Bạn sở hữu nhiều hệ thống home lab rải rác ở các địa điểm khác nhau, có thể là một tại nhà và một đặt ở nơi khác, hoặc bạn đang mở rộng cơ sở hạ tầng giữa nơi ở chính và một ngôi nhà nghỉ dưỡng? Dù trường hợp nào, việc kết nối chúng lại thành một mạng duy nhất giờ đây đã trở nên thông minh, bảo mật và cực kỳ dễ dàng nhờ vào công nghệ VPN site-to-site sử dụng Tailscale. Đây là một giải pháp mạnh mẽ, cho phép mỗi home lab truy cập vào các lab khác và bản thân bạn cũng có thể truy cập vào tất cả chúng dù đang ở bất cứ đâu. Điều này đồng nghĩa với việc bạn có thể tập trung hệ thống sao lưu dữ liệu, chia sẻ các dịch vụ giữa các máy chủ và quản lý chúng như thể chúng đang hoạt động trên cùng một mạng cục bộ.
VPN Site-to-Site là gì và Tại sao Tailscale là Lựa Chọn Ưu Việt?
Truy Cập Các Mạng Khác Nhau Như Một Mạng Duy Nhất
Một VPN site-to-site có chức năng kết nối toàn bộ các mạng cục bộ (LAN) lại với nhau, biến chúng thành một thực thể duy nhất. Điều này có nghĩa là các thiết bị trong Lab A có thể giao tiếp trực tiếp với các thiết bị trong Lab B mà không cần phải thực hiện các thao tác phức tạp như mở cổng (port-forwarding) hay tạo đường hầm SSH ngược (reverse SSH tunnels). Nếu bạn liên tưởng đến một VPN “điển hình”, nơi tất cả lưu lượng truy cập của bạn được chuyển tiếp đến một máy chủ trước khi đến đích, thì VPN site-to-site cũng tương tự. Tuy nhiên, trong trường hợp này, chỉ lưu lượng truy cập được chỉ định cho mạng kia mới được chuyển tiếp.
Thiết lập một hệ thống home lab đa năng với Proxmox và Tailscale
Lý do congnghehot.net đề xuất Tailscale là vì đây là một giải pháp VPN “zero-config” (không cần cấu hình phức tạp) được xây dựng trên nền tảng WireGuard hiện đại. Tailscale nổi bật với khả năng thiết lập dễ dàng, bảo mật cao theo mặc định và khả năng xuyên NAT (NAT traversal) hoạt động trơn tru, loại bỏ nhu cầu can thiệp vào bộ định tuyến hoặc tường lửa của bạn. Phần quan trọng nhất để thiết lập VPN site-to-site chính là tính năng định tuyến subnet (subnet routing), và Tailscale đã tích hợp sẵn khả năng này.
Để triển khai hướng dẫn này, điều kiện tiên quyết là bạn phải có hai subnet khác nhau tại mỗi địa điểm. Ví dụ, nếu subnet ID của Lab A là 192.168.1.0 và dải IP từ 192.168.1.1 đến 192.168.1.254, thì subnet ID của Lab B không được trùng lặp. Nếu có sự trùng lặp, bạn sẽ cần thay đổi cấu hình trong cài đặt bộ định tuyến của mình để tránh xung đột địa chỉ IP.
Hướng Dẫn Cài Đặt Tailscale Trên Từng Máy Chủ Home Lab
Quy Trình Cài Đặt Nhanh Chóng Trong Vài Phút
Bạn sẽ cần tạo một tài khoản Tailscale và cài đặt Tailscale trên mỗi trong hai máy chủ home lab của mình. Đối với TrueNAS, ứng dụng Tailscale có sẵn trong danh mục ứng dụng (app catalogue). Trên bất kỳ bản phân phối Linux nào khác, bạn có thể cài đặt Tailscale bằng lệnh cơ bản sau:
curl -fsSL https://tailscale.com/install.sh | shSau khi Tailscale được cài đặt và chạy, bạn cần đăng nhập vào tài khoản của mình trên mỗi máy. Để làm điều này, hãy tạo các khóa xác thực (auth keys) trong bảng điều khiển quản trị Tailscale (Tailscale admin console) của bạn, sau đó chạy lệnh sau trên mỗi máy, đảm bảo rằng mỗi máy có khóa xác thực riêng biệt:
sudo tailscale up --auth-key=KEYHERELệnh này sẽ khởi chạy Tailscale, đăng ký nó với tài khoản của bạn và thêm vào danh sách thiết bị của bạn. Khi cả hai máy đã kết nối, bạn sẽ thấy chúng hiển thị trong bảng điều khiển thiết bị Tailscale. Bước tiếp theo là quảng bá các tuyến đường subnet, và đây có thể là một phần hơi phức tạp.
