Sử dụng Tailscale với Synology NAS

Sử dụng Tailscale với Synology NAS

VPN là 1 giải pháp để kết nối từ bên ngoài internet vào trong mạng nội bộ cách an toàn. Bản thân Synology NAS cũng đã có giải pháp VPN gọi là VPN server, để các bạn có thể cấu hình VPN truyền thống ở trên Synology NAS.

Mình cũng đã từng có bài hướng dẫn sử dụng VPN Server, các bạn có thể xem tại đây. Còn trong bài viết này, mình sẽ giới thiệu Tailscale, đây là 1 giải pháp VPN Mesh dễ sử dụng hơn và có phần hiện đại hơn.

Bài viết này gắn liền với series nội dung: Tất tần tật về ổ cứng mạng (NAS) cho người dùng cá nhân và gia đình

Tailscale khác gì ?

Khác với VPN server truyền thống sẽ là một VPN server chung cho tất cả kết nối, xác thực phải đi qua đó, phải mở port NAT, phải cấu hình firewall, IP, hay DDNS…

Nguồn: Tailscale

Nguyên lý hoạt động của Tailscale là biến mỗi thiết bị trở thành một node trong một mạng mesh VPN và sẽ có một máy chủ xác thực chung để điều phối các mã hoá của những node đó hướng tới mục đích cuối cùng là để các thiết bị trong mạng sẽ có kết nối VPN trực tiếp tới nhau (Peer-to-Peer / P2P) mà không cần phải có một VPN Server trung tâm.

Nguồn: Tailscale

Để sử dụng Tailscale, các bạn chỉ cần cài ứng dụng lên máy tính, điện thoại, hay bất cứ thiết bị nào hỗ trợ. Rồi đăng nhập chung 1 tài khoản, và như vậy là các thiết bị sẽ được ở trong một mạng lưới mesh VPN thuộc tài khoản của bạn. Các thiết bị khi kết nối với nhau sẽ là dạng Peer-to-Peer (P2P).

Trong ứng dụng lúc này cũng sẽ có các địa chỉ IP hoặc hostname để các bạn kết nối đến các thiết bị. Chỉ như vậy là đã có thể truy cập từ xa an toàn thông qua Tailscale VPN. Tất nhiên, chỉ những thiết bị có trong mạng lưới VPN của bạn mới có thể truy cập lẫn nhau.

Cài đặt Tailscale lên Synology NAS

Cài đặt Tailscale trên NAS hiện tại đã rất đơn giản, các bạn chỉ cần vào Synology Package Center, tìm ứng Tailscale và cài đặt vào NAS.

Sau khi cài được ứng dụng Tailscale, các bạn có thể làm theo các hướng dẫn ở trên màn hình để đăng nhập vào tài khoản, các bạn có thể tạo tài khoản riêng hoặc có thể sử dụng các hệ thống bên thứ ba như Google.

Sau khi đăng nhập thành công thì thiết bị NAS của các bạn đã gia nhập vào VPN Mesh của Tailscale hay còn gọi là Tailnet, và lúc này NAS của các bạn đã là 1 Node của VPN Mesh đó.

Và các thiết bị như PC, laptop, điện thoại… trong cùng Tailnet đã có thể truy cập được NAS thông qua IP mà Tailscale hiển thị. Với thiết bị di động, các bạn cũng chỉ cần cài app Tailscale và đăng nhập vào tài khoản của các bạn là xong.

Cài đặt Exit-node và Subnet Router

Đây là 2 tính năng rất hay mà mình nghĩ là các bạn nên dùng với Synology NAS.

  • Exit-node: định tuyến toàn bộ traffic qua node đó trước khi ra ngoài Internet. Hữu ích khi bạn đang sử dụng mạng công cộng, muốn traffic được đi qua VPN bảo mật về NAS trước khi đi ra ngoài Internet, tránh các rủi ro bị tấn công hoặc rò rỉ dữ liệu khi dùng mạng công cộng.
  • Subnet Router: Mở rộng Tailnet cho cả những thiết bị không thể cài được Tailscale. Hiểu đơn giản là các bạn có thể add subnet của mạng nội bộ đang dùng, và có thể truy cập các thiết bị trong mạng nội bộ thông qua Tailscale.

Với Exit-node, ngoài việc truy cập VPN P2P, bạn sẽ biến NAS trở thành một VPN Server, để khi thiết bị di động sử dụng NAS làm Exit-node, mọi traffic của thiết bị di động sẽ được định tuyến thông qua đường hầm an toàn về NAS của bạn trước khi ra ngoài. Nói dễ hiểu, là dù bạn dùng mạng công cộng, nhưng thiết bị của bạn như là đang sử dụng mạng an toàn tại nhà.

Còn với Subnet Router, mình thấy có 2 tác dụng, thứ nhất là để truy cập các thiết bị khác trong hệ thống mạng mà không cài được Tailscale (ví dụ như Router, IP camera, Switch…), thứ hai là để khi các bạn truy cập NAS, các bạn có thể dùng chính IP nội bộ của NAS thay vì dùng IP hoặc Domain name của Tailscale.

Điều này sẽ đặc biệt hữu ích với các ứng dụng di động của NAS như Drive, hay Photo Backup. Vì khi ở nhà chúng ta dùng IP nội bộ để có tốc độ cao nhất, thì khi ra ngoài, cũng vẫn có thể dùng chính IP nội bộ đó mà không cần đăng nhập lại hoặc thay đổi địa chỉ truy cập. Điều này sẽ tăng tính tiện lợi và đồng nhất khi sử dụng, dù ở trong mạng nội bộ hay khi ra ngoài internet.

Để cài đặt, các bạn mở Tailscale trên NAS, thay đổi chế độ viewing thành editing (sẽ phải đăng nhập tài khoản) rồi sau đó bật lên 2 tính năng này lên, nó nằm ở ngay màn hình chính rồi vì cũng không còn option nào khác.

Sau khi bật lên rồi, các bạn sẽ cần phải vào trang admin của tài khoản Tailscale các bạn đang dùng để Approve 2 cài đặt đó tại trang https://login.tailscale.com/admin/machines

Như vậy là xong, khi vào các thiết bị di động, các bạn sẽ thấy phần exit-node có thể chọn NAS làm exit-node cho thiết bị.

Gợi ý một số cài đặt hữu ích trong trang Admin

Tại trang https://login.tailscale.com/admin/machines, các bạn sẽ thấy các thiết bị trong tài khoản của mình đang được kết nối đến Tailscale, các thiết bị này sẽ được tự động đặt tên theo thông tin của thiết bị cung cấp, nhưng các bạn cũng có thể đổi tên thiết bị dễ nhớ hơn để sau này tiện nhận diện và sử dụng.

Tài khoản Tailscale miễn phí sẽ cho phép sử dụng 3 user (tính cả bạn) và tổng 100 devices. Nếu như bạn muốn sử dụng cho nhiều thành viên trong gia đình, mà họ không rành về công nghệ, gợi ý của mình là bạn tạo 1 tài khoản nữa dành cho mọi người thân mà bạn muốn sử dụng cùng, nên dùng mật khẩu mạnh và 2FA nếu cần.

Rồi sau đó các bạn invite email đó vào Tailnet của mình, rồi cài đặt cho mọi người bằng tài khoản đó sao cho không vượt quá giới hạn 3 user là được.

Đối với thiết bị của người thân, nếu như muốn kết nối lâu dài, các bạn có thể tắt key expiry đi, vì nếu key bị hết hạn (expiry), người nhà sẽ phải đăng nhập lại.

Cài đặt auto update

Dưới đây là thao tác để kiểm tra cập nhật Tailscale client và tự động cài đặt các phiên bản update mới nhất.

  1. Trên Synology, vào Control Panel > Task Scheduler, chọn Create và chọn Scheduled Task
  2. Chọn User-defined script
  3. Trong tab General Settings, nhập tên tác vụ và chọn User:root.
  4. Chuyển sang tab Schedule, chọn Run on the following days, sau đó chọn tần suất như Daily.
  5. Chuyển sang tab Task Settings và nhập nội dung sau vào phần User-defined script:
tailscale update --yes

Chọn OK để lưu cài đặt.

Bật kết nối VPN từ NAS ra ngoài

Mặc định, Tailscale trên DSM 7 chỉ cho phép các kết nối từ bên ngoài vào NAS, còn kết nối từ NAS ra ngoài thông qua Tailscale sẽ chưa được bật. Các bạn sẽ cần bật tính năng TUN

Các bạn sẽ cần bật tính năng này khi sử dụng Tailscale để kết nối 2 NAS nhằm chạy ứng dụng backup như HyperBackup chẳng hạn. Các bước để bật kết nối Tailscale ra ngoài như sau:

  1. Vào Control Panel > Task Scheduler, chọn Create, và chọn Triggered Task.
  2. Chọn User-defined script.
  3. Khi cửa sổ Create task xuất hiện, chọn General.
  4. Trong General Settings, đặt tên cho task, chọn user là root, và chọn Boot-up để trigger task. Và đảm bảo Task này được bật.
  5. Chọn Task Settings và điền mã này trong phần User-defined script.
/var/packages/Tailscale/target/bin/tailscale configure-host; synosystemctl restart pkgctl-Tailscale.service

7. Chọn OK

8. Chọn vào Task các bạn vừa tạo rồi ấn Run, hoặc restart NAS

Một ứng dụng dùng đến tính năng này đó là khi các bạn dùng Hyper Backup, khi cần sao lưu từ NAS 1 qua NAS 2 ở 2 vị trí khác nhau, lúc này Tailscale có thể thay thế hệ thống VPN Site-to-Site, vốn dĩ chỉ có trên các Router đắt tiền dành cho doanh nghiệp.

Điều chỉnh firewall của NAS

Khi bật TUN, Tailscale traffic sẽ đi qua Synology firewall.

Nếu bạn sử dụng Firewall, hãy thêm rule cho Tailscale subnet, 100.64.0.0/10. Vào Main menu > Control Panel > Security > Firewall, thêm rule allows traffic từ source IP 100.64.0.0 và subnet mask 255.192.0.0.

Lấy TLS Certificate cho domaim ts.net

Nếu các bạn cần sử dụng https thông qua domain name của Tailscale, sẽ cần cài đặt TLS Certificate vào NAS. Thường sẽ cần sử dụng https cho một số ứng dụng yêu cầu bảo mật, ví dụ như khi các bạn host Vaultwarden chẳng hạn.

Đầu tiên vào trang Admin của Tailscale, sau đó vào mục DNS, kéo xuống cuối cùng để xác nhận MagicDNS và HTTPS Certificate đã được bật.

  1. Trên Synology, vào Control Panel > Task Scheduler, chọn Create và chọn Scheduled Task
  2. Chọn User-defined script
  3. Trong tab General Settings, nhập tên tác vụ và chọn User:root.
  4. Chuyển sang tab Schedule, chọn Run on the following days, sau đó chọn tần suất như Monthly và chọn một ngày trong tháng mà bạn muốn
  5. Chuyển sang tab Task Settings và nhập nội dung sau vào phần User-defined script:
tailscale configure synology-cert

7. Chọn OK

8. Chọn vào Task các bạn vừa tạo rồi ấn Run

Đợi tầm 2-3 phút, sau đó các bạn vào Control Panel > Sercurity > Certificate, các bạn sẽ thấy certificate cho tên miền kết thúc bằng ts.net (tên miền dành cho NAS). Các bạn ấn chuột phải, chọn Edit và tick vào ô Set as defaut để đặt certificate của Tailscale làm mặc định.

Ưu và nhược điểm khi dùng Tailscale trên NAS

Ưu điểm:

  • Cài đặt hệ thống VPN rất dễ, so với VPN truyền thống như OpenVPN hay L2TP thì mình thấy Tailscale dễ hơn. Đặc biệt là các bạn không cần quan tâm nhiều đến việc cấu hình mở port, không cần cài đặt cầu kì trên thiết bị di động, không cần export/import cấu hình hay cài đặt account/secret code phức tạp như VPN truyền thống.
  • Có thể cài Exit-node để chuyển hướng toàn bộ dữ liệu của thiết bị di động về node đó trước khi truy cập ra internet. Cũng có thể cài Subnet để truy cập mạng LAN nội bộ đối với những thiết bị không trực tiếp cài được Tailscale. Lúc này Mesh VPN vừa thay thế được Center VPN, vừa thay thế được Site-to-site VPN.
  • Ứng dụng Tailscale có thể bật 24/7 cho thiết bị của gia đình và người thân không rành về công nghệ giúp luôn có kết nối an toàn về NAS cho các ứng dụng chạy ngầm như sao lưu ảnh.

Nhược điểm:

  • Nếu không thiết lập được kết nối P2P thì sẽ đi qua relay-server trung gian ở nước ngoài, tốc độ thường sẽ chậm hơn kết nối P2P. Tình huống hay gặp khi thiết bị di động dùng mạng 4G/5G, sẽ khó thông P2P (do CG-NAT và port-block của nhà mạng viễn thông), còn nếu dùng Wifi (có Public IP – không bị CG-NAT) thường sẽ dễ thông P2P hơn.
  • Không hỗ trợ TLS certificate cho wildcard domain name (ví dụ như *.nas.synology.me) mà chỉ lấy được cho chính xác domain name của thiết bị. Nhìn chung cũng không quá ảnh hưởng khi sử dụng với Reversed Proxy.
  • Không tự chọn được domain name mà sẽ phải dùng mặc định của Tailscale. Có tùy chọn rename nhưng chúng ta sẽ chỉ chọn được các tên random mà hệ thống cung cấp.

Tóm lại, sau thời gian sử dụng Tailscale thì mình đánh giá cao giải pháp này khi sử dụng với NAS vì tính dễ triển khai, dễ sử dụng, hiệu quả hoạt động tốt.

Hi vọng bài viết này hữu ích với các bạn đang sử dụng NAS và muốn có một giải pháp truy cập NAS an toàn thông qua VPN.

Nếu thấy nội dung bài viết hữu ích, hãy chia sẻ cho bạn bè và người thân. Đừng quên theo dõi Ngon Bổ Xẻ qua Facebook và Youtube để luôn cập nhật các nội dung mới nhất. Ngoài ra, mình cũng có lập Group FB chuyên chia sẻ các deal hời cho anh em về công nghệ, điện từ, gia dụng… các bạn cũng có thể tham gia nha. Một lần nữa, chân thành cám ơn các bạn và hẹn gặp lại trong những nội dung kế tiếp ❤️

Chia sẻ bài viết:

Long

Mình thường đánh giá chi tiết những món đồ mà mình đã sử dụng, phân tích nguyên lý hoạt động của các thiết bị và giải pháp của vấn đề, so sánh những thứ có thể đặt lên bàn cân và chia sẻ những kinh nghiệm cá nhân mà mình đã tích luỹ được

Các chủ đề tương tự

Đánh giá tai nghe Ugreen LightBuds và LightBuds Pro

Đánh giá tai nghe Ugreen LightBuds và LightBuds Pro

Review Tapo C216 – camera đáng yêu chống nước

Review Tapo C216 – camera đáng yêu chống nước

Trên tay pin dự phòng Ugreen Magflow Qi 2.2 25W 10000 mAh

Trên tay pin dự phòng Ugreen Magflow Qi 2.2 25W 10000 mAh

Trên tay dock sạc Ugreen Magflow Qi 2.2 25W

Trên tay dock sạc Ugreen Magflow Qi 2.2 25W

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Nội dung này đã được bảo vệ bởi DMCA. Vui lòng không sao chép.