Hướng dẫn cấu hình ZeroTier One VPN trên Router Mikrotik

Trong bài viết này, chúng ta sẽ cùng tiếp tục chuỗi chủ đề về ZeroTier – một giải pháp VPN miễn phí, mã nguồn mở, mà mình đã từng chia sẻ trong một số bài viết trước. Các bạn có thể tham khảo thêm các bài viết về giải pháp SD-WAN của ZeroTier ở đây:

• Tìm hiểu về ZeroTier là gì: ZeroTier: Giải Pháp VPN SD-WAN Đơn Giản, Bảo Mật Cho Mọi Thiết Bị.
• Tạo tài khoản và cấu hình ZeroTier trên Cloud: Tạo tài khoản ZeroTier - Add Windows, Android, iOS vào ZeroTier.

Tuy nhiên, lần này sẽ đặc biệt hơn vì chúng ta sẽ kết hợp ZeroTier với thiết bị MikroTik chạy RouterOS 7, để tạo ra một mô hình kết nối từ xa hoặc site-to-site cực kỳ đơn giản, bảo mật và tiết kiệm chi phí. Nếu các bạn đang sử dụng MikroTik và muốn xây dựng một mạng riêng ảo linh hoạt như SD-WAN, thì đừng bỏ qua video này nhé!

Lợi Ích Khi Dùng ZeroTier Trên MikroTik

Trước khi bắt tay vào cấu hình, chúng ta hãy cùng điểm qua một vài lợi ích nổi bật khi sử dụng ZeroTier trên Mikrotik nhé:

• Miễn phí với mô hình nhỏ: ZeroTier One là một giải pháp hoàn toàn miễn phí cho dưới 10 thiết bị, rất phù hợp với nhu cầu cá nhân hoặc doanh nghiệp nhỏ. Nói chung là cách sử dụng rất linh hoạt, khi các bạn đã quen thì có thể sử dụng cho rất nhiều mục đích với tài khoản miễn phí này.
• Cấu hình đơn giản: ZeroTier cho phép các thiết bị kết nối với nhau mà không cần mở port, không cần IP tĩnh, và đặc biệt là vượt NAT cực kỳ hiệu quả - điều mà nhiều VPN truyền thống còn gặp khó khăn.
• Tốc độ cao và độ trễ thấp: tốc độ và độ ổn định rất ấn tượng, có thể hoạt động xuyên quốc gia mà vẫn giữ được độ trễ thấp.
• Hỗ trợ trên hầu hết các dòng Router Mikrotik: ZeroTier có thể được tích hợp thêm trong MikroTik RouterOS phiên bản 7 với gói Extra Package, và hỗ trợ trên phần lớn các sản phẩm Mikrotik, nên chúng ta có thể triển khai trực tiếp mà không cần thêm phần cứng hay phần mềm trung gian nào cả. Việc cấu hình cũng rất linh hoạt và đơn giản cho cả người mới, và ít xảy ra lỗi so với các giải pháp VPN khác.

Với những ưu điểm đó, ZeroTier thật sự là một giải pháp linh hoạt, dễ dùng, và rất đáng để triển khai trong các hệ thống mạng hiện đại ngày nay.

Yêu cầu khi sử dụng giải pháp ZeroTier

Mặc dù Mikrotik hỗ trợ ZeroTier, tuy nhiên thì không phải tất cả các Router Mikrotik đều hỗ trợ, mà ZeroTier chỉ hỗ trợ trên các phiên bản RouterOS từ 7.1rc2 trở lên. Nếu phiên bản thấp hơn thì chúng ta sẽ cần phải update lên.

Hiện nay thì chỉ các router sử dụng kiến trúc ARM hoặc ARM64 mới hỗ trợ ZeroTier, do vậy các bạn cần phải check lại xem Router của mình đang sử dụng kiến trúc nào để đảm bảo rằng thiết bị hỗ trợ ZeroTier.

Để kiểm tra kiến trúc của Router thì các bạn có thể truy cập vào Winbox hoặc giao diện web của Router.

Chúng ta có thể xem ở ngay phía trên thanh công cụ phía trên, hoặc truy cập vào menu System > Resources.

Nếu đang tìm Router hỗ trợ thì các bạn vào mikrotik.com

Vào phần Hardware > Ethernet Routers, chọn mã Router đang tham khảo để xem chi tiết thông số. Trong mỗi sản phẩm đều có thông số Architecture, chỉ cần là ARM hoặc ARM64 là được, chỉ có 1 số sản phẩm dòng Hex cũ thì kiến trúc là MMIPS, còn lại thì đều là ARM.

Cài đặt gói ZeroTier trên MikroTik

Sau khi chắc chắn Router hỗ trợ ZeroTier, chúng ta sẽ cần download gói cài đặt về. Các bạn vào website mikrotik.com, vào menu Software. Sau đó tải Extra Packages tùy theo kiến trúc CPU là ARM hay ARM64. Các bạn Click vào biểu tượng Save để tải.

Sau khi tải về thì chúng ta sẽ giải nén file này. Bên trong này thì có nhiều gói cho các tính năng khác nhau, các bạn chỉ cần copy file zerotier-x.xx.x-arm.npk vào router là được.

Sau khi tải xong thì chúng ta sẽ cần khởi động lại router. Các bạn vào menu System > Reboot. Sau khi khởi động xong thì chúng ta sẽ có thêm menu ZeroTier trong thanh công cụ bên trái, bây giờ các bạn có thể cấu hình.

Cấu hình ZeroTier trên Mikrotik

Để cấu hình trên Mikrotik, trước tiên chúng ta sẽ cần phải có Network ID. Các bạn vào tài khoản ZeroTier One và copy Network ID này. Nếu các bạn chưa biết cách sử dụng ZeroTier One thì có thể tham khảo bài viết: Tạo tài khoản ZeroTier - Add Windows, Android, iOS vào ZeroTier.

Quay lại Winbox, các bạn truy cập vào menu ZeroTier, chuyển sang tab Instance, tích chọn vào zt1 và nhấn Enable.

Chuyển sang tab ZeroTier. Nhấn dấu + để thêm mới.

• Name: các bạn đặt tên cho Interface này.
• Network: nhập Network ID trên ZeroTier One vào
• Instance: chọn zt1 vừa enable lên
• Bên dưới này có 3 tùy chọn cấu hình.
  • Allow Managed cho phép ZeroTier quản lý các route và DNS thông qua các cấu hình trên ZeroTier Central. Các bạn có thể không cần tùy chọn này nếu như chỉ cần kết nối peer to peer để quản trị thiết bị. Còn trong trường hợp các bạn có cấu hình DNS riêng, hoặc có các rule, các cấu hình định tuyến để truy cập sang site khác thì các bạn cần phải tích vào mục này. Tốt nhất thì chúng ta sẽ tích vào, nếu không có route hoặc cấu hình khác thì cũng không ảnh hưởng gì.
  • Allow Global cho phép định tuyến đến Internet thông qua mạng ZeroTier, nghĩa là toàn bộ traffic ra Internet của mạng LAN bên dưới Mikrotik sẽ đi qua ZeroTier, còn đi qua đường nào thì tùy thuộc vào cấu hình Route trên ZeroTier Center. Mục này thì tùy thuộc vào nhu cầu của các bạn thôi. Khi bỏ tích thì chỉ traffic VPN mới đi qua ZeroTier, còn traffic internet thông thường sẽ sử dụng đường Internet trên Mikrotik.
  • Allow Default cho phép ZeroTier thêm tuyến default route vào bảng định tuyến của Mikrotik. Tùy chọn này liên quan đến Allow Global ở trên, chúng ta sẽ cần bật cả 2 mục này đồng thời. Nói chung để có thể đi ra Internet thông qua 1 node khác trong ZeroTier thì chúng ta cần tích vào cả 2 mục này, và cần phải có 1 node làm gateway để xử lý lưu lượng Internet của các node khác. Còn nếu chỉ cần kết nối LAN nội bộ qua ZeroTier thì chỉ cần tích vào Allow Managed là đủ.
• Nhấn Apply > OK.

Quay trở lại ZeroTier Central, tích chọn vào Router và chọn Authorize để cho phép Mikrotik tham gia vào ZeroTier Network.

Sau khi Authorize xong thì trên trên Router các bạn có thể thấy được ZeroTier Network mà Mikrotik đang tham gia vào, và Router cũng nhận được 1 IP trên cổng zerotier1 do cloud cấp xuống. IP này được sử dụng để các thiết bị trong ZeroTier Network giao tiếp với nhau.

Như vậy là phần kết nối VPN peer-to-peer giữa các thiết bị trong ZeroTier Network và Mikrotik đã thông, các bạn có thể ping giữa các thiết bị trên ZeroTier Network với nhau bằng Managed IPs trên Cloud. Ví dụ từ máy tính có Managed IP 10.241.255.73 có thể ping được đến Managed IP của Mikrotik là 10.241.187.140 như ảnh phía trên.

Tuy nhiên nếu các bạn ping thử vào các máy tính nội bộ phía sau thì sẽ chưa thông được, do các thiết bị này chưa có Route đến các dải mạng khác trên Mikrotik. Bây giờ các bạn sẽ cần cấu hình thêm Route trên ZeroTier Center. Ví dụ mình có mô hình kết nối như ảnh bên dưới:

Trong ZeroTier One Cloud, các tìm phần Managed Routes. Chúng ta sẽ add thêm dải mạng LAN phía sau Mikrotik vào.

Như mô hình phía trên Destination sẽ là dải LAN trên cổng Bridge-LAN của Mikrotik, trong mô hình của mình là 192.168.10.0/24. Via này sẽ là địa chỉ Managed IP mà ZeroTier đã cấp cho Mikrotik, trong mô hình của mình là 10.241.187.140.

Sau khi submit xong, thì trên máy PC sẽ Update thêm 1 route cho dải mạng 192.168.10.0/24, với next-hop là 10.241.187.140. Lúc này thì các thiết bị trong ZeroTier Network đã có thể ping được đến dải LAN nội bộ của Mikrotik.

Như vậy là chúng ta đã hoàn tất việc cấu hình ZeroTier trên thiết bị MikroTik một cách nhanh chóng và đơn giản.

Kết luận

Chỉ với vài bước cơ bản, các bạn đã có thể kết nối các văn phòng, chi nhánh hoặc thiết bị từ xa lại với nhau như trong cùng một mạng LAN, mà không cần phải cấu hình phức tạp như VPN truyền thống. ZeroTier thực sự là một giải pháp rất linh hoạt, tiết kiệm và phù hợp cho cả cá nhân lẫn doanh nghiệp, đặc biệt là trong những tình huống cần kết nối site-to-site hoặc truy cập từ xa một cách bảo mật.

Tham khả các mã router MikroTik tại: Router MikroTik.