Bạn đang sở hữu nhiều hơn một hệ thống home lab? Có thể bạn có một tại nhà và một đặt ở một vị trí khác, hoặc bạn muốn phân bổ cơ sở hạ tầng của mình giữa nơi ở chính và một ngôi nhà nghỉ dưỡng. Dù trong trường hợp nào, có một phương pháp thông minh, bảo mật và cực kỳ dễ dàng để kết nối chúng: đó là sử dụng VPN site-to-site với Tailscale. Đây là một thiết lập mạnh mẽ, cho phép mỗi home lab truy cập vào nhau và giúp bạn có thể truy cập cả hai mạng dù bạn ở bất cứ đâu. Điều này có nghĩa là bạn có thể dễ dàng tập trung sao lưu dữ liệu, chia sẻ các dịch vụ giữa các máy và coi chúng như thể đang hoạt động trên cùng một mạng nội bộ.
VPN Site-to-Site Là Gì và Tại Sao Nên Chọn Tailscale?
Truy Cập Hai Mạng Cùng Lúc
VPN site-to-site là công nghệ kết nối toàn bộ các mạng riêng biệt với nhau, giống như thể chúng đang nằm trên cùng một mạng LAN. Điều này có nghĩa là các thiết bị trong Mạng A có thể giao tiếp trực tiếp với các thiết bị trong Mạng B mà không cần phải thực hiện các thao tác phức tạp như mở cổng (port-forwarding) hay tạo đường hầm SSH ngược (reverse SSH tunnels). Nếu bạn hình dung một VPN “điển hình” nơi toàn bộ lưu lượng của bạn được chuyển tiếp đến một máy chủ trước khi đi tiếp, thì site-to-site VPN cũng tương tự. Tuy nhiên, trong trường hợp này, chỉ lưu lượng truy cập được chỉ định cho mạng kia mới được chuyển tiếp.
Mô hình hệ thống Home Lab với máy chủ Proxmox, minh họa kết nối mạng nội bộ
Lý do chúng tôi khuyên dùng Tailscale là vì đây là một giải pháp VPN không cần cấu hình phức tạp, được xây dựng trên nền tảng WireGuard. Tailscale dễ cài đặt, bảo mật theo mặc định và khả năng xuyên NAT (NAT traversal) hoạt động hiệu quả, có nghĩa là bạn không cần phải can thiệp vào bộ định tuyến hay tường lửa. Phần quan trọng nhất của phương trình này là tính năng định tuyến subnet (subnet routing) được tích hợp sẵn trong Tailscale, đây là yếu tố then chốt giúp việc thiết lập VPN site-to-site trở nên khả thi.
Hướng dẫn này yêu cầu bạn có hai subnet khác nhau tại mỗi địa điểm. Ví dụ, nếu ID subnet trong lab A là 192.168.1.0 và dải máy chủ là từ 192.168.1.1 đến 192.168.1.254, thì subnet này không được trùng với lab B. Nếu trùng, bạn sẽ cần thay đổi nó trong cài đặt bộ định tuyến của mình để tránh xung đột địa chỉ IP.
Thiết Lập Tailscale Trên Mỗi Máy Chủ Home Lab
Chỉ Mất Vài Phút Để Cài Đặt
Bạn sẽ cần tạo một tài khoản Tailscale và cài đặt ứng dụng Tailscale trên mỗi trong hai máy chủ của bạn. Trên hệ điều hành TrueNAS, bạn có thể tìm thấy Tailscale trong danh mục ứng dụng. Đối với bất kỳ bản phân phối Linux nào khác, bạn có thể cài đặt bằng lệnh cơ bản sau:
curl -fsSL https://tailscale.com/install.sh | sh
Thực thi lệnh curl để cài đặt ứng dụng Tailscale trên thiết bị Raspberry Pi chạy Linux
Sau khi Tailscale đã được cài đặt và chạy, bạn cần đăng nhập vào tài khoản của mình trên mỗi máy. Để làm điều này, hãy tạo các khóa xác thực (auth keys) trong bảng điều khiển quản trị Tailscale của bạn, sau đó chạy lệnh sau trên mỗi máy, đảm bảo rằng mỗi máy có khóa xác thực riêng biệt và duy nhất:
sudo tailscale up --auth-key=KEYHERELệnh này sẽ khởi chạy Tailscale, đăng ký thiết bị của bạn vào tài khoản và thêm nó vào danh sách các thiết bị đã kết nối. Khi cả hai thiết bị đã được kết nối thành công, bạn sẽ thấy chúng xuất hiện trong bảng điều khiển thiết bị Tailscale của mình. Bước tiếp theo là quảng bá các tuyến đường subnet, đây là một phần có thể hơi phức tạp.
Quảng Bá Subnet Qua Mạng Tailscale Của Bạn
Chuyển Tiếp Lưu Lượng Đến Mạng Nội Bộ
Tiếp theo, bạn sẽ muốn quảng bá (advertise) các subnet của mình qua mạng Tailscale để có thể truy cập các thiết bị riêng lẻ trên mạng đó. Trước khi thực hiện, bạn cần bật tính năng chuyển tiếp IPv4 (ipv4 forwarding). Hướng dẫn cho việc này sẽ khác nhau tùy thuộc vào bản phân phối Linux của bạn, nhưng trên TrueNAS, bạn có thể tìm thấy nó trong System, Advanced settings, và Sysctl. Thêm hai dòng sau với giá trị biến là “1”, bật chúng lên, sau đó bạn sẽ cần khởi động lại NAS của mình:
net.ipv4.ip_forward net.ipv4.conf.all.src_valid_mark
Tùy chọn 'Advertise routes' trong giao diện Tailscale trên hệ điều hành TrueNAS CORE/SCALE
Để quảng bá các subnet của chúng ta, chúng ta sẽ giả định rằng Lab A đang sử dụng subnet 192.168.1.0 và Lab B đang sử dụng subnet 192.168.2.0. Để cho phép truy cập, bạn sẽ cần khởi động Tailscale trên Lab A với lệnh sau:
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routesSau đó, trên Lab B, hãy chạy lệnh sau:
sudo tailscale up --advertise-routes=192.168.2.0/24 --accept-routesNếu bạn đang sử dụng TrueNAS, bạn có thể Chỉnh sửa (Edit) ứng dụng và thêm dải địa chỉ IP vào tham số Quảng bá tuyến đường (Advertise routes) thay thế.
Chấp Nhận Tuyến Đường và Cấp Quyền Truy Cập
Bước Cuối Cùng Để Hoàn Tất
Khi bạn đã khởi động Tailscale với các tuyến đường được quảng bá, bạn cần truy cập bảng điều khiển quản trị Tailscale và chấp nhận các tuyến đường subnet đang được quảng bá. Bây giờ, các thiết bị được kết nối với mạng Tailscale của bạn sẽ có thể truy cập các thiết bị khác bằng địa chỉ IP trực tiếp. Ví dụ, bạn có thể truy cập bảng điều khiển bộ định tuyến của Lab A từ Lab B.
Kích hoạt các tuyến đường subnet trong bảng điều khiển quản trị Tailscale để hoàn tất cấu hình VPN site-to-site
Tuy nhiên, các thiết bị được phát hiện bằng mDNS sẽ không hoạt động. Mặc dù bạn có thể thử ZeroTier, một giải pháp thay thế hỗ trợ mDNS. Bên cạnh đó, bạn vẫn có thể truy cập trực tiếp các thiết bị này bằng địa chỉ IP, chỉ là các tên miền .local sẽ không được nhận dạng.
Có rất nhiều cách để thiết lập VPN site-to-site, và đây là một trong những phương pháp dễ dàng nhất để thực hiện. Nó vẫn vô cùng bảo mật và mọi thứ đều được quản lý bởi mạng Tailscale của bạn. Nếu muốn, bạn có thể chuyển sang Headscale để tự lưu trữ mọi thứ, nhưng chúng tôi nhận thấy giao diện web của Tailscale hoạt động rất tốt cho các nhu cầu thông thường.
Thiết lập VPN site-to-site với Tailscale là một giải pháp tối ưu cho những ai muốn mở rộng khả năng kết nối và quản lý các home lab từ xa một cách hiệu quả và an toàn. Hãy áp dụng hướng dẫn này để nâng tầm hệ thống của bạn và tận hưởng sự linh hoạt mà Tailscale mang lại. Nếu bạn có bất kỳ câu hỏi hoặc kinh nghiệm nào muốn chia sẻ, đừng ngần ngại để lại bình luận bên dưới nhé!
