DNS over HTTPS (DoH) là gì và cách bật trên modem VNPT — mã hóa toàn bộ query DNS của gia đình. - Blog Technology

Tin mới

Blog Technology

Blog công nghệ VNPT - Hướng dẫn firmware, thủ thuật mạng, AI và công nghệ mới nhất tại Việt Nam.

Post Top Ad

Post Top Ad

Thứ Bảy, 9 tháng 5, 2026

Trang chủ Bảo mật Fiber VNN Hướng dẫn DNS over HTTPS (DoH) là gì và cách bật trên modem VNPT — mã hóa toàn bộ query DNS của gia đình.

DNS over HTTPS (DoH) là gì và cách bật trên modem VNPT — mã hóa toàn bộ query DNS của gia đình.

Bạn có biết rằng mỗi lần gõ một địa chỉ web, modem nhà bạn đang "thì thầm" tên trang đó ra ngoài Internet — hoàn toàn không mã hóa? DNS over HTTPS (DoH) là giải pháp bịt kín "lỗ hổng thì thầm" đó, mã hóa toàn bộ truy vấn DNS trước khi rời khỏi nhà bạn.

🔒DNS over HTTPS (DoH) là gì?

Hướng dẫn mã hóa toàn bộ truy vấn DNS của gia đình trên modem VNPT iGate GW040

DNS bình thường vs DoH iGate GW040 hỗ trợ? Cloudflare vs NextDNS vs AdGuard Cài trên từng thiết bị

Bài viết liên quan

📱 Firmware G040E5VN0T0203 cho ONT iGate GW040-NS [Update 21/01/2026]Cập nhật firmware mới nhất cho modem iGate GW040-NS của VNPT. 📱 Firmware F671Y_VP9.0.11P2N32 cho ZTE VNPT [15/5/2025]Firmware mới cho ONT ZTE — tổng hợp cập nhật 2026. 🌐 Firmware W520CE000T0002 cho Dasan Mesh Wifi 5 [02/2025]Cập nhật firmware cho Access Point Mesh VNPT dòng Dasan. 💾 [Update] Tổng hợp Firmware iGate | Mesh | ZTE | Dasan | SmartBox VNPT 2026Kho firmware đầy đủ của Blog Technology — tìm nhanh theo model modem.
📰 Nội dung bài viết: DNS là gì và tại sao bị nghe lén → DoH và DoT khác nhau → iGate GW040 có hỗ trợ DoH không → Cài DoH trên Windows / Android / iOS / macOS → So sánh Cloudflare, NextDNS, AdGuard DNS → Kiểm tra DoH đang hoạt động.

1. DNS là gì và tại sao nó bị nghe lén?

Mỗi khi bạn gõ facebook.com vào trình duyệt, thiết bị phải hỏi một máy chủ DNS: “Facebook.com ở đâu?” — và máy chủ đó trả lời bằng một địa chỉ IP. Quá trình này gọi là phân giải DNS.

Vấn đề lớn: DNS truyền thống hoạt động trên cổng UDP 53, hoàn toàn không mã hóa. Ai ở giữa đường — ISP (nhà mạng), router công cộng, hay kẻ tấn công — đều có thể đọc rõ bạn đang truy cập trang nào.

⚠ Ví dụ thực tế: VNPT và Viettel có thể ghi lại toàn bộ lịch sử DNS của bạn. Khi kết nối WiFi công cộng, kẻ tấn công có thể giả mạo phân giải DNS (DNS spoofing) để chển hướng bạn sang trang giả mạo. DNS biểu lộ thói quen duyệt internet của cả nhà — cả khi đang duyệt HTTPS.

2. DoH và DoT khác nhau như thế nào?

Có hai công nghệ mã hóa DNS phổ biến hiện nay:

Tiêu chí DNS thường (UDP 53) DoT — DNS over TLS DoH — DNS over HTTPS
Cổng mạngUDP 53TCP 853TCP 443 (HTTPS)
Mã hóaKhôngCó (TLS)Có (HTTPS/TLS)
ISP nhìn thấy?Thấy rõBiết là DNS nhưng không đọc nội dungKhó phân biệt với HTTPS bình thường
Dễ bị chặnKhông (quá phổ biến)Tương đối (cổng 853 dễ chặn)Rất khó (cùng cổng 443 với web)
Trình duyệt hỗ trợTất cảÍt (chủ yếu router)Chrome, Firefox, Edge, Safari
Router VNPT hỗ trợMặc địnhMột số model cao cấpHầu hết chưa hỗ trợ
Độ trễThấp nhấtThấpThấp (chấp nhận được)
Phù hợp choMặc địnhRouter / máy chủ LinuxThiết bị cá nhân, trình duyệt

Kết luận: DoH là lựa chọn tốt nhất cho người dùng gia đình vì nó “ẩn” vào luồng HTTPS bình thường — rất khó bị chặn hay phát hiện. DoT mãnh mẽ hơn ở cấp router nhưng yêu cầu phần mềm hỗ trợ riêng.

3. Modem iGate GW040 có hỗ trợ DoH không?

🚧 Thực trạng firmware iGate GW040 (2025)

Sau khi kiểm tra các phiên bản firmware mới nhất của dòng GW040, hiện tại iGate GW040, GW040-NS và GW040-H chưa có tùy chọn bật DoH trực tiếp trên giao diện web quản trị. Các firmware như G040E5VN0T0203 hay G040DEVN00T009 tập trung vào VNPT Family Safe, quản lý thiết bị và Mesh Wi-Fi — không có mục DNS Encryption.

VNPT quản lý firmware tập trung qua hệ thống ONE Telco Platform nên người dùng cũng không tự cập nhật được. Đây là hạn chế chung của các modem nhà mạng (ISP-locked).

Đừng lo — giải pháp thay thế rất hiệu quả là cài DoH trên từng thiết bị hoặc dùng DNS proxy nội bộ. Phần tiếp theo hướng dẫn cụ thể.

4. Cài DoH trên từng thiết bị (thắng thuật nhất)

4.1. Windows 11 — bật DoH trong Settings

  1. Mở Settings → Network & Internet → Wi-Fi (hoặc Ethernet) → nhấn tên mạng đang kết nối.
  2. Tìm mục DNS server assignment → chọn Edit.
  3. Chuyển sang Manual, điền DNS: 1.1.1.1 (Preferred) và 1.0.0.1 (Alternate).
  4. Ở mục DNS over HTTPS chọn On (automatic template). Windows tự nhận diện và mã hóa.
  5. Nhấn Save. Kiểm tra tại 1.1.1.1/help → cột DoH phải hiện Yes.
✅ Windows 10 (21H1 trở lên) cũng hỗ trợ DoH nhưng phải chỉnh qua Registry hoặc Group Policy. Khuyên nên nâng cấp lên Windows 11 để có UI đơn giản hơn.

4.2. Android 9+ — Private DNS (DoT)

  1. Vào Cài đặt → Kết nối → Cài đặt mạng khác → DNS riêng tư (tên menu có thể khác theo hãng).
  2. Chọn Bật (Tùy chỉnh) → nhập hostname DoT. Cloudflare: one.one.one.one | NextDNS: xxxxx.dns.nextdns.io
  3. Nhấn Lưu. Android sẽ tự động dùng DoT cho mọi kết nối (Wi-Fi + mạng di động).
ℹ Lưu ý: Android dùng DoT (port 853) thay vì DoH, nhưng mức bảo mật tương đương. Tính năng này hoạt động xuyên suốt kể cả khi chuyển mạng.

4.3. iOS / iPadOS — cài Profile DoH

  1. Mở Safari, truy cập 1.1.1.1/family/setup (Cloudflare) hoặc apple.nextdns.io (NextDNS).
  2. Tải file profile (.mobileconfig) → iOS sẽ hỏi có muốn cài.
  3. Vào Cài đặt → Đã tải Profile → nhấn Cài đặt và xác nhận.
  4. Kiểm tra tại Cài đặt → Chung → VPN & Quản lý thiết bị → Profile phải xuất hiện.

4.4. macOS Ventura / Sonoma

  1. Tải profile DNS tại apple.nextdns.io hoặc cài app Cloudflare 1.1.1.1 từ Mac App Store.
  2. Mở System Settings → Privacy & Security → Profiles → cài profile vừa tải.
  3. macOS sẽ tự động dùng DoH cho mọi kết nối.

4.5. Trình duyệt — bật DoH trong Chrome / Firefox / Edge

Đây là cách nhanh nhất — không cần cài bất kì phần mềm nào:

Trình duyệtĐường dẫn cài đặtTùy chọn cần bật
Chromechrome://settings/securityUse secure DNS → chọn nhà cung cấp (Cloudflare, Google…)
FirefoxSettings → Privacy & Security → DNS over HTTPSChọn Max Protection hoặc Increased Protection
Edgeedge://settings/privacyUse secure DNS → chọn dịch vụ

5. Cloudflare 1.1.1.1 vs NextDNS vs AdGuard DNS — cái nào tốt nhất tại Việt Nam?

CF
Cloudflare 1.1.1.1
📍 Server tại Singapore / HCM

★★★★★ Tốc độ: Rất nhanh, độ trễ trung bình 5‑15ms từ Việt Nam.

Bảo mật: Không lưu query DNS quá 24h. Đã được kiểm toán bởi KPMG.

Lọc nội dung: 1.1.1.2 chặn malware; 1.1.1.3 chặn thêm nội dung 18+.

Giá: Miễn phí hoàn toàn.

DoH Endpoint:
https://one.one.one.one/dns-query 🔗 Trang chủ

Phù hợp: Hầu hết gia đình — đơn giản, nhanh, đáng tin.

ND
NextDNS
📍 Server tại Hà Nội & HCM

★★★★Tốc độ: Nhanh tại VN nhờ có server nội địa — CDN trả về đúng server VN hơn.

Bảo mật: Cho phép xem log realtime, block theo danh sách tùy chỉnh.

Lọc nội dung: Blocklist mạnh nhất — chặn quảng cáo, tracker, malware, parental control.

Giá: Miễn phí 300.000 query/tháng; gói trả phí $1.99/tháng không giới hạn.

DoH Endpoint:
https://dns.nextdns.io/[ID của bạn] 🔗 Trang chủ

Phù hợp: Ai muốn kiểm soát chi tiết, chặn quảng cáo cấp độ mạng.

AG
AdGuard DNS
📍 Server tại Singapore

★★★★Tốc độ: Tốt, thường 10‑25ms từ VN.

Bảo mật: Blocklist quảng cáo cứng mạnh; phiên bản Family chặn thêm nội dung 18+.

Lọc nội dung: Chặn quảng cáo tốt, nhưng tùy chỉnh ít hơn NextDNS.

Giá: Miễn phí cơ bản; gói Personal $2.99/tháng có thêm log và blocklist.

DoH Endpoint:
https://dns.adguard-dns.com/dns-query 🔗 Trang chủ

Phù hợp: Gia đình có trẻ em, muốn chặn quảng cáo + nội dung không phù hợp.

Tốc độ tại VN
Cloudflare > NextDNS ≈ AdGuard
Tùy chỉnh / lọc nội dung
NextDNS > AdGuard > Cloudflare
Dễ cài cho gia đình
Cloudflare > AdGuard > NextDNS
⚠ Lưu ý quan trọng: Nếu bạn thử mở các URL DoH (như one.one.one.one/dns-query hay dns.adguard-dns.com/dns-query) trực tiếp trên trình duyệt, bạn sẽ thấy lỗi HTTP 400 hoặc thông báo lỗi — đây là bình thường và chứng tỏ server đang hoạt động. Các URL này là API endpoint, chỉ nhận DNS query được mã hóa đúng format (RFC 8484) — không phải trang web thông thường. Trình duyệt sẽ tự động gửi đúng format khi bạn cấu hình DoH trong Settings.
💡 Khuyên dùng: Nếu chỉ cần an toàn đơn giản → chọn Cloudflare 1.1.1.1. Nếu muốn kiểm soát và chặn quảng cáo cấp độ mạng → chọn NextDNS (gói free 300k query/tháng thường đủ cho 1 gia đình nhỏ).

6. Giải pháp nâng cao: DNS proxy DoH cho cả mạng nhà

Nếu muốn DoH áp dụng cho tất cả thiết bị trong nhà — kể cả Smart TV, game console — có thể chạy một máy proxy DNS trung gian trên Raspberry Pi hoặc máy tính cũ chạy Linux.

Phương án A: dnsproxy (AdGuard)

# Cài dnsproxy
wget https://github.com/AdguardTeam/dnsproxy/releases/download/v0.81.3/dnsproxy-linux-amd64-v0.81.3.tar.gz
tar xzf dnsproxy-linux-amd64-v0.81.3.tar.gz
cd linux-amd64

# Chạy proxy: lắng nghe UDP 53, đẩy lên DoH Cloudflare
./dnsproxy -u https://one.one.one.one/dns-query -l 0.0.0.0 -p 53

# Đặt DNS của modem iGate trỏ về IP máy này là xong

Phương án B: Pi-hole + cloudflared (DoH upstream)

Nếu bạn đã cài Pi-hole (độc giả của blog đã biết đến Pi-hole qua bài viết trước), chỉ cần thêm cloudflared làm upstream DoH là toàn bộ mạng nhà được bảo vệ:

# Cài cloudflared (Raspberry Pi ARM64)
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-arm64.deb
sudo dpkg -i cloudflared-linux-arm64.deb

# Tạo file /etc/cloudflared/config.yml
proxy-dns: true
proxy-dns-port: 5053
proxy-dns-upstream:
  - https://1.1.1.1/dns-query
  - https://1.0.0.1/dns-query

# Cài service và chạy
sudo cloudflared service install
sudo systemctl start cloudflared

# Trong Pi-hole: đặt Custom DNS = 127.0.0.1#5053
✅ Kết quả: Pi-hole lọc quảng cáo + cloudflared mã hóa DNS → toàn bộ mạng nhà được bảo vệ mà không cần cài thêm gì trên từng thiết bị.

7. Kiểm tra DoH đang hoạt động chưa?

Công cụ kiểm traĐịa chỉKết quả thành công
Cloudflare WARP Check1.1.1.1/helpDNS over HTTPS: Yes
Cloudflare Browser Checkwww.cloudflare.com/ssl/encrypted-sni/Kiểm tra DoH + ESNI + DNSSEC
NextDNS Testtest.nextdns.ioHiển thị đang dùng protocol gì
AdGuard DNS Checkadguard.com/en/test.htmlXác nhận DNS đi qua AdGuard

8. Câu hỏi thường gặp

DoH có làm chậm mạng không?
Rất ít. Cloudflare và NextDNS có server tại Singapore/Việt Nam, độ trễ thường dưới 20ms — không ảnh hưởng tốc độ lướt web thực tế. Bạn chỉ cảm thấy chậm nếu server DoH bị tắc nghẽn.
DoH có an toàn 100% không? ISP vẫn nhìn thấy gì không?
DoH che giấu nội dung truy vấn DNS (tên miền bạn hỏi). Tuy nhiên ISP vẫn thấy địa chỉ IP bạn kết nối và có thể suy ra trang web qua SNI. Để bảo vệ toàn diện hơn, cần kết hợp DoH + Encrypted SNI (ECH) hoặc VPN.
Tôi có thể dùng DoH khi đang dùng VNPT Family Safe không?
Có thể xảy ra xung đột: VNPT Family Safe hoạt động bằng cách chặn DNS — nếu bạn dùng DoH trên thiết bị, Family Safe mất hiệu lực với thiết bị đó. Nếu cần cả hai, dùng NextDNS có tính năng Parental Control riêng để thay thế.
iGate GW040 đời mới firmware có có DoH không?
Firmware mới nhất 2025 (G040E5VN0T0203, G040DEVN00T009) chưa thấy tích hợp DoH. VNPT có thể bổ sung trong tương lai, nhưng không có lộ trình công khai. Trong lúc chờ, giải pháp trên từng thiết bị là hiệu quả nhất.
NextDNS miễn phí 300k query có đủ cho 1 gia đình?
Trung bình một thiết bị thực hiện 1.000‑5.000 query DNS mỗi ngày. Gia đình 4 người / 8 thiết bị có thể chạm mức 300k sau 10‑15 ngày. Sau khi hết quota, NextDNS vẫn hoạt động như DNS thường (không mất kết nối, chỉ mất tính năng lọc). Gia đình nhiều thiết bị nên cân nhắc gói $1.99/tháng.

Tổng kết

DNS over HTTPS là lớp bảo vệ đơn giản nhưng hiệu quả — mã hóa truy vấn DNS để ISP, kẻ nghe lén mạng không thể biết gia đình bạn đang truy cập trang nào. Mặc dù modem iGate GW040 chưa hỗ trợ DoH trực tiếp, việc cài trên từng thiết bị chỉ mất 2‑5 phút và hoàn toàn miễn phí.

 Bước đầu tiên ngay hôm nay: Mở Chrome → vào chrome://settings/security → bật Use secure DNS → chọn Cloudflare. Xong! Toàn bộ DNS trong Chrome đã được mã hóa.
Tags
Author Image

About Blog Technology

Posted by: at
Tags: , ,

Không có nhận xét nào:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)

Post Top Ad

Author Details

Blog Technology - Mục đích chia sẻ những bài viết hữu ích, chất lượng, uy tín cho mọi người.