Bỏ qua nội dung
Blog

Cách Cấu Hình VPN WireGuard Client trên MikroTik

Tóm tắt > Tìm hiểu cách cấu hình router MikroTik làm client WireGuard. Hướng dẫn kỹ thuật bao gồm tạo khóa, cấu hình peer và kỹ thuật định tuyến nâng cao như quy tắc Mangle cho thiết bị cụ thể và Kill Switch ngăn rò rỉ dữ liệu.

Cách Cấu Hình VPN WireGuard Client trên MikroTik

WireGuard đã cách mạng hóa cách chúng ta nghĩ về VPN trên router MikroTik. Kể từ khi RouterOS v7 ra mắt, người dùng có giao thức nhanh hơn nhiều và dễ kiểm tra hơn các lựa chọn cũ như OpenVPN hoặc L2TP/IPsec. Trong hướng dẫn này, chúng tôi sẽ đi qua quá trình kỹ thuật để cài đặt MikroTik làm client WireGuard, tập trung kiểm soát chi tiết lưu lượng nội bộ.

Lấy Thông Tin Đăng Nhập WireGuard

Trước khi mở WinBox, bạn cần cấu hình từ nhà cung cấp VPN (như Proton VPN hoặc NordVPN). WireGuard dựa trên trao đổi cặp khóa công khai/riêng tư. Hãy có sẵn các thông tin sau:

  • Private Key: Dành cho giao diện MikroTik.
  • Public Key: Từ server VPN.
  • Địa chỉ & Cổng Endpoint: IP hoặc URL của server.
  • Allowed IPs: Thường là 0.0.0.0/0 cho đường hầm đầy đủ.
MikroTik WireGuard Interface Configuration

Bước 1: Tạo Giao Diện WireGuard

Đầu tiên, định nghĩa giao diện tunnel trên router MikroTik.

  1. Mở WinBox và đi tới menu WireGuard.
  2. Click vào nút + để thêm giao diện mới.
  3. Đặt tên WG-Client.
  4. Dán Private Key của bạn. MikroTik sẽ tự động tạo Public Key tương ứng.
  5. Nhấn OK.

Tiếp theo, gán địa chỉ IP do dịch vụ VPN cung cấp cho giao diện mới này trong IP > Addresses.

Bước 2: Cấu Hình Peer

“Peer” là server từ xa bạn kết nối tới.

  1. Trong cửa sổ WireGuard, vào tab Peers.
  2. Chọn giao diện WG-Client.
  3. Nhập Public Key của server từ xa.
  4. Đặt EndpointEndpoint Port.
  5. Tại Allowed IPs, nhập 0.0.0.0/0 (cho phép lưu lượng đi qua, chưa tự động định tuyến toàn bộ).
Adding a WireGuard Peer in WinBox

Bước 3: Định Tuyến Theo Chính Sách (PBR)

Thông thường, bạn không muốn toàn bộ mạng chạy qua VPN. Có thể bạn chỉ muốn một server hoặc máy tính cụ thể dùng tunnel. Thực hiện điều này bằng quy tắc Mangle.

  1. Vào IP > Firewall > Mangle.
  2. Tạo quy tắc mới: Chain: prerouting.
  3. Src. Address: Nhập IP nội bộ của thiết bị bạn muốn tunnel (ví dụ 192.168.88.50).
  4. Action: mark routing.
  5. New Routing Mark: Đặt tên là via-wireguard.
  6. Bỏ chọn “Pass Through”.
MikroTik Mangle Rule for Routing Marks

Bước 4: Định Tuyến và “Kill Switch”

Bây giờ, hãy bảo router rằng bất kỳ lưu lượng nào được đánh dấu via-wireguard phải đi qua tunnel.

  1. Vào IP > Routes.
  2. Thêm route mới: Gateway: WG-Client, Routing Table: via-wireguard.
  3. Kill Switch: Thêm route thứ hai cùng Routing Table (via-wireguard), nhưng chọn Typeblackhole và đặt khoảng cách (distance) cao hơn.

Lưu ý: Route blackhole đảm bảo nếu tunnel WireGuard ngắt kết nối, lưu lượng của thiết bị sẽ bị chặn hoàn toàn thay vì “rò rỉ” qua kết nối ISP bình thường.

Configuring Blackhole Routes for VPN Kill Switch

Về MKController

Hy vọng các kiến thức trên giúp bạn quản lý MikroTik và thế giới Internet tốt hơn! 🚀
Dù bạn tinh chỉnh cấu hình hay chỉ muốn mạng của mình gọn gàng hơn, MKController luôn sẵn sàng giúp cuộc sống bạn đơn giản hơn.

Với quản lý tập trung trên đám mây, cập nhật bảo mật tự động và bảng điều khiển ai cũng có thể làm chủ, chúng tôi có tất cả để nâng cấp hoạt động của bạn.

👉 Bắt đầu dùng thử miễn phí 3 ngày ngay tại mkcontroller.com — và trải nghiệm kiểm soát mạng dễ dàng thực thụ.