Bạn có nhiều hơn một phòng lab tại nhà (home lab)? Có thể bạn có một hệ thống tại nhà và một hệ thống khác được đặt ở nhà người thân, hoặc bạn đang phân tán hạ tầng giữa nơi ở chính và một ngôi nhà nghỉ dưỡng. Dù trong trường hợp nào, có một cách thông minh, bảo mật và cực kỳ dễ dàng để kết nối chúng lại với nhau: sử dụng mạng riêng ảo Site-to-Site VPN với Tailscale. Đây là một thiết lập mạnh mẽ cho phép mỗi home lab truy cập vào các tài nguyên của lab còn lại, đồng thời cho phép bạn truy cập cả hai lab dù bạn đang ở bất cứ đâu. Điều này mở ra khả năng sao lưu tập trung, chia sẻ dịch vụ giữa các máy chủ và quản lý chúng như thể chúng đang nằm trên cùng một mạng cục bộ.
Site-to-Site VPN là gì và tại sao nên dùng Tailscale?
Truy cập đồng thời hai mạng cục bộ một cách dễ dàng
Mạng riêng ảo Site-to-Site VPN là một công nghệ giúp kết nối toàn bộ các mạng cục bộ (LAN) lại với nhau, biến chúng thành một mạng lớn duy nhất, như thể chúng đang nằm trên cùng một hệ thống mạng. Điều này có nghĩa là các thiết bị trong Lab A có thể giao tiếp trực tiếp với các thiết bị trong Lab B mà không cần phải thực hiện các thao tác phức tạp như mở cổng (port-forwarding) hay tạo đường hầm SSH ngược (reverse SSH tunnels). Nếu bạn hình dung một VPN “thông thường” nơi mọi lưu lượng truy cập của bạn được chuyển tiếp đến một máy chủ trước khi tiếp tục hành trình, thì Site-to-Site VPN cũng tương tự. Tuy nhiên, trong trường hợp này, chỉ lưu lượng truy cập dành cho mạng đích mới được chuyển tiếp qua VPN.
Thiết lập Proxmox home lab
Lý do congnghe360.net khuyến nghị sử dụng Tailscale là vì đây là một VPN “zero-config” (không cần cấu hình phức tạp) được xây dựng trên nền tảng WireGuard. Tailscale rất dễ thiết lập, bảo mật theo mặc định và khả năng xuyên NAT (NAT traversal) hoạt động hiệu quả, giúp bạn không cần phải can thiệp vào router hay tường lửa. Phần quan trọng nhất để thiết lập Site-to-Site VPN là tính năng định tuyến subnet (subnet routing), và Tailscale đã tích hợp sẵn khả năng này.
Để thực hiện theo hướng dẫn này, bạn cần có hai subnet khác nhau tại mỗi địa điểm. Ví dụ, nếu subnet ID của Lab A là 192.168.1.0 với dải IP host từ 192.168.1.1 đến 192.168.1.254, thì subnet ID của Lab B không được trùng lặp. Nếu có sự trùng lặp, bạn sẽ cần thay đổi cài đặt subnet trong router của mình để tránh xung đột địa chỉ IP.
Hướng dẫn cài đặt Tailscale trên mỗi máy chủ
Chỉ mất vài phút để hoàn thành thiết lập cơ bản
Bạn sẽ cần tạo một tài khoản Tailscale và cài đặt ứng dụng Tailscale trên cả hai máy chủ. Với TrueNAS, ứng dụng này có sẵn trong danh mục ứng dụng. Đối với bất kỳ bản phân phối Linux nào khác, bạn có thể cài đặt Tailscale bằng lệnh cơ bản sau:
curl -fsSL https://tailscale.com/install.sh | sh
Thực thi lệnh curl để cài đặt Tailscale trên Raspberry Pi OS
Sau khi Tailscale đã được cài đặt và khởi chạy, bạn cần đăng nhập vào tài khoản của mình trên mỗi máy. Để làm điều này, hãy tạo các khóa xác thực (auth keys) trong bảng điều khiển quản trị Tailscale và sau đó chạy lệnh sau trên mỗi máy, đảm bảo rằng mỗi máy có khóa xác thực riêng biệt:
sudo tailscale up --auth-key=KEYHERELệnh này sẽ khởi chạy Tailscale, đăng ký nó với tài khoản của bạn và thêm nó vào danh sách thiết bị. Khi cả hai máy đã kết nối, bạn sẽ thấy chúng trong bảng điều khiển thiết bị Tailscale của mình. Tiếp theo, bạn cần quảng bá các tuyến đường subnet (advertise subnet routes), một bước có thể hơi phức tạp một chút.
Quảng bá các Subnet qua mạng Tailscale của bạn
Chuyển tiếp lưu lượng truy cập được chỉ định cho mạng cục bộ
Tiếp theo, bạn sẽ muốn quảng bá các subnet của mình qua mạng Tailscale để có thể truy cập các thiết bị riêng lẻ trên mạng. Trước khi làm điều đó, bạn cần bật tính năng chuyển tiếp IPv4 (ipv4 forwarding). Hướng dẫn cho việc này sẽ khác nhau tùy thuộc vào bản phân phối Linux bạn đang sử dụng. Trên TrueNAS, bạn có thể tìm thấy cài đặt này trong phần System, Advanced settings và Sysctl. Hãy thêm hai dòng sau với giá trị biến là “1”, bật chúng, sau đó bạn cần khởi động lại NAS của mình.
net.ipv4.ip_forward
net.ipv4.conf.all.src_valid_mark
Quảng bá tuyến đường trên Tailscale trong TrueNAS
Để quảng bá các subnet của chúng ta, hãy giả định rằng Lab A đang sử dụng subnet 192.168.1.0 và Lab B đang sử dụng subnet 192.168.2.0. Để cho phép truy cập, bạn sẽ cần khởi động Tailscale trên Lab A với lệnh sau:
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routesSau đó, trên Lab B, chạy lệnh sau:
sudo tailscale up --advertise-routes=192.168.2.0/24 --accept-routesNếu bạn đang sử dụng TrueNAS, bạn có thể Chỉnh sửa (Edit) ứng dụng và thêm dải địa chỉ IP vào tham số Quảng bá tuyến đường (Advertise routes) thay vì dùng lệnh.
Chấp nhận tuyến đường và cấp quyền truy cập
Bước cuối cùng để hoàn tất thiết lập VPN
Sau khi bạn đã khởi động Tailscale với các tuyến đường đã quảng bá, bạn cần truy cập bảng điều khiển quản trị Tailscale và chấp nhận các tuyến đường subnet đang được quảng bá. Giờ đây, các thiết bị được kết nối với mạng Tailscale của bạn sẽ có thể truy cập các thiết bị khác bằng địa chỉ IP trực tiếp của chúng. Ví dụ, bạn có thể truy cập bảng điều khiển router của Lab A từ Lab B. Tuy nhiên, các thiết bị được phát hiện bằng mDNS (như các tên miền .local) sẽ không hoạt động. Nếu bạn cần hỗ trợ mDNS, bạn có thể thử ZeroTier, một giải pháp khác có hỗ trợ tính năng này. Dù vậy, bạn vẫn có thể truy cập trực tiếp các thiết bị bằng địa chỉ IP của chúng.
Tailscale bật tuyến đường subnet
Có nhiều cách để thiết lập Site-to-Site VPN, và đây là một trong những phương pháp dễ dàng nhất để thực hiện. Nó vẫn vô cùng an toàn và mọi thứ đều được quản lý bởi mạng Tailscale của bạn. Nếu muốn kiểm soát hoàn toàn, bạn có thể chuyển sang Headscale để tự host tất cả dịch vụ, nhưng giao diện web của Tailscale thường đủ dùng cho hầu hết nhu cầu.
Việc thiết lập Site-to-Site VPN giữa các home lab bằng Tailscale mang lại sự linh hoạt và bảo mật cao, giúp bạn tối ưu hóa hạ tầng công nghệ cá nhân. Bạn đã thử cách nào để kết nối các home lab của mình chưa? Hãy chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới hoặc tìm hiểu thêm các bài viết chuyên sâu về mạng và home lab của chúng tôi tại congnghe360.net!