Bạn có nhiều hơn một hệ thống home lab? Có thể bạn sở hữu một dàn máy chủ tại nhà và một dàn khác được đặt tại nhà người thân, hoặc bạn phân bổ hạ tầng công nghệ của mình giữa nơi ở chính và một ngôi nhà nghỉ dưỡng. Dù trong bất kỳ trường hợp nào, việc kết nối các home lab này một cách thông minh, an toàn và dễ dàng là hoàn toàn khả thi với giải pháp VPN site-to-site sử dụng Tailscale. Đây là một thiết lập vô cùng mạnh mẽ, cho phép mỗi home lab truy cập vào hệ thống kia và bạn có thể truy cập cả hai mạng lưới dù ở bất cứ đâu. Điều này mang lại lợi ích lớn trong việc tập trung sao lưu dữ liệu, chia sẻ các dịch vụ giữa các máy chủ và quản lý chúng như thể chúng đang hoạt động trên cùng một mạng LAN.
VPN Site-to-Site Là Gì Và Tại Sao Nên Chọn Tailscale?
Kết Nối Toàn Bộ Mạng LAN Của Bạn
Một VPN site-to-site có chức năng kết nối toàn bộ các mạng LAN với nhau, làm cho các thiết bị trong Mạng A có thể giao tiếp trực tiếp với các thiết bị trong Mạng B mà không cần phải thiết lập port-forwarding phức tạp hay các đường hầm SSH đảo ngược rườm rà. Nếu bạn hình dung một VPN “thông thường”, nơi tất cả lưu lượng của bạn được chuyển tiếp đến một máy chủ trước khi tiếp tục hành trình, thì VPN site-to-site cũng tương tự. Tuy nhiên, trong trường hợp này, chỉ lưu lượng truy cập được chỉ định cho mạng đích mới được chuyển tiếp qua kênh VPN, giúp tối ưu hiệu suất và bảo mật.
Hệ thống home lab với máy chủ Proxmox đang hoạt động, minh họa việc kết nối mạng nội bộ
Lý do mà Tailscale được khuyến nghị cho giải pháp này là vì Tailscale là một dịch vụ VPN “zero-config” (không cần cấu hình phức tạp) được xây dựng dựa trên công nghệ WireGuard tiên tiến. Nó rất dễ thiết lập, an toàn theo mặc định và cơ chế NAT traversal hoạt động hoàn hảo, nghĩa là bạn không cần phải can thiệp vào router hay tường lửa của mình. Phần quan trọng nhất của phương trình này là tính năng định tuyến subnet (subnet routing), một tính năng cốt lõi giúp VPN site-to-site trở nên khả thi và được tích hợp sẵn trong Tailscale.
Lưu ý quan trọng: Hướng dẫn này yêu cầu bạn phải có hai subnet khác nhau tại mỗi địa điểm. Ví dụ, nếu ID subnet ở lab A là 192.168.1.0 và dải host từ 192.168.1.1 đến 192.168.1.254, thì subnet này không thể trùng với subnet ở lab B. Nếu chúng trùng nhau, bạn sẽ cần thay đổi cài đặt subnet trong router của mình để tránh xung đột địa chỉ IP.
Cài Đặt Và Cấu Hình Tailscale Trên Từng Máy Chủ Home Lab
Chuẩn Bị Tài Khoản Và Cài Đặt Dễ Dàng
Bạn sẽ cần tạo một tài khoản Tailscale và cài đặt Tailscale trên cả hai máy chủ của bạn. Đối với các hệ thống NAS như TrueNAS, Tailscale thường có sẵn trong danh mục ứng dụng. Với bất kỳ bản phân phối Linux nào khác, bạn có thể cài đặt Tailscale bằng lệnh cơ bản sau:
curl -fsSL https://tailscale.com/install.sh | sh
Màn hình console Linux hiển thị lệnh curl để cài đặt Tailscale trên Raspberry Pi hoặc các hệ điều hành tương tự
Đăng Nhập Và Liên Kết Thiết Bị Vào Mạng Tailscale
Sau khi Tailscale đã được cài đặt và chạy, bạn cần đăng nhập vào tài khoản của mình trên mỗi máy chủ. Để làm điều này, hãy tạo các khóa xác thực (auth keys) trong bảng điều khiển quản trị Tailscale (Tailscale admin console) của bạn. Sau đó, chạy lệnh sau trên mỗi máy chủ, đảm bảo rằng mỗi máy có một khóa xác thực riêng biệt và duy nhất:
sudo tailscale up --auth-key=KEYHERELệnh này sẽ khởi chạy Tailscale, đăng ký thiết bị đó với tài khoản của bạn và thêm nó vào danh sách thiết bị của bạn. Khi cả hai máy chủ đã được kết nối thành công, bạn sẽ thấy chúng xuất hiện trong bảng điều khiển thiết bị Tailscale của mình. Bước tiếp theo là quảng bá các subnet routes, và đây có thể là phần cần sự chú ý đặc biệt.
Quảng Bá Subnet Routes Qua Mạng Tailscale Của Bạn
Chuyển Tiếp Lưu Lượng Đến Mạng Nội Bộ
Tiếp theo, bạn sẽ muốn quảng bá các subnet của mình qua mạng Tailscale để có thể truy cập từng thiết bị riêng lẻ trong mạng nội bộ. Trước khi thực hiện điều này, bạn cần kích hoạt tính năng chuyển tiếp IPv4 (IPv4 forwarding). Hướng dẫn cho việc này sẽ khác nhau tùy thuộc vào bản phân phối Linux bạn đang sử dụng. Trên TrueNAS, bạn có thể tìm thấy cài đặt này dưới mục System, Advanced settings, và Sysctl. Thêm hai dòng sau với giá trị biến là “1”, kích hoạt chúng, sau đó bạn sẽ cần khởi động lại NAS của mình:
net.ipv4.ip_forward net.ipv4.conf.all.src_valid_markĐể quảng bá các subnet của chúng ta, chúng ta sẽ giả định rằng Lab A đang sử dụng subnet 192.168.1.0 và Lab B đang sử dụng subnet 192.168.2.0. Để cho phép truy cập, bạn sẽ cần khởi động Tailscale trên Lab A với lệnh sau:
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routesSau đó, trên Lab B, chạy lệnh sau:
sudo tailscale up --advertise-routes=192.168.2.0/24 --accept-routesNếu bạn đang sử dụng TrueNAS, bạn có thể Edit ứng dụng Tailscale và thêm dải địa chỉ IP vào tham số Advertise routes thay vì dùng lệnh.
Giao diện cấu hình Tailscale trong TrueNAS, hiển thị tùy chọn quảng bá (advertise) các tuyến mạng subnet
Chấp Nhận Route Và Hoàn Tất Thiết Lập Truy Cập
Bước Cuối Cùng Để Hoàn Thành
Sau khi bạn đã khởi động Tailscale với các routes được quảng bá, bạn cần truy cập vào bảng điều khiển quản trị Tailscale (Tailscale admin console) và chấp nhận các subnet routes đang được quảng bá. Tại thời điểm này, các thiết bị được kết nối vào mạng Tailscale của bạn sẽ có thể truy cập các thiết bị khác bằng địa chỉ IP trực tiếp. Ví dụ, bạn có thể truy cập bảng điều khiển router của Lab A từ Lab B.
Tuy nhiên, cần lưu ý rằng các thiết bị được khám phá bằng mDNS (Multicast DNS) sẽ không hoạt động thông qua Tailscale. Nếu tính năng mDNS là thiết yếu đối với bạn, bạn có thể cân nhắc thử ZeroTier, một giải pháp thay thế có hỗ trợ mDNS. Mặc dù vậy, bạn vẫn có thể truy cập trực tiếp các thiết bị đó bằng địa chỉ IP, chỉ là không thể sử dụng các tên miền .local mà mDNS cung cấp.
Bảng điều khiển quản trị Tailscale trên web, nơi người dùng có thể kích hoạt các subnet routes đã được quảng bá
Có nhiều cách để thiết lập VPN site-to-site, nhưng sử dụng Tailscale là một trong những phương pháp dễ dàng và hiệu quả nhất. Giải pháp này vẫn đảm bảo tính bảo mật cao và mọi thứ đều được quản lý thông qua mạng Tailscale của bạn. Nếu muốn kiểm soát hoàn toàn, bạn có thể chuyển sang sử dụng Headscale để tự lưu trữ mọi thứ, nhưng đối với hầu hết các nhu cầu, giao diện web của Tailscale hoạt động rất tốt.
Với Tailscale, việc kết nối và quản lý các home lab từ xa trở nên đơn giản hơn bao giờ hết, giúp bạn tận dụng tối đa hạ tầng công nghệ của mình. Hãy thử áp dụng hướng dẫn này và chia sẻ trải nghiệm của bạn ở phần bình luận nhé!
