Bạn sở hữu nhiều hệ thống home lab? Có thể bạn có một home lab tại nhà và một cái khác đặt ở tầng hầm nhà người thân, hoặc bạn đang phân tán hạ tầng công nghệ giữa nơi ở chính và một ngôi nhà nghỉ dưỡng. Dù lý do là gì, có một cách thông minh, bảo mật và cực kỳ dễ dàng để kết nối chúng lại với nhau: thiết lập Site-to-Site VPN sử dụng Tailscale.
Đây là một thiết lập vô cùng mạnh mẽ, cho phép mỗi home lab truy cập vào các tài nguyên của lab kia, đồng thời giúp bạn truy cập cả hai lab từ bất cứ đâu. Điều này đồng nghĩa với việc bạn có thể tập trung hệ thống sao lưu dữ liệu, chia sẻ các dịch vụ giữa các máy và coi chúng như thể đang hoạt động trên cùng một mạng cục bộ (LAN).
Site-to-Site VPN Là Gì? Tại Sao Nên Chọn Tailscale?
Kết Nối Hai Mạng Cùng Lúc
Site-to-Site VPN kết nối toàn bộ các mạng với nhau, giống như thể chúng đang nằm trên cùng một mạng LAN vật lý. Điều này có nghĩa là các thiết bị trên Lab A có thể giao tiếp trực tiếp với các thiết bị trên Lab B mà không cần phải thực hiện các bước phức tạp như mở cổng (port-forwarding) hay tạo đường hầm SSH ngược rắc rối. Nếu bạn hình dung một VPN “điển hình” nơi tất cả lưu lượng của bạn được chuyển tiếp đến một máy chủ trước khi tiếp tục hành trình, thì Site-to-Site VPN cũng tương tự. Điểm khác biệt là trong trường hợp này, chỉ lưu lượng được chỉ định cho mạng kia mới được chuyển tiếp.
Thiết lập Proxmox home lab với các máy chủ
Về lý do tại sao Tailscale được khuyến nghị, Tailscale là một dịch vụ VPN không cần cấu hình (zero-config VPN) được xây dựng trên nền tảng WireGuard. Nó dễ dàng thiết lập, bảo mật theo mặc định và cơ chế xuyên NAT (NAT traversal) hoạt động hiệu quả, nghĩa là bạn không cần phải can thiệp vào router hoặc tường lửa. Phần quan trọng nhất của phương trình này là tính năng định tuyến subnet (subnet routing) – yếu tố then chốt giúp Site-to-Site VPN khả thi và được tích hợp sẵn trong Tailscale.
Hướng dẫn này yêu cầu mỗi vị trí home lab của bạn phải có các subnet khác nhau. Ví dụ, nếu ID subnet của Lab A là 192.168.1.0 và dải IP của máy chủ từ 192.168.1.1 đến 192.168.1.254, thì dải này không được trùng lặp với Lab B. Nếu trùng, bạn sẽ cần thay đổi nó trong cài đặt router của mình để tránh xung đột địa chỉ IP.
Cài Đặt Tailscale Trên Từng Máy Chủ Của Bạn
Chỉ Mất Vài Phút Để Bắt Đầu
Bạn sẽ cần tạo một tài khoản Tailscale và cài đặt Tailscale trên mỗi trong hai máy chủ của mình. Trên TrueNAS, Tailscale có sẵn trong danh mục ứng dụng. Đối với bất kỳ bản phân phối Linux nào khác, bạn có thể cài đặt nó bằng lệnh cơ bản sau:
curl -fsSL https://tailscale.com/install.sh | shKhi Tailscale đã được cài đặt và chạy, bạn sẽ cần đăng nhập vào tài khoản của mình trên mỗi máy. Để làm điều này, hãy tạo các khóa xác thực (auth keys) trong bảng điều khiển quản trị Tailscale của bạn, sau đó chạy lệnh sau trên mỗi máy, đảm bảo rằng mỗi máy có khóa xác thực riêng và duy nhất:
sudo tailscale up --auth-key=KEYHEREThao tác này sẽ khởi chạy Tailscale, đăng ký nó với tài khoản của bạn và thêm vào danh sách thiết bị. Khi cả hai thiết bị đã được kết nối, bạn sẽ thấy chúng trong bảng điều khiển thiết bị Tailscale của mình. Bước tiếp theo, bạn cần quảng bá các tuyến subnet (advertise subnet routes), và phần này có thể hơi phức tạp một chút.
Thực thi lệnh curl để cài đặt Tailscale trên Raspberry Pi OS
Quảng Bá Subnet Qua Mạng Tailscale Của Bạn
Chuyển Tiếp Lưu Lượng Đến Mạng Cục Bộ
Tiếp theo, bạn sẽ muốn quảng bá các subnet của mình qua mạng Tailscale để có thể truy cập các thiết bị riêng lẻ trên mạng. Trước khi làm điều đó, bạn cần bật tính năng chuyển tiếp IPv4 (ipv4 forwarding). Hướng dẫn cho việc này sẽ khác nhau tùy thuộc vào bản phân phối Linux của bạn. Tuy nhiên, trên TrueNAS, bạn có thể tìm thấy nó trong mục System, Advanced settings, và Sysctl. Thêm hai dòng sau với giá trị biến “1”, bật chúng và sau đó bạn sẽ cần khởi động lại NAS của mình.
net.ipv4.ip_forward
net.ipv4.conf.all.src_valid_markĐể quảng bá các subnet của chúng ta, chúng ta sẽ giả định rằng Lab A đang sử dụng subnet 192.168.1.0/24 và Lab B đang sử dụng subnet 192.168.2.0/24. Để kích hoạt quyền truy cập, bạn sẽ cần khởi động Tailscale trên Lab A với lệnh sau:
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routesSau đó, trên Lab B, hãy chạy lệnh sau:
sudo tailscale up --advertise-routes=192.168.2.0/24 --accept-routesNếu bạn đang sử dụng TrueNAS, bạn có thể Chỉnh sửa ứng dụng và thêm dải địa chỉ IP vào tham số Advertise routes thay vì dùng lệnh.
Quảng bá các tuyến mạng trên Tailscale trong giao diện TrueNAS
Chấp Nhận Tuyến Mạng Và Cấp Quyền Truy Cập
Hoàn Tất Thiết Lập
Khi bạn đã khởi động Tailscale với các tuyến mạng được quảng bá, bạn cần truy cập vào bảng điều khiển quản trị Tailscale và chấp nhận các tuyến subnet đang được quảng bá. Bây giờ, các thiết bị được kết nối với mạng Tailscale của bạn sẽ có thể truy cập các thiết bị khác bằng địa chỉ IP trực tiếp. Ví dụ, bạn có thể truy cập bảng điều khiển router của Lab A từ Lab B. Tuy nhiên, các thiết bị được khám phá bằng mDNS sẽ không hoạt động, mặc dù bạn có thể thử ZeroTier, một giải pháp có hỗ trợ mDNS. Dù vậy, bạn vẫn có thể truy cập trực tiếp các thiết bị đó bằng IP, chỉ là không sử dụng được các tên miền .local.
Có rất nhiều cách để thiết lập Site-to-Site VPN, và đây là một trong những phương pháp dễ dàng nhất để thực hiện. Nó vẫn cực kỳ bảo mật và mọi thứ được quản lý bởi mạng Tailscale của bạn. Nếu muốn, bạn có thể chuyển sang Headscale để mọi thứ đều được tự host, nhưng giao diện web của Tailscale hoạt động rất tốt cho hầu hết các nhu cầu.
Kích hoạt các tuyến subnet trong bảng điều khiển quản lý Tailscale
Việc kết nối các home lab từ xa thông qua Site-to-Site VPN với Tailscale mang lại sự linh hoạt và hiệu quả đáng kinh ngạc. Nó cho phép bạn quản lý và truy cập tài nguyên một cách tập trung, đơn giản hóa các tác vụ như sao lưu dữ liệu và chia sẻ dịch vụ mà không cần kiến thức chuyên sâu về mạng phức tạp. Với những ưu điểm về sự dễ dàng trong thiết lập và tính bảo mật cao, Tailscale thực sự là một lựa chọn lý tưởng cho những người đam mê home lab muốn mở rộng phạm vi kết nối của mình. Hãy chia sẻ kinh nghiệm của bạn về việc thiết lập Site-to-Site VPN hoặc các mẹo hữu ích khác cho cộng đồng nhé!
