WireGuard là một giải pháp VPN hiện đại, mã nguồn mở, an toàn và tốc độ cao miễn phí. WireGuard cực kỳ dễ triển khai nhưng sử dụng công nghệ mã hóa tiên tiến nhất. WireGuard có thể được sử dụng làm công nghệ VPN Máy khách-Máy chủ hoặc công nghệ VPN Site to Site.
Từ RouterOS 7, MikroTik giới thiệu WireGuard VPN làm gói gốc của họ. Vì vậy, những người đang sử dụng RouterOS 7 có thể sử dụng WireGuard VPN và có thể triển khai cả máy khách-máy chủ và VPN từ trang này sang trang khác với máy chủ VPN miễn phí WireGuard .
Trong bài viết trước của tôi, tôi đã thảo luận về cách định cấu hình máy chủ VPN miễn phí máy khách-máy chủ với WireGuard và cách kết nối máy khách windows với WireGuard VPN. Trong bài viết này, tôi sẽ trình bày cách thiết lập VPN WireGuard site-to-site giữa hai MikroTik RouterOS 7.
Sơ đồ mạng VPN WireGuard từ trang này sang trang khác
Trong bài viết này, chúng tôi sẽ triển khai VPN site-to-site giống như hình ảnh sau đây trong đó hai văn phòng được kết nối qua dịch vụ VPN site to site của WireGuard.
Lưu ý: trong sơ đồ trên, chúng tôi đang sử dụng địa chỉ IP riêng trong giao diện chung cho mục đích demo. Trong mạng trực tiếp, bạn nên thay thế các Địa chỉ IP này bằng Địa chỉ IP công cộng của mình.
Cấu hình VPN WireGuard từ trang này sang trang khác trong RouterOS 7
Theo sơ đồ mạng ở trên, bây giờ chúng ta sẽ định cấu hình WireGuard VPN site to site trong MikroTik RouterOS. Nhưng trước khi bắt đầu WireGuard VPN, bạn nên có cấu hình cơ bản của RouterOS 7 bao gồm thiết lập WAN, LAN, DNS, Gateway và Masquerade.
Nếu bạn là người mới sử dụng MikroTik RouterOS, vui lòng nghiên cứu một bài viết khác về cách định cấu hình MikroTik RouterOS 7 lần đầu tiên và hoàn tất Thiết lập WAN, LAN, DNS và các thiết lập khác, sau đó làm theo các bước cấu hình WireGuard của chúng tôi.
Nếu bạn có mạng hiện tại và RouterOS 7 đang chạy ở đó, đừng quên thay thế thông tin IP demo của tôi theo thông tin IP hiện có của bạn. Bạn chỉ cần làm theo các bước của tôi để giữ thông tin IP hiện tại của bạn.
Bây giờ chúng tôi sẽ thực hiện các cấu hình cần thiết cho cấu hình WireGuard. Đối với cấu hình WireGuard, chúng ta cần kích hoạt WireGuard, Tạo ngang hàng, gán địa chỉ IP trong giao diện ảo WireGuard và thực hiện định tuyến qua giao diện ảo để giao tiếp giữa các thiết bị LAN.
Kích hoạt WireGuard trong MikroTik RouterOS
Gói WireGuard được cài đặt theo mặc định trong MikroTik RouterOS 7. Vì vậy, bạn sẽ nhận được một mục menu WireGuard trong Winbox theo mặc định. Để bật WireGuard trong Bộ định tuyến R1, hãy thực hiện các bước sau.
- Login to R1 Router of Office 1 with Winbox using full access user credentials.
- Click on WireGuard menu item from Winbox menu bar. WireGuard window will appear.
- Click on PLUS SIGN (+) to create a new WireGuard interface. New Interface window will appear.
- Put an interface name in Name input field or you can keep the default name wireguard1.
- Click Apply button. Public Key and Private Key will be generated as soon as you click the Apply button. The Public Key will be required when WireGuard Peer will be created in R2 Router (Office 2 Router).
- Click OK button.
Tương tự, kích hoạt WireGuard trong Bộ định tuyến R2 của Bộ định tuyến Office 2 và tạo giao diện WireGuard mới. Cấu hình của bạn sẽ trông giống như hình ảnh sau đây.
Chỉ định địa chỉ IP trên giao diện ảo WireGuard
Sau khi bật WireGuard trong RouterOS 7, một giao diện ảo mới sẽ được tạo trong mỗi Bộ định tuyến. Bây giờ chúng ta sẽ chỉ định địa chỉ IP trong mỗi giao diện WireGuard để cả hai giao diện có thể giao tiếp với nhau sau khi thiết lập đường hầm WireGuard.
Để gán địa chỉ IP trên giao diện ảo WireGuard trong Bộ định tuyến R1, hãy thực hiện theo các bước sau.
- From Winbox, go to IP > Addresses menu item. Address List window will appear.
- Click on PLUS SIGN (+) to add new address. New Address window will appear.
- Put an IP address (in this article: 10.10.10.1/30) that you to assign for WireGuard VPN tunnel in Address input field.
- Choose WireGuard interface (in this article: wireguard1) from Interface dropdown menu.
- Click Apply and OK button.
Tương tự, thêm địa chỉ IP thứ hai trên giao diện ảo WireGuard của Bộ định tuyến R2 tại văn phòng 2. Theo sơ đồ trên, IP của bộ định tuyến thứ hai sẽ là 10.10.10.2/30.
Tạo WireGuard ngang hàng giữa hai RouterOS
Sau khi gán địa chỉ IP trên giao diện ảo WireGuard, bây giờ chúng ta sẽ định cấu hình các đồng nghiệp trong cả hai Bộ định tuyến. Để tạo các đồng nghiệp trong Bộ định tuyến R1 của office1, hãy thực hiện các bước sau.
- From Winbox, click on WireGuard menu item and then click on Peers tab.
- Click on PLUS SIGN (+). New WireGuard Peer window will appear.
- Choose WireGuard interface (wireguard1) from Interface dropdown menu.
- Put the Public Key that was generated at R2 Router when WireGuard was enabled, in Public Key input field.
- Put the Public IP address (For demo purpose, in this article: 172.26.0.2) of R1 Router in Endpoint input field.
- If you don’t change the port number (default is 13231), no need to change the Endpoint Port but if you change, put the listen port of R1 Router in Endpoint Port input field.
- Put the IP blocks (in this article: 10.10.10.0/30 for tunnel interface and 192.168.26.0/24 LAN IP Block of R2 Router) those will be passed over WireGuard VPN Tunnel in Allowed Address input field. If you want to allow all IP addresses, put 0.0.0.0/0 in this field.
- In Persistent Keepalive input, put a time value in seconds (for 10 second: 00:00:10) when the tunnel will be checked and keep lived.
- Click Apply and OK button.
Tương tự, tạo peer trong R2 Router và thông tin tương ứng. Chú ý đặt Public Key, Endpoint và Endpoint Port của R1 Router. Ngoài ra, hãy cẩn thận để đặt khối IP của khối LAN của Bộ định tuyến R2. Cấu hình phải giống như hình ảnh sau đây.
Cấu hình định tuyến tĩnh giữa RouterOS
Ở bước cuối cùng của cấu hình WireGuard VPN site-to-site, chúng tôi sẽ định cấu hình định tuyến tĩnh giữa Bộ định tuyến R1 và R2 để mạng LAN của Bộ định tuyến R1 có thể truy cập mạng LAN của Bộ định tuyến R2 và ngược lại.
Để định cấu hình định tuyến tĩnh trong Bộ định tuyến R1, hãy thực hiện các bước sau.
- From Winbox, go to IP > Routes menu item. Route List window will appear.
- Click PLUS SIGN (+) to add new route. New Route window will appear.
- In Dst. Address input field, put the LAN IP block (in this article: 192.168.26.0/24) of R2 Router.
- Put the IP address (10.10.10.2) assigned on WireGuard interface of R2 Router in Gateway input field.
- Click Apply and OK button.
Tương tự, cấu hình định tuyến tĩnh trong Bộ định tuyến R2 và đặt khối IP LAN (trong bài viết này là: 192.168.25.0/24) của Bộ định tuyến R1 và địa chỉ IP giao diện WireGuard (10.10.10.1) của Bộ định tuyến R1.
Cách định cấu hình WireGuard VPN site to site giữa hai RouterOS đã được thảo luận trong bài viết này. Tôi hy vọng, giờ đây bạn sẽ có thể định cấu hình WireGuard VPN site to site trong MikroTik RouterOS. Tuy nhiên, nếu bạn gặp phải bất kỳ vấn đề nào khi định cấu hình WireGuard VPN site to site trong MikroTik RouterOS, vui lòng thảo luận trong nhận xét hoặc liên hệ với tôi từ trang Liên hệ .