Trong các bài viết trước, mình đã chia sẻ hai cách thiết lập WireGuard VPN Server nhanh gọn với PiVPN và WireGuard Road Warrior. Cả hai phương pháp đều có chung đặc điểm là cài đặt trực tiếp lên hệ điều hành Linux và phải quản lý thông tin client bằng dòng lệnh.
Hôm nay mình sẽ giới thiệu thêm 1 cách thiết lập WireGuard VPN Server mới, theo mình là nhanh gọn và dễ sử dụng nhất hiện nay: wg-easy
I. Giới thiệu wg-easy?
wg-easy là dự án mã nguồn mở (Github) được phát triển bởi Emile Nijssen nhằm đơn giản hoá cách cài đặt và quản lý WireGuard VPN.
wg-easy là một docker image được thiết lập sẵn WireGuard kèm theo 1 giao diện Web UI thân thiện để quản lý tài khoản. Thông qua Web UI, có thể tạo mới / xem thông tin / xoá tài khoản client mà không cần phải truy cập vào SSH và gõ lệnh.
Nhờ sử dụng công nghệ Docker, việc cài đặt và xoá bỏ wg-easy rất nhanh chóng, không gây ảnh hưởng đến hệ điều hành của server.
II. Cài đặt wg-easy
1. Cài đặt Docker & Docker-Compose
wg-easy hoạt động trên nền Docker nên yêu cầu server phải cài đặt sẵn Docker và Docker-Compose. Tham khảo hướng dẫn bên dưới nếu bạn chưa cài.
2. Chuẩn bị
Truy cập SSH vào Linux và chạy lệnh sau
mkdir ~/.wg-easy
cd ~/.wg-easy
wget https://raw.githubusercontent.com/WeeJeWel/wg-easy/master/docker-compose.yml
nano docker-compose.yml
Bạn cần đổi thông số WG_HOST=raspberrypi.local
thành địa chỉ Dynamic DNS của bạn.
Ngoài ra, bạn nên thiết lập thêm mật khẩu cho Web UI ở mục PASWORD=foobar123
để tính độ bảo mật. Nếu bạn không thay đổi, bất kỳ ai cũng có thể truy cập vào Web UI để chỉnh sửa client.
Ví dụ nội dung file docker-compose.yml
của mình sẽ giống như dưới đây
version: "3.8"
services:
wg-easy:
environment:
# ⚠️ Required:
# Change this to your host's public address
- WG_HOST=wgeasy.thuanbui.me
# Optional:
- PASSWORD=thuanbui123
# - WG_PORT=51820
# - WG_DEFAULT_ADDRESS=10.8.0.x
# - WG_DEFAULT_DNS=1.1.1.1
# - WG_ALLOWED_IPS=192.168.15.0/24, 10.0.1.0/24
image: weejewel/wg-easy
container_name: wg-easy
volumes:
- .:/etc/wireguard
ports:
- "51820:51820/udp"
- "51821:51821/tcp"
restart: unless-stopped
cap_add:
- NET_ADMIN
- SYS_MODULE
sysctls:
- net.ipv4.ip_forward=1
- net.ipv4.conf.all.src_valid_mark=1
3. Kích hoạt WireGuard
Kích hoạt WireGuard bằng lệnh
docker-compose up --detach
Bạn truy cập vào Web UI theo địa chỉ http://<Server-IP>:51821
để tạo WireGuard client. Đăng nhập bằng mật khẩu bạn đã thiết lập trong file docker-compose.yml
4. Tạo WireGuard Client
Giao diện Web UI quản lý WireGuard cực kỳ thân thiện và dễ sử dụng.
- Bấm New để tạo client.
- Bấm vào biểu tượng QR để xem QR code dùng để thiết lập WireGuard client trên điện thoại.
- Bấm vào biểu tượng Download để tải file cấu hình, dùng để thiết lập WireGuard client trên máy tính.
- Bấm biểu tượng Thùng Rác để xoá client.

III. Cấu hình NAT Port cho WireGuard
Để có thể kết nối vào WireGuard VPN Server từ bên ngoài, bạn còn phải cấu hình mở port trên router mạng (nếu cài WireGuard trên server ở nhà), hoặc cấu hình tường lửa nếu cài trên máy ảo Oracle Cloud.
1. Mở port trên Router mạng ở nhà
Cấu hình hình mở port trên Router với các thông số như sau
- Protocal: UDP
- Port: 51820
- Address: IP của máy đang chạy wg-easy
2. Cấu hình tường lừa trên máy ảo Oracle Cloud
Nếu cài đặt wg-easy trên máy ảo miễn phí của Oracle, bạn cần phải mở port 51820 trên máy ảo bằng lệnh sau
sudo iptables -I INPUT 6 -m state --state NEW -p udp --dport 51820 -j ACCEPT
sudo netfilter-persistent save
Sau đó vào tiếp mục Security Lists để mở port 51820. Tham khảo chi tiết trong bài viết dưới đây
[wg-easy] hiện tại là cách cài đặt WireGuard VPN server mình sử dụng thường xuyên nhất bởi sự tiện lợi và thân thiện của nó. Bạn có thể cài đặt wg-easy trên máy tính cài Linux hay Raspberry Pi đều được.
Chúc bạn cài đặt thành công!
Nếu bài viết của mình mang đến thông tin, kiến thức hữu ích cho bạn, đừng ngại mời mình ly bia để có thêm động lực chia sẻ nhiều hơn nữa. Cám ơn bạn!
25 trả lời trong “[wg-easy] – Cài đặt và quản lý WireGuard VPN Server tiện lợi với giao diện Web UI”
Bài viết rất bổ ích. Mình chỉ mất tầm 10p là dựng được VPN riêng cho work from mùa dịch 🙂
Bạn cho hỏi hướng dẫn nè có dùng được dsm6.2 không vậy??
Vì mình thực hiện thông quá stack portainer nhưng báo lỗi :
$ wg-quick down wg0
$ wg-quick up wg0
Error: Command failed: wg-quick up wg0
Warning: `/etc/wireguard/wg0.conf’ is world accessible
[#] ip link add wg0 type wireguard
RTNETLINK answers: Not supported
Unable to access interface: Protocol not supported
[#] ip link delete dev wg0
Cannot find device “wg0”
Quá gà mong bác giúp đỡ
Mình không xài DSM nên không chắc nó có chạy được không nhé
Thank you.
Do dốt quá, giờ hiểu dần.
Do mình chạy nas fake chip j1900 nền tảng x86, mà wg-easy nó xây dựng trên nền tảng arm,amd64 nên ẹc
Mới làm quả raspberry đang làm theo wirehole của bác 🙂
thử trên con oracle armv8 không được bác ơi.
Mình cài trên Oracle ARM xài ngon lành, nếu không được có thể bạn làm sai gì đó hoặc chưa chỉnh lại tường lửa rồi. Xem lại bài này nhé: https://thuanbui.me/huong-dan-thiet-lap-vpn-server-mien-phi-voi-oracle-cloud-vps/
thanks bác. mình cài trên vps thường thì khá đơn giản, chạy tốt, nhưng lên ARM thì toang. đọc github thì thấy có gì đó ko ổn thật.
liệu có phải bác cài trên AMD?
Ở đây có nói về ARM trên linux https://github.com/golang/go/issues/36439
Vô trang docker của wg-easy (https://hub.docker.com/r/weejewel/wg-easy/tags) sẽ thấy nó hỗ trợ cho arm64 (armv8) nên chắc chắn là cài được.
Mình đã cài thử lên VPS Oracle AMD lẫn ARM, cả hai đều chạy bình thường. Cài trên Raspberry Pi (cũng là ARM) cũng chạy bình thường. Nên bạn cần xem lại kỹ lại hướng dẫn, có lẽ làm sai hay thiếu gì đó rồi.
Thanks bác. Để mình thử lại xem sao.
Mình mới cài thành công trên ARM của Oracle. Nguyên nhân chính là portainer thiết lập – NET_ADMIN này false, không giống với yml.
cap_add:
– NET_ADMIN
Thanks bác nhiều.
Cho minhf hỏi chút với ạ, sao mình chạy cái này cứ được 1 lúc là lại bị disconected, kênh VPN vẫn còn nhưng ko vào được mạng LAN. Liệu có phải do cái này ko có keepalive=25 ko ạ. Nếu phải thì add vào như nào ạ. Mình đã add vào docker-compose.yml nhưng lúc tạo client vẫn ko có dòng PersistentKeepalive = 25 Thanks
Nếu muốn chỉnh thông số PersistentKeepalive, bạn cần thêm dòng này vào phần environment của docker-compose.yml:
- WG_PERSISTENT_KEEPALIVE=25
. Sau đó kích hoạt lại:docker-compose up -d
. Mình đã thử và thấy file client tải về được cập nhật thông số PersistentKeepalive = 25Mình đã thêm từ đầu, phần client tải về thì có PersistentKeepalive = 25 nhưng xem peer trong wg0.conf thì không có dòng đó ấy
Theo bài viết này (https://www.wireguard.com/quickstart/) thì số persistentkeepalive chỉ cần thiết lập trên file cấu hình cho client, để client liên tục gửi packet về server để duy trì kết nối. Nên trong file wg0.conf của server sẽ không có dòng đó. Vì có thể có nhiều client khác không cần thiết lập thông số này. Nếu bạn vẫn gặp lỗi mất kết nối thì nên lên github tạo issue nhờ tác giả kiểm tra giúp nhé.
Hi anh, cho em hỏi chút
Em có đổi mật khẩu trong docker-compose.yml rồi mà khi truy cập vào webUI lại không yêu cầu mật khẩu là sao ạ?
Em đã làm lại và đăng nhập bằng pw được rồi.
Anh cho em hỏi thêm, chỉ cần cài và chạy được như anh hướng dẫn là các kết nối đã được mã hóa bảo mật từ client đến VPN server rồi phải không ạ?
Em mới tìm hiểu cái này nên gà mờ.
Thanks a~
Cài và chạy được là coi như ổn rồi bạn nhé. Kết nối được mã hóa từ client đến server.
làm sao để giới hạn tốc độ các peers trong wireguard anh, 1 server em share 7 người dùng mà mạng nhà ai cũng 150mbs nên kết nối không ổn định. Em muốn mỗi người được 30mbs thôi. Mong được anh gợi ý.
Ca này quá khó, mình chưa nghiên cứu bao giờ.
Cho mình hỏi bạn 1 chút ạ. Mình có làm mọi thứ xong rôi nhưng từ dải địa chỉ của ubuntu server (172.16.0.0) ping thử vào dải địa chỉ của wireguard (10.8.0.1) thì không thể ping nổi. Nhưng từ docker 10.8.0.1 thì ping ra được ngoài. Cho mình hỏi cái này là lỗi do phần định tuyến của mình hay như nào ạ. Thanks
Từ ngoài không ping vào wireguard được do routing table nó không biết định tuyến ra sao. Bạn có thể tham khảo bài này: https://thuanbui.me/thiet-lap-wireguard-client-bang-docker-tren-may-chu-linux/#4-chinh-sua-routing-table
Bạn cho mình hỏi chút với. Mình có sử dụng file docker-compose giống như của bạn sau khi run thì dùng một máy khác trong mạng telnet đến port 51821 thì thấy thành công còn telnet đến port 51820 thì bị từ chối không biết vấn đề do đâu. Mong được bạn hỗ trợ. Thanks
Bạn Telnet vào port 51820 nó báo lỗi vì Telnet nó dùng kết nối TCP, còn WireGuard hoạt động trên kết nối UDP của cổng 51820.
Mình có cài thêm nginx proxy manager thì không biết cấu hình như nào. Hiện tại khi sử dụng wgeasy.domain.exapmle để truy cập vào Web UI thì được nhưng máy client không có mạng khi kết nối VPN. Thanks
Bạn có thể dùng tên miền để truy cập vào Web UI (port 51821 TCP) thông qua thiết lập trên NPM. Và phải dùng IP hoặc 1 tên miền khác để dùng cho Wireguard (port 51820 UDP), phải cấu hình port forwarding trên router trỏ về WireGuard server trong mạng nội bộ.