kiến thức Hướng dẫn setup VPN server tại nhà trên Mikrotik Router

Hix, mua cục này về định load balance cho 2 đường internet, hiện tại mới 1 đường cấu hình ok hết rồi mà sao nó chạy còn chậm hơn cả con cùi bắp của nhà mạng, có bác nào hỗ trợ giúp mình với

IMG_20240313_002340.jpg
 
Mình đang sử dụng cấu hình dùng L2TP dạng Site-to-Site (kết nối mạng nội bộ công ty với hệ thống mạng máy chủ gồm máy chủ chạy service web). Thấy rén vấn đề log thường đỏ (mặc dù reset kênh + mật khẩu định kỳ/tháng) nên đang dự chuyển qua WG. Sắp tới còn gánh thêm cái NAS nữa nên nếu chạy WG này kết nối thêm chi nhánh lẫn hội sở (tầm 50 user) qua VPN hết thì con mik RB760 phải đổi sang dòng nào để đảm bảo hiệu năng được.
 
inteit said:
Mình đang sử dụng cấu hình dùng L2TP dạng Site-to-Site (kết nối mạng nội bộ công ty với hệ thống mạng máy chủ gồm máy chủ chạy service web). Thấy rén vấn đề log thường đỏ (mặc dù reset kênh + mật khẩu định kỳ/tháng) nên đang dự chuyển qua WG. Sắp tới còn gánh thêm cái NAS nữa nên nếu chạy WG này kết nối thêm chi nhánh lẫn hội sở (tầm 50 user) qua VPN hết thì con mik RB760 phải đổi sang dòng nào để đảm bảo hiệu năng được.
Click to expand...
x86 đi thím. Chính hãng thì 3011 đổ lên.
 
inteit said:
bật Fasttrack chưa thím?
Click to expand...
mình fix được rồi bác, do mình newbie ko biết nên ko tắt sevices trước khi cho kết nối vào internet nên bị tấn công, nó chiếm luôn quyền admin của router phải up firmware lại mới hết :D
 
Nhatrangsea said:
mình fix được rồi bác, do mình newbie ko biết nên ko tắt sevices trước khi cho kết nối vào internet nên bị tấn công, nó chiếm luôn quyền admin của router phải up firmware lại mới hết :D
Click to expand...
Chiếm luôn quyền admin, ghê vậy.
wJ9R6PJ.png
 
Nhatrangsea said:
mình fix được rồi bác, do mình newbie ko biết nên ko tắt sevices trước khi cho kết nối vào internet nên bị tấn công, nó chiếm luôn quyền admin của router phải up firmware lại mới hết :D
Click to expand...

Con hAP ac² bác vào menu System - Reset Configuration nhưng KHÔNG ĐƯỢC ĐÁNH DẤU cái "No Default Configuration", sau khi nó khởi động lại sẽ có cửa sổ Quick Set mở ra, bác thiết lập quay PPPoE ở đây (và từ giờ trở đi không quay lại dùng cái Quick Set nữa).

Như thế bác sẽ có một cấu hình hoạt động tốt và AN TOÀN. Có tường lửa cấu hình đủ an toàn, có bật fasttrack sẵn.

Bác đừng có nghe mấy cái video hướng dẫn trên mạng bảo Reset với No Default Configuration rồi vớ phải cái cấu hình rỗng, không có gì bảo vệ cả. Lúc đó khi chưa quen với RouterOS bác khó có thể tự setup được cấu hình đủ an toàn và hiệu quả. Router tự dưng què quặt với hổng lỗ trỗ. Trong khi cái default configuration nó chạy ngon lành sẵn rồi.
 
CGGX_ANNX said:
Con hAP ac² bác vào menu System - Reset Configuration nhưng KHÔNG ĐƯỢC ĐÁNH DẤU cái "No Default Configuration", sau khi nó khởi động lại sẽ có cửa sổ Quick Set mở ra, bác thiết lập quay PPPoE ở đây (và từ giờ trở đi không quay lại dùng cái Quick Set nữa).

Như thế bác sẽ có một cấu hình hoạt động tốt và AN TOÀN. Có tường lửa cấu hình đủ an toàn, có bật fasttrack sẵn.

Bác đừng có nghe mấy cái video hướng dẫn trên mạng bảo Reset với No Default Configuration rồi vớ phải cái cấu hình rỗng, không có gì bảo vệ cả. Lúc đó khi chưa quen với RouterOS bác khó có thể tự setup được cấu hình đủ an toàn và hiệu quả. Router tự dưng què quặt với hổng lỗ trỗ. Trong khi cái default configuration nó chạy ngon lành sẵn rồi.
Click to expand...
Mình giải quyết xong rồi bác, nhà mình 2 đường internet, giờ đang ko biết làm cách nào để tạo proxy trên 1 đường, đường còn lại thì dùng bình thường
 
Với con hAP ac² nếu bác có ý định chỉ dùng như router, không dùng tính năng phát WiFi thì bác upgrade nó lên bản >= 7.13 rồi vào menu System - Packages, gỡ cái package wireless đi. Nếu không bác sẽ phải đối mặt với tình trạng router không còn đủ bộ nhớ flash. Các bản về sau càng phình to ra, giờ con này nếu để nguyên package WiFi thì chỉ còn vài trăm KB trống nữa thôi. Có nguy cơ ngày nào đó khởi động lại nó không lên nữa vì hết bộ nhớ flash.
 
CGGX_ANNX said:
Với con hAP ac² nếu bác có ý định chỉ dùng như router, không dùng tính năng phát WiFi thì bác upgrade nó lên bản >= 7.13 rồi vào menu System - Packages, gỡ cái package wireless đi. Nếu không bác sẽ phải đối mặt với tình trạng router không còn đủ bộ nhớ flash. Các bản về sau càng phình to ra, giờ con này nếu để nguyên package WiFi thì chỉ còn vài trăm KB trống nữa thôi. Có nguy cơ ngày nào đó khởi động lại nó không lên nữa vì hết bộ nhớ flash.
Click to expand...
Đúng là mình ko xài wifi, để mình xóa theo hướng dẫn của bác. Bác giúp mình cái proxy được ko
 
CGGX_ANNX said:
Với con hAP ac² nếu bác có ý định chỉ dùng như router, không dùng tính năng phát WiFi thì bác upgrade nó lên bản >= 7.13 rồi vào menu System - Packages, gỡ cái package wireless đi. Nếu không bác sẽ phải đối mặt với tình trạng router không còn đủ bộ nhớ flash. Các bản về sau càng phình to ra, giờ con này nếu để nguyên package WiFi thì chỉ còn vài trăm KB trống nữa thôi. Có nguy cơ ngày nào đó khởi động lại nó không lên nữa vì hết bộ nhớ flash.
Click to expand...
7.14.1 ko có packages wifi bác ơi
1710495693097.png
 
Nhatrangsea said:
7.14.1 ko có packages wifi bác ơi
View attachment 2385679
Click to expand...

Vậy là người bán xóa hộ bác trước rồi bác ạ. Còn bình thường nếu chưa nâng cấp lên 7.13 thì router sẽ chỉ cho nâng cấp lên 7.12.x trước. Sau đó mới thấy xuất hiện bản >= 7.13 khi check upgrade. Upgrade lên thì cái package routeros cũ nó tự tách thành routeros và wireless. Mục đích các chú MikroTik làm thế để nếu muốn có thể thay cái wireless đó thành package wifi-qcom-ac hiện đại hơn với nhiều tính năng hơn, nhưng cũng to hơn.

Khốn nỗi là con này có 15.3MiB flash thôi nên giờ cấu hình một chút, tạo vài cái address list, import vài cái certificate là hết sạch bộ nhớ trong. Trên forum.mikrotik.com đang là chủ đề phàn nàn nóng hổi :D. Bác gỡ gói WiFi đi thì còn dư được tầm 2.5MiB.

EDIT: à lý do không còn packet wireless nữa là vì bác netinstall lại nó rồi. Và lúc netinstall bác chỉ để mỗi package routeros. Nếu giả sử bác netinstall bản 7.12.1 rồi sau đó mới upgrade lên 7.14.1 thì sẽ thấy cái package wireless.
 
Last edited:
Nhatrangsea said:
Mình giải quyết xong rồi bác, nhà mình 2 đường internet, giờ đang ko biết làm cách nào để tạo proxy trên 1 đường, đường còn lại thì dùng bình thường
Click to expand...
Bác giải thích rõ hơn được nhu cầu không ạ? Tức là nhà bác có 2 đường WAN, cả hai đều dùng PPPoE ạ? Giờ bác muốn chạy cả 2 đường song song đồng thời (kết nối đi ra cả 2 đường, tùy địa chỉ / cổng đích). Hay chỉ chạy 1 đường chính còn đường kia làm failover, chỉ dùng lúc đường chính bị mất kết nối ạ?
 
CGGX_ANNX said:
Bác giải thích rõ hơn được nhu cầu không ạ? Tức là nhà bác có 2 đường WAN, cả hai đều dùng PPPoE ạ? Giờ bác muốn chạy cả 2 đường song song đồng thời (kết nối đi ra cả 2 đường, tùy địa chỉ / cổng đích). Hay chỉ chạy 1 đường chính còn đường kia làm failover, chỉ dùng lúc đường chính bị mất kết nối ạ?
Click to expand...
Ko bác, hiện tại nhà mình có 2 đường WAN, 1 đường IP tĩnh (WAN 1) & 1 đường IP động (WAN 2). Nhu cầu là mình muốn tất cả các máy đi qua WAN1. Riêng 1 số app & 1 vài cái điện thoại phải đi qua WAN2. Yêu cầu là tất cả các thiết bị đó phải ping thấy nhau nên mình cần biến đường WAN2 có IP động thành 1 cái proxy. Hoặc khó quá thì làm cách nào để định tuyến 1 số IP LAN qua WAN2 thì mình sẽ set IP cho các thiết bị cần đi qua WAN2 = IP tĩnh.
Thực tế là nhà mình có 4 đường internet luôn cơ, 2 đường PPPoE & 2 đường USB 4G, mình load balance đường WAN2 & 2 cái USB 4G được rồi nên coi như tính là 2 đường :D
 
Nhatrangsea said:
Ko bác, hiện tại nhà mình có 2 đường WAN, 1 đường IP tĩnh (WAN 1) & 1 đường IP động (WAN 2). Nhu cầu là mình muốn tất cả các máy đi qua WAN1. Riêng 1 số app & 1 vài cái điện thoại phải đi qua WAN2. Yêu cầu là tất cả các thiết bị đó phải ping thấy nhau nên mình cần biến đường WAN2 có IP động thành 1 cái proxy. Hoặc khó quá thì làm cách nào để định tuyến 1 số IP LAN qua WAN2 thì mình sẽ set IP cho các thiết bị cần đi qua WAN2 = IP tĩnh.
Thực tế là nhà mình có 4 đường internet luôn cơ, 2 đường PPPoE & 2 đường USB 4G, mình load balance đường WAN2 & 2 cái USB 4G được rồi nên coi như tính là 2 đường :D
Click to expand...

Hiện như bác nói bác đã biết cấu hình load balancing nhiều đường LAN rồi thì rất đơn giản để mở rộng cấu hình để nó hỗ trợ yêu cầu 1 số địa chỉ IP LAN qua WAN2.

Vì đã cấu hình load balancing nên bác đã quen với việc có nhiều routing tables, với việc dùng mangle rules trên firewall để mark connection và mark routing. Giờ bác chỉ việc thêm routing table sử dụng WAN2 là mặc định. Sau đó thêm prerouting mangle rules để các kết nối mong muốn sử dụng bảng routing này.

Khác biệt duy nhất là ở các dòng rules dùng mark-connection để gắn connection mark của cái WAN2 thì bác không dùng per-connection-classifier=... như khi cấu hình load balancing PCC mà bác để ở dạng:

Code: 
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridgeLAN new-connection-mark=WAN2 src-address-list=SPECIAL_LAN_IPS

Và bác kéo rules này lên trên các rules dùng per-connection-classifier=... khác. Ở đây bridgeLAN là cái interface LAN có các thiết bị cần đặc cách address list SPECIAL_LAN_IPS chứa địa chỉ IP của các thiết bị cần đặc cách.

Các phần còn lại, như thêm rules mark-connection ở chain input cho packet bên ngoài internet đến từ WAN2, hay rules mark routing ở chain prerouting và output cho packet có connection-mark=WAN2 bác làm tương tự như với cấu hình load balancing PCC.

Nếu muốn lọc theo app, thí dụ FB thì bác sẽ phải kiếm danh sách các dải địa chỉ IP mà các dịch vụ của FB dùng, cho nó vào một address-list tên là FB_LIST chẳng hạn, rồi chỗ cái rule kia bác để điều kiện là dst-address-list=FB_LIST

Bác chú ý là mangle không tương thích với fasttrack. Các connection đã được bác mark cho dùng bảng routing khác không được đi qua rule fasttrack bên bảng filter. Hoặc là bác disable rule fasttrack đi hoặc bác tạo 1 rules action=accept chain=forward src-address-list= SPECIAL_LAN_IPS bên bảng filter và kéo rules này lên trên rule fasttrack ở chain forward.


Còn nếu giả sử bác không có 4-5 đường WAN kia, mà chỉ có WAN1 và WAN2 và hiện không dùng rule mangle nào cả. Thì có cách đơn giản hơn để buộc một số địa chỉ IP trong LAN dùng WAN2 để ra ngoài internet mà không cần dùng đến rule mangle trong tường lửa. Đấy là dùng routing rules. Khi đó fasttrack vẫn được hỗ trợ kể cả cho các kết nối ra ngoài WAN2 này.
 
Last edited:
CGGX_ANNX said:
Hiện như bác nói bác đã biết cấu hình load balancing nhiều đường LAN rồi thì rất đơn giản để mở rộng cấu hình để nó hỗ trợ yêu cầu 1 số địa chỉ IP LAN qua WAN2.

Vì đã cấu hình load balancing nên bác đã quen với việc có nhiều routing tables, với việc dùng mangle rules trên firewall để mark connection và mark routing. Giờ bác chỉ việc thêm routing table sử dụng WAN2 là mặc định. Sau đó thêm prerouting mangle rules để các kết nối mong muốn sử dụng bảng routing này.

Khác biệt duy nhất là ở các dòng rules dùng mark-connection để gắn connection mark của cái WAN2 thì bác không dùng per-connection-classifier=... như khi cấu hình load balancing PCC mà bác để ở dạng:

Code: 
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridgeLAN new-connection-mark=WAN2 src-address-list=SPECIAL_LAN_IPS

Và bác kéo rules này lên trên các rules dùng per-connection-classifier=... khác. Ở đây bridgeLAN là cái interface LAN có các thiết bị cần đặc cách address list SPECIAL_LAN_IPS chứa địa chỉ IP của các thiết bị cần đặc cách.

Các phần còn lại, như thêm rules mark-connection ở chain input cho packet bên ngoài internet đến từ WAN2, hay rules mark routing ở chain prerouting và output cho packet có connection-mark=WAN2 bác làm tương tự như với cấu hình load balancing PCC.

Nếu muốn lọc theo app, thí dụ FB thì bác sẽ phải kiếm danh sách các dải địa chỉ IP mà các dịch vụ của FB dùng, cho nó vào một address-list tên là FB_LIST chẳng hạn, rồi chỗ cái rule kia bác để điều kiện là dst-address-list=FB_LIST

Bác chú ý là mangle không tương thích với fasttrack. Các connection đã được bác mark cho dùng bảng routing khác không được đi qua rule fasttrack bên bảng filter. Hoặc là bác disable rule fasttrack đi hoặc bác tạo 1 rules action=accept chain=forward src-address-list= SPECIAL_LAN_IPS bên bảng filter và kéo rules này lên trên rule fasttrack ở chain forward.


Còn nếu giả sử bác không có 4-5 đường WAN kia, mà chỉ có WAN1 và WAN2 và hiện không dùng rule mangle nào cả. Thì có cách đơn giản hơn để buộc một số địa chỉ IP trong LAN dùng WAN2 để ra ngoài internet mà không cần dùng đến rule mangle trong tường lửa. Đấy là dùng routing rules. Khi đó fasttrack vẫn được hỗ trợ kể cả cho các kết nối ra ngoài WAN2 này.
Click to expand...
Thanks bác, bác nhiệt tình quá. Để mình mò tiếp theo hướng dẫn của bác. Sẵn tiện bác cho hỏi cách nào định tuyến ứng dụng đi qua Wan chỉ định, VD mình muốn định tuyến ứng dụng Chrome bắt buộc đi qua WAN2, còn các ứng dụng khác thì tự do
 
Last edited:
Nhatrangsea said:
Thanks bác, bác nhiệt tình quá. Để mình mò tiếp theo hướng dẫn của bác. Sẵn tiện bác cho hỏi cách nào định tuyến ứng dụng đi qua Wan chỉ định, VD mình muốn định tuyến ứng dụng Chrome bắt buộc đi qua WAN2, còn các ứng dụng khác thì tự do
Click to expand...
Theo ứng dụng thì sẽ phải dùng proxy, routeros có sẵn SOCKS proxy chỉnh version 4 thì hoạt động với Chome. Tuy nhiên cái SOCKS proxy có sẵn cùng lúc chỉ có 1 instance, chỉnh được dùng 1 bảng route thôi. Nên chắc tốt hơn là kiếm cái chạy được trong container, cài được nhiều bản, mỗi cái lái được đi 1 route.

Nhưng Chrome thì bình thường dùng thiết lập proxy của hệ điều hành, như dưới Windows chỉnh proxy ở phần settings của hệ điều hành, ảnh hưởng đến tất cả các ứng dụng dùng API mạng chuẩn của Windows. Bác phải dùng Firefox thì mới cho thiết lập cấu hình SOCKS proxy riêng chỉ cho Firefox.

Các ứng dụng khác kiểu putty hay ftp client cũng nhiều cái cho chỉnh thiết lập SOCKS riêng.
 

Similar threads

AloneManWith30Cats
thắc mắc Capcut trên PC bị lỗi Network Error < Kết nối mạng>. Dùng VPN để đổi IP vẫn ko fix đc.
Replies
2
Views
281
ventnt
ventnt
manhhihi
thảo luận Em muốn build một con server phục vụ đồ hoạ.
Replies
17
Views
683
goamzz
goamzz
H
thắc mắc Định mua cái tên miền cho nas, nhờ ae tư vấn
2 3 4
Replies
68
Views
4K
sigel
sigel
vantanfc11
kiến thức (CÓ HƯỚNG DẪN AUTO) SĂN AIRDROP MEMEFI - Được trực tiếp dự án #MantaNetwork và #Linea Shill trên X
Replies
5
Views
253
vantanfc11
vantanfc11
Le_Quoc_Viet:)
kiến thức Hướng dẫn kiếm tiền trên trang EARNABLY
2
Replies
21
Views
2K
Việt mua bán $ paypal
Việt mua bán $ paypal

Share this page

Back
Top