Tôi là một người (có lẽ là rất) chậm chạp trong việc chuyển đổi sang sử dụng Tailscale và những sắp xếp mạng ảo mạnh mẽ mà nó mang lại. Một phần là vì tôi đã quen dùng các nhà cung cấp VPN truyền thống khác, và một phần là vì cho đến gần đây, tôi chưa cần truy cập homelab của mình từ xa – đơn giản là vì tôi chưa có homelab để truy cập.
Chà, thời thế đã thay đổi, và giờ đây câu hỏi không phải là làm thế nào để cài đặt Tailscale, mà là “tôi đã bỏ sót bao nhiêu thiết bị chưa cài đặt?”. Bạn thấy đấy, tôi có thể hiểu cơ bản về mạng, DNS và domain, và cách chúng kết nối lại với nhau để tạo ra thứ gọi là internet. Nhưng điều đó không có nghĩa là tôi thực sự thích làm việc đó, chẳng hạn như cái điệu nhảy phức tạp của việc thay đổi cài đặt ở nhiều nơi và đảm bảo mọi octet đều ở đúng vị trí.
Đừng hiểu lầm nhé, tôi thích học hỏi và cái cảm giác khi mọi thứ hoạt động sau (đôi khi) hàng giờ vật lộn, nhưng tôi cũng có những ưu tiên khác. Homelab của tôi không thể tự chạy, và tôi càng dành nhiều thời gian cho mạng thì tôi càng có ít thời gian để thực hiện các thử nghiệm thú vị. Đó là lúc Tailscale xuất hiện, và cụ thể hơn là Tailscale Funnel.
Đây là một phần nội tại của MagicDNS của Tailscale, cho phép tôi kiểm tra các dịch vụ tự host từ một URL công khai mà không cần thiết lập các bản ghi domain hay bất kỳ thứ gì khác liên quan đến mạng mà tôi không muốn làm, nhờ đó tôi có thể tập trung vào dịch vụ và khiến nó hoạt động. Chúng thật tuyệt vời, và phần tốt nhất là chúng không mất nhiều thời gian để sử dụng.
Hình ảnh Raspberry Pi và máy tính minh họa việc truy cập homelab từ xa qua Tailscale
5. Chúng đơn giản
Một dòng lệnh cho phép tôi truy cập
Tôi đã sử dụng rất nhiều cách khác nhau để truy cập các dịch vụ đang chạy trong homelab của mình từ bên ngoài mạng gia đình, và hầu hết là các giải pháp VPN khiến thiết bị của tôi hoạt động như thể đang ở nhà, các reverse proxy để xử lý việc truyền gói dữ liệu qua thiết bị mạng của tôi, hoặc là sự kết hợp của cả hai. Một số phức tạp để thiết lập, một số ít phức tạp hơn, nhưng tất cả đều liên quan đến các bước bổ sung để chạy.
Tailscale Funnel thì không. Cài đặt Tailscale rất nhanh, và thiết lập một Funnel để lộ một ứng dụng tự host đơn giản chỉ là một dòng lệnh trong cửa sổ terminal.
tailscale funnel [port]Đó là tất cả những gì cần thiết để kết nối cổng dịch vụ với cổng bên ngoài, một bản ghi DNS liên quan và một URL tailnet để truy cập dễ dàng. Có thể mất vài phút để các bản ghi DNS lan truyền, nhưng điều đó nhanh bằng khả năng của các máy chủ định danh. Không cần chỉnh sửa tệp YAML, không cần ghi nhớ (hoặc gõ sai!) cú pháp hay ánh xạ cổng, chỉ cần một lệnh duy nhất mà cũng có thể sử dụng các cổng khác nhau cho nội bộ và bên ngoài nếu bạn cần.
Giao diện dòng lệnh (terminal) trên Windows hiển thị cú pháp đơn giản của lệnh tailscale funnel
4. Chúng bảo mật
Mã hóa đầu cuối là chìa khóa
Kết nối với các ứng dụng tự host của tôi khá dễ dàng khi tôi ở nhà, ngoại trừ việc phải đối phó với các chứng chỉ tự ký (self-signed certificates) cho việc sử dụng HTTPS. Tuy nhiên, những chứng chỉ tự ký này có thể là vấn đề khi cố gắng làm cho các ứng dụng đó khả dụng bên ngoài ngôi nhà của tôi, chẳng hạn như thông qua một reverse proxy được bảo mật đúng cách. Không phải là không thể, nhưng nó đòi hỏi thêm một vài bước để xác minh chứng chỉ đáng tin cậy, và cả một khoản chi phí tài chính nữa.
Nhưng ngay sau khi một Tailscale Funnel được khởi tạo, Tailscale cung cấp cho bạn một subdomain DNS thực, điều này có nghĩa là bạn nhận được một chứng chỉ được cung cấp từ mức độ tin cậy của Tailscale và do đó được trình duyệt web của bạn tự động tin cậy. Đó vẫn là một chứng chỉ tự ký của Let’s Encrypt, nhưng bạn không phải mua domain, thiết lập một VPS và trỏ nhà đăng ký domain của bạn đến đó để có được chứng chỉ tin cậy; nó chỉ đơn giản là hoạt động. Một lần nữa, tôi xin nhắc lại rằng tôi ghét phải đối phó với những rắc rối của DNS, và có một thứ làm tất cả những điều đó cho tôi một cách liền mạch thì gần như là phép thuật.
Khi URL Funnel được sử dụng, nó thiết lập một proxy TCP giữa ứng dụng liên quan và thiết bị mà URL đó được nhấp vào. Nó được mã hóa hoàn toàn từ đầu đến cuối và không bao giờ giải mã lưu lượng truy cập giữa các thiết bị công cộng và thiết bị của bạn. Phần duy nhất của liên kết không được mã hóa là giữa máy chủ Tailscale trong nhà tôi và ứng dụng mà tôi đang truy cập, giống như khi tôi đang ở nhà vậy.
Tủ mạng với hệ thống cáp phức tạp tượng trưng cho cấu trúc mạng cần bảo mật
Mặt sau của máy chủ Lenovo ThinkServer SR250 V2, thiết bị thường dùng trong homelab cho dịch vụ tự host
3. Không cần port forwarding
Càng ít cổng mở ra từ homelab của tôi càng tốt
Tôi luôn thận trọng về việc để các cổng mở ra internet, và bất kỳ ai trong thời đại này cũng nên như vậy. Rất dễ dàng thiết lập các bản quét IP tự động để xác định các cổng mở cho các cuộc tấn công trong tương lai, và việc bảo mật chúng đúng cách là một thách thức đáng kể. Nếu bạn có thể port forward ngay từ đầu, các ISP thường giới hạn khả năng này, đặc biệt là trên các cổng cụ thể (cổng 25 cho SMTP rất thường bị chặn). Đó là lý do tại sao tôi thường không bận tâm và sử dụng một thứ gì đó như Pangolin sử dụng các phương pháp NAT traversal để tránh cần bất kỳ cổng mở hoặc cấu hình tường lửa nào.
Về mặt kỹ thuật, Tailscale Funnel có mở một cổng, nhưng chỉ mở cho tailnet của bạn, chứ không phải internet công cộng có thể quét được. Với URL được bảo mật bằng HTTPS để truy cập các ứng dụng của tôi, tôi không phải lo lắng về các cuộc tấn công tự động hoặc bất kỳ vấn đề nào khác mà việc có một cổng mở vĩnh viễn trên tường lửa của tôi có thể gây ra. Tôi thậm chí không phải lo lắng về việc thay đổi các bản ghi DNS. Thêm nữa, tôi không phải làm port forwarding, điều mà tôi mừng mỗi khi thiết lập Funnel.
Tủ mạng đóng kín, biểu tượng cho việc không cần mở cổng ra internet công cộng khi dùng Tailscale Funnel
Thiết bị định tuyến (router) chạy OpenWrt, liên quan đến cấu hình mạng và port forwarding
2. Các trường hợp sử dụng sáng tạo
Điều gì sẽ xảy ra nếu bạn có thể biến một dịch vụ thành nhiều?
Funnels mạnh mẽ như một reverse proxy đơn giản, cho phép một dịch vụ tự host dễ dàng được sử dụng từ một URL có thể chia sẻ được. Bạn có thể sử dụng nhiều Funnel để truy cập mọi thứ trong homelab của bạn, nhưng có một cách thanh lịch hơn đã ở ngay trước mắt tôi bấy lâu nay. Lệnh funnel cũng hỗ trợ TCP forwarding, và điều đó có nghĩa là bạn có thể thiết lập nó để chuyển tiếp đến Caddy, hoặc bất kỳ reverse proxy nội bộ nào khác.
Vẻ đẹp của điều này là phần thường gây khó chịu khi bảo mật của reverse proxy không bao giờ rời khỏi mạng cục bộ của bạn, do đó giảm đáng kể bề mặt tấn công. Lối vào duy nhất đến thông qua một URL Tailscale an toàn, vì vậy việc có một nhà cung cấp xác thực trên reverse proxy của bạn sẽ chặn bất kỳ ai bạn không muốn truy cập. Nó cũng có nghĩa là bạn có thể truy cập các ứng dụng, dịch vụ, thư mục và các tài nguyên khác có thể không nằm trên tailnet của bạn, mà không cần cài đặt client Tailnet trên từng thiết bị đó.
Thiết bị chuyển mạch mạng (managed switch) Zyxel, đại diện cho hạ tầng mạng nội bộ có thể kết hợp với Funnel cho nhiều dịch vụ
Thiết bị định tuyến (router) trong môi trường gia đình, liên quan đến cách truy cập và định tuyến dịch vụ
1. Truy cập dễ dàng cho người không dùng Tailscale
Gia đình và bạn bè của bạn sẽ cảm ơn
Cho đến nay, mọi tính năng tôi yêu thích về Tailscale Funnel đều mang lại lợi ích cá nhân. Nhưng vì Funnel rất tuyệt vời để chia sẻ các dịch vụ tự host của bạn với bạn bè và thành viên gia đình đáng tin cậy, nên có một tính năng nội tại mang lại lợi ích lớn nhất cho họ. Chúng ta có lẽ đều đã trải qua sự phản kháng khi cố gắng chuyển sang các giải pháp tự host, vì đôi khi chúng có thể khó kết nối hơn các dịch vụ đăng ký mà chúng thay thế.
Không ai muốn gõ địa chỉ IP hoặc chi tiết kết nối SSH. Nó tốn nhiều công sức hơn là sử dụng SSO để truy cập dịch vụ. Tuy nhiên, họ có thể, và sẽ, nhấp vào một liên kết (ngay cả khi chúng ta cố gắng ngăn họ làm điều đó), khiến URL Tailscale Funnel trở thành một phần vô giá trong chiến lược của bạn. Không phải ai cũng muốn học cách mọi thứ hoạt động, nhưng nếu rào cản gia nhập được loại bỏ, họ sẽ vui vẻ lắng nghe lý do tại sao đó là một giải pháp phù hợp hơn cho nhu cầu của họ.
Giao diện web của Tailscale, nơi quản lý các thiết bị và cấu hình mạng ảo
Tôi có thể sẽ chuyển sang sử dụng Tailscale Funnel vĩnh viễn để tránh những cơn đau đầu về DNS và proxy
Tôi đã nhìn thấy ánh sáng ở cuối Funnel, và Tailscale sắp trở thành một trong những thứ đầu tiên tôi cài đặt bất cứ khi nào tôi đưa một dịch vụ hoặc thử nghiệm homelab mới vào hoạt động. Tôi luôn nói hãy tập trung vào những gì bạn yêu thích trong homelab của mình, và trả tiền hoặc thuê ngoài những gì bạn không thích. Và bạn biết tôi không thích gì không? Thiết lập các bản ghi DNS, port forward, reverse proxy và mọi thứ khác cần thiết để sử dụng các công cụ tự host bên ngoài mạng của tôi trong khi vẫn giữ an toàn. Tailscale Funnel làm tất cả công việc khó khăn cho tôi, cho phép tôi tập trung vào việc thử các công cụ và dịch vụ mới, đó mới thực sự là điều tôi yêu thích ở homelab.
