Bạn có nhiều hơn một hệ thống home lab? Có thể bạn có một chiếc ở nhà và một chiếc khác đặt tại nhà người thân, hoặc bạn muốn phân tán cơ sở hạ tầng giữa nơi ở chính và một ngôi nhà nghỉ dưỡng. Dù trong trường hợp nào, có một cách thông minh, an toàn và cực kỳ dễ dàng để kết nối chúng lại với nhau: một mạng VPN site-to-site sử dụng Tailscale.
Đây là một thiết lập vô cùng mạnh mẽ, cho phép mỗi home lab truy cập vào lab còn lại, đồng thời bạn có thể truy cập cả hai từ bất cứ đâu. Điều này có nghĩa là bạn có thể tập trung sao lưu dữ liệu, chia sẻ các dịch vụ giữa hai hệ thống và coi chúng như thể đang nằm trên cùng một mạng cục bộ (LAN).
VPN Site-to-Site là gì và Tại sao nên dùng Tailscale?
Truy cập đồng thời hai mạng cục bộ
Một VPN site-to-site kết nối toàn bộ các mạng với nhau, như thể chúng đang ở trên cùng một mạng LAN. Điều này có nghĩa là các thiết bị trên Lab A có thể giao tiếp trực tiếp với các thiết bị trên Lab B mà không cần phải thực hiện các bước phức tạp như chuyển tiếp cổng (port-forwarding) hay tạo các đường hầm SSH ngược (reverse SSH tunnels) rắc rối. Nếu bạn hình dung một mạng VPN “điển hình”, nơi tất cả lưu lượng của bạn được chuyển tiếp đến một máy chủ trước khi tiếp tục hành trình, thì VPN site-to-site cũng tương tự. Ngoại trừ, trong trường hợp này, chỉ có lưu lượng được chỉ định cho mạng kia mới được chuyển tiếp.
Thiết lập hệ thống Home Lab với Proxmox
Về lý do tại sao Tailscale được khuyến nghị, Tailscale là một VPN zero-config được xây dựng trên nền tảng WireGuard. Nó dễ dàng thiết lập, bảo mật theo mặc định và cơ chế NAT traversal hoạt động hiệu quả, có nghĩa là bạn không cần phải can thiệp vào bộ định tuyến hoặc tường lửa của mình. Phần quan trọng nhất của phương trình, subnet routing (định tuyến mạng con), là tính năng then chốt giúp VPN site-to-site trở nên khả thi và đã được tích hợp sẵn trong Tailscale.
Hướng dẫn này yêu cầu bạn có hai mạng con (subnet) khác nhau ở mỗi vị trí. Ví dụ, nếu ID mạng con của bạn ở lab A là 192.168.1.0 và dải máy chủ từ 192.168.1.1 đến 192.168.1.254, thì ID mạng con này không được giống với lab B. Nếu trùng lặp, bạn sẽ cần thay đổi nó trong cài đặt bộ định tuyến của mình để tránh trùng lặp địa chỉ IP.
Cài đặt và Cấu hình Tailscale trên mỗi máy chủ Home Lab
Chỉ mất vài phút để thiết lập
Bạn sẽ cần tạo một tài khoản Tailscale và cài đặt ứng dụng Tailscale trên mỗi trong hai máy chủ của mình. Trên TrueNAS, bạn có thể tìm thấy nó trong danh mục ứng dụng, còn trên bất kỳ bản phân phối Linux nào khác, bạn có thể cài đặt bằng lệnh cơ bản sau:
curl -fsSL https://tailscale.com/install.sh | sh
Thực hiện lệnh curl để cài đặt Tailscale trên Linux
Sau khi Tailscale được cài đặt và chạy, bạn cần đăng nhập vào tài khoản của mình trên mỗi máy. Để làm điều này, hãy tạo các khóa xác thực (auth keys) trong bảng điều khiển quản trị Tailscale của bạn, sau đó chạy lệnh sau trên mỗi máy, đảm bảo rằng mỗi máy có khóa xác thực riêng biệt và duy nhất:
sudo tailscale up --auth-key=KEYHERELệnh này sẽ khởi chạy Tailscale, đăng ký nó với tài khoản của bạn và thêm nó vào danh sách thiết bị của bạn. Khi cả hai đã được kết nối, bạn sẽ thấy chúng trong bảng điều khiển thiết bị Tailscale của mình. Bước tiếp theo, bạn cần quảng bá các tuyến đường mạng con (advertise subnet routes), và phần này có thể hơi phức tạp một chút.
Quảng bá Subnet (Advertise Subnets) qua mạng Tailscale của bạn
Chuyển tiếp lưu lượng đến mạng cục bộ
Tiếp theo, bạn sẽ muốn quảng bá các mạng con của mình qua mạng Tailscale để có thể truy cập các thiết bị riêng lẻ trong mạng. Trước khi làm điều đó, bạn cần bật tính năng chuyển tiếp IPv4 (ipv4 forwarding). Hướng dẫn cho việc này sẽ khác nhau tùy thuộc vào bản phân phối Linux của bạn. Tuy nhiên, trên TrueNAS, bạn sẽ tìm thấy nó trong mục System, Advanced settings, và Sysctl. Thêm hai dòng sau với giá trị biến “1”, bật chúng, sau đó bạn sẽ cần khởi động lại NAS của mình:
net.ipv4.ip_forward net.ipv4.conf.all.src_valid_markĐể quảng bá các mạng con của chúng ta, chúng ta sẽ giả định rằng Lab A đang sử dụng mạng con 192.168.1.0 và Lab B đang sử dụng mạng con 192.168.2.0. Để cho phép truy cập, bạn sẽ muốn khởi động Tailscale trên Lab A với lệnh sau:
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routes
Sau đó, trên Lab B, chạy lệnh sau:
sudo tailscale up --advertise-routes=192.168.2.0/24 --accept-routes
Cấu hình quảng bá tuyến đường Subnet trong Tailscale trên TrueNAS
Nếu bạn đang sử dụng TrueNAS, bạn có thể Chỉnh sửa ứng dụng và thêm dải địa chỉ IP vào tham số Advertise routes thay vì dùng lệnh.
Chấp nhận Tuyến đường và Cấp quyền truy cập
Bước cuối cùng để hoàn tất
Một khi bạn đã khởi động Tailscale với các tuyến đường được quảng bá đó, bạn cần truy cập bảng điều khiển quản trị Tailscale và chấp nhận các tuyến đường mạng con đang được quảng bá. Giờ đây, các thiết bị được kết nối với mạng Tailscale của bạn sẽ có thể truy cập các thiết bị bằng địa chỉ IP trực tiếp. Ví dụ, bạn sẽ có thể truy cập bảng điều khiển bộ định tuyến của Lab A từ Lab B. Tuy nhiên, các thiết bị được phát hiện bằng mDNS (như các tên miền .local) sẽ không hoạt động, mặc dù bạn có thể thử ZeroTier, một giải pháp VPN thay thế cho Tailscale có hỗ trợ mDNS. Dù vậy, bạn vẫn có thể truy cập trực tiếp các thiết bị đó bằng IP.
Giao diện Tailscale admin console cho phép kích hoạt tuyến đường Subnet
Có nhiều cách để thiết lập một VPN site-to-site, và đây là một trong những cách dễ dàng nhất để thực hiện. Nó vẫn cực kỳ an toàn và mọi thứ được quản lý bởi mạng Tailscale của bạn. Nếu muốn, bạn có thể chuyển sang Headscale để mọi thứ đều tự lưu trữ (self-hosted), nhưng giao diện người dùng web của Tailscale hoạt động khá tốt cho các nhu cầu thông thường.
Việc thiết lập VPN site-to-site cho home lab với Tailscale mang lại sự linh hoạt và khả năng truy cập chưa từng có, biến các hệ thống phân tán thành một mạng thống nhất. Với các bước đơn giản như trên, bạn đã có thể tận hưởng những lợi ích của việc kết nối các home lab của mình một cách an toàn và hiệu quả.
Hãy thử ngay giải pháp này cho các hệ thống home lab của bạn và chia sẻ kinh nghiệm thiết lập VPN site-to-site với Tailscale trong phần bình luận bên dưới nhé!