực cấu hình quản lý dành cho phụ huynh

• Websites, Apps & Games: Chặn các trang web, ứng dụng và game được NextDNS tích hợp sẵn. Nếu trang web, ứng dụng hoặc game chưa có sẵn, hãy sử dụng thêm tên miền cần chặn ở tab Denylist.

• Categories: Chặn các tên miền theo các nhóm được phân loại:
  • Porn: nhóm các tên miền nội dung khiêu dâm
  • Gambling: nhóm các tên miền cờ bạc
  • Dating: nhóm các tên miền hẹn hò
  • Piracy: nhóm các tên miền chia sẻ torrent, nội dung vi phạm bản quyền
  • Social Networks: nhóm tên miền các trang mạng xã hội
  • Online Gaming: nhóm các tên miền, các mạng trò chơi trực tuyến
  • Video Streaming: nhóm các tên miền chia sẻ video trực tuyến

• Recreation Time: Cài đặt thời gian cho phép truy Websites, Apps & Games và Categories đã chặn ở trên.

• SafeSearch: Cài đặt các bộ máy tìm kiếm ở chế độ An toàn, để lọc bỏ các nội dung khiêu dâm, bạo lực,.. trong kết quả tìm kiếm. Khuyến khích Bật, nếu phụ huynh đã chặn nội dung khiêu dâm ở Categories nhằm chặn triệt để hơn.

• YouTube Restricted Mode: Cài đặt chế độ hạn chế của Youtube, để lọc bỏ các video bị gắn cờ, nội dung không phù hợp theo chính sách của Youtube. Khi Bật tính năng này sẽ không xem được các video đang phát sóng trực tiếp và không xem được bình luận trong các video.

• Block Bypass Methods: Chặn các tên miền sử dụng VPN hay các dịch vụ DNS khác nhằm vượt NextDNS truy cập các tên miền/dịch vụ bị chặn.

5. Denylist

• Khu vực thêm tên miền chặn muốn chặn thủ công.
• Các tên miền được thêm sẽ chặn luôn tên miền con. VD: Thêm chặn tên miền abc.com sẽ chặn các tên miền con abc.abc.com, xyz.abc.com,..

Danh sách tên miền tham khảo chặn:

• connect.facebook.net & connect.facebook.com: Tên miền theo dõi hành vi, thói quen của Facebook được ẩn ở các trang báo, thương mại điện tử, hay bất kỳ trang web được nhúng vào. Nếu bật các ứng dụng, trò chơi nhúng nút Kết nối bằng Faceook, cũng như các bình luận Facebook ở các trang web sẽ bị chặn.
• dns.ladipage.com: Tên miền CNAME thường được các doanh nghiệp sử dụng để chạy quảng cáo chương trình, thông tin doanh nghiệp. Đôi khi, các đối tượng lừa đảo cũng sử dụng CNAME vào các chiến dịch lừa đảo.
• dns.webcake.io: Tương tự như dns.ladipage.com.

Các trên miền tham khảo dựa trên kinh nghiệm sử dụng, không bắt buộc phải thêm tất cả.

6. Allowlist

• Khu vực thêm tên miền muốn cho phép thủ công khi bị chặn bởi bất kỳ danh sách chặn nào.
• Việc cho phép được ưu tiên hơn mọi thứ khác, bao gồm cả các tính năng ở tab Security.
• Các tên miền được thêm sẽ cho phép luôn tên miền con tương tự tab Denylist.
• Nếu cho phép tên miền cho phép vừa mới bị chặn, phải chờ cho bản ghi chặn hết hạn ở thiết bị (mặc định TTL bản ghi chặn là 300 giây).
• Muốn áp dụng Allowlist ngay lập tức, bật/tắt chế độ máy bay (thiết bị di động), xóa bộ nhớ cache DNS (thiết bị máy tính).

