sếp có làm 1 bài hướng dẫn cách tao tài khoản WireGuard chi tiết cho những anh em còn gà mờ về WG không sếp, e tìm trên google nhưng không thấy!Chào anh em, sau đây mình sẽ hướng dẫn anh em cấu hình VPN server đơn giản trên Mikrotik router (mình dùng Hap ac2 nha).
1. Mục đích:
Để anh em có thể chui vào mạng ở nhà nếu cần sửa wifi, sửa camera...
Để anh em có 1 đường VPN backup khi mạng công ty lởm, khi đi chơi nước ngoài.
Để anh em kết nối với hệ thống mini server (file, dns...) ở nhà.
Để anh em share với bạn bè ở nước ngoài muốn dùng VPN VN để coi netflix, vtv go ...
Cũng có thể rảnh thì enable lên chơi vậy
2. Mô hình mạng:
Mô hình thì đơn giản thôi nên mình vẽ ngắn gọn:
ISP------------Modem (bridge)--------Mikrotik router (PPPoE, VPN server...)-----Mini server (Pi Hole, Torrent, Samba...)
Modem nhà mạng mình đã yêu cầu bridge sang Mikrotik, trên Mikrotik cấu hình PPPoE để ra internet, mình dùng PI3 làm server cài đủ thứ linh tinh.
3. Cấu hình trên Mikrotik:
Vì mạng ở nhà mình chỉ có IP động, nên cần enable DDNS để dễ dàng cho client cấu hình:
- IP -> Cloud -> DDNS enable
View attachment 1974876
Sau khi enable A/E sẽ nhận được 1 domain có dạng xxx.sn.mynetname.net => domain này cần lưu lại để cấu hình trên client.
Enable L2TP:
- PPP -> Interfaces -> L2TP server -> enable -> Use IPsec: required -> IPsec Secret: ***** -> apply
View attachment 1974878
View attachment 1974879
IPsec Secret: chính là preshare key anh em tạo nhập & lưu lại preshare key để cấu hình trên client.
Tạo account cho client:
- PPP -> Interfaces -> Secret -> Name/pass -> IP local/IP remote
View attachment 1974881
View attachment 1974885
Cấu hình cho 1 acc gồm các phần sau:
(1): Accounte
(2): Password
(3): Giao thức
(4): Profile
(5): địa chỉ IP của mikrotik (gw của dải lan)
(6): địa chỉ IP sẽ gán cho account VPN
Bật Proxy Arp trên bridge: Mục đích để IP VPN có thể ping thông tới các IP khác trong dải LAN.
- interface -> bridge
View attachment 1974896
4. Cấu hình trên client & speedtest thử:
Win10: Control Panel -> Network & Internet -> VPN -> Add a VPN connection:
View attachment 1974904
Connection name: Tên gì cũng được, để phân biệt các VPN với nhau
Server name or address: Domain đã tạo ở bước enable DDNS
Preshare key: Anh em đã tạo ở bước enable L2TP
User/pass: Đã tạo ở bước 3
-> Save
Test thử hiệu năng VPN:
Nhà mình dùng gói 1G/150Mbps, mạng công ty cỡ 100Mbps (do dây RJ45 của mình lởm), có thể kiếm line 1G tốc độ speed test sẽ cao hơn, nhưng khoảng 90Mbps up/dow thì khá đủ cho nhu cầu xem netflix, tải file ... đặc biệt trễ rất thấp.
View attachment 1974918
Lúc speed test thì tải CPU của Hap ac2 cỡ 2-30%.
Hi vọng bài viết của mình có ích cho anh em thích vọc vạch
em thì đang lấn cấn chỗ cái WG, khong biết tạo tài khoản riêng để mình xài thì mình làm ntn, e tra trên google thì ko thấy có hướng dẫn gì hết, không biết là có phải làm qua bước trung giang gì không nữa!!
back to home yêu cầu v7.12 beta
Setup WireGuard để thực hiện được mục đích giống như post #1 của topic này liệt kê (để từ bên ngoài mò được vào mạng ở nhà) thì trên trang manual chính thức của RouterOS có hướng dẫn rồi đó, phần RoadWarrior WireGuard tunnel này WireGuard - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/WireGuard#WireGuard-RoadWarriorWireGuardtunnel)
ý là chỗ cái WG mình chạy dịch vụ VPN để đi internet những lúc đứt cáp a sếp
À tại ở trên bác quote bài của bác @kirakun277 hướng dẫn cài server VPN ở nhà để từ ngoài nối vào mạng nhà nên mình tưởng bác cần cái đó với WireGuard. Còn không bình thường bác mua dịch vụ VPN của bọn nào nó cũng có hướng dẫn đầy đủ cho nhiều loại router khác nhau, cả Mikrotik. Trong trường hợp bọn nó không hướng dẫn gì cả mà chỉ cho bác 1 cái file .conf chứa các thông số thì bác có thể tham khảo các bước như của bọn Proton VPN nó hướng dẫn này là đơn giản nhất:
đúng là bác chỉ đúng cái chỗ e đang cần á!À tại ở trên bác quote bài của bác @kirakun277 hướng dẫn cài server VPN ở nhà để từ ngoài nối vào mạng nhà nên mình tưởng bác cần cái đó với WireGuard. Còn không bình thường bác mua dịch vụ VPN của bọn nào nó cũng có hướng dẫn đầy đủ cho nhiều loại router khác nhau, cả Mikrotik. Trong trường hợp bọn nó không hướng dẫn gì cả mà chỉ cho bác 1 cái file .conf chứa các thông số thì bác có thể tham khảo các bước như của bọn Proton VPN nó hướng dẫn này là đơn giản nhất:
How to setup Proton VPN on MikroTik routers using WireGuard
In this guide, we show you how to set up Proton VPN using the WireGuard protocol on MicroTik routers.protonvpn.com
Đại khái là bọn bán dịch vụ VPN nó sẽ cung cấp cho bác, có thể là dạng file .conf hay trên Web UI của nó các thông tin bác cần là public key của bọn nó và thông tin end-point (host và cổng) của bọn nó, cũng như IP bác được sử dụng. Ở thí dụ kia thì bọn nó tạo cho bác sẵn cái Private Key để điền vào router. Nhưng có bọn nó không có mà nó cũng cần từ bác cái public key, cái này sau khi tạo interface WireGuard trên router của bác mà bác không điền private key thì bác sẽ có. Sau đó điền các thứ như cái hướng dẫn kia thôi. Phần tường lửa kia nó setup để mọi thứ trong mạng nhà bác chạy qua cái kết nối WireGuard ra ngoài, tức là phù hợp với nhu cầu chỉ dùng lúc đứt cáp như bác viết. Khi không dùng thì bác disable mấy cái route ở phần /ip route kia đi.
Còn nếu bác muốn kiểu chỉ khi nối vào một số đích nhất định mới cho qua WireGuard, còn lại vẫn đi qua đường bình thường thì lúc đó setup tường lửa phức tạp hơn, đại khái là bác phải thêm 1 cái routing table mới rồi chỗ mangle của tường lửa mark các kết nối muốn đi qua VPN ra ngoài cho dùng bảng routing này.
à quên nhà e đang cheat wan thì mình khai firewall sao a ơi!À tại ở trên bác quote bài của bác @kirakun277 hướng dẫn cài server VPN ở nhà để từ ngoài nối vào mạng nhà nên mình tưởng bác cần cái đó với WireGuard. Còn không bình thường bác mua dịch vụ VPN của bọn nào nó cũng có hướng dẫn đầy đủ cho nhiều loại router khác nhau, cả Mikrotik. Trong trường hợp bọn nó không hướng dẫn gì cả mà chỉ cho bác 1 cái file .conf chứa các thông số thì bác có thể tham khảo các bước như của bọn Proton VPN nó hướng dẫn này là đơn giản nhất:
How to setup Proton VPN on MikroTik routers using WireGuard
In this guide, we show you how to set up Proton VPN using the WireGuard protocol on MicroTik routers.
Đại khái là bọn bán dịch vụ VPN nó sẽ cung cấp cho bác, có thể là dạng file .conf hay trên Web UI của nó các thông tin bác cần là public key của bọn nó và thông tin end-point (host và cổng) của bọn nó, cũng như IP bác được sử dụng. Ở thí dụ kia thì bọn nó tạo cho bác sẵn cái Private Key để điền vào router. Nhưng có bