Posted inNetworking

Xây dựng mạng LAN ảo toàn cầu với ZeroTier: Kết nối P2P bảo mật không cần IP công cộng

Networking tutorial - IT technology blog
Networking tutorial - IT technology blog

Rào cản mạng: CGNAT và IP tĩnh

Việc kết nối máy chủ tại nhà, máy trạm từ xa và VPS đám mây thành một mạng lưới liền mạch từng là một thử thách kỹ thuật khó khăn. Nếu bạn đã từng cấu hình OpenVPN hoặc IPSec, bạn sẽ hiểu quy trình này. Thông thường, bạn cần một địa chỉ IP công cộng tĩnh, các quy tắc chuyển tiếp cổng (port forwarding) tẻ nhạt và hy vọng rằng nhà cung cấp dịch vụ internet (ISP) của bạn không sử dụng Carrier-Grade NAT (CGNAT) để chặn lưu lượng truy cập đến.

Đối với người dùng Starlink, điểm phát sóng 5G hoặc cáp quang dân dụng tiêu chuẩn, IP công cộng thường là một thứ xa xỉ tốn thêm khoảng 10 đến 20 USD mỗi tháng. Tôi đã dành nhiều năm để quản lý các script Dynamic DNS mong manh chỉ để truy cập home lab từ quán cà phê. Việc chuyển sang ZeroTier đã thay đổi điều đó. Sau sáu tháng quản lý một nhóm 15 node Linux phân tán, độ tin cậy là rất rõ ràng. Công cụ này xóa nhòa khoảng cách giữa môi trường cục bộ và từ xa mà không cần các chi phí hạ tầng thông thường.

Cách ZeroTier kết nối thế giới

ZeroTier hoạt động như một switch Ethernet được quản lý bằng phần mềm. Hãy coi nó như một dây cáp mạng ảo khổng lồ lơ lửng trên đám mây. Khi bạn cài đặt agent, các thiết bị của bạn sẽ “cắm” vào switch này bất kể vị trí địa lý. Nó tạo ra một Mạng LAN ảo lớp 2 (VLAN Layer 2) nằm ngay trên kết nối internet hiện có của bạn.

Các VPN tiêu chuẩn thường sử dụng mô hình hub-and-spoke, nơi mọi lưu lượng truy cập đều phải đi qua một máy chủ trung tâm. ZeroTier thì khác. Nó sử dụng kiến trúc ngang hàng (Peer-to-Peer – P2P) tận dụng các kỹ thuật “STUN/ICE” để xuyên thủng tường lửa.

Khi Thiết bị A giao tiếp with Thiết bị B, chúng sẽ thiết lập một đường truyền (tunnel) trực tiếp và được mã hóa. Dữ liệu của bạn không nằm trên máy chủ của ZeroTier; nó truyền trực tiếp giữa các máy của bạn. Kiến trúc này giúp giảm thiểu độ trễ đáng kể. Trong các thử nghiệm của tôi, các kết nối xuyên thành phố đã giảm từ 45ms (định tuyến qua trung gian) xuống còn 12ms (P2P trực tiếp).

Ưu điểm chính cho người dùng chuyên sâu

  • Không cần cấu hình router: Bạn không cần chạm vào các cổng tường lửa. Mặc dù nó sử dụng cổng UDP 9993, nhưng nó hầu như luôn tự động tìm được đường ra.
  • Ethernet Layer 2 thực thụ: Nó mô phỏng một mạng LAN vật lý. Các giao thức thường không hoạt động qua internet — như mDNS, Windows Network Discovery hoặc các trò chơi chỉ hỗ trợ LAN — sẽ hoạt động ngay lập tức.
  • Bảo mật cấp quân đội: Mọi gói tin đều được mã hóa đầu cuối bằng chữ ký Ed25519 256-bit và xác thực Poly1305.

Bước 1: Thiết lập bảng điều khiển

Trước tiên, bạn cần cấu hình bộ điều khiển mạng. Mặc dù bạn có thể tự host (self-hosting), giao diện web ZeroTier Central được miễn phí cho tối đa 25 node, đáp ứng hầu hết các thiết lập chuyên nghiệp.

  1. Tạo tài khoản tại my.zerotier.com.
  2. Nhấp vào Create A Network để tạo một Network ID gồm 16 chữ số duy nhất (ví dụ: 8056c2e21c000001).
  3. Đặt Access Control thành Private. Điều này đảm bảo không ai có thể tham gia mạng của bạn nếu không được phê duyệt thủ công, ngay cả khi họ đoán được ID.
  4. Chọn dải cấp phát IPv4 tự động (Auto-Assign). Tôi khuyên dùng 10.147.17.* để tránh xung đột với các mặc định của router gia đình phổ biến như 192.168.1.x.

Bước 2: Cài đặt Agent

Mỗi thiết bị cần client ZeroTier để tham gia mạng. Đối với các máy chủ Ubuntu, Debian hoặc CentOS, hãy sử dụng script repository chính thức để tích hợp systemd tốt nhất. Tránh sử dụng Snap hoặc Flatpak ở đây, vì chúng thường gặp khó khăn với quyền hạn giao diện mạng.

curl -s https://install.zerotier.com | sudo bash

Sau khi script chạy xong, hãy đảm bảo dịch vụ được thiết lập để khởi động cùng hệ thống:

sudo systemctl enable zerotier-one
sudo systemctl start zerotier-one

Người dùng Windows và macOS chỉ cần tải bộ cài đặt MSI hoặc PKG. Nó sẽ chạy ngầm trong khay hệ thống và xử lý các tác vụ nặng nề phía sau.

Bước 3: Tham gia và xác thực các Node

Bây giờ, hãy yêu cầu thiết bị tìm mạng của bạn. Trên Linux, sử dụng công cụ dòng lệnh:

sudo zerotier-cli join 8056c2e21c000001

Bạn sẽ thấy phản hồi 200 join OK. Tuy nhiên, thiết bị hiện đang ở trong “phòng chờ”. Hãy quay lại bảng điều khiển ZeroTier Central và cuộn xuống phần Members. Tích vào ô trong cột “Auth?” để cho phép thiết bị tham gia. Tôi khuyên bạn nên đặt tên cho các node ngay lập tức (ví dụ: “Hanoi-Storage-01”) để không bị lẫn lộn giữa danh sách các ID ẩn danh.

Xác nhận kết nối trên máy của bạn bằng cách kiểm tra giao diện mạng mới:

ip addr show

Bạn sẽ thấy một giao diện zt (như zt0 hoặc ztwdll6t) được cấp một IP từ dải bạn đã chọn trước đó.

Bước 4: Kiểm tra hiệu năng thực tế

Sau khi kết nối, các máy này hoạt động như thể chúng đang ở trên cùng một switch cục bộ. Nếu máy chủ từ xa của bạn có IP là 10.147.17.55, bạn có thể SSH vào nó từ bất cứ đâu:

ssh [email protected]

Trong quá trình thử nghiệm, tôi đã đồng bộ hóa bản sao lưu cơ sở dữ liệu 50GB giữa một NAS nằm sau CGNAT và một VPS Hetzner. Sử dụng iperf3, tôi đạt được tốc độ bằng 94% băng thông tải lên tối đa của đường truyền cáp quang. Quá trình bắt tay P2P đã vượt qua các hạn chế của ISP một cách thành công.

Để kiểm tra xem bạn có đường truyền trực tiếp hay đang bị bóp băng thông, hãy chạy:

sudo zerotier-cli peers

Kiểm tra cột LINK. DIRECT có nghĩa là bạn có một đường truyền P2P tốc độ cao. RELAY có nghĩa là tường lửa của bạn quá khắt khe, buộc lưu lượng phải đi qua các máy chủ gốc (root server) của ZeroTier, điều này sẽ giới hạn tốc độ của bạn.

Tăng cường bảo mật cho mạng LAN ảo

Đừng nhầm lẫn VPN với tường lửa. ZeroTier chỉ là một sợi dây cáp ảo; nếu bạn để cơ sở dữ liệu mở trên 0.0.0.0, mọi người trong mạng ảo của bạn đều có thể thấy nó. Hãy sử dụng UFW trên Linux để khóa riêng giao diện ZeroTier.

sudo ufw allow in on zt+ to any port 22 proto tcp

Ký tự đại diện zt+ là một mẹo nhỏ — nó áp dụng quy tắc cho bất kỳ giao diện ZeroTier nào bất kể chuỗi ký tự ngẫu nhiên do hệ điều hành chỉ định. Điều này giúp cổng 22 trên internet công cộng của bạn luôn đóng trong khi vẫn cho phép SSH qua liên kết ảo riêng tư.

Đánh giá sau 6 tháng sử dụng

Từ bỏ các VPN truyền thống đã giúp tôi tiết kiệm hàng giờ bảo trì mỗi tháng. Điểm cộng thực sự là khả năng chuyển vùng (roaming). Khi tôi di chuyển laptop từ Wi-Fi văn phòng sang điểm phát sóng di động 4G, ZeroTier thiết lập lại đường truyền chỉ trong khoảng hai giây. Bạn không cần phải nhấp vào “kết nối lại” hoặc đợi hết thời gian chờ (timeout). Đối với các nhóm nhỏ và nhà phát triển cá nhân, nó thực sự xóa bỏ khoảng cách giữa phần cứng đám mây và máy cục bộ.

Share:
Tags: