Bỏ qua nội dung
Blog

Quản lý Mikrotik của bạn với WireGuard

Tóm tắt
Hướng dẫn WireGuard thực tế: thiết lập máy chủ VPS, cấu hình client MikroTik, quảng bá tuyến mạng con, và thực hành bảo mật để truy cập từ xa tin cậy.

Quản lý MikroTik từ xa với WireGuard

WireGuard là VPN hiện đại và tối giản mang lại hiệu năng ấn tượng.

Nó nhẹ. Nhanh. An toàn.

Hoàn hảo để kết nối VPS và MikroTik, hoặc dệt mạng lưới qua Internet.

Hướng dẫn này cung cấp lệnh copy-paste, ví dụ cấu hình và mẹo đã tích lũy.

WireGuard là gì?

WireGuard là VPN lớp 3 nhẹ nhàng, do Jason Donenfeld phát triển.

Nó sử dụng thuật toán mật mã hiện đại: Curve25519 cho thỏa thuận khóa và ChaCha20-Poly1305 cho mã hóa.

Không cần chứng chỉ. Cặp khóa đơn giản. Mã nguồn nhỏ.

Sự đơn giản đó giúp giảm sự cố và tăng thông lượng.

Nguyên lý hoạt động WireGuard

Mỗi máy ngang hàng có khóa riêng và khóa công khai.

Máy ngang hàng gán khóa công khai với allowed IPs và địa chỉ đầu cuối (IP:cổng).

Dữ liệu chạy qua UDP và kết nối ngang hàng.

Không bắt buộc máy chủ trung tâm — nhưng VPS thường đóng vai trò điểm gặp ổn định.

Lợi ích nổi bật

  • Thông lượng cao, CPU sử dụng thấp.
  • Mã nguồn tối giản, dễ kiểm tra.
  • Cấu hình đơn giản cho từng máy ngang hàng.
  • Hoạt động tốt với NAT và CGNAT.
  • Hỗ trợ đa nền tảng: Linux, Windows, macOS, Android, iOS, MikroTik.

Máy chủ: Cài WireGuard trên VPS (Ubuntu)

Các bước dưới đây thiết lập máy chủ cơ bản cho máy ngang hàng kết nối.

1) Cài đặt WireGuard

Terminal window
apt update && apt install -y wireguard

2) Tạo khóa máy chủ

Terminal window
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Tạo file /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true


# ví dụ peer (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Kích hoạt và khởi động

Terminal window
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Cấu hình tường lửa

Terminal window
ufw allow 51820/udp
# hoặc sử dụng nftables/iptables tùy theo trường hợp

Mẹo: Dùng cổng UDP không chuẩn để tránh quét tự động.

MikroTik: cấu hình làm máy ngang hàng WireGuard

RouterOS tích hợp sẵn hỗ trợ WireGuard (RouterOS 7.x+).

1) Thêm giao diện WireGuard

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Thêm máy chủ làm peer

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25


/ip address add address=10.8.0.2/24 interface=wg-vps

3) Kiểm tra trạng thái

/interface/wireguard/print
/interface/wireguard/peers/print

Khi peer hiển thị hoạt động handshakelatest-handshake gần đây, kênh kết nối đã thiết lập.

Định tuyến và truy cập thiết bị LAN phía sau MikroTik

Từ VPS: định tuyến đến LAN MikroTik

Nếu muốn VPS (hoặc các peer khác) truy cập mạng 192.168.88.0/24 phía sau MikroTik:

Trên VPS thêm tuyến:

Terminal window
ip route add 192.168.88.0/24 via 10.8.0.2

Trên MikroTik bật chuyển tiếp IP và tùy chọn src-NAT cho đơn giản:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Bây giờ dịch vụ LAN của router có thể truy cập từ VPS qua tunnel WireGuard.

Cảnh báo: Chỉ mở mạng bạn kiểm soát. Dùng luật tường lửa để giới hạn hosts hoặc cổng truy cập.

Thực hành bảo mật tốt nhất

  • Dùng khóa riêng cho mỗi thiết bị.
  • Giới hạn AllowedIPs chỉ cần thiết.
  • Bảo vệ cổng WireGuard với tường lửa và giám sát.
  • Thu hồi thiết bị mất bằng cách xóa entry peer.
  • Theo dõi handshake và sức khỏe kết nối.

Mẹo: Persistent keepalive duy trì địa chỉ NAT trên các liên kết tiêu dùng.

Quản lý khóa và tự động hóa

Thường xuyên thay khóa.

Tự động tạo peer bằng script khi quản lý nhiều router.

Lưu khóa riêng an toàn — coi như mật khẩu.

Với nhiều thiết bị, cân nhắc triển khai hệ thống điều khiển nhỏ hoặc phân phối khóa.

So sánh nhanh

Giải phápCơ sởHiệu năngDễ dùngPhù hợp
WireGuardVPN nhânRất caoĐơn giảnLiên kết hiện đại, hiệu suất cao
OpenVPNTLS/OpenSSLTrung bìnhPhức tạpThiết bị cũ và hệ thống PKI phức tạp
TailscaleWireGuard + điều khiểnCaoRất dễNhóm, truy cập dựa trên nhận dạng
ZeroTierMạng lưới tùy chỉnhCaoDễ dàngMạng mesh linh hoạt

Tích hợp và ứng dụng

WireGuard tương thích tốt với giám sát (SNMP), TR-069, TR-369, và hệ thống điều phối.

Dùng cho quản lý từ xa, đường truyền nhà cung cấp, hoặc tunnel bảo mật đến dịch vụ đám mây.

MKController hỗ trợ bạn như thế nào:

NATCloud của MKController loại bỏ công đoạn thủ công cấu hình tunnel. Nó cung cấp truy cập tập trung, giám sát và onboarding dễ dàng — không cần lo quản lý khóa từng thiết bị.

Kết luận

WireGuard loại bỏ sự phức tạp của VPN mà vẫn đảm bảo bảo mật.

Nó nhanh, di động và lý tưởng cho cặp MikroTik và VPS.

Dùng để xây dựng truy cập từ xa tin cậy, định tuyến hợp lý và vận hành sạch sẽ.

Về MKController

Hy vọng những thông tin trên giúp bạn quản lý MikroTik và thế giới Internet dễ dàng hơn! 🚀
Dù bạn tinh chỉnh cấu hình hay chỉ muốn đưa trật tự vào mạng lưới hỗn độn, MKController sẽ làm cuộc sống bạn đơn giản hơn.

Với quản lý đám mây tập trung, cập nhật bảo mật tự động, và bảng điều khiển dễ dùng, chúng tôi có đủ công cụ nâng cấp hoạt động của bạn.

👉 Bắt đầu dùng thử miễn phí 3 ngày ngay tại mkcontroller.com — và khám phá quyền kiểm soát mạng thật sự đơn giản.