Hướng Dẫn Cấu hình WireGuard Site to Site VPN trên Router Mikrotik

Mục lục bài viết

Wireguard Mikrotik là gì?
Lý do tại sao nên dùng Wireguard?
Mô hình Lab
Cấu hình cơ bản
Cấu hình WireGuard VPN Router Mikrotik
Cấu hình Route cho 2 mạng LAN
Kết luận

1. Wireguard Mikrotik là gì?

WireGuard® là một giải pháp VPN đơn giản nhưng hiệu suất cao, sử dụng mã hóa tiên tiến. Nó nhằm mục tiêu nhanh hơn, đơn giản hơn, nhẹ hơn và hữu ích hơn so với IPsec, đồng thời tránh những rắc rối lớn. WireGuard được thiết kế để hoạt động trên các giao diện nhúng và máy tính siêu vi tính, phù hợp với nhiều tình huống khác nhau. Ban đầu được phát hành cho hệ điều hành Linux, hiện nay nó đã hỗ trợ đa nền tảng (Windows, mac OS, BSD, iOS, Android) và có khả năng triển khai rộng rãi.

2. Lý do tại sao nên dùng Wireguard?

Thông lượng khi thực hiện 1 phiên kết nối từ bên ngoài vào mạng thông qua giao thức WireGuard sẽ cho hiệu suất cao
Về mức độ bảo mật thì bảo mật của Wireguard đang được đánh giá là gần như tốt nhất ( tính đến thời điểm hiện tại).
Tạo kết nối ổn định hơn các VPN cũ hiện tại
Cấu hình đơn giản, nhanh chóng

3. Mô hình Lab

Trong bài hướng dẫn lần này, mình sử dụng phần mềm Pnetlab để làm ví dụ minh họa.

Tại đây mình có 2 site, 1 site ở Hà Nội và 1 Site ở Hồ Chí Minh.

Mô hình LAP Wireguard Mikrotik

IP WAN tại Hà Nội: 20.20.20.136, kết nối với Port 1 trên Mikrotik

Dải Mạng LAN tại Hà Nội mình đặt là 192.168.10.0/24, cắm vào Port 2 trên Mikrotik

IP WAN tại HCM: 20.20.20.137, kết nối với Port 1 trên Mikrotik

Dải Mạng LAN tại Hà Nội mình đặt là 192.168.20.0/24, cắm vào Port 2 trên Mikrotik

Tải Tunnel sẽ đặt dải IP: 172.16.30.0/30 ( Tại HÀ nội là 30.1 còn HCM là 30.2)

Tại 2 site, mình sẽ cấu hình để các thiết bị có thể ra ngoài internet, các bạn có thể xem lại bài “Hướng dẫn cấu hình cơ bản Router Mikrotik”

4. Cấu hình cơ bản

Do mình dùng Pnetlab nên khi kết nối vào mạng internet thì hệ thống sẽ cấp 2 IP cho từng con Router ( các bạn có thể hiểu là đây là 1 IP tĩnh ). Nên mình không phải quay PPPoE như bài hướng dẫn ở trên. Còn trong thực tế các bạn có thể quay PPPoE để có thể kết nối được với Internet cung cấp từ nhà mạng ( với điều kiện Modem nhà mạng phải Bridge).

Giao diện Pnetlab để cấu hình

Sau khi cài xong có Internet, các bạn có thể vào kiểm tra xem các thiết bị trong mạng LAN đã ra được internet chưa, ở đây mình dùng máy ảo nên sẽ ping thử ra internet.

bước ping kiểm tra từ Site Hà Nội ra internet trong cấu hình WireGuard VPN

Tại Site Hà nội, Máy tính của mình đã nhận IP dải 10 ( mạng LAN Hà Nội mình đặt dải 10) và đã ping được internet thành công.

Tương tự tại Site HCM, mình cũng làm tương tự như Site Hà Nội

bước ping kiểm tra từ Site Hồ Chí Minh ra internet trong cấu hình WireGuard VPN

LAN trong Site HCM đã nhận dải 20 và đã ping thành công ra internet.

Sau khi đã kiểm tra xong, các bạn vào từng Router để lấy IP WAN của từng Site.

Tại Site Hà Nội IP WAN của mình là : 20.20.20.136 còn tại Site HCM IP WAN của mình là : 20.20.20.137.

lấy IP WAN của Site Hà Nội

Ảnh: Lấy IP WAN site Hà Nội

lấy IP WAN của Site Hồ Chí Minh

Ảnh: Lấy IP WAN Site HCM

5. Cấu hình WireGuard VPN Router Mikrotik

Tại Mục Menu, bạn chọn WireGuard, và sau đó ấn nút + để tạo mới 1 WireGuard

Tạo mới WireGuard VPN Router Mikrotik

Các bạn có thể đặt tên để cho dễ nhớ, mình đặt tên tại đây là Hanoi → HCM và ngược lại.

Sau đó ấn Apply hệ thống sẽ tự tạo ra một cặp Key. Các bạn note Key này ra phần Note để còn sử dụng.

cài đặt tạo Publickey site Hà Nội

Lấy Public Key Site HCM

Tiếp theo, các bạn qua phần Peers để thiết lập phiên kết nối từ Router HN qua HCM và ngược lại

Giao diện thẻ Peers để thiết lập kết nối Wireguard

Publickey: Là key của Router còn lại ( ví dụ bạn đang cấu hình ở Site Hà Nội thì Public Key sẽ là Key của HCM)

Endpoint: là địa chỉ IP WAN của site HCM

Endpoint Port: là Licsen Port đã tạo ở trên ( 13231)

Allowed Address: Nếu bạn muốn tất cả các dải mạng LAN có thể kết nối được thì để 0.0.0.0/0 còn chỉ muốn 1 vài dải có thể đi qua được thì gõ địa chỉ của dải đó ( ví dụ LAN HN địa chỉ là 192.168.10.0/24 thì chỉ dải 10 mới có thể kết nối ).

Sau đó ấn Apply để hoàn thành việc trỏ IP và Key

Thiết lập phiên Peer kết nối từ Router HN qua HCM

Ảnh: Thiết lập Peer Site HN

Thiết Lập Peer Site HCM

Ảnh: Thiết lập Peer Site HCM

Tiếp theo, các bạn vào phần IP để tạo IP cho Tunnel ( Đường hầm).

Ở đây tại Site HN mình đặt IP : 172.16.30.1/30 và tại HCM mình đặt là: 172.16.30.2/30

2 IP này cũng thuộc trong Tunnel nên mình sẽ gán vào Allowed Address như ở trên.

Khi các bạn lấy Data từ dải LAN khác thì trong Tunnel cũng phải có dải IP đó. ( đó là lý do tại sao mình đưa ra phương án nếu các bạn muốn tất cả các dải thì đặt 0.0.0.0/0).

Sau khi cấu hình xong mình ping thử 2 dải Tunnel đã tạo trên Router

Ping từ site HC đến HCM để kiểm tra

Ảnh: Ping kiểm tra từ Tunnel HN - HCM

Ping kiểm tra từ Tunnel HCM-HN

Ảnh: Ping kiểm tra từ Tunnel HCM - HN

6. Cấu hình Route cho 2 mạng LAN

Khi này Tunnel đã thông.

Tiếp theo, các bạn vào Menu IP chọn vào Routes

vào Menu IP chọn vào Routes để cấu hình

Khi này, mạng LAN bên Hà Nội muốn đi tới HCM thì phải cấu hình Routes.

Cấu hình Route từ site HN - HCM

Lúc này tại Site Hà Nội:

Dst Address: là dải mạng LAN tại HCM ( 192.168.20.0/24)

Gateway: là IP của Tunnel tạo trên Site HCM ( 172.16.30.2)

Lúc này tại Site HCM:

Dst Address: là dải mạng LAN tại Hà Nội( 192.168.10.0/24)

Gateway: là IP của Tunnel tạo trên Site Hà Nội( 172.16.30.1)

Check Gate: Ping

Kiểm tra

Sau khi cấu hình xong, mình vào các PC tại các Site test Ping thử

Ping từ Site Hà Nội Đến Site HCM

Tại Site Hà Nội đã ping được Site HCM

Ping từ Site HCM - Site Hà Nội

Và tại site HCM cũng đã ping thông được Site Hà Nội

Để Test băng thông trên đường truyền này, mình vào phần Tool → Bandwidth Test

Tool → Bandwidth Test để check băng thông giữa 2 site

Các bạn nhập User và Password để đo

Check Băng thông từ dải Lan Hà Nội đến dải LAN HCM

Ảnh: Kết quả băng thông đến Site HCM

Check băng thông từ Site HN đến Site HCM

Ảnh: Kết quả băng thông đến Site Hà Nội

7. Kết luận

WireguardVPN là 1 tính năng rất hữu ích, nó tăng tốc độ đường truyền kết nối cũng như tăng tính bảo mật cao hơn so với các loại VPN hiện nay. Một giao thức rất quan trọng trong hệ thống Internet muốn truy cập các hệ thống từ xa.

Vậy là mình đã hướng dẫn các bạn cấu hình xong WireGuard VPN, Rất mong các bạn thấy hay thì để lại 1 like, 1 Subcribe và 1 đánh giá cho bọn mình có thêm động lực ra các video tiếp theo. Cảm ơn các bạn, hẹn gặp các bạn ở Video tiếp theo

Công Ty TNHH Công Nghệ Việt Thái Dương

Đ/C tại Hà Nội: NTT03, Line1, Thống Nhất Complex, 82 Nguyễn Tuân, Thanh Xuân, Hà Nội.

Đ/C tại HCM: Số 31B, Đường 1, Phường An Phú, Quận 2 (Thủ Đức), TP HCM.

Điện Thoại: 0906 051 599

Website: www.cnttshop.vn

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).