Những ứng dụng thực tế khi tự host server VPN tại nhà
VPN – Virtural Private Network là mạng riêng ảo. Mạng riêng ảo tạo ra kết nối mạng riêng tư giữa các thiết bị thông qua internet [AWS]. Kết nối VPN chuyển hướng các gói dữ liệu từ máy của bạn tới một máy chủ trước khi gửi chúng cho các bên thứ ba qua Internet.
Bài viết này gắn liền với series nội dung: Tất tần tật về ổ cứng mạng (NAS) cho người dùng cá nhân và gia đình
Nội dung chính
Nguyên lý của VPN
Giao thức đường hầm
Mạng riêng ảo về cơ bản tạo ra đường hầm dữ liệu bảo mật giữa thiết bị của bạn và một máy chủ VPN (có thể ở cách xa bạn hàng ngàn cây số). Khi bạn truy cập mạng, lưu lượng mạng (traffic) sẽ đi qua máy chủ VPN này trước khi đi đến địa chỉ đích mà bạn muốn truy cập [AWS].
Mã hóa
Giao thức VPN sẽ mã hoá dữ liệu của bạn trước khi gửi chúng qua đường hầm dữ liệu, khiến dữ liệu của bạn bị mã hoá ở một đầu và chỉ giải mã dữ liệu ở đầu bên kia — việc này ngăn ngừa hành vi sử dụng dữ liệu cá nhân trái phép, kể cả khi kết nối mạng của bạn bị xâm phạm. Lưu lượng mạng trở nên khó bị tấn công và kết nối Internet của bạn được bảo mật [AWS].
VPN Split-tunneling
Thông thường, khi kết nối đến VPN, toàn bộ traffic sẽ được gửi qua VPN Server. Tuy nhiên, trong thực tế, sẽ có những lúc chúng ta không muốn toàn bộ traffic đi qua VPN, chúng ta sẽ cần dùng đến tính năng VPN Split-tunneling, tức là chỉ gửi những traffic chúng ta mong muốn qua VPN Server, còn lại vẫn sẽ đi đường mạng bình thường. Mình sẽ chia sẻ thêm trường hợp sử dụng này ở bên dưới.
Tự host VPN để làm gì?
Các bạn có thể đã quen thuộc với các dịch vụ VPN thông qua một số phần mềm, giúp bạn kết nối đến server VPN để tăng bảo mật trước khi truy cập ra ngoài Internet hay có thể dùng để truy cập những trang web bị chặn.
Những VPN này thường là dịch vụ được cung cấp bởi các công ty, mức độ uy tín của công ty cũng sẽ ảnh hưởng đến bảo mật thông tin của chúng ta, vì ở phía VPN Server, chúng ta chuyển hướng traffic đến đó cũng có nghĩa là họ có thể giám sát hay sử dụng những traffic của chúng ta, cái này các bạn sẽ cần đọc điều khoản sử dụng của mỗi nhà cung cấp server VPN.
Tuy nhiên, có một cách sử dụng VPN nữa, đó chính là tự host một server VPN tại nhà (hoặc văn phòng, cơ quan, công ty…). Tự host VPN server để làm gì? Mình sẽ chia sẻ một số trường hợp thực tế mình đã và đang sử dụng.
Truy cập vào mạng nội bộ an toàn
Mình có sử dụng NAS, khi ra ngoài và muốn truy cập vào NAS ở nhà, mình thường sẽ phải mở port (nat port) https cho NAS (ví dụ port 80,433,5000,5001). Việc mở những port https đó đem lại một số rủi ro nhất định cho NAS, ví dụ như các botnet có thể dễ dàng quét IP diện rộng và nhận ra NAS của mình đang mở cửa ra internet, và có nguy cơ trở thành miếng mồi cho hacker…
Thay vì mở những port https đó, mình có thể tự host một VPN server trên chính chiếc NAS, rồi sau đó chỉ mở port của VPN server trên gateway/firewall/router.
Khi ra khỏi nhà, không còn trong mạng nội bộ, muốn truy cập vào NAS, mình chỉ cần kết nối thiết bị di động đến VPN server là có thể truy cập được NAS như khi mình đang ở trong LAN. Thường cái này gọi là Remote Access VPN.
Khi sử dụng như vậy, chúng ta sẽ có thêm 1 lớp bảo mật nữa đó chính là sự mã hoá của VPN. Ngoài Public IP, sẽ cần có thêm mật khẩu hoặc các thông tin bảo mật của VPN server thì mới có thể kết nối và tạo một đường hầm bảo mật giữa máy khách (VPN Client) và máy chủ (VPN Server).
Và thường với cách sử dụng này, mình sẽ dùng VPN Split-Tunneling, chỉ gửi những traffic truy cập vào mạng nội bộ qua VPN server, còn những truy cập khác vẫn sẽ dùng định tuyến thông thường.
Ví dụ khi bật VPB Split-Tunneling để truy cập mạng tại nhà có dải IP là 192.168.1.1/24, những traffic đến google.com sẽ không đi qua VPN, còn những traffic đến những IP trong dải trên mới đi qua VPN.
Cải thiện tốc độ mạng khi ở một nơi khác
Đây là một tình huống thực tế mà mình đã từng gặp và VPN server trở nên rất hữu ích. Vào một đợt cáp quang internet quốc tế của Việt Nam gặp sự cố, lúc này mình đang ở một thị trấn nhỏ. Mặc dù tốc độ Internet trong nước tại đây vẫn khá cao, nhưng tốc độ internet quốc tế lại thấp thảm hại.
Mình đã kết nối VPN server tại nhà của mình ở Hà Nội (sử dụng một nhà cung cấp mạng khác với ở thị trấn), gửi toàn bộ traffic về VPN Server trước khi đi ra internet. Và may mắn là tại nhà của mình, tốc độ mạng đi Internet quốc tế tốt hơn nhiều so với ở thị trấn, như vậy, mình cũng tăng được tốc độ truy cập internet quốc tế lên đáng kể.
Tăng bảo mật khi dùng Internet công cộng
Khi đi chơi trung tâm thương mại, đi cafe… và sử dụng Wifi tại những nơi đó, hay các loại Wifi công cộng, mình cũng thường bật VPN để mã hoá và chuyển hướng toàn bộ kết nối về VPN server tại nhà rồi mới truy cập ra Internet.
Điều này giúp những traffic của mình được chuyển về nơi đáng tin cậy trước khi đi ra internet, giảm thiểu những rủi ro bảo mật khi dùng Wifi công cộng.
Ví dụ thể kể đến như Man-in-the-middle (MITM). Man-in-the-middle (MITM) hiểu đơn giản là trên đường kết nối, kẻ gian sẽ đọc gói tin và can thiệp vào gói tin đó để đánh cắp thông tin hoặc để gửi trả lại kết quả giả mạo.
Ví dụ bạn truy cập trang web ngân hàng, thông thường sẽ phải trả về đúng trang web của ngân hàng, nhưng MITM có thể chỉnh sửa các gói tin và trả về trang web giả mạo của ngân hàng với giao diện và mọi thứ giống hệt, chỉ khác là những gì bạn nhập vào như tài khoản và mật khẩu sẽ bị đánh cắp bởi kẻ gian.
Khi sử dụng VPN server, thông tin đã được mã hoá, và lúc này dù ở giữa có MITM, nhưng gói tin của bạn vẫn sẽ an toàn. Đây cũng là lý do mà nên sử dụng VPN server (hay nhà cung cấp dịch vụ VPN) uy tín, vì sau khi traffic đến VPN server, thông tin sẽ được giải mã, và VPN Server lúc này có thể giám sát, hoặc thậm chí lấy cắp thông tin của chúng ta (hay có thể nói VPN Server chính là một MITM)
Đó cũng là lý do mà VPN Server tại nhà sẽ đảm bảo được độ tin cậy nhất định.
Liên kết mạng nội bộ của nhiều site khác nhau
Để làm được việc này, mình sử dụng một dạng VPN khác gọi là site-to-site VPN. Đây là một tính năng thường có trên các dòng router cao cấp hoặc trên các firewall / gateway chuyên nghiệp của doanh nghiệp.
Hiểu đơn giản, site-to-site VPN sẽ kết nối mạng LAN của 2 hoặc nhiều site thông qua đường hầm VPN (đường hầm này có thể sẽ chỉ nằm trong intranet hoặc ra ngoài internet), và từ đó các mạng LAN ở nhiều site khác nhau sẽ có thể truy cập lẫn nhau như đang trong cùng 1 mạng LAN duy nhất. Những traffic thông thường tại mỗi site vẫn sẽ đi qua gateway tại chính nơi đó, nhưng những traffic đến site còn lại sẽ đi qua VPN.
Thông thường, site-to-site VPN được sử dụng cho các doanh nghiệp, ví dụ như kết nối nhiều văn phòng với nhau.
Còn dưới góc độ cá nhân, mình sử dụng để kết nối 2 cái Router, một cái ở nhà mình và cái còn lại ở nhà bố mẹ mình, để có thể cho NAS chính backup off-site sang NAS phụ như trong cùng 1 mạng LAN với nhau. Mình có từng chia sẻ về chiến lược backup dữ liệu hiệu quả cho NAS cá nhân và gia đình, các bạn có thể xem thêm tại đây.
Tổng kết
Đó là những ứng dụng thực thế của việc tự host VPN tại nhà mà mình thường sử dụng, mình muốn chia sẻ để các bạn cùng tham khảo. Nếu có những cách sử dụng khác, mời các bạn chia sẻ nha.
Ngoài ra, với những bạn chưa quen hay chưa biết setup VPN Server khi đang sử dụng router hay NAS có hỗ trợ tính năng này, mình cũng có một bài hướng dẫn, các bạn có thể tham khảo tại đây: Tự thiết lập VPN server.
Bài viết xin kết thúc tại đây.
Nếu thấy nội dung bài viết hữu ích, hãy chia sẻ cho bạn bè và người thân. Đừng quên theo dõi Ngon Bổ Xẻ qua Facebook và Youtube để luôn cập nhật các nội dung mới nhất. Ngoài ra, mình cũng có lập Group FB chuyên chia sẻ các deal hời cho anh em về công nghệ, điện từ, gia dụng… các bạn cũng có thể tham gia nha. Một lần nữa, chân thành cám ơn các bạn và hẹn gặp lại trong những nội dung kế tiếp ❤️
Chia sẻ bài viết:
Hãy để lại bình luận và đánh giá bài viết