Thiết lập WireGuard VPN trong MikroTik RouterOS7 với HĐH Windows

VPN (Mạng riêng ảo) là một trong những dịch vụ phổ biến nhất trong MikroTik RouterOS. Rất nhiều dịch vụ VPN (IPsec, EoIP, OpenVPN, PPTP, L2TP, IPIP, v.v.) có sẵn trong MikroTik RouterOS nhưng trong RouterOS7, một dịch vụ VPN mới có tên WireGuard đã được giới thiệu, đây là VPN đầu tiên cực kỳ đơn giản nhưng an toàn và hiện đại. WireGuard sử dụng mật mã để đảm bảo an toàn.

Trong RouterOS7, WireGuard có thể được sử dụng đường hầm VPN Máy khách-Máy chủ (Road Warrior) hoặc đường hầm VPN từ trang này sang trang khác. Sử dụng đường hầm VPN Client-Server WireGuard, người dùng Windows, Mac, Linux, iOS hoặc Android có thể được kết nối với mạng từ xa của mình và có thể truy cập máy chủ cũng như các thiết bị mạng khác như thể họ đã ngồi trong mạng đó. Mặt khác, bằng cách sử dụng đường hầm VPN WireGuard VPN site to site, hai văn phòng từ xa luôn có thể được kết nối qua mạng công cộng và có thể giao tiếp với nhau qua đường hầm VPN này.

Trong bài viết trước của tôi, tôi đã thảo luận về cách định cấu hình MikroTik RouterOS 7 lần đầu tiên với hướng dẫn từng bước. Trong bài viết này, tôi sẽ thảo luận cách định cấu hình đường hầm VPN Road Warrior WireGuard trong MikroTik RouterOS7 và sau đó tôi cũng sẽ thảo luận cách định cấu hình Máy khách WireGuard trong Window 10/11.

Cấu hình WireGuard trong MikroTik RouterOS 7 (Road Warrior)

 Để định cấu hình đường hầm VPN Client-Server WireGuard với máy khách Windows, chúng ta sẽ thực hiện theo sơ đồ mạng sau.

Trong sơ đồ trên, WireGuard VPN Server được cấu hình trong mạng văn phòng. Vì vậy, máy khách WireGuard được định cấu hình trong Windows hoặc Linux hoặc thiết bị Android có thể được kết nối với mạng văn phòng để tạo đường hầm VPN WireGuard an toàn và có thể truy cập máy chủ từ xa cũng như các thiết bị mạng khác một cách an toàn.

Bây giờ chúng ta sẽ định cấu hình mạng văn phòng như vậy trong đó Máy chủ VPN WireGuard sẽ được định cấu hình trong MikroTik RouterOS 7 và máy khách Windows sẽ kết nối với Máy chủ VPN WireGuard này để truy cập máy chủ từ xa và các thiết bị mạng khác.

Cấu hình WireGuard VPN trong MikroTik RouterOS 7

 Gói WireGuard được bật theo mặc định trong MikroTik RouterOS7. Vì vậy, chúng ta không cần phải cài đặt thủ công. Chúng ta chỉ cần thiết lập dịch vụ WireGuard. Để định cấu hình WireGuard VPN cho đường hầm Máy khách-Máy chủ (Road Warrior), hãy làm theo các bước sau.

• Login to MikroTik RouterOS using Winbox with full access user permission.
• From menu item, click on WireGuard. WireGuard window will appear.
• Click on PLUS SIGN(+) to create a new WireGuard interface. New Interface window will appear.
• Put an interface name in Name input field or you can keep the default name wireguard1.
• In Listen Port input field, put 443 because we want to use 443 port which is usually not blocked. In MikroTik RouterOS7, the default WireGuard Listen Port is 13231. WireGuard works on UDP protocol because UDP is faster. On the other hand, TCP packets follow over TCP VPN tunnel makes performance issue. So, TCP is not used in WireGuard VPN tunnel.
• Click Apply button. Public Key and Private Key will be generated as soon as you click the Apply button. The Public Key will be required when WireGuard client will be configured.
• Click OK button.

Dịch vụ WireGuard VPN hiện đã được bật trong MikroTik RouterOS7. Bây giờ chúng ta sẽ gán địa chỉ IP trên giao diện WireGuard mới được tạo. Để gán địa chỉ IP trên Giao diện WireGuard, hãy thực hiện các bước sau.

• From Winbox, go to IP > Addresses menu item. Address List window will appear.
• Click PLUS SIGN (+). New Address window will appear.
• In Address input field, put an IP address which you want. According to the network diagram, I am assigning 10.10.105.1/24. WireGuard clients will get IP address from this IP block.
• From Interface dropdown menu, choose the created WireGuard interface (wireguard1).
• Click Apply and OK button.

Quá trình cấu hình WireGuard VPN Server trong RouterOS7 đã hoàn tất. Bây giờ chúng ta sẽ tải xuống và cài đặt WireGuard Client trong Windows 10/11.

Tải xuống và cài đặt WireGuard trong Hệ điều hành Windows

Vì chúng tôi sẽ kết nối Hệ điều hành Windows với Máy chủ VPN WireGuard, chúng tôi cần tải xuống và cài đặt ứng dụng Windows của WireGuard từ trang web của WireGuard. Vì vậy, hãy truy cập trang cài đặt WireGuard và tải xuống trình cài đặt cho Hệ điều hành Windows. Tại thời điểm viết bài này, trang cài đặt của WireGuard trông giống như hình dưới đây

Cài đặt WireGuard Windows installer cũng đơn giản như cài đặt các ứng dụng Windows khác. Vì vậy, hãy tải xuống trình cài đặt Windows và nhấp đúp vào nó. Trình cài đặt WireGuard sẽ thực hiện phần việc còn lại cho bạn. Sau khi cài đặt WireGuard trong Hệ điều hành Windows của bạn, nó sẽ khởi động dịch vụ WireGuard và mở một cửa sổ WireGuard mới giống như hình ảnh sau đây, nơi nó sẽ yêu cầu cung cấp cấu hình theo cách thủ công hoặc nhập bất kỳ tệp cấu hình nào.

Chúng tôi sẽ định cấu hình đường hầm WireGuard ở đây theo cách thủ công vì MikroTik RouterOS không cung cấp bất kỳ tệp cấu hình nào. Vì vậy, từ cửa sổ này, hãy nhấp vào menu thả xuống Thêm đường hầm và sau đó chọn tùy chọn Thêm đường hầm trống… . Cửa sổ tạo đường hầm mới sẽ xuất hiện nơi chúng tôi sẽ cung cấp tất cả các tùy chọn cần thiết để tạo Đường hầm WireGuard.

Trong cửa sổ Tạo đường hầm mới , hãy đặt tên (ví dụ: wg1) cho đường hầm trong trường nhập Tên rồi nhấp vào nút Lưu . Bạn cũng sẽ tìm thấy Khóa công khai và Khóa riêng được tạo trong cửa sổ này. Trong số hai khóa này, Khóa chung sẽ được yêu cầu để định cấu hình ngang hàng giữa Máy chủ WireGuard và Máy khách.

Tạo ngang hàng giữa máy chủ WireGurad và máy khách

Để tạo đường hầm VPN giữa máy khách Windows và Máy chủ WireGuard RouterOS, chúng ta cần định cấu hình WireGuard Peer. Vì vậy, lúc đầu, chúng tôi sẽ định cấu hình ngang hàng trong MikroTik RouterOS và sau đó chúng tôi sẽ định cấu hình ngang hàng trong máy khách Windows WireGuard.

Để định cấu hình ngang hàng WireGuard trong MikroTik RouterOS, hãy làm theo các bước sau.

• From WireGuard window, click on Peers tab and then click on PLUS SIGN (+). New WireGuard Peer window will appear.
• In New WireGuard Peer window, choose WireGuard interface (wiregurad1) from Interface dropdown menu.
• In Public Key input field, put the public key generated by the Windows client (with whom it will make peer).
• In Allowed Address field, put the IP address (10.10.105.3/32) that will be assigned to the WireGuard Client.
• Click Apply and OK button.

Cấu hình ngang hàng trong MikroTik RouterOS đã hoàn tất. Bây giờ chúng ta sẽ cấu hình WireGuard Peer trong Windows Client.