Mạng mẽo ở Việt Nam “đứt cáp” liên tục khiến kết nối ra quốc tế chập chờn, chậm chạp rùa bò không chịu nổi. Để giải quyết tình trạng này, mình thường thiết lập VPN Server trên 1 VPS ở Hong Kong / Japan / Korea để chuyển hướng kết nối qua VPN. Tốc độ truy cập mạng quốc tế được cải thiện ngay lập tức.
Tuy nhiên, vẫn còn đó những hạn chế:
- Chỉ các máy tính / máy tính được cấu hình VPN Client mới có thể kết nối đến VPN. Nếu trong nhà có nhiều thiết bị, việc cấu hình sẽ vừa mất thời gian, vừa khó quản lý.
- Không cấu hình VPN Client được cho các thiết bị thông minh như Smart TV, Google Home, Alexa,…
- Kết nối đến các website trong nước cũng bị chuyển hướng đến VPN ảnh hưởng đến tốc độ.
Làm sao để cấu hình tất cả thiết bị mạng trong nhà đều được chuyển hướng kết nối đến VPN Server tự động mà không cần phải cấu hình từng thiết bị? Làm sao định tuyến tự động dịch vụ mạng quốc tế thông qua VPN, còn mạng trong nước vẫn duy trì kết nối trực tiếp, không chạy qua VPN?
Nếu bạn đang sử dụng router Mikrotik, bài viết này sẽ hướng dẫn bạn xử lý hai vấn đề trên. Đầu tiên mình sẽ hướng dẫn cách cấu hình WireGuard VPN trên router Mikrotik. Sau đó, mình sẽ hướng dẫn cách định tuyến tự động cho dịch vụ mạng quốc tế chạy qua VPN.
Mục Lục
I. Yêu cầu thiết bị
- Router Mikrotik: RB750Gr3, hAP AC2,… đã được cấu hình cho mạng nội bộ trong nhà.
- 1 VPS đã được thiết lập WireGuard Server. Bạn có thể tham khảo hướng dẫn dưới đây để tạo VPN Server miễn phí
II. Cập nhật lên RouterOS 7
Router mạng mình đang sử dụng là Mikrotik RB750Gr3, đang chạy RouterOS 6. Để cấu hình WireGuard VPN trên Mikrotik, bắt buộc bạn phải nâng cấp lên RouterOS 7.
Phiên bản RouterOS 7 này hiện vẫn đang được phát triển, chưa ra mắt bản Stable nên có thể vẫn còn gặp 1 số lỗi vặt. Bạn cần cân nhắc nếu đang dùng cho mạng công ty, doanh nghiệp. Còn mình sử dụng ở nhà bản 7.1rc4 hơn 2 tháng nay và không gặp vấn đề nào cả.
Cập nhật 10/2022: Bài viết đã được chỉnh sửa cho phù hợp với bản RouterOS 7.5 trở về sau
1. Backup cấu hình
Trước khi nâng cấp lên RouterOS 7, bạn nên lưu lại cấu hình hiện tại đề phòng bất trắc, nếu gặp lỗi sẽ phục hồi lại nhanh hơn.
Mở Winbox, kết nối vào router Mikrotik
- Bấm vào mục Files ở menu bên trái
- Bấm vào nút Backup
- Nhập tên (Name), mật khẩu (Password) cho bản backup
- Bấm Backup để lưu lại
Tiếp theo, bấm chuột phải trên file backup vừa lưu lại và chọn Download để tải về máy tính.
2. Cập nhật firmware
Bạn bấm vào mục System –> Packages và thao tác tiếp như sau
- Bấm Check for Updates
- Chọn Channel: development
- Bấm Check for Updates và bấm tiếp Download&Install để tải và cài đặt fimware mới nhất
Đợi vài phút cho Router cài đặt và khởi động lại. Quay lại mục Packages, bạn sẽ thấy thông tin firmware mới nhất: Version 7.1rc4
III. Cấu hình WireGuard trên Mikrotik
1. Chuẩn bị file Wireguard Client
Trước tiên, bạn cần phải truy cập WireGuard VPN Server để tạo 1 Client mới dành cho Mikrotik và tải file conf về. Nội dung file sẽ tương tự như dưới đây.
[Interface]
PrivateKey = UDbFxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaN9Oms=
Address = 10.6.0.2/24
DNS = 10.2.0.100
[Peer]
PublicKey = e/VZhqIyyyyyyyyyyyyyyyyyyyyyyyyy/4wS37B5x8QMxg=
PresharedKey = 5XvmWvYUm2xxxxxxxxxxxxxxxxxxxxxxxxxxxlgYPoFzj8Q618=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 146.ooo.iii.eee:51820
PersistentKeepalive = 0Code language: YAML (yaml)Chúng ta sẽ dùng thông tin trong file conf này để cấu hình WireGuard client trên router Mikrotik
2. Tạo WireGuard Interface
Trong WinBox, bạn truy cập vào mục WireGuard theo các bước sau
- Bấm vào mục WireGuard ở Menu bên trái
- Bấm dấu +
- Đặt tên (Name) và điền vào Private Key (lấy trong file cấu hình ở trên)
- Bấm vào tab Peers
- Bấm dấu + để tạo Peer
- Nhập vào các thông tin Public Key, Endpoint, Endpoint Port, Allowed Address, Preshared Key. Tất cả đều có trong file cấu hình WireGuard client ở bước trên.
Sau đó bấm OK để lưu lại
3. Tạo Address List
Truy cập vào mục Address List (Bấm vào menu IP –> Address List)
- Bấm dấu +
- Nhập vào dãy IP Address trong file cấu hình ở bước 1
- Interface: chọn interface WireGuard vừa tạo ở bước 2
Bấm Apply và OK để lưu lại.
IV. Cấu hình Routing cho WireGuard
1. Tạo Route List
Bấm vào menu Routing – Table để Routing Table mới cho WireGuard
- Bấm vào dấu +
- Đặt tên cho Routing Table tuỳ ý bạn. Mình chọn
To-WG-HK - Tick chọn ô FIB
Bấm Apply và OK để lưu lại.
Bấm tiếp vào mục IP –> Routes để cấu hình định tuyến
- Bấm vào dấu +
- Thiết lập thông số như sau:
- Dst Address:
0.0.0.0/0 - Gateway: tên của Wireguard Interface bạn tạo ở bước III.2
- Routing Table: chọn Table bạn vừa tạo ở bước trên
- Dst Address:
Bấm Apply và OK để lưu lại
3. Tạo NAT Rule
Truy cập tiếp vào mục Firewall (menu IP –> Firewall), bấm vào tab NAT và bấm dấu + để tạo NAT Rule mới cho WireGuard Interface
- Chain: srcnat
- Out. Interface: WireGuard
- Action: masquarage
- Comment: Wireguard Internet Access
Bấm Apply và OK để lưu lại
Tiếp theo, kéo NAT Rule mới tạo này lên vị trí thứ hai, nằm sau Rule của PPPoE Internet.
4. Tạo Mangle Rule
Mangle là 1 tính năng của Mikrotik giúp đánh dấu gói tin để xử lý tuỳ theo các điều kiện thiết lập trước. Chúng ta sẽ cần tạo 1 Mangle Rule để chuyển hướng các kết nối mạng đi qua WireGuard VPN.
Mở cửa sổ Firewall và tạo Mangle Rule theo các bước sau
- Bấm vào tab Mangle
- Bấm vào dấu +
- Nhập thông số:
- Chain: prerouting
- Src. Address:
192.168.0.100-192.168.0.200là dãy IP nội bộ mình muốn chạy qua WireGuard. - Dst. Address:
192.168.0.0/24là dãy IP nội bộ trong nhà, bấm tick vào ô phía trước để hiện hình dấu chấm than.
- Bấm qua tab Action, chọn tiếp:
- Action: Mark Routing
- New Routing Mark: To-WG-HK (chọn Routing Table bạn đã tạo ở bước IV.1
Với các thiết lập này, tất cả các gói tin xuất phát từ mạng nội bộ sẽ được xử lý như sau
- Gói tin xuất phát từ
192.168.0.100, truy cập đếnyahoo.com - Mangle Rule sẽ áp dụng Routing Table
To-WG-HK, và sẽ chạy qua InterfaceWireGuard-HK - NAT Rule sẽ xử lý masquarage cho gói tin rời khỏi
WireGuard-HKvà gửi đến VPN server để xử lý tiếp. - Mục Dst. Address được thiết lập để các kết nối nội bộ trong mạng LAN sẽ không đi qua WireGuard.
Lưu ý: Nếu trong mạng nội bộ đang có 1 máy tính chạy AdGuard Home hay Pi-Hole trong nhà để chặn quảng cáo, bạn cần phải chỉnh lại phần Src. Address để loại bỏ IP của máy tính này ra khỏi danh sách, nếu không sẽ bị lỗi DNS không phân giải được tên miền khi kích hoạt VPN.
Ví dụ: IP của máy đang chạy AdGuard Home là 192.168.0.5, mình có thể chỉnh lại phần Src. Address thành 192.168.0.20-192.168.0.199, hoặc bạn có thể giới hạn danh sách chỉ các thiết bị trong danh sách DHCP Client sử dụng VPN bằng cách đổi thành 192.168.0.100-192.168.0.200 (cái này tuỳ thuộc vào cấu hình DHCP hiện tại của bạn mà thay đổi cho phù hợp)
V. Định tuyến tự động chỉ cho mạng quốc tế ra VPN
Với cách thiết lập ở bước IV, mọi kết nối từ trong mạng nội bộ đều sẽ được gửi đến WireGuard VPN Server. Mình sẽ làm thêm 1 bước nữa để phân luồng mạng:
- Truy cập ra quốc tế sẽ chạy qua VPN.
- Truy cập trong nước sẽ đi trực tiếp, không qua VPN.
Nguyên lý hoạt động như sau
- Tạo 1 danh sách tất cả IP của Việt Nam
- Chỉnh lại Mangle Rule: chỉ các truy cập nào không phải đến IP Việt Nam mới chạy qua VPN
1. Tạo danh sách IP Việt Nam
Trong Winbox, bấm vào mục Terminal để truy cập giao diện dòng lệnh. Sau đó nhập vào nội dung trong file sau:
Sau đó, bạn truy cập vào tab Address Lists sẽ thấy danh cách Vietnam IP List bao gồm toàn bộ IP ở Việt Nam
2. Chỉnh sửa Mangle Rule
Tiếp theo, mở lại Mangle Rule đã tạo ở bước IV.4, chuyển qua tab Advanced, phần Dst. Address List: chọn Vietnam IP List, và bấm vào ô vuông phía trước cho nó hiện ra dấu !
Sau đó bấm Apply và OK
3. Kiểm tra kết nối
Mình truy cập vào 2 trang https://speedtest.net và https://speedtest.vn, hai bên sẽ hiện thông tin IP khác nhau:
Server của Speedtest.net nằm ở nước ngoài, nên kết nối được tự động định tuyến qua VPN server của mình nằm ở HostHatch Hong Kong. Do đó mục ISP hiển thị là HostHatch.
Server của Speedtest.vn nằm trong nước, nên được kết nối trực tiếp không qua VPN. Do đó mục thông tin ISP hiển thị đúng tên ISP mình đang dùng: VIETTEL
VI. Cấu hình nâng cao
1. Hẹn giờ kích hoạt VPN
Mình không muốn sử dụng VPN cả ngày mà chỉ muốn nó kích hoạt vào buổi tối từ 18:00 đến 22:00. Dễ thôi, quay lại mục Mangle Rule, vào tab Extra, mục Time, chỉnh giờ lại là xong.
2. Không dùng VPN cho Netflix
Nếu bật VPN, Netflix sẽ tự động chuyển vùng ra khỏi Việt Nam, khiến cho một số phim chỉ dành cho thị trường Việt Nam biến mất khỏi danh sách. Hoặc tệ hơn là không xem được luôn do Netflix chặn VPN. Do đó, mình sẽ cấu hình thêm để cho dịch vụ Netflix không chạy qua VPN.
Sử dụng list IP của Netflix dưới đây để tạo 1 Address List mới
Sau đó tạo 1 Mangle Rule mới như sau:
- Chain: Prerouting
- Source: 192.168.0.101-192.168.0.199
- Dst. Address List: Netflix IP
- Action: Mark Routing
- New Routing Mark: main
Tiếp theo, kéo rule Netflix lên trên cùng để được ưu tiên xử lý trước.
Vậy là xong!
Chúc bạn thiết lập Wireguard VPN trên router Netflix thành công!
Cho mình hỏi, điều gì xảy ra khi server wireguard bị off ( chưa gia hạn vps/sự cố network/… ) nó có tự điều hướng về uplink ISP không bạn nhỉ. Cám ơn bạn
Để đề phòng trường hợp này bạn cần phải thiết lập Failover trên Mikrotik để nếu WireGuard gặp vấn đề, mạng sẽ chuyển qua uplink ISP. Mình chưa có thời gian nghiên cứu Failover trên Mikrotik, bạn có thể tham khảo bài này: https://scoop.co.za/blog/basic-isp-failover-with-mikrotik
Mình nghĩ đơn giản nhất có thể dùng tạm Netwatch tool. Ping tới server VPN. nếu down thì đặt lệnh disable mangle rule là OK?
Cái này hiện tại với bản ROS v7.1 stable thì không hoạt động, chưa rõ nguyên nhân vì sao? Bạn có thể test thử lại giúp xem có hoạt động không nhé. Xin cảm ơn!
Mình đã up lên ROS v7.1 hơn tuần nay và WireGuard vẫn hoạt động bình thường nhé.
Chào bạn, Thuận Bùi
Sau mấy hôm tìm hiểu thì mình đã biết nguyên nhân tại sao không chạy?
– Là do ở phần IP > Routes – Route list, phần check gateway không được phép để là ping (nếu như ở v6 thường hay check ping).
– Check gateway bằng ping chỉ hoạt động khi phần gateway được gán là 1 địa chỉ IP cụ thể (theo như giải thích của chuyên gia trong đội ngũ kỹ thuật hãng Mikrotik).
+ Mình có thêm 1 thắc mắc là:
– nếu sử dụng VPN Wireguard, ở phần Wireguard peer – Allowed address điền là 0.0.0.0/0, address list gán cho inferface wireguard là 10.6.0.2/24 , chạy ok.
– nhưng nếu sử dụng split-tunnel bằng cách đổi Allowed address thành 10.2.0.0/24 (chỉ sử dụng DNS Server của Pi-Hole để chặn quảng cáo mà không chuyển hướng đường truyền qua VPN Server) thì không chạy, vì lúc này dường như Router Mikrotik sẽ không hiểu cái dải 10.2.0.0/24 – cái này cần điều chỉnh ra sao để cho hợp lý bạn nhỉ?
– Vì khi đó, sẽ tạo 2 wireguard -> 1 cái đi VPN -> quốc tế (đã bao gồm chặn quảng cáo), và 1 cái chỉ DNS để chặn quang cáo (trong nước) (failover cho wireguard)
Hi Bạn,
Cám ơn bài chia sẽ rất rõ của bạn.
Nếu thiết lập nâng cao chọn Dst Address khác với VN IP thì lại gặp vấn đề mangle xử lý luôn các destination là LAN IP (được coi là khác IP VN) cũng qua đường đó và không kết nối được mạng LAN. Bạn gặp vấn đề đó chưa? Mình phải tạm thời add nhóm LAN vào IP VN nhưng có vẻ hơi thủ công quá.
Ngoài ra không hiểu sao giao diện IP/Route của mình trên RB4011 V7.1.1 không có tab route table.
1. Nếu thiết lập nâng cao chọn Dst Address khác với VN IP thì lại gặp vấn đề mangle xử lý luôn các destination là LAN IP (được coi là khác IP VN) cũng qua đường đó và không kết nối được mạng LAN ?
–> Cái này mình chưa gặp bao giờ. Tất cả kết nối LAN đều hoạt động bình thường với thiết lập WireGuard thông thường hoặc WireGuard Mangle nâng cao.
2. Ngoài ra không hiểu sao giao diện IP/Route của mình trên RB4011 V7.1.1 không có tab route table.
–> Trên 7.1.1 thì mục Route Table nó chuyển vô Routing –> Tables rồi nhé
Mình nói rõ hơn là trường hợp của mình có nhiều VLAN trong nhóm Address list LAN là source (các vlan cho IoT, private…) nên gặp hiện tượng route theo To-WG routing table.
Mình giải quyết bẳng cách thêm một mangle rule trước đó chọn Source là ‘Address List LAN’ và Destination là ‘Address List LAN’ và routing mark theo ‘main’ routing table.
Cám ơn bạn đã chia sẻ giải pháp.
Hi bạn,
Mình muốn hỏi có cách gì để set up sao cho chỉ dùng đường wireguard khi tốc độ kết nối quá chậm dưới ngưỡng nào đó không. Ý mình là bình thường thì chạy main route. Khi nào chậm quá mới qua VPN?
Cám ơn bạn.
Mình không rõ Mikrotik có sẵn chức năng này không. Nhưng nếu có thì mình cũng không dùng vì việc phải đo tốc mạng liên tục để kiểm tra sẽ gây ảnh hưởng đến độ ổn định của mạng LAN trong nhà. Mình thường tắt mở thủ công hoặc hẹn giờ tự động tắt mở.
Nếu cần thiết lập thì mình sẽ dùng 1 máy ảo: tạo 1 cronjob chạy định kỳ mỗi 60′ hoặc 30′ sử dụng speedtest-cli, rồi dựa vào kết quả kiểm tra sẽ tắt hay mở Mangle Rule của Mikrotik thông qua API: https://wiki.mikrotik.com/wiki/Manual:API
Cám ơn bạn. Ý tưởng này hay, để mình thử cài trên con Pi xem sao
Mình cài Wireguard trên Mikrotik HapAc2 với VPN của 1.1.1.1, mạng nhà đang dùng là VNPT.
Ban ngày dùng thì không sao nhưng khoảng 7-8g tối đổ đi là mạng đi các trang quốc tế rất rất chậm, FB, Shopee, BBC. Thậm chí dùng Wireguard còn chậm hơn khi không dùng (= tắt Wireguard trên Mikrotik).
Bạn có thể hướng dẫn và giải thích cho m tại sao không?
WireGuard mục đích là để tạo VPN, không có gì bảo đảm nó sẽ cải thiện tốc độ bạn nhé. Nếu bạn cài WireGuard trên cái VPS nào bị nhà mạng bóp băng thông thì truy cập thông qua nó sẽ không cải thiện được gì cả.
Bạn phải tìm cái VPS nào mà không bị nhà mạng chặn kết nối thì mới hy vọng cải thiện được tốc độ.
anh Thuận Bùi ơi, cho em hỏi chút
em hiện đang ở Nhật, sử dụng đường truyền cáp quang của Nhật và acc kết nối pppoe họ không có cung cấp, tức là có thể họ thiết lập bên trong moderm hay sao ấy em cũng không rõ.
thì anh Thuận Bùi có thể cho em hỏi với cách là nhận DHCP từ moderm ISP thì dùng cách ở trên của anh có được không anh ?
ý em là PC client –> Router Mikrotik: hAP AC2 (nhận IP DHCP)–> Moderm Cáp quang của nhà cung cấp
mong anh trả lời, em cảm ơn ạ
Làm được hay không thì em nên tự mò là sẽ biết ngay mà. Anh thấy vẫn có thể thiết lập bình thường trên Mikrotik, nó sẽ đóng vai trò làm WireGuard client và phân phối mạng đến PC client trong mạng nội bộ.
Dạ vâng em cảm ơn anh nhiều ạ
tại em đang xem xét nếu làm được thì mới mua router Mikrotik anh ạ
thấy khá thú vị nên chắc em đầu tư 1 cái router về ngâm cứu ạ
cảm ơn anh
Cho em hỏi là làm sao để ip khi truy cập qua 1 trang web thì cho chạy qua vpn còn không thì vẫn sử dụng đường isp ạ
Bạn làm theo hướng dẫn ở phần định tuyến tự động và điều chỉnh lại cho phù hợp với nhu cầu sử dụng.
Bạn cho mình hòi mình set up wireguard theo hướng dẫn của bạn, nhưng giờ mình cần nat port để ra ngoài thì có cách nào cấu hình không nhỉ, vì khi xài mangle đánh dấu gói tin thì cấu hình nat port thông thường không hoạt động nữa. Cám ơn bạn!
Khi kết nối đã đi qua WireGuard thì gói tin không còn đi qua WAN IP của Mikrotik nên NAT không hiệu lực nữa. Nếu bạn muốn NAT port ra ngoài cho server trong LAN thì cần chỉnh sửa lại mục Src. Address hoặc Src. Address List trong Mangle Rule để loại bỏ Server đó ra khỏi phần định tuyến đi qua WireGuard.
có cách nào để mình có thể để server đi qua WG mà vẫn nat được không nhỉ, WG hiện tại mình đang sử dụng cũng hỗ trợ port forward nhưng mình vẫn chưa cấu hình được để có thể thông ra ngoài
Bạn có thể tham khảo bài viết này: https://thuanbui.me/dnat-port-forwarding-wireguard-vpn/ , tuy nhiên mình thiết lập WireGuard client và WireGuard server bằng Docker. Còn cách làm cho WireGuard trên Mikrotik thì chưa có thời gian tìm hiểu.
Chào anh
Em đang có 1 VPS trung quốc, giờ cần cài đặt VPN cho khoảng 20 người sẽ sử dụng
có thể cài trên Mikrotok hoặc openwrt. Yêu cầu vừa vào được mạng trung quốc vừa vào được mạng google. Em cũng có mày mò làm theo các hướng dẫn của anh nhưng không chạy được
Anh có thể hỗ trợ kỹ thuật có thu phí không ạ
Cảm ơn anh
Chào bạn,
Mình gặp 1 vấn đề là khi kết nối wireguard thì 1 sô trang không truy cập được nữa, tắt wg đi thì truy cập bình thường, cũng cấu hình wireguard đó nhưng kết nối trực tiếp trên laptop hoặc điện thoai thì vẫn vào được những trang web mà khi kết nối trên router không vào được.
Bạn có biết lý do là gì không nhỉ?
Cám ơn bạn!
Nếu như khi kết nối WireGuard trên Mikrotik mà tất cả trang đều không truy cập được thì có thể bị lỗi DNS. Còn nếu chỉ 1 số trang bị lỗi thì mình chưa gặp tình trạng này bao giờ rồi.
mình bị với vài nhà cung cấp dịch vụ vpn thôi, mullvad với proton thì mình thấy sử dụng bình thường không lỗi, còn ivpn, vpnac hay mình tự làm server xài server của linode thì bị lỗi này
Dùng Wireguard của VietPN thì không thể truy cập website và app của MB Bank luôn.
Không biết là với Mikrotik có thể cấu hình 2 Wireguard không nhỉ. Mục đích chính của mình là cấu hình VPN của NordVPN, 1 wireguard đi Mỹ, 1 wirdguard đi Anh để định tuyến lưu lượng tương ứng với các app chỉ có ở các nước đó.
Vướng mắc của mình là ở mục IP ADDRESS, mình thấy IP trong file config của cả 2 server Mỹ và Anh là giống nhau, mà address chỉ chọn được 1 interface hoặc là Mỹ, hoặc là Anh mà thôi.
Ở nhà mình thiết lập 2 WireGuard Interface bình thường: 1 đi HongKong, 1 đi Singapore. Còn cách cấu hình cho NordVPN thì mình ko rành, do không xài cái này.
Bạn cấu hình được 2 wireguard có thể do ip address khác nhau, config 2 server mình dùng nó có ip address giống nhau, chỉ khác endpoint và public key nên chỉ chọn được 1 trong 2 server tại 1 thời điểm thôi.
2 cái WireGuard của mình IP Address y hệt nhau, đều là 10.6.0.5/24, cả hai đều kết nối bình thường. https://imgur.com/dPakoSu
Lạ nhỉ. Mình mà tạo 1 address giống nhau là 1 cái màu đỏ báo trùng. Bạn có thể giúp mình các bước làm chi tiết không? Mình đang đau đầu về cái này, 1 cái thì được rồi, 2 cái thì vướng chỗ address
Mình tìm ra nguyên nhân là cái wireguard thứ 2 mình tạo có listen_port giống cái thứ nhất nên cái thứ 2 không chạy được. Không biết trường hợp của bạn có trùng port không? Bạn có ý tưởng gì để khắc phục việc 2 wireguard trùng listen_port hay không? Vì mình dùng 2 wg này đều của nordvpn.
Cái Listen Port của WireGuard Interface mình không tự động chỉnh mà để Mikrotik nó sử dụng giá trị bất kỳ. Do đó Listen Port của 2 cái là khác nhau. Mình thấy thay đổi giá trị của cái Listen Port này không ảnh hưởng gi đến kết nối cả.
Hi anh, tự dưng đọc bài này em lại nghĩ ra có cách nào build openvpn server tự chuyển traffic quốc tế thông qua vpn nước ngoài không?
tức là mình có 1 con VN, 1 con HK, trên HK mình tạo vpn server, trên con VN mình cài client của con HK, và dựng con server để làm tương tự anh, như vậy các device khác connect vào con VN sẽ có output tương tự như bài viết này, không biết là làm được không ?
Ý tưởng sáng tạo quá! Có thể làm được, nhưng mình chưa biết làm sao. Đang suy nghĩ là có thể tìm cái app nào làm Router trên VPS để phân luồng, nhưng cái nào thì chưa có thời gian nghiên cứu.
😀 sau hơn 1 năm rồi em vẫn quay lại đây hóng, có cách nào để setup vpn chaining (đi qua 2 3 lớp vpn) không anh? thực sự là nhu cầu cần nhưng vẫn chưa setup được 😀
Trên lý thuyết là làm được và anh đã thử làm rồi. Nhưng nó phiền phức không cần thiết, và thực tế không có nhu cầu xài nên chỉ mò xong rồi tắt, chưa có hướng dẫn
Có 1 vấn đề sau khi cài đặt wireguard là một số website như github và reddit không hoạt động, nó sử dụng server của fastly.com thì phải và cả fastly cũng không truy cập được. Còn lại thì vô rất mượt mà. Bạn có biết vấn đề này do đâu không. Trên forum của mikrotik cũng có trao đổi nhưng mình không hiểu lắm. Mong được bạn giải đáp.
Cám ơn bạn đã chia sẻ. Mình không biết có vụ này. Mới vừa kiểm tra thì thấy đúng là không vô được Github và Reddit khi kích hoạt Mangle Rule. Để mình mò xem có giải pháp nào không rồi sẽ chia sẻ sau.
MÌnh nhận thấy tất cả kết nối đến web sử dụng server của fastly đều không thể hoặc rất rất chậm. Etsy.com chẳng hạn. Kỳ lạ thật
Đọc bài viết của bạn rất hay và bổ ích. Mình có 1 câu hỏi. Mình có nhu cầu down và up khoảng 50G 1 ngày lên ở 1 web, server của nó đặt tại Nhật thì có áp dụng cách này để down và up vào những giờ cao điểm hay đứt cáp được không. Nếu thuê VPS như bạn giới thiệu ở 1 số bài viết có ổn không.
Bạn có thể dùng cách này để down / up lên server ở bất kỳ đâu. Tuy nhiên cần chú ý đến băng thông (Bandwidth) cho phép của Wireguard server (làm trung gian) và Target server (Server bạn up và down file). 1 ngày 100GB (50GB up + 50GB down) thì 1 tháng là 3TB. Đa số VPS chỉ cho băng thông 1TB / tháng, nếu vượt quá sẽ bị bóp tốc độ hoặc phải trả thêm tiền băng thông.
hi anh, a có thể hướng dẫn làm sao để có thể tạo được file chuẩn bị wireguard không anh! mình vô đâu để tạo tài khoản rồi tạo file chuẩn bị đó anh!
Đây bạn nhé: https://thuanbui.me/wg-easy-wireguard-vpn-server-web-ui/
này là Anh đang hướng dần 1 Wan đúng không Anh
nếu trường hợp mình đang chạy 2 wan hoặc cheat Wan thì mình có cần khai báo thêm gì trong mục firewall nữa không Anh
Anh có thể hướng dẫn thêm được không Anh!
Cảm ơn bài viết chia sẽ của bạn. Mình đã mời bạn 1 ly bia qua tk ACB (hdat84). Bạn cho mình hỏi ở mục Mangle Rule (! 192.168.0.0/24) bạn có giải thích là “Mục Dst. Address được thiết lập để các kết nối nội bộ trong mạng LAN sẽ không đi qua WireGuard.” có nghĩa là các ip ngoài range (100-200) sẽ ko đi qua WireGuard mà đi theo route table Main có phải ko? Nếu mình không có điền phần (! 192.168.0.0/24) thì chuyện gì sẽ xảy ra b?
Cám ơn bạn đã mời bia. Mình giải thích kỹ lại như sau:
Vâng, cảm ơn bạn đã chia sẽ.
Em có một thắc mắc đó chính là line ở SG em là line FPT, ở Bình Dương thì chạy 2 line Viettel và VNPT. Từ SG em tạo Wireguard server, sau đó ở Bình Dương sẽ kết nối Wireguard Client. Thì cho em hỏi làm như vậy là mình đang sử dụng tất cả dịch vụ app, web đồ thì nó sẽ qua line FPT trên SG tại nhà ở Bình Dương đúng không ạ ? Vì em cần phải xài line FPT để coi full kênh qua app FPT, nếu xài line khác thì sẽ bị mất một số kênh quốc tế ạ. Và em hỏi thêm là em sử dụng 2 wan thì lúc setup Wireguard client thì có bắt buộc phải chọn wan nào route tới wireguard không ạ? Em xin cảm ơn
Thì cho em hỏi làm như vậy là mình đang sử dụng tất cả dịch vụ app, web đồ thì nó sẽ qua line FPT trên SG tại nhà ở Bình Dương đúng không ạ –> Đúng nhé!
Và em hỏi thêm là em sử dụng 2 wan thì lúc setup Wireguard client thì có bắt buộc phải chọn wan nào route tới wireguard không ạ
–> Cái này em phải chỉnh lúc cấu hình định tuyến.
Dạ em cảm ơn anh ạ. Sẵn cho em hỏi là có bài nào nói về việc định tuyến WAN qua Wireguard không ạ? Lỡ trong quá trình sử dụng nếu Wireguard server bị down thì có cách nào cho nó tự động failover về WAN để tiếp tục kết nối internet không ạ, nếu có bài thì cho em xin link để thỉnh giáo ạ? Em mới chơi nên chưa biết nhiều lắm ạ. Em cảm ơn anh ạ. Chúc anh sức khỏe ạ.
Dạ xin chào Ad.Mình có làm theo HD y chang bài chúng ta ( chỉ thay IP cho đúng với mạng đang dùng ).Nhưng không hiểu sao mà nó không hoạt động kiểu IP list VN,mà cái nào cũng chạy qua Wireguard ạ.Mình đang dùng Mik 7.12.1
Rất mong bạn nào làm được hoặc Admin có thể cho gợi ý hoặc hướng dẫn
Hi Anh Thuận, em mới dùng wireGuest . Về cơ bản em chỉ cần setup sao cho 1 máy client từ xa về làm việc tại văn phòng. Nhưng wireguest thỉnh thoảng lỗi liên tọi. không hiểu vì sao. Em đã tham khảo về cấu hình cũng như đọc nhiều bài viết nhưng nó vẫn hay bị rất mong được Anh hồi âm và cho em xin con đường sáng
Nếu bị lỗi liên tục thì bạn phải tự tìm ra lỗi và khắc phục. Bản chất WireGuard nó rất ổn định, có thể bạn làm gì sai, hoặc hệ thống có gì đó nó mới lỗi.
Thưa Anh, em chạy trên Microtick bản V7.11.2. Em có cấu hình trên wireguard và khai báo peers. em cũng có khai báo địa chỉ ip trên address List … em đã 2 lần xóa đi cài lại nhưng cứ thỉnh thoảng nó lại đứt ạ. Buồn quá
Bạn có thể thử chỉnh thông số Persistent Keepalive thành 25 ở phần tạo Peer để giữ kết nối liên tục giữa Mikrotik (client) và Wireguard Server.
Hi Anh, em có thể nhờ Anh ngó qua cái cấu hình của em được không ạ. Em có thể liên hệ với Anh qua kênh facebook đc không Anh?
với lại trước lúc đó em cũng có cấu hình L2TP và vẫn còn bật L2TP liệu nó có xung đột không Anh ơi :)) em xin cảm ơn ạ!
Mình chưa dùng L2TP bao giờ nên không rõ nhé. Bạn có thể tắt nó đi nếu khôgn còn nhu cầu sử dụng để khỏi lo xung đột.
Bạn cho hỏi, mình cài đặt theo bạn thì truy cập được web nhưng rất chậm và package rớt liên tục. Đã kiểm tra cài đặt nhiều lần mà vẫn vậy. Bạn cho hỏi cần phải kiểm tra gì khác không? Đã thử nhiều máy, routerós 7.15.1 model hAP AC2
Bạn nên thử server VPN khác. Chậm có thể là do VPN Server.
Chào bạn, cho mình hỏi ip netflix này mình add vào rồi, nhưng khi vào netflix bị nhảy sang ip WireguardVPN. Có thể lâu chưa update thêm ip mới của netflix, bạn có thể hướng dẫn mình cách lấy ip cho netflix không?
Bạn google “netflix ip list” để lấy danh sách IP mới và cập nhật lại
Dear anh Thuan Bui,
– Mình muốn hỏi thăm chút. Mình đang quản lý hệ thống camera và nas synology gồm 8 điểm Internet riêng biệt không có kết nối với nhau. Các điểm này có đăng ký ip tĩnh và sử dụng router mirotik.
– Mình đang muốn đưa các thiết bị nas về 1 điểm chính. Và kết nối các điểm mạng này bằng vpn hoặc wirequard bằng cách setup trên router mirotik này thông giữa các điểm với nhau thì có được không ạ.
– Nếu được thì nhờ anh hướng dẫn giúp với ạ
– Cảm ơn anh nhiều
Bạn tham khảo dùng Tailscale https://thuanbui.me/tailscale-vpn/
Cho mình hỏi, mình có trường hợp sau là: mình có VPS với public ip, mình có Proxmox server được host trên LAN network, và mình có router mikrotik nằm ở giữa
Thì có cách setup nào mà dùng wireguard sẽ cho phép mình kết nối remote từ bên ngoài đi qua IP public của VPS vào mạng LAN trong nhà nhỉ. Mình đã setup Zerotier thử rồi và sài khá ngon, ko biết wireguard có thể đáp ứng được yêu cầu này ko nhỉ ?
Cảm ơn bạn trước ạ.
Theo nhu cầu của bạn thì WireGuard đáp ứng tốt nhé. Bạn tạo tunnel kết nối VPS vào Microtik router. Sau đó dùng Nginx Proxy Manager / Caddy để tạo Reverse Proxy trên VPS, và chuyển hướng về LAN network. Tuy nhiên, cách này rắc rối không cần thiết. Zerotier hoặc Tailscale tiện lợi hơn nhiều.
Thank bạn nha, mình đã làm được mà dùng theo 1 cách khác nữa.
Cho ai muốn làm thử thì làm theo cách trên và cách này đều sẽ ok nha:
Các bạn có thể google: procustodibus hub-is-also-a-site-gateway, nó sẽ dẫn tới thêm vài cách khác về setup wireshark.
Cách này làm khá tốn công, nên mình nghĩ cứ theo Thuận Bùi chỉ dùng zerotier và tailscale chắc sẽ dễ hơn
em có làm y hệt bài viết mà không vào web được, em có dùng adguard home. không biết có phải do adguard không. Tắt mangle rule thì lại vào bình thường
Tùy thuộc vào cấu hình mạng ở nhà mà bạn cần phải chỉnh lại phần cấu hình cho phù hợp: Lưu ý: Nếu trong mạng nội bộ đang có 1 máy tính chạy AdGuard Home hay Pi-Hole trong nhà để chặn quảng cáo, bạn cần phải chỉnh lại phần Src. Address để loại bỏ IP của máy tính này ra khỏi danh sách, nếu không sẽ bị lỗi DNS không phân giải được tên miền khi kích hoạt VPN.