Posted inNetworking

Vượt qua CGNAT: Sử dụng Reverse SSH Tunneling để công khai dịch vụ nội bộ

Networking tutorial - IT technology blog
Networking tutorial - IT technology blog

Sự ức chế khi không thể truy cập Server nội bộ

Tôi vẫn còn nhớ cảm giác bực bội khi xây dựng dashboard đầu tiên trên Raspberry Pi. Mọi thứ hoạt động hoàn hảo trong mạng nội bộ. Tuy nhiên, ngay khi tôi thử kiểm tra thông số từ một quán cà phê cách nhà 10 dặm, kết nối đã bị hết hạn (timeout). Tôi đã thử cách sửa lỗi thông thường: đăng nhập vào router để cấu hình port forwarding. Thật bất ngờ, ‘IP Public’ trong cài đặt router không khớp với những gì Google hiển thị. Tôi đã bị mắc kẹt sau một bức tường mà mình không thể kiểm soát.

Nỗi đau đầu này rất phổ biến với các lập trình viên đang host NAS hoặc muốn công khai môi trường local cho khách hàng. Bạn có một dịch vụ chạy trên localhost:8080, nhưng thế giới bên ngoài không thể thấy nó. Bạn không có IP tĩnh, ISP chặn port forwarding, và có lẽ bạn đang dùng chung một IP public với 500 người hàng xóm khác.

Vấn đề: Tại sao Router lại “lừa dối” bạn

Rào cản kỹ thuật thường là Carrier-Grade NAT (CGNAT). Vì thế giới đã cạn kiệt nguồn cung 4,3 tỷ địa chỉ IPv4 từ nhiều năm trước, các nhà cung cấp dịch vụ Internet (ISP) bắt đầu tận dụng tối đa tài nguyên của họ. Giờ đây, họ sử dụng một địa chỉ IP public duy nhất cho hàng ngàn hộ gia đình khác nhau.

Hãy tưởng tượng nó giống như một khu chung cư khổng lồ. Router của bạn nghĩ địa chỉ của nó là ‘Căn hộ 4B’, nhưng người đưa thư chỉ nhìn thấy cổng chính của tòa nhà. Nếu không có chỉ dẫn cụ thể từ ‘lễ tân’, ISP sẽ không biết căn hộ nào sẽ nhận lưu lượng truy cập (traffic) truyền đến. Vì bạn không thể quản lý hạ tầng của ISP, nên port forwarding truyền thống trở nên vô dụng. Máy cục bộ của bạn vẫn ‘vô hình’ đối với internet công cộng.

Lựa chọn giải pháp thoát ly

Bạn có nhiều cách để tạo một “lỗ hổng” xuyên qua CGNAT. Việc chọn đúng phương pháp phụ thuộc vào ngân sách và nhu cầu kỹ thuật của bạn:

  • Ngrok hoặc Cloudflare Tunnels: Những công cụ này cực kỳ thân thiện với người dùng. Tuy nhiên, gói miễn phí của Ngrok thường giới hạn bạn trong một tunnel và bắt buộc sử dụng các URL ngẫu nhiên thay đổi mỗi khi bạn khởi động lại dịch vụ.
  • VPNs (Tailscale/WireGuard): Đây là những lựa chọn hoàn hảo để truy cập riêng tư. Tuy nhiên, chúng không lý tưởng nếu bạn muốn host một website công khai hoặc một bộ nhận webhook, vì mỗi khách truy cập sẽ cần phải tham gia vào mạng riêng của bạn.
  • Reverse SSH Tunneling: Đây là “con dao pha Thụy Sĩ” chuyên nghiệp trong giới mạng. Nó yêu cầu một VPS (Virtual Private Server) giá rẻ với chi phí khoảng 4–6 USD mỗi tháng. Nó cho phép bạn toàn quyền kiểm soát, có các endpoint cố định và không có phí ẩn trên mỗi tunnel.

Làm chủ kỹ năng này là điều cần thiết vì nó sử dụng các công cụ Linux tiêu chuẩn. Một khi bạn hiểu logic của nó, bạn có thể vượt qua hầu hết mọi hạn chế của tường lửa trong thực tế.

Các bước thiết lập Reverse SSH Tunneling

Để bắt đầu, bạn cần hai thứ: máy cục bộ của bạn và một VPS từ xa có IP public. Bạn có thể thuê một instance nhỏ từ AWS (Free Tier), DigitalOcean hoặc Hetzner với giá chỉ bằng một ly latte.

Bước 1: Cấu hình VPS Public

Theo mặc định, SSH chỉ cho phép các tunnel liên kết với giao diện loopback nội bộ của server. Bạn phải yêu cầu server cho phép lưu lượng truy cập công cộng tiếp cận tunnel của mình. Hãy đăng nhập vào VPS và mở tệp cấu hình SSH:

sudo nano /etc/ssh/sshd_config

Tìm kiếm dòng GatewayPorts. Thay đổi nó thành yes và đảm bảo không có ký hiệu # ở đầu dòng.

GatewayPorts yes

Lưu tệp và khởi động lại dịch vụ SSH để áp dụng các thay đổi:

sudo systemctl restart ssh

Bước 2: Bắt đầu tạo Tunnel từ máy cục bộ

Bây giờ, hãy chuyển sang máy cục bộ của bạn (máy nằm sau CGNAT). Chạy lệnh này để liên kết cổng cục bộ với VPS. Lệnh này nói với VPS rằng: ‘Gửi bất kỳ lưu lượng truy cập nào đến bạn trên cổng 8080 quay trở lại cho tôi trên cổng 80’.

ssh -R 8080:localhost:80 user@your-vps-ip

Giải thích các tham số:

  • -R: Bắt đầu một Reverse Tunnel.
  • 8080: Cổng được mở trên VPS cho công chúng.
  • localhost:80: Đích đến trên máy cục bộ của bạn.
  • user@your-vps-ip: Thông tin đăng nhập server từ xa của bạn.

Truy cập http://your-vps-ip:8080 trên bất kỳ trình duyệt nào. Bây giờ bạn sẽ thấy dịch vụ nội bộ của mình. Cảm giác giống như một lối đi tắt xuyên qua bức tường của ISP, vì thực tế chính xác là như vậy.

Bước 3: Đảm bảo tính ổn định với AutoSSH

Các kết nối SSH tiêu chuẩn khá mong manh. Một sự cố Wi-Fi nhỏ có thể làm hỏng tunnel, khiến dịch vụ của bạn không thể truy cập được. Tôi luôn sử dụng autossh cho các thiết lập mang tính vận hành thực tế. Nó giám sát kết nối và khởi động lại ngay lập tức nếu bị ngắt.

Cài đặt nó trên máy cục bộ của bạn trước:

sudo apt install autossh

Sau đó, sử dụng lệnh này để giữ cho tunnel luôn hoạt động:

autossh -M 0 -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -R 8080:localhost:80 user@your-vps-ip -N

Tham số -N rất hữu ích ở đây. Nó yêu cầu SSH không mở shell tương tác từ xa, điều này hoàn hảo cho các tác vụ chạy nền.

Bước 4: Tự động hóa với Systemd

Việc chạy lệnh thủ công rất tốn công. Cách đáng tin cậy nhất để xử lý việc này là tạo một service systemd trên máy cục bộ để quản lý tunnel sau khi khởi động lại máy.

Tạo tệp service:

sudo nano /etc/systemd/system/reverse-tunnel.service

Dán cấu hình này vào, thay thế username và IP bằng thông tin của riêng bạn:

[Unit]
Description=Kết nối Reverse SSH Tunnel
After=network.target

[Service]
User=your_local_username
ExecStart=/usr/bin/autossh -M 0 -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -i /home/your_local_username/.ssh/id_rsa -R 8080:localhost:80 user@your-vps-ip -N
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

Mẹo chuyên nghiệp: Sử dụng Xác thực bằng SSH Key để service không yêu cầu nhập mật khẩu. Sau khi các key đã sẵn sàng, hãy kích hoạt service:

sudo systemctl daemon-reload
sudo systemctl enable reverse-tunnel
sudo systemctl start reverse-tunnel

Các quy tắc bảo mật tốt nhất

Việc công khai một cổng nội bộ lên internet luôn đi kèm rủi ro. Vì GatewayPorts đang hoạt động, bất kỳ ai có IP VPS của bạn đều có thể truy cập cổng 8080. Tôi khuyên bạn nên cài đặt Nginx trên VPS để đóng vai trò front-end. Điều này cho phép bạn thiết lập SSL (HTTPS) thông qua Certbot và thêm Basic Authentication để ngăn chặn những vị khách không mời vào mạng nội bộ của bạn.

Với thiết lập này, CGNAT không còn là trở ngại nữa. Giờ đây bạn đã có một cây cầu bảo mật, được mã hóa từ web công cộng đến home lab của mình bằng các công cụ mà bạn hoàn toàn kiểm soát.

Share:
Tags: