Mạng mẽo ở Việt Nam “đứt cáp” liên tục khiến kết nối ra quốc tế chập chờn, chậm chạp rùa bò không chịu nổi. Để giải quyết tình trạng này, mình thường thiết lập VPN Server trên 1 VPS ở Hong Kong / Japan / Korea để chuyển hướng kết nối qua VPN. Tốc độ truy cập mạng quốc tế được cải thiện ngay lập tức.

Tuy nhiên, vẫn còn đó những hạn chế:

  • Chỉ các máy tính / máy tính được cấu hình VPN Client mới có thể kết nối đến VPN. Nếu trong nhà có nhiều thiết bị, việc cấu hình sẽ vừa mất thời gian, vừa khó quản lý.
  • Không cấu hình VPN Client được cho các thiết bị thông minh như Smart TV, Google Home, Alexa,…
  • Kết nối đến các website trong nước cũng bị chuyển hướng đến VPN ảnh hưởng đến tốc độ.

Làm sao để cấu hình tất cả thiết bị mạng trong nhà đều được chuyển hướng kết nối đến VPN Server tự động mà không cần phải cấu hình từng thiết bị? Làm sao định tuyến tự động dịch vụ mạng quốc tế thông qua VPN, còn mạng trong nước vẫn duy trì kết nối trực tiếp, không chạy qua VPN?

Nếu bạn đang sử dụng router Mikrotik, bài viết này sẽ hướng dẫn bạn xử lý hai vấn đề trên. Đầu tiên mình sẽ hướng dẫn cách cấu hình WireGuard VPN trên router Mikrotik. Sau đó, mình sẽ hướng dẫn cách định tuyến tự động cho dịch vụ mạng quốc tế chạy qua VPN.

I. Yêu cầu thiết bị

  • Router Mikrotik: RB750Gr3, hAP AC2,… đã được cấu hình cho mạng nội bộ trong nhà.
  • 1 VPS đã được thiết lập WireGuard Server. Bạn có thể tham khảo hướng dẫn dưới đây để tạo VPN Server miễn phí
Hướng dẫn thiết lập VPN Server miễn phí với Oracle Cloud VPS

II. Cập nhật lên RouterOS 7

Router mạng mình đang sử dụng là Mikrotik RB750Gr3, đang chạy RouterOS 6. Để cấu hình WireGuard VPN trên Mikrotik, bắt buộc bạn phải nâng cấp lên RouterOS 7.

Phiên bản RouterOS 7 này hiện vẫn đang được phát triển, chưa ra mắt bản Stable nên có thể vẫn còn gặp 1 số lỗi vặt. Bạn cần cân nhắc nếu đang dùng cho mạng công ty, doanh nghiệp. Còn mình sử dụng ở nhà bản 7.1rc4 hơn 2 tháng nay và không gặp vấn đề nào cả.

Cập nhật 10/2022: Bài viết đã được chỉnh sửa cho phù hợp với bản RouterOS 7.5 trở về sau

1. Backup cấu hình

Trước khi nâng cấp lên RouterOS 7, bạn nên lưu lại cấu hình hiện tại đề phòng bất trắc, nếu gặp lỗi sẽ phục hồi lại nhanh hơn.

Mở Winbox, kết nối vào router Mikrotik

  1. Bấm vào mục Files ở menu bên trái
  2. Bấm vào nút Backup
  3. Nhập tên (Name), mật khẩu (Password) cho bản backup
  4. Bấm Backup để lưu lại

Tiếp theo, bấm chuột phải trên file backup vừa lưu lại và chọn Download để tải về máy tính.

2. Cập nhật firmware

Bạn bấm vào mục System –> Packages và thao tác tiếp như sau

  1. Bấm Check for Updates
  2. Chọn Channel: development
  3. Bấm Check for Updates và bấm tiếp Download&Install để tải và cài đặt fimware mới nhất

Đợi vài phút cho Router cài đặt và khởi động lại. Quay lại mục Packages, bạn sẽ thấy thông tin firmware mới nhất: Version 7.1rc4

III. Cấu hình WireGuard trên Mikrotik

1. Chuẩn bị file Wireguard Client

Trước tiên, bạn cần phải truy cập WireGuard VPN Server để tạo 1 Client mới dành cho Mikrotik và tải file conf về. Nội dung file sẽ tương tự như dưới đây.

[Interface]
PrivateKey = UDbFxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxaN9Oms=
Address = 10.6.0.2/24
DNS = 10.2.0.100

[Peer]
PublicKey = e/VZhqIyyyyyyyyyyyyyyyyyyyyyyyyy/4wS37B5x8QMxg=
PresharedKey = 5XvmWvYUm2xxxxxxxxxxxxxxxxxxxxxxxxxxxlgYPoFzj8Q618=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 146.ooo.iii.eee:51820
PersistentKeepalive = 0Code language: YAML (yaml)

Chúng ta sẽ dùng thông tin trong file conf này để cấu hình WireGuard client trên router Mikrotik

2. Tạo WireGuard Interface

Trong WinBox, bạn truy cập vào mục WireGuard theo các bước sau

  1. Bấm vào mục WireGuard ở Menu bên trái
  2. Bấm dấu +
  3. Đặt tên (Name) và điền vào Private Key (lấy trong file cấu hình ở trên)
  1. Bấm vào tab Peers
  2. Bấm dấu + để tạo Peer
  3. Nhập vào các thông tin Public Key, Endpoint, Endpoint Port, Allowed Address, Preshared Key. Tất cả đều có trong file cấu hình WireGuard client ở bước trên.

Sau đó bấm OK để lưu lại

3. Tạo Address List

Truy cập vào mục Address List (Bấm vào menu IP –> Address List)

  1. Bấm dấu +
  2. Nhập vào dãy IP Address trong file cấu hình ở bước 1
  3. Interface: chọn interface WireGuard vừa tạo ở bước 2

Bấm Apply và OK để lưu lại.

IV. Cấu hình Routing cho WireGuard

1. Tạo Route List

Bấm vào menu Routing – Table để Routing Table mới cho WireGuard

  1. Bấm vào dấu +
  2. Đặt tên cho Routing Table tuỳ ý bạn. Mình chọn To-WG-HK
  3. Tick chọn ô FIB

Bấm Apply và OK để lưu lại.

Bấm tiếp vào mục IP –> Routes để cấu hình định tuyến

  1. Bấm vào dấu +
  2. Thiết lập thông số như sau:
    • Dst Address: 0.0.0.0/0
    • Gateway: tên của Wireguard Interface bạn tạo ở bước III.2
    • Routing Table: chọn Table bạn vừa tạo ở bước trên

Bấm Apply và OK để lưu lại

3. Tạo NAT Rule

Truy cập tiếp vào mục Firewall (menu IP –> Firewall), bấm vào tab NAT và bấm dấu + để tạo NAT Rule mới cho WireGuard Interface

  • Chain: srcnat
  • Out. Interface: WireGuard
  • Action: masquarage
  • Comment: Wireguard Internet Access

Bấm Apply và OK để lưu lại

Tiếp theo, kéo NAT Rule mới tạo này lên vị trí thứ hai, nằm sau Rule của PPPoE Internet.

4. Tạo Mangle Rule

Mangle là 1 tính năng của Mikrotik giúp đánh dấu gói tin để xử lý tuỳ theo các điều kiện thiết lập trước. Chúng ta sẽ cần tạo 1 Mangle Rule để chuyển hướng các kết nối mạng đi qua WireGuard VPN.

Các chế độ hoạt động (Chain) của Mangle Rule

Mở cửa sổ Firewall và tạo Mangle Rule theo các bước sau

  1. Bấm vào tab Mangle
  2. Bấm vào dấu +
  3. Nhập thông số:
    • Chain: prerouting
    • Src. Address: 192.168.0.100-192.168.0.200 là dãy IP nội bộ mình muốn chạy qua WireGuard.
    • Dst. Address: 192.168.0.0/24 là dãy IP nội bộ trong nhà, bấm tick vào ô phía trước để hiện hình dấu chấm than.
  4. Bấm qua tab Action, chọn tiếp:
    • Action: Mark Routing
    • New Routing Mark: To-WG-HK (chọn Routing Table bạn đã tạo ở bước IV.1

Với các thiết lập này, tất cả các gói tin xuất phát từ mạng nội bộ sẽ được xử lý như sau

  1. Gói tin xuất phát từ 192.168.0.100, truy cập đến yahoo.com
  2. Mangle Rule sẽ áp dụng Routing Table To-WG-HK, và sẽ chạy qua Interface WireGuard-HK
  3. NAT Rule sẽ xử lý masquarage cho gói tin rời khỏi WireGuard-HK và gửi đến VPN server để xử lý tiếp.
  4. Mục Dst. Address được thiết lập để các kết nối nội bộ trong mạng LAN sẽ không đi qua WireGuard.

Lưu ý: Nếu trong mạng nội bộ đang có 1 máy tính chạy AdGuard Home hay Pi-Hole trong nhà để chặn quảng cáo, bạn cần phải chỉnh lại phần Src. Address để loại bỏ IP của máy tính này ra khỏi danh sách, nếu không sẽ bị lỗi DNS không phân giải được tên miền khi kích hoạt VPN.

Ví dụ: IP của máy đang chạy AdGuard Home là 192.168.0.5, mình có thể chỉnh lại phần Src. Address thành 192.168.0.20-192.168.0.199, hoặc bạn có thể giới hạn danh sách chỉ các thiết bị trong danh sách DHCP Client sử dụng VPN bằng cách đổi thành 192.168.0.100-192.168.0.200 (cái này tuỳ thuộc vào cấu hình DHCP hiện tại của bạn mà thay đổi cho phù hợp)

V. Định tuyến tự động chỉ cho mạng quốc tế ra VPN

Với cách thiết lập ở bước IV, mọi kết nối từ trong mạng nội bộ đều sẽ được gửi đến WireGuard VPN Server. Mình sẽ làm thêm 1 bước nữa để phân luồng mạng:

  • Truy cập ra quốc tế sẽ chạy qua VPN.
  • Truy cập trong nước sẽ đi trực tiếp, không qua VPN.

Nguyên lý hoạt động như sau

  • Tạo 1 danh sách tất cả IP của Việt Nam
  • Chỉnh lại Mangle Rule: chỉ các truy cập nào không phải đến IP Việt Nam mới chạy qua VPN

1. Tạo danh sách IP Việt Nam

Trong Winbox, bấm vào mục Terminal để truy cập giao diện dòng lệnh. Sau đó nhập vào nội dung trong file sau:

https://gist.githubusercontent.com/10h30/4f1e8600b56522259e018df5524c80fc/raw/9b77e67edfa38da277c1c372a99dae7b09d29062/mirotik-vietnam-ip-address-list

Sau đó, bạn truy cập vào tab Address Lists sẽ thấy danh cách Vietnam IP List bao gồm toàn bộ IP ở Việt Nam

2. Chỉnh sửa Mangle Rule

Tiếp theo, mở lại Mangle Rule đã tạo ở bước IV.4, chuyển qua tab Advanced, phần Dst. Address List: chọn Vietnam IP List, và bấm vào ô vuông phía trước cho nó hiện ra dấu !

Sau đó bấm Apply và OK

3. Kiểm tra kết nối

Mình truy cập vào 2 trang https://speedtest.nethttps://speedtest.vn, hai bên sẽ hiện thông tin IP khác nhau:

Server của Speedtest.net nằm ở nước ngoài, nên kết nối được tự động định tuyến qua VPN server của mình nằm ở HostHatch Hong Kong. Do đó mục ISP hiển thị là HostHatch.

Server của Speedtest.vn nằm trong nước, nên được kết nối trực tiếp không qua VPN. Do đó mục thông tin ISP hiển thị đúng tên ISP mình đang dùng: VIETTEL

VI. Cấu hình nâng cao

1. Hẹn giờ kích hoạt VPN

Mình không muốn sử dụng VPN cả ngày mà chỉ muốn nó kích hoạt vào buổi tối từ 18:00 đến 22:00. Dễ thôi, quay lại mục Mangle Rule, vào tab Extra, mục Time, chỉnh giờ lại là xong.

2. Không dùng VPN cho Netflix

Nếu bật VPN, Netflix sẽ tự động chuyển vùng ra khỏi Việt Nam, khiến cho một số phim chỉ dành cho thị trường Việt Nam biến mất khỏi danh sách. Hoặc tệ hơn là không xem được luôn do Netflix chặn VPN. Do đó, mình sẽ cấu hình thêm để cho dịch vụ Netflix không chạy qua VPN.

Sử dụng list IP của Netflix dưới đây để tạo 1 Address List mới

https://gist.githubusercontent.com/10h30/53d4f9ceed315683752e1bd7c2b44569/raw/ea74b5f5b77cc90fe87f31fa803d253024decc29/netflix-ip-list

Sau đó tạo 1 Mangle Rule mới như sau:

  • Chain: Prerouting
  • Source: 192.168.0.101-192.168.0.199
  • Dst. Address List: Netflix IP
  • Action: Mark Routing
  • New Routing Mark: main

Tiếp theo, kéo rule Netflix lên trên cùng để được ưu tiên xử lý trước.

Vậy là xong!

Chúc bạn thiết lập Wireguard VPN trên router Netflix thành công!

Bài viết liên quan

Freelancer

Runner at Yêu Chạy Bộ. Blogger at Ba Lô & Dép Lào. Web Developer at TB's Blog.

Nếu bạn cần hỗ trợ kỹ thuật miễn phí, vui lòng gửi câu hỏi trực tiếp ở phần Thảo luận bên dưới, mình sẽ trả lời trong thời gian sớm nhất.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *


75 Comments

  1. Cho mình hỏi, điều gì xảy ra khi server wireguard bị off ( chưa gia hạn vps/sự cố network/… ) nó có tự điều hướng về uplink ISP không bạn nhỉ. Cám ơn bạn

    Bình luận

  2. Cái này hiện tại với bản ROS v7.1 stable thì không hoạt động, chưa rõ nguyên nhân vì sao? Bạn có thể test thử lại giúp xem có hoạt động không nhé. Xin cảm ơn!

    Bình luận

      1. Chào bạn, Thuận Bùi

        Sau mấy hôm tìm hiểu thì mình đã biết nguyên nhân tại sao không chạy?

        – Là do ở phần IP > Routes – Route list, phần check gateway không được phép để là ping (nếu như ở v6 thường hay check ping).

        – Check gateway bằng ping chỉ hoạt động khi phần gateway được gán là 1 địa chỉ IP cụ thể (theo như giải thích của chuyên gia trong đội ngũ kỹ thuật hãng Mikrotik).

        + Mình có thêm 1 thắc mắc là:
        – nếu sử dụng VPN Wireguard, ở phần Wireguard peer – Allowed address điền là 0.0.0.0/0, address list gán cho inferface wireguard là 10.6.0.2/24 , chạy ok.
        – nhưng nếu sử dụng split-tunnel bằng cách đổi Allowed address thành 10.2.0.0/24 (chỉ sử dụng DNS Server của Pi-Hole để chặn quảng cáo mà không chuyển hướng đường truyền qua VPN Server) thì không chạy, vì lúc này dường như Router Mikrotik sẽ không hiểu cái dải 10.2.0.0/24 – cái này cần điều chỉnh ra sao để cho hợp lý bạn nhỉ?
        – Vì khi đó, sẽ tạo 2 wireguard -> 1 cái đi VPN -> quốc tế (đã bao gồm chặn quảng cáo), và 1 cái chỉ DNS để chặn quang cáo (trong nước) (failover cho wireguard)

        2
        Bình luận

      2. Hi Bạn,
        Cám ơn bài chia sẽ rất rõ của bạn.
        Nếu thiết lập nâng cao chọn Dst Address khác với VN IP thì lại gặp vấn đề mangle xử lý luôn các destination là LAN IP (được coi là khác IP VN) cũng qua đường đó và không kết nối được mạng LAN. Bạn gặp vấn đề đó chưa? Mình phải tạm thời add nhóm LAN vào IP VN nhưng có vẻ hơi thủ công quá.
        Ngoài ra không hiểu sao giao diện IP/Route của mình trên RB4011 V7.1.1 không có tab route table.

        Bình luận

        1. 1. Nếu thiết lập nâng cao chọn Dst Address khác với VN IP thì lại gặp vấn đề mangle xử lý luôn các destination là LAN IP (được coi là khác IP VN) cũng qua đường đó và không kết nối được mạng LAN ?
          –> Cái này mình chưa gặp bao giờ. Tất cả kết nối LAN đều hoạt động bình thường với thiết lập WireGuard thông thường hoặc WireGuard Mangle nâng cao.
          2. Ngoài ra không hiểu sao giao diện IP/Route của mình trên RB4011 V7.1.1 không có tab route table.
          –> Trên 7.1.1 thì mục Route Table nó chuyển vô Routing –> Tables rồi nhé

          Bình luận

          1. Mình nói rõ hơn là trường hợp của mình có nhiều VLAN trong nhóm Address list LAN là source (các vlan cho IoT, private…) nên gặp hiện tượng route theo To-WG routing table.
            Mình giải quyết bẳng cách thêm một mangle rule trước đó chọn Source là ‘Address List LAN’ và Destination là ‘Address List LAN’ và routing mark theo ‘main’ routing table.

  3. Hi bạn,
    Mình muốn hỏi có cách gì để set up sao cho chỉ dùng đường wireguard khi tốc độ kết nối quá chậm dưới ngưỡng nào đó không. Ý mình là bình thường thì chạy main route. Khi nào chậm quá mới qua VPN?
    Cám ơn bạn.

    Bình luận

    1. Mình không rõ Mikrotik có sẵn chức năng này không. Nhưng nếu có thì mình cũng không dùng vì việc phải đo tốc mạng liên tục để kiểm tra sẽ gây ảnh hưởng đến độ ổn định của mạng LAN trong nhà. Mình thường tắt mở thủ công hoặc hẹn giờ tự động tắt mở.
      Nếu cần thiết lập thì mình sẽ dùng 1 máy ảo: tạo 1 cronjob chạy định kỳ mỗi 60′ hoặc 30′ sử dụng speedtest-cli, rồi dựa vào kết quả kiểm tra sẽ tắt hay mở Mangle Rule của Mikrotik thông qua API: https://wiki.mikrotik.com/wiki/Manual:API

      Bình luận

  4. Mình cài Wireguard trên Mikrotik HapAc2 với VPN của 1.1.1.1, mạng nhà đang dùng là VNPT.
    Ban ngày dùng thì không sao nhưng khoảng 7-8g tối đổ đi là mạng đi các trang quốc tế rất rất chậm, FB, Shopee, BBC. Thậm chí dùng Wireguard còn chậm hơn khi không dùng (= tắt Wireguard trên Mikrotik).
    Bạn có thể hướng dẫn và giải thích cho m tại sao không?

    Bình luận

    1. WireGuard mục đích là để tạo VPN, không có gì bảo đảm nó sẽ cải thiện tốc độ bạn nhé. Nếu bạn cài WireGuard trên cái VPS nào bị nhà mạng bóp băng thông thì truy cập thông qua nó sẽ không cải thiện được gì cả.
      Bạn phải tìm cái VPS nào mà không bị nhà mạng chặn kết nối thì mới hy vọng cải thiện được tốc độ.

      Bình luận

  5. anh Thuận Bùi ơi, cho em hỏi chút
    em hiện đang ở Nhật, sử dụng đường truyền cáp quang của Nhật và acc kết nối pppoe họ không có cung cấp, tức là có thể họ thiết lập bên trong moderm hay sao ấy em cũng không rõ.
    thì anh Thuận Bùi có thể cho em hỏi với cách là nhận DHCP từ moderm ISP thì dùng cách ở trên của anh có được không anh ?
    ý em là PC client –> Router Mikrotik: hAP AC2 (nhận IP DHCP)–> Moderm Cáp quang của nhà cung cấp
    mong anh trả lời, em cảm ơn ạ

    Bình luận

    1. Làm được hay không thì em nên tự mò là sẽ biết ngay mà. Anh thấy vẫn có thể thiết lập bình thường trên Mikrotik, nó sẽ đóng vai trò làm WireGuard client và phân phối mạng đến PC client trong mạng nội bộ.

      Bình luận

      1. Dạ vâng em cảm ơn anh nhiều ạ

        tại em đang xem xét nếu làm được thì mới mua router Mikrotik anh ạ
        thấy khá thú vị nên chắc em đầu tư 1 cái router về ngâm cứu ạ

        cảm ơn anh

        Bình luận

  7. Bạn cho mình hòi mình set up wireguard theo hướng dẫn của bạn, nhưng giờ mình cần nat port để ra ngoài thì có cách nào cấu hình không nhỉ, vì khi xài mangle đánh dấu gói tin thì cấu hình nat port thông thường không hoạt động nữa. Cám ơn bạn!

    Bình luận

    1. Khi kết nối đã đi qua WireGuard thì gói tin không còn đi qua WAN IP của Mikrotik nên NAT không hiệu lực nữa. Nếu bạn muốn NAT port ra ngoài cho server trong LAN thì cần chỉnh sửa lại mục Src. Address hoặc Src. Address List trong Mangle Rule để loại bỏ Server đó ra khỏi phần định tuyến đi qua WireGuard.

      Bình luận

      1. có cách nào để mình có thể để server đi qua WG mà vẫn nat được không nhỉ, WG hiện tại mình đang sử dụng cũng hỗ trợ port forward nhưng mình vẫn chưa cấu hình được để có thể thông ra ngoài

        Bình luận

  8. Chào anh
    Em đang có 1 VPS trung quốc, giờ cần cài đặt VPN cho khoảng 20 người sẽ sử dụng
    có thể cài trên Mikrotok hoặc openwrt. Yêu cầu vừa vào được mạng trung quốc vừa vào được mạng google. Em cũng có mày mò làm theo các hướng dẫn của anh nhưng không chạy được
    Anh có thể hỗ trợ kỹ thuật có thu phí không ạ
    Cảm ơn anh

    Bình luận

  9. Chào bạn,
    Mình gặp 1 vấn đề là khi kết nối wireguard thì 1 sô trang không truy cập được nữa, tắt wg đi thì truy cập bình thường, cũng cấu hình wireguard đó nhưng kết nối trực tiếp trên laptop hoặc điện thoai thì vẫn vào được những trang web mà khi kết nối trên router không vào được.
    Bạn có biết lý do là gì không nhỉ?
    Cám ơn bạn!

    Bình luận

    1. Nếu như khi kết nối WireGuard trên Mikrotik mà tất cả trang đều không truy cập được thì có thể bị lỗi DNS. Còn nếu chỉ 1 số trang bị lỗi thì mình chưa gặp tình trạng này bao giờ rồi.

      Bình luận

      1. mình bị với vài nhà cung cấp dịch vụ vpn thôi, mullvad với proton thì mình thấy sử dụng bình thường không lỗi, còn ivpn, vpnac hay mình tự làm server xài server của linode thì bị lỗi này

        Bình luận

  10. Không biết là với Mikrotik có thể cấu hình 2 Wireguard không nhỉ. Mục đích chính của mình là cấu hình VPN của NordVPN, 1 wireguard đi Mỹ, 1 wirdguard đi Anh để định tuyến lưu lượng tương ứng với các app chỉ có ở các nước đó.
    Vướng mắc của mình là ở mục IP ADDRESS, mình thấy IP trong file config của cả 2 server Mỹ và Anh là giống nhau, mà address chỉ chọn được 1 interface hoặc là Mỹ, hoặc là Anh mà thôi.

    Bình luận

    1. Ở nhà mình thiết lập 2 WireGuard Interface bình thường: 1 đi HongKong, 1 đi Singapore. Còn cách cấu hình cho NordVPN thì mình ko rành, do không xài cái này.

      Bình luận

      1. Bạn cấu hình được 2 wireguard có thể do ip address khác nhau, config 2 server mình dùng nó có ip address giống nhau, chỉ khác endpoint và public key nên chỉ chọn được 1 trong 2 server tại 1 thời điểm thôi.

        Bình luận

          1. Lạ nhỉ. Mình mà tạo 1 address giống nhau là 1 cái màu đỏ báo trùng. Bạn có thể giúp mình các bước làm chi tiết không? Mình đang đau đầu về cái này, 1 cái thì được rồi, 2 cái thì vướng chỗ address

          2. Mình tìm ra nguyên nhân là cái wireguard thứ 2 mình tạo có listen_port giống cái thứ nhất nên cái thứ 2 không chạy được. Không biết trường hợp của bạn có trùng port không? Bạn có ý tưởng gì để khắc phục việc 2 wireguard trùng listen_port hay không? Vì mình dùng 2 wg này đều của nordvpn.

          3. Cái Listen Port của WireGuard Interface mình không tự động chỉnh mà để Mikrotik nó sử dụng giá trị bất kỳ. Do đó Listen Port của 2 cái là khác nhau. Mình thấy thay đổi giá trị của cái Listen Port này không ảnh hưởng gi đến kết nối cả.

  11. Hi anh, tự dưng đọc bài này em lại nghĩ ra có cách nào build openvpn server tự chuyển traffic quốc tế thông qua vpn nước ngoài không?
    tức là mình có 1 con VN, 1 con HK, trên HK mình tạo vpn server, trên con VN mình cài client của con HK, và dựng con server để làm tương tự anh, như vậy các device khác connect vào con VN sẽ có output tương tự như bài viết này, không biết là làm được không ?

    Bình luận

    1. Ý tưởng sáng tạo quá! Có thể làm được, nhưng mình chưa biết làm sao. Đang suy nghĩ là có thể tìm cái app nào làm Router trên VPS để phân luồng, nhưng cái nào thì chưa có thời gian nghiên cứu.

      Bình luận

      1. 😀 sau hơn 1 năm rồi em vẫn quay lại đây hóng, có cách nào để setup vpn chaining (đi qua 2 3 lớp vpn) không anh? thực sự là nhu cầu cần nhưng vẫn chưa setup được 😀

        Bình luận

        1. Trên lý thuyết là làm được và anh đã thử làm rồi. Nhưng nó phiền phức không cần thiết, và thực tế không có nhu cầu xài nên chỉ mò xong rồi tắt, chưa có hướng dẫn

          Bình luận

  12. Có 1 vấn đề sau khi cài đặt wireguard là một số website như github và reddit không hoạt động, nó sử dụng server của fastly.com thì phải và cả fastly cũng không truy cập được. Còn lại thì vô rất mượt mà. Bạn có biết vấn đề này do đâu không. Trên forum của mikrotik cũng có trao đổi nhưng mình không hiểu lắm. Mong được bạn giải đáp.

    Bình luận

    1. Cám ơn bạn đã chia sẻ. Mình không biết có vụ này. Mới vừa kiểm tra thì thấy đúng là không vô được Github và Reddit khi kích hoạt Mangle Rule. Để mình mò xem có giải pháp nào không rồi sẽ chia sẻ sau.

      Bình luận

  13. Đọc bài viết của bạn rất hay và bổ ích. Mình có 1 câu hỏi. Mình có nhu cầu down và up khoảng 50G 1 ngày lên ở 1 web, server của nó đặt tại Nhật thì có áp dụng cách này để down và up vào những giờ cao điểm hay đứt cáp được không. Nếu thuê VPS như bạn giới thiệu ở 1 số bài viết có ổn không.

    Bình luận

    1. Bạn có thể dùng cách này để down / up lên server ở bất kỳ đâu. Tuy nhiên cần chú ý đến băng thông (Bandwidth) cho phép của Wireguard server (làm trung gian) và Target server (Server bạn up và down file). 1 ngày 100GB (50GB up + 50GB down) thì 1 tháng là 3TB. Đa số VPS chỉ cho băng thông 1TB / tháng, nếu vượt quá sẽ bị bóp tốc độ hoặc phải trả thêm tiền băng thông.

      1
      Bình luận

  14. hi anh, a có thể hướng dẫn làm sao để có thể tạo được file chuẩn bị wireguard không anh! mình vô đâu để tạo tài khoản rồi tạo file chuẩn bị đó anh!

    Bình luận

  15. này là Anh đang hướng dần 1 Wan đúng không Anh
    nếu trường hợp mình đang chạy 2 wan hoặc cheat Wan thì mình có cần khai báo thêm gì trong mục firewall nữa không Anh
    Anh có thể hướng dẫn thêm được không Anh!

    Bình luận

  16. Cảm ơn bài viết chia sẽ của bạn. Mình đã mời bạn 1 ly bia qua tk ACB (hdat84). Bạn cho mình hỏi ở mục Mangle Rule (! 192.168.0.0/24) bạn có giải thích là “Mục Dst. Address được thiết lập để các kết nối nội bộ trong mạng LAN sẽ không đi qua WireGuard.” có nghĩa là các ip ngoài range (100-200) sẽ ko đi qua WireGuard mà đi theo route table Main có phải ko? Nếu mình không có điền phần (! 192.168.0.0/24) thì chuyện gì sẽ xảy ra b?

    Bình luận

    1. Cám ơn bạn đã mời bia. Mình giải thích kỹ lại như sau:

      • Src. Address: 192.168.0.100-192.168.0.200 : mục này có nghĩa là chỉ những máy nào trong mạng LAN có IP nằm trong dải này mới đi áp dụng Mangle Rule. Cái nào nằm ngoài dải này thì luôn luôn đi qua route table Main.
      • Dst. Address: 192.168.0.0/24, bấm tick vào ô phía trước để hiện hình dấu chấm than: mục này nhằm phòng tránh trường hợp các máy trong mạng LAN muốn liên hệ với nhau, nhưng lại bị Mangle Rule ép đi qua WireGuard. Ví dụ: 1 máy trong mạng LAN,IP 192.168.0.101, muốn truy cập tới 1 máy khác có IP 192.168.0.200, nếu không chỉnh Dst Address, Mangle Rule sẽ tự động đẩy nó đi route table WG, và sẽ không kết nối được.
      Bình luận

  17. Em có một thắc mắc đó chính là line ở SG em là line FPT, ở Bình Dương thì chạy 2 line Viettel và VNPT. Từ SG em tạo Wireguard server, sau đó ở Bình Dương sẽ kết nối Wireguard Client. Thì cho em hỏi làm như vậy là mình đang sử dụng tất cả dịch vụ app, web đồ thì nó sẽ qua line FPT trên SG tại nhà ở Bình Dương đúng không ạ ? Vì em cần phải xài line FPT để coi full kênh qua app FPT, nếu xài line khác thì sẽ bị mất một số kênh quốc tế ạ. Và em hỏi thêm là em sử dụng 2 wan thì lúc setup Wireguard client thì có bắt buộc phải chọn wan nào route tới wireguard không ạ? Em xin cảm ơn

    Bình luận

    1. Thì cho em hỏi làm như vậy là mình đang sử dụng tất cả dịch vụ app, web đồ thì nó sẽ qua line FPT trên SG tại nhà ở Bình Dương đúng không ạ –> Đúng nhé!
      Và em hỏi thêm là em sử dụng 2 wan thì lúc setup Wireguard client thì có bắt buộc phải chọn wan nào route tới wireguard không ạ
      –> Cái này em phải chỉnh lúc cấu hình định tuyến.

      1
      Bình luận

  18. Dạ em cảm ơn anh ạ. Sẵn cho em hỏi là có bài nào nói về việc định tuyến WAN qua Wireguard không ạ? Lỡ trong quá trình sử dụng nếu Wireguard server bị down thì có cách nào cho nó tự động failover về WAN để tiếp tục kết nối internet không ạ, nếu có bài thì cho em xin link để thỉnh giáo ạ? Em mới chơi nên chưa biết nhiều lắm ạ. Em cảm ơn anh ạ. Chúc anh sức khỏe ạ.

    Bình luận

  19. Dạ xin chào Ad.Mình có làm theo HD y chang bài chúng ta ( chỉ thay IP cho đúng với mạng đang dùng ).Nhưng không hiểu sao mà nó không hoạt động kiểu IP list VN,mà cái nào cũng chạy qua Wireguard ạ.Mình đang dùng Mik 7.12.1
    Rất mong bạn nào làm được hoặc Admin có thể cho gợi ý hoặc hướng dẫn

    2
    Bình luận

  20. Hi Anh Thuận, em mới dùng wireGuest . Về cơ bản em chỉ cần setup sao cho 1 máy client từ xa về làm việc tại văn phòng. Nhưng wireguest thỉnh thoảng lỗi liên tọi. không hiểu vì sao. Em đã tham khảo về cấu hình cũng như đọc nhiều bài viết nhưng nó vẫn hay bị rất mong được Anh hồi âm và cho em xin con đường sáng

    Bình luận

    1. Nếu bị lỗi liên tục thì bạn phải tự tìm ra lỗi và khắc phục. Bản chất WireGuard nó rất ổn định, có thể bạn làm gì sai, hoặc hệ thống có gì đó nó mới lỗi.

      Bình luận

      1. Thưa Anh, em chạy trên Microtick bản V7.11.2. Em có cấu hình trên wireguard và khai báo peers. em cũng có khai báo địa chỉ ip trên address List … em đã 2 lần xóa đi cài lại nhưng cứ thỉnh thoảng nó lại đứt ạ. Buồn quá

        Bình luận

        1. Bạn có thể thử chỉnh thông số Persistent Keepalive thành 25 ở phần tạo Peer để giữ kết nối liên tục giữa Mikrotik (client) và Wireguard Server.

          Bình luận

          1. Hi Anh, em có thể nhờ Anh ngó qua cái cấu hình của em được không ạ. Em có thể liên hệ với Anh qua kênh facebook đc không Anh?

          2. với lại trước lúc đó em cũng có cấu hình L2TP và vẫn còn bật L2TP liệu nó có xung đột không Anh ơi :)) em xin cảm ơn ạ!

          3. Mình chưa dùng L2TP bao giờ nên không rõ nhé. Bạn có thể tắt nó đi nếu khôgn còn nhu cầu sử dụng để khỏi lo xung đột.

  21. Bạn cho hỏi, mình cài đặt theo bạn thì truy cập được web nhưng rất chậm và package rớt liên tục. Đã kiểm tra cài đặt nhiều lần mà vẫn vậy. Bạn cho hỏi cần phải kiểm tra gì khác không? Đã thử nhiều máy, routerós 7.15.1 model hAP AC2

    Bình luận

  22. Chào bạn, cho mình hỏi ip netflix này mình add vào rồi, nhưng khi vào netflix bị nhảy sang ip WireguardVPN. Có thể lâu chưa update thêm ip mới của netflix, bạn có thể hướng dẫn mình cách lấy ip cho netflix không?

    Bình luận

  23. Dear anh Thuan Bui,
    – Mình muốn hỏi thăm chút. Mình đang quản lý hệ thống camera và nas synology gồm 8 điểm Internet riêng biệt không có kết nối với nhau. Các điểm này có đăng ký ip tĩnh và sử dụng router mirotik.
    – Mình đang muốn đưa các thiết bị nas về 1 điểm chính. Và kết nối các điểm mạng này bằng vpn hoặc wirequard bằng cách setup trên router mirotik này thông giữa các điểm với nhau thì có được không ạ.
    – Nếu được thì nhờ anh hướng dẫn giúp với ạ
    – Cảm ơn anh nhiều

    Bình luận

  24. Cho mình hỏi, mình có trường hợp sau là: mình có VPS với public ip, mình có Proxmox server được host trên LAN network, và mình có router mikrotik nằm ở giữa

    Thì có cách setup nào mà dùng wireguard sẽ cho phép mình kết nối remote từ bên ngoài đi qua IP public của VPS vào mạng LAN trong nhà nhỉ. Mình đã setup Zerotier thử rồi và sài khá ngon, ko biết wireguard có thể đáp ứng được yêu cầu này ko nhỉ ?

    Cảm ơn bạn trước ạ.

    Bình luận

    1. Theo nhu cầu của bạn thì WireGuard đáp ứng tốt nhé. Bạn tạo tunnel kết nối VPS vào Microtik router. Sau đó dùng Nginx Proxy Manager / Caddy để tạo Reverse Proxy trên VPS, và chuyển hướng về LAN network. Tuy nhiên, cách này rắc rối không cần thiết. Zerotier hoặc Tailscale tiện lợi hơn nhiều.

      1
      Bình luận

      1. Thank bạn nha, mình đã làm được mà dùng theo 1 cách khác nữa.
        Cho ai muốn làm thử thì làm theo cách trên và cách này đều sẽ ok nha:

        Các bạn có thể google: procustodibus hub-is-also-a-site-gateway, nó sẽ dẫn tới thêm vài cách khác về setup wireshark.

        Cách này làm khá tốn công, nên mình nghĩ cứ theo Thuận Bùi chỉ dùng zerotier và tailscale chắc sẽ dễ hơn

        Bình luận

  25. em có làm y hệt bài viết mà không vào web được, em có dùng adguard home. không biết có phải do adguard không. Tắt mangle rule thì lại vào bình thường

    Bình luận

    1. Tùy thuộc vào cấu hình mạng ở nhà mà bạn cần phải chỉnh lại phần cấu hình cho phù hợp: Lưu ý: Nếu trong mạng nội bộ đang có 1 máy tính chạy AdGuard Home hay Pi-Hole trong nhà để chặn quảng cáo, bạn cần phải chỉnh lại phần Src. Address để loại bỏ IP của máy tính này ra khỏi danh sách, nếu không sẽ bị lỗi DNS không phân giải được tên miền khi kích hoạt VPN.

      Bình luận

  26. Anh ơi cho em hỏi chút là khi em tạo Mangle để dải IP đi ra VPN thì có hiện tượng không vào được internet mặc dù ping vẫn thông. E thấy WG có chạy lưu lượng ( em dùng WG từ surfshark ạ)

    Bình luận

Bạn cần hỗ trợ kỹ thuật chuyên sâu?

Khám phá các gói dịch vụ giúp bạn tối ưu công việc và vận hành hệ thống hiệu quả hơn. Từ chăm sóc website đến hỗ trợ kỹ thuật, mọi thứ đều linh hoạt và phù hợp với nhu cầu của bạn.

XEM THÊM DỊCH VỤ