Danh sách tên miền tham khảo bỏ qua:

• imasdk.googleapis.com: Tên miền tích hợp bộ SDK hiển thị quảng cáo của Google trong các player phát video. Nếu player thông báo đang sử dụng chặn quảng cáo, hãy thử bỏ qua tên miền này.
• pagead2.googlesyndication.com: Một số trang web kiểm tra kết nối đến tên miền này để phát hiện chặn quảng cáo, bỏ qua nếu hiện cảnh báo yêu cầu tắt chặn quảng cáo. Lưu ý, chỉ nên bật khi gặp các trang web phát hiện chặn quảng cáo bằng DNS, cần phải tắt tên miền này sau khi đã vượt qua cảnh báo do các quảng cáo, theo dõi của Google trong các ứng dụng, trang web đều phân phối qua tên miền này.
• googletagmanager.com: Tương tự như pagead2.googlesyndication.com.
• app.appsflyer.com: Một số nhà phát triển ứng dụng theo dõi số lượt nhấp chuột, cài đặt nên chèn đường dẫn ẩn thông qua dịch vụ của Appsflyer. VD: Nút tải game ở trang web game Liên Quân.
• app.adjust.com: Tương tự như app.appsflyer.com.
• js.monitor.azure.com: Không thể hiển thị đầy đủ một số dịch vụ của Microsoft và hệ thống phân tích/báo cáo của Azure.
• c.office.com: Các trang biểu mẫu Office có sử dụng bộ đếm giời gian không thể nhấn Bắt đầu. VD: Học sinh/sinh viên làm bài trắc nghiệm trực tuyến.
• js.datadome.co: Không thể đăng nhập tài khoản các trò chơi do Garena phát hành.
• click.discord.com: Không thể đăng nhập và xác minh trong Discord.
• za.zalo.me: Không thể truy cập các đường dẫn trong Zalo PC.
• gecko-sg.byteoversea.com: Không thể vào mục tìm kiếm trong ứng dụng Capcut.
• api.statsig.com: Ứng dụng ChatGPT không thể vượt qua bước Checking system health sau khi đăng nhập.
• cdn.cookielaw.org: Một số trang web sử dụng dịch vụ Cookie Law để thông báo quyền riêng tư, trang web sẽ không hoạt động được nếu bị chặn.

Các tên miền tham khảo dựa trên các danh sách chặn được chọn ở Blocklists, không bắt buộc phải thêm hết tất cả. Nếu sử dụng các danh sách chặn khác, bạn phải biết xem Logs để xử lý các tên miền khi bị chặn gây lỗi không truy cập được trang web, ứng dụng.

7. Analytics

Khu vực xem thống kê, phân tích các truy vấn DNS theo từng khoảng thời gian (mặc định 30 ngày).

• Lưu ý:
  • Đối với tài khoản miễn phí, tổng số truy vấn ở đây không phải là bộ đếm truy vấn giới hạn.
  • Khi cài đặt DNS mã hóa, có đặt tên thiết bị (Send Device Name hoặc Report Device Name), thống kê sẽ hiển thị chi tiết theo từng thiết bị.

8. Logs

Khu vực xem nhật ký truy vấn tên miền theo thời gian thực.

• Lưu ý:
  • Mặc định, nhật ký hiển thị chế độ đơn giản. Để xem chế độ đầy đủ, chọn Raw DNS logs ở icon tùy chỉnh.
  • Khi cài đặt DNS mã hóa, có đặt tên thiết bị (Send Device Name hoặc Report Device Name), nhật ký sẽ hiển thị chi tiết theo từng thiết bị.
  • Nhật ký sẽ ẩn, nếu bạn lựa chọn tắt lưu trữ nhật ký ở tab Settings.

Icon ổ khóa đang khóa cho biết đang sử dụng DNS mã hóa. Nếu ổ khóa đang mở, đang sử DNS không mã hóa.

Khi đặt tên thiết bị sẽ hiện thông tin tên thiết bị, nếu không đặt tên sẽ hiện IP đã truy vấn.

Tên miền được bỏ qua khi thêm vào Allowlist sẽ có màu xanh.

Tên miền bị chặn bởi danh sách chặn hoặc Denylist sẽ có màu đỏ. Icon i hiển thị thông tin bị chặn bởi lý do gì.