Thực thi lệnh curl để cài đặt ứng dụng Tailscale trên hệ điều hành Raspberry Pi
Quảng Bá Subnet Của Bạn Qua Mạng Tailscale
Chuyển Tiếp Lưu Lượng Đến Các Thiết Bị Nội Bộ
Tiếp theo, bạn sẽ muốn quảng bá các subnet của mình qua mạng Tailscale để có thể truy cập từng thiết bị riêng lẻ trong mạng cục bộ. Trước khi thực hiện điều đó, bạn cần bật tính năng chuyển tiếp IPv4 (IPv4 forwarding). Hướng dẫn cho việc này sẽ khác nhau tùy thuộc vào bản phân phối Linux của bạn. Tuy nhiên, trên TrueNAS, bạn có thể tìm thấy nó trong phần System, Advanced settings, và Sysctl. Thêm hai dòng sau với giá trị biến là “1”, bật chúng, sau đó bạn sẽ cần khởi động lại NAS của mình.
net.ipv4.ip_forward net.ipv4.conf.all.src_valid_markĐể quảng bá các subnet của chúng ta, chúng ta sẽ giả định rằng Lab A đang sử dụng subnet 192.168.1.0/24 và Lab B đang sử dụng subnet 192.168.2.0/24. Để cho phép truy cập, bạn sẽ khởi động Tailscale trên Lab A với lệnh sau:
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routesSau đó, trên Lab B, chạy lệnh tương tự:
sudo tailscale up --advertise-routes=192.168.2.0/24 --accept-routesNếu bạn đang sử dụng TrueNAS, bạn có thể Chỉnh sửa ứng dụng và thêm dải địa chỉ IP vào tham số Advertise routes thay thế.
Cấu hình quảng bá các route (Advertise routes) cho subnet trong TrueNAS với Tailscale
Chấp Nhận Route Và Hoàn Tất Truy Cập
Bước Cuối Cùng Để Mạng Lưới Được Liên Kết
Sau khi bạn đã khởi động Tailscale với các tuyến đường quảng bá đó, bạn cần truy cập bảng điều khiển quản trị Tailscale (Tailscale admin console) và chấp nhận các subnet routes đang được quảng bá. Giờ đây, các thiết bị được kết nối với mạng Tailscale của bạn sẽ có thể truy cập các thiết bị khác bằng địa chỉ IP trực tiếp. Ví dụ, bạn có thể truy cập bảng điều khiển bộ định tuyến của Lab A từ Lab B. Tuy nhiên, các thiết bị được khám phá bằng mDNS sẽ không hoạt động; bạn có thể cân nhắc thử ZeroTier nếu cần hỗ trợ mDNS. Ngoài ra, bạn vẫn có thể trực tiếp truy cập các thiết bị đó bằng địa chỉ IP, chỉ là các tên miền .local sẽ không được nhận diện.
Kích hoạt các tuyến đường subnet (subnet routes) trong bảng điều khiển quản lý của Tailscale
Có nhiều cách để thiết lập một VPN site-to-site, và đây là một trong những cách dễ dàng nhất để thực hiện. Nó vẫn cực kỳ bảo mật, và mọi thứ đều được quản lý thông qua mạng Tailscale của bạn. Nếu muốn, bạn có thể chuyển sang Headscale để tự lưu trữ mọi thứ, nhưng giao diện người dùng web của Tailscale hoạt động rất tốt cho hầu hết các nhu cầu.
Kết Luận
Việc thiết lập VPN site-to-site bằng Tailscale là một giải pháp tối ưu, mang lại khả năng kết nối và quản lý các home lab từ xa một cách an toàn và hiệu quả. Với các bước đơn giản như cài đặt ứng dụng, quảng bá subnet và chấp nhận các tuyến đường, bạn có thể biến nhiều hệ thống riêng lẻ thành một mạng lưới đồng nhất. Điều này không chỉ giúp bạn dễ dàng truy cập, chia sẻ tài nguyên mà còn tăng cường khả năng sao lưu và bảo mật dữ liệu. Tailscale thực sự đã đơn giản hóa việc quản lý cơ sở hạ tầng mạng cá nhân, mang lại sự linh hoạt và tiện lợi vượt trội. Bạn đã thử kết nối các home lab của mình bằng Tailscale chưa? Hãy chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới!