NetBird – Mạng zero trust mã nguồn mở

 (netbird.io)
8 điểm bởi GN⁺ 2026-02-02 | 3 bình luận | Chia sẻ qua WhatsApp
  • Nền tảng mã nguồn mở kết hợp mạng overlay dựa trên WireGuard®Zero Trust Network Access (ZTNA) để cung cấp kết nối an toàn và đáng tin cậy
  • Có thể triển khai nhanh mà không cần cổng VPN hay cấu hình tường lửa, đồng thời tăng cường kiểm soát truy cập thông qua SSO·MFA·kiểm tra bảo mật thiết bị
  • Đơn giản hóa vận hành mạng doanh nghiệp với các tính năng quản lý mạng tập trung, thiết lập chính sách chi tiết, nhật ký hoạt động thời gian thực
  • Hoạt động trên nhiều môi trường như Linux, Windows, macOS, thiết bị di động, Docker, router, và có thể tự lưu trữ với giấy phép BSD-3
  • Giải pháp truy cập mạng hiện đại giúp loại bỏ sự phức tạp của VPN truyền thống, đồng thời đảm bảo cả bảo mật lẫn khả năng mở rộng

Tổng quan về NetBird

  • NetBird là nền tảng mã nguồn mở tích hợp mạng ngang hàng dựa trên WireGuard®Zero Trust Network Access
    • Cung cấp kết nối từ xa an toàn và đáng tin cậy
    • Hỗ trợ tích hợp chức năng truy cập mạng, xác thực và quản lý trên một nền tảng duy nhất
  • Có thể bắt đầu miễn phí, đồng thời cũng có thể yêu cầu demo cho doanh nghiệp

Tính năng chính

Secure Remote Access

  • Có thể cấp phát người dùng và nhóm, phân đoạn mạng, định nghĩa chính sách theo nguyên tắc đặc quyền tối thiểu
    • Tăng cường kiểm soát truy cập thông qua MFAkiểm tra trạng thái bảo mật thiết bị
    • Nhập trực tiếp và quản lý người dùng cũng như nhóm từ nhà cung cấp danh tính

Zero-Config Deployment

  • Cung cấp mạng P2P dựa trên WireGuard® để thay thế VPN truyền thống
    • Hoạt động mà không cần cấu hình tường lửa hay mở cổng
    • Đảm bảo truy cập từ xa an toàn thông qua SSO và MFA
    • Có thể cấu hình kết nối giữa VPC và các site on-premise chỉ trong vài phút

Seamless SSO with MFA

  • Tích hợp với các nhà cung cấp danh tính lớn như Okta, Microsoft, Google
    • Bảo vệ truy cập mạng bằng SSO và MFA dựa trên phiên
    • Hỗ trợ xác thực lại định kỳ cho nhân viên làm việc từ xa

Dynamic Posture Checks

  • Chỉ cho phép truy cập đối với thiết bị đáp ứng các quy tắc bảo mật
    • Thực hiện nhiều loại kiểm tra như tường lửa, phần mềm diệt virus, chính sách theo vị trí
    • Có thể tích hợp với các giải pháp MDM và EDR

Centralized Network Management

  • Nhóm tài nguyên nội bộ và quản lý quyền truy cập từ một bảng điều khiển duy nhất
    • Hỗ trợ cấu hình DNS, thêm nameserver riêng tư, tự động hóa qua API
    • Có thể kiểm soát truy cập và quản lý tài nguyên theo từng nhóm

Detailed Activity Logging

  • Có thể theo dõi ai đã làm gì, khi nào và như thế nào trong mạng
    • Ghi lại các thay đổi cấu hình và sự kiện lưu lượng kết nối
    • Hỗ trợ stream sự kiện thời gian thực tới nền tảng SIEM

Trường hợp khách hàng sử dụng

  • Select Tech Group vận hành hơn 55 chi nhánh và đã triển khai MFA·SSO·kiểm soát truy cập chi tiết với NetBird
  • Nhiều doanh nghiệp như Axiros, netgo, DeltaQuad đã trải nghiệm việc loại bỏ sự phức tạp của VPN cũtăng cường bảo mật
  • Người dùng nhấn mạnh các ưu điểm chính gồm thiết lập đơn giản, độ ổn định cao, tuân thủ nguyên tắc zero trust

Ba đặc điểm cốt lõi của NetBird

1. Đơn giản và an toàn

  • Tạo mạng trong vòng 5 phút, cung cấp kết nối được mã hóa, không cần cấu hình tường lửa phức tạp
  • Chỉ người dùng và thiết bị được phê duyệt mới có thể truy cập tài nguyên nội bộ

2. Kết nối từ mọi nơi

  • Hỗ trợ nhiều nền tảng như Linux, Windows, macOS, thiết bị di động, Docker, router
  • Cung cấp kết nối liền mạch giữa môi trường cloud và on-premise

3. Mã nguồn mở hoàn toàn

  • Được phát hành theo giấy phép BSD-3 nên có thể tự lưu trữ
  • Có thể chạy trên NetBird Cloud hoặc máy chủ riêng
  • Người dùng có thể kiểm tra mã nguồn và trực tiếp vận hành trong hạ tầng của mình

Hiệu quả hiện đại hóa mạng

  • Kiến trúc dựa trên SDN giúp loại bỏ độ phức tạp trong việc quản lý cổng VPN và tường lửa
  • Cấu hình truy cập tài nguyên từ xa từ một cổng quản lý duy nhất
  • Phân tách mạng chi tiết giúp chỉ người dùng được phê duyệt mới có thể truy cập tài nguyên cụ thể

Kết luận

  • NetBird là giải pháp mạng mã nguồn mở giúp vượt qua các giới hạn của VPN truyền thống và hiện thực hóa mô hình zero trust
  • Cung cấp đồng thời bảo mật, đơn giản và khả năng mở rộng, là công cụ quản lý truy cập hiện đại phù hợp cho cả đội phát triển lẫn đội vận hành CNTT

Bài viết liên quan

3 bình luận

 
hiseob 2026-02-02

Tôi đã chuyển từ zerotier sang netbird, nhưng rồi gặp vấn đề là nó không chạy được trên Windows trong khoảng một tháng (chủ yếu tôi chỉ dùng ở nhà để chơi game và thỉnh thoảng cần vào gấp nên vẫn chịu được một tháng), sau đó chuyển sang tailscale và như tìm thấy ánh sáng.
Dù sao thì nó cũng chỉ cho cảm giác như một bản sao kém hơn của tailscale... nếu dùng cả headscale nữa thì thực ra netbird không còn hấp dẫn lắm.
 
sixthtokyo 2026-02-06

Nhìn tiêu đề bài viết thì tôi đã tự hỏi nó khác gì so với Tailscale, nhưng phần bình luận thực sự rất hữu ích haha
 
GN⁺ 2026-02-02
Ý kiến trên Hacker News
  • Đội ngũ NetBird minh bạch và dễ tiếp cận
    Tôi đã chuyển hoàn toàn từ Tailscale sang NetBird cách đây 2 năm và đang vận hành trong môi trường tự host
    Việc nâng cấp phiên bản cũng diễn ra mượt mà, nên có thể cảm nhận được đây là đội ngũ coi trọng không chỉ người dùng cloud mà cả người dùng tự host
    • Nhóm chúng tôi đã thử NetBird nhưng client không đăng ký được với máy chủ tự host
      Có lẽ khả năng cao là do lỗi cấu hình từ phía người dùng
      Trong tài liệu, ranh giới giữa tính năng cloud và tính năng tự host không rõ ràng, nên cần chú ý
      Một số tính năng không có trong bản cộng đồng, vì vậy cần tiếp cận có kế hoạch
      Dù vậy, nó vẫn hoàn thiện hơn Headscale và không cần chỉnh sửa registry như Tailscale, nên tôi nghĩ đây là giải pháp hứa hẹn hơn cho tự host
  • Tôi đã xem qua tính năng kiểm soát truy cập của NetBird, nhưng có vẻ không có đúng thứ tôi cần
    Tôi muốn một cấu trúc trong đó khi người dùng kết nối vào endpoint WireGuard thì ban đầu chỉ truy cập được subnet mặc định, rồi sau khi xác thực MFA mới có thể truy cập thêm subnet khác
    Ví dụ, trước tiên chỉ cho truy cập wiki hoặc chat nội bộ, sau đó mở rộng quyền truy cập tới tài nguyên nhạy cảm như GitLab bằng MFA
  • Tôi đang phát triển Connet
    Thay vì lớp phủ L4 như WireGuard hay endpoint công khai L7 như ngrok, nó dùng cách chiếu dịch vụ từ xa về cục bộ
    Nếu đặt Caddy trên VPS thì cũng có thể dùng kiểu như ngrok
    Các giải pháp hiện có như NetBird, Tailscale, frp, rathole đều chưa cung cấp được truy cập P2P tự host trực quan và dựa trên FOSS
    Connet giải quyết điều đó, và phiên bản cloud connet.dev cũng chỉ là dạng đóng gói của dự án FOSS này
    • Cái này có vẻ là chỉ dành cho máy tính
      Nhìn vào README thì thấy cần chạy lệnh, nên có vẻ khó dùng trên smartphone
      Trong môi trường di động, cấu hình kiểu ngrok có lẽ thực tế hơn
    • Ý tưởng thì thú vị, nhưng chiếu mọi dịch vụ về localhost có rủi ro bảo mật
      Nếu dùng không gian IP CGNAT như Twingate thì có thể cấp IP riêng cho từng dịch vụ để cô lập
  • Tôi đã là người dùng ZeroTier lâu năm, nhưng gần đây đã chuyển sang NetBird (tự host trên Hetzner VPS)
    Tính năng DNS rất tuyệt, và mô hình kiểm soát truy cập cũng trực quan
    Khi cần, việc cấp quyền truy cập một lần cũng rất dễ
    Tuy nhiên, ứng dụng Android không có trên F-Droid và đôi khi bị ngắt khi roaming
    Dù vậy, nhìn chung đây vẫn là phần mềm rất tốt và tôi hy vọng nó tiếp tục phát triển
    • Tôi muốn biết liệu ZeroTier hay NetBird có cung cấp gì hơn một GUI wrapper cho WireGuard hay không
      Tôi cũng muốn biết liệu có dễ tích hợp vào một mesh WireGuard đã cấu hình sẵn hay không
    • Công ty chúng tôi cũng dùng ZeroTier, nhưng gần đây xuất hiện tình trạng ngắt kết nối gián đoạn và vấn đề DNS
      Tôi muốn biết ứng dụng iOS của NetBird thế nào
    • Tôi đang dùng ứng dụng JetBird trên F-Droid; chưa dùng app chính thức, nhưng trải nghiệm với JetBird khá tốt
  • Khá thú vị. Tôi muốn biết nó khác gì với Tailscale (hoặc Headscale)
    Tôi đã cân nhắc Tailscale để thay thế cấu hình WireGuard hiện có
  • Tôi khuyên dùng Headscale
    Nó miễn phí, tương thích với client Tailscale chính thức, và cấu hình rất dễ
    https://headscale.net/stable/
    • Tôi muốn biết liệu bạn có thể giải thích ngắn gọn nó dùng để làm gì không
      Trên trang Tailscale có quá nhiều thuật ngữ nên tôi chưa hình dung được nó sẽ được dùng như thế nào trong gia đình
    • Chúng tôi đang quản lý hai mạng, mỗi mạng khoảng 400 máy, tại Trung Quốc bằng Headscale
      DERP chính thức của Tailscale không hoạt động, nhưng sau khi bật DERP tích hợp sẵn thì vẫn vận hành ổn
    • Nếu xem tài liệu yêu cầu của Headscale thì
      thay vì chỉ mở một cổng cho WireGuard, phải công khai nhiều cổng
      như tcp/80, tcp/443, udp/3478, tcp/50443, và điều này là gánh nặng về bảo mật
      Dù dùng reverse proxy thì việc phải lộ ra nhiều cổng vẫn khá đáng tiếc
    • Gần đây hỗ trợ Postgres đã bị ngừng, và chỉ còn sqlite được khuyến nghị
      Điều này trông như một tín hiệu rằng Tailscale đang ngầm hạn chế phạm vi sử dụng của Headscale
    • Tôi muốn biết liệu có thể dùng cùng một VPN như Mullvad làm exit node hay không
  • Tôi đang phát triển Octelium
    Đây là một nền tảng truy cập bảo mật zero-trust dựa trên FOSS, có thể dùng như VPN, ZTNA, API gateway, PaaS, hay giải pháp thay thế ngrok
    Nó cung cấp nhiều tính năng như truy cập có client/không cần client, SSH không mật khẩu, OIDC/SAML, MFA bằng WebAuthn, khả năng quan sát dựa trên OpenTelemetry, v.v.
    Mọi thứ được tổng hợp chi tiết trong README
    • Tóm lại, Octelium hoạt động ở 7 tầng của OSI, còn Tailscale ở tầng 3~4
    • Dự án này khá thú vị
      Tôi muốn biết về lâu dài có kế hoạch triển khai gói enterprise hay không, và khi nhận đóng góp bên ngoài thì có yêu cầu CLA hay không
  • Chu kỳ phát hành quá nhanh
    Tôi đang duy trì nó trong overlay Gentoo, nhưng mỗi lần định cập nhật phiên bản thì lại có bản mới xuất hiện
    Cần điều chỉnh tần suất phát hành xuống còn không quá 1 lần mỗi tuần
  • Trong hệ thống của tôi, chỉ riêng Tailscale là cấu hình không tự host, nên lúc nào tôi cũng thấy lấn cấn
    Tôi đặt container Caddy trong Tailnet và route mọi subdomain về đó
    SSL cũng do Caddy xử lý
    Tôi không dùng Funnel mà chỉ đặt dịch vụ phía sau VPN
    Tuy nhiên, có giới hạn Auth Key hết hạn sau 90 ngày, nên khá bất tiện khi quản lý thiết bị nhúng từ xa
    Tôi đang tìm một cách xác thực bền vững và tự động hơn
    • Trong Tailscale có thể tắt hết hạn khóa. Tôi đang cấu hình như vậy trên gateway
      Tất cả thiết bị nội bộ được gom dưới domain .home và route qua Tailnet
    • Theo tài liệu chính thức,
      bạn có thể tắt hết hạn khóa thủ công. Cũng có thể làm theo dạng dựa trên tag
    • Nếu dùng xác thực node dựa trên tag thì có thể giữ thời hạn 6 tháng hoặc tắt hoàn toàn
    • Chúng tôi đang dùng Headscale làm control plane tự host và nó đang hoạt động ổn định
    • Tôi đồng ý với cách cấu hình Caddy trong Tailnet. Bên tôi cũng đang chạy tốt
  • Sự phát triển của dự án này rất ấn tượng
    Một số lựa chọn thay thế tương tự gồm OpenZiti, Headscale, Nebula
    Tài liệu đáng tham khảo là awesome-tunneling