Tên miền được bỏ qua bởi tính năng Allow Affiliate & Tracking Links ở tab Privacy sẽ có màu tím.

9. Settings

• Name: Thay đổi tên cấu hình.

• Logs: Tùy chỉnh cài đặt nhật ký.

  • Enable Logs: Bật/tắt lưu nhật ký.
  • Log clients IPs: Bật/tắt lưu địa chỉ IP trong nhật ký.
  • Log domains: Bật tắt lưu tên miền trong nhật ký.
  • Retention: Thời gian lưu trữ nhật ký. Chọn nhiều hơn 3 tháng cần phải tải về nhật ký mới xem đầy đủ.
  • Storage location: Máy chủ lưu trữ nhật ký. Khi chuyển đối máy chủ lưu trữ, các nhật ký ở máy chủ trước đó sẽ bị xóa hoàn toàn.
  • Tải về và xóa nhật ký.

• Block Page (luôn Tắt theo mặc định): Hiển thị trang thông báo đã bị chặn bởi NextDNS với bộ tên bộ lọc cụ thể. Đối với các kết nối HTTPS bắt buộc phải cài chứng chỉ gốc. Khi bật, một số dịch vụ/ứng dụng/trang web bị ghi đè chứng chỉ gốc sẽ không hoạt động. Hãy chắc chắn rằng bạn bật tính năng này khi đã hiểu rõ nó.

• Anonymized EDNS Client Subnet (mặc định bật): Tính năng này giống như ECS của Google DNS, OpenDNS, Quad9 ECS nhưng khác biệt ở chỗ là ECS gửi đi là ẩn danh giúp client không bị lộ IP với máy chủ DNS quản lý. Trong trường hợp gặp lỗi định tuyến hoặc làm mạng chậm, tắt sẽ khắc phục được.

• Cache Boost (mặc định tắt): Tùy chọn này NextDNS sẽ trả lời các bản ghi có TTL nhỏ hơn 300s sẽ được ghi đè lên thành 300s, giúp giảm số bản ghi truy vấn đến server, giảm số lượng truy vấn giúp tiết kiệm giới hạn 300k truy vấn/tháng. Chỉ nên bật khi dùng ID miễn phí và tắt khi dùng ID trả phí.

• CNAME Flattening (mặc định tắt): Tùy chọn này sẽ lượt bỏ các bản ghi CNAME trong trả lời truy vấn DNS, nhằm giúp bạn theo dõi Logs gọn gàng hơn. Một số trình phân giải DNS ở thiết bị có xác thực DNSSEC, việc bật tùy chọn này sẽ gây lỗi không truy cập được vào một số trang.

• Web3: Truy cập các tên miền địa chỉ Web phiên bản thứ 3, không thuộc quản lý tên miền của IANA. Tính năng đang thử nghiệm beta.

• Rewrites: Ghi đè địa chỉ IP lên các tên miền nội bộ hoặc chuyển tiếp qua CNAME/IP mà bạn muốn.

• Access: Mời bất kỳ ai đó xem hoặc chỉnh sửa cấu hình. Tính năng đang thử nghiệm beta.

10. Account

• Free usage:
  • Tổng số hạn mức đã sử dụng trong 1 tháng.
  • NextDNS cho phép sử dụng miễn phí 300.000 truy vấn/tháng.
  • Giới hạn sẽ được cài lại vào ngày đầu tiên của tháng kế tiếp.
  • Sẽ có thông báo để khi hạn mức đạt đến 250.000 truy vấn.
  • Khi đủ hạn mức 300.000 truy vấn, tất cả mọi truy vấn đều phân giải bình thường nhưng các tính năng đã cấu hình trên ID sẽ mất tác dụng cũng như Nhật ký sẽ dừng ghi lại hoạt động.
  • NextDNS đếm 1 hạn mức đối với các bản ghi tên miền giống nhau trong cùng 1 thời điểm. VD: iOS truy vấn 1 tên miền với 3 bản ghi là A, AAAA và HTTPS cùng lúc thì NextDNS chỉ đếm là 1 giới hạn.

Nhấn Subscribe để chọn mức trả phí để sử dụng không giới hạn.

Gói Pro chỉ sử dụng với mục đích cá nhân, không chia sẻ ID với nhiều người, điều này sẽ dẫn đến tài khoản bị xóa do vi phạm chính sách!

• Affiliation: Chia sẻ NextDNS với mọi người thông qua liên kết tiếp thị, bạn sẽ được 1 khoản hoa hồng khi người nhấn vào liên kết tiếp thị thanh toán phí sử dụng. NextDNS sẽ thanh toán hoa hồng thấp nhất là $50.

• Two-Factor Authentication (2FA): Khi bật tính năng xác thực 2 bước, bạn phải tải mã khôi phục ở đâu đó để lưu trữ. Nếu mất mã khôi phục và mã xác thực 2 bước, bạn sẽ mất quyền truy cập tài khoản. Hãy lưu ý khi đang trả phí sử dụng dịch vụ.

• API: Cho phép tạo, chỉnh sửa và xem cấu hình thông qua hàm API được NextDNS cung cấp. Tính năng đang thử nghiệm beta, không cung cấp API cho mất kỳ ai khác không phải là bạn. Xem thông tin về API <tại đây>.

Phần 2: Hướng dẫn cài đặt

Tại tab Setup, xem hướng dẫn cài đặt từng hệ điều hành/thiết bị ở phần Setup Guide

Đang cập nhật...

Phần 3: NextDNS công cộng

NextDNS cung cấp máy chủ DNS công cộng, tiếp nhận và trả lời tất cả truy vấn DNS, sử dụng được các máy chủ ultralow (đối với DNS mã hóa).

1. Trình duyệt

Khuyến khích sử dụng DNS mã hóa để trình duyệt kích hoạt tính năng ECH

• Chrome/Chromium: Vào Cài đặt > chọn Quyền riêng tư và bảo mật > chọn Bảo mật ở bên phải > Bật ở dòng Mã hoá tên các trang web bạn truy cập > chọn NextDNS trong danh sách Chọn nhà cung cấp DNS. Lưu ý:
  • Một số máy có thể không có NextDNS, chỉ cần chọn Thêm nhà cung cấp DNS tùy chỉnh và thêm https://dns.nextdns.io/ là được.
  • Sau khi thêm tùy chỉnh, có thể báo lỗi màu đỏ (lỗi của Chrome/Chromium), chỉ cần nhấn chuột ra ngoài, nhấn lại vào ô Tùy chỉnh là được.

• Microsoft Edge: Vào Cài đặt > chọn Quyền riêng tư tìm kiếm, dịch vụ (ở bên trái) > tìm đến mục Bảo mật (ở bên phải) > tại phần Sử dụng DNS an toàn để chỉ định cách tra cứu địa chỉ mạng cho các trang web > chọn ô Chọn nhà cung cấp dịch vụ > chọn NextDNS trong danh sách. Lưu ý:
  • Một số máy sẽ không có NextDNS, chỉ cần chọn Tùy chỉnh và thêm https://dns.nextdns.io/ là được.
  • Sau khi thêm tùy chỉnh, có thể báo lỗi màu đỏ (lỗi của Chromium), chỉ cần nhấn chuột ra ngoài, nhấn lại vào ô Tùy chỉnh là được.

• Firefox: Vào Cài đặt > chọn Riêng tư & Bảo mật > tìm đến Kích hoạt DNS an toàn sử dụng > chọn Bảo vệ tối đa > Chọn nhà cung cấp chọn NextDNS

2. Hệ điều hành

• Windows 11 (anycast):

  • Mở Setting
  • Chọn Network & internet
  • Chọn Wi-Fi (hoặc Ethernet)
  • Chọn Hardware properties (nếu chọn Ethernet thì bỏ qua)
  • Nhấn Edit ngay dòng DNS server
  • Chọn Manual
  • Bật IPv4
  • Điền 45.90.28.0 ở Preferred DNS, sau đó chọn On (manual template) và điền https://dns.nextdns.io/.
  • Điền 45.90.30.0 ở Alternate DNS, sau đó chọn On (manual template) và điền https://dns.nextdns.io/.
  • Bật IPv6 (nếu có)
  • Điền 2a07:a8c0:: ở Preferred DNS, sau đó chọn On (manual template) và điền https://dns.nextdns.io/.
  • Điền 2a07:a8c1:: ở Alternate DNS, sau đó chọn On (manual template) và điền https://dns.nextdns.io/.
  • Lưu lại để hoàn thành.

• iOS (sử dụng Profile từ iOS 14 trở lên):

  • Tải và cho phép hồ sơ https://apple.nextdns.io/NextDNS.mobileconfig?exclude_domains=captive.apple.com&sign=1
  • Mở Cài đặt
  • Chọn Hồ sơ đã tải
  • Chọn NextDNS vừa mới tải về, cài đặt theo hướng dẫn của iOS
  • Vào Cài đặt chung > VPN, DNS và Quản lý thiết bị
  • Xem DNS đã chọn đúng NextDNS là hoàn thành.

• Android (sử dụng Private DNS từ Android 9 trở lên):

  • Mở Cài đặt
  • Chọn Mạng & internet (hoặc Cài đặt mạng)
  • Chọn Cài đặt kết nối khác (hoặc Nâng cao)
  • Chọn DNS riêng tư > tick chọn Tên máy chủ của nhà cung cấp DNS riêng tư
  • Điền dns.nextdns.io
  • Lưu lại để toàn thành.

3. Adguard Home

B1: Vào Setting > DNS Setting

B2: Điền thông số vào Upstream DNS Servers, sau đó chọn ở ô Parallel requests. Tùy chọn này Adguard Home sẽ gửi truy vấn cùng lúc đến 2 server NextDNS, kết quả từ server nào trả về trước Adguard Home sẽ lấy để trả lời cho client

https://dns1.nextdns.io/
https://dns2.nextdns.io/

Nếu muốn sử dụng DoT/DoQ/DoH3 thì thay https lần lượt với tls/quic/h3

B3: Sửa thông số trong phần Bootstrap DNS Servers. Sử dụng các máy chủ DNS có ECS sẽ phân giải 2 tên miền ở trên tương ứng với 2 máy chủ NextDNS ở trong nước

8.8.8.8
9.9.9.11
208.67.222.222

B4: Nhấn Apply để lưu lại

Phần 4: Cấu hình mẫu

B1: Truy cập https://nextdns.io/?from=s2a4jt7q > chọn my.nextdns.io để đăng ký.

B2: Qua tab Privacy > thêm 2 Blocklist hostsVN và AdGuard DNS filter.

• Cấu hình chặn cơ bản:

B3: Bật thêm Allow Affiliate & Tracking Links để nhấn được vào các đường dẫn trong kết quả tìm kiếm google hay các liên kết tiếp thị như lazada/shopee.

B4: Chuyển qua tab Setup > Cài đặt theo hướng dẫn ở Setup Guide.

• Cấu hình chặn nghiêm ngặt:

B3: Qua tab Parental Control > tại mục Categories > thêm Gambling để chặn các nội dung cờ bạc.

B4: Chuyển qua tab Setup > Cài đặt theo hướng dẫn ở Setup Guide.

• Cấu hình cho trẻ em:

B3: Qua tab Parental Control > tại mục Categories > thêm Porn để chặn nội dung khiêu dâm và Gambling để chặn các nội dung cờ bạc.

B4: Bật SafeSearch để kích hoạt chế độ an toàn của các bộ máy tìm kiếm. Có thể bật thêm YouTube Restricted Mode nếu muốn bật chế độ an toàn dành cho Youtube.

B5: Chuyển qua tab Setup > Cài đặt theo hướng dẫn ở Setup Guide.

Câu hỏi thường gặp

Chúc các bạn thành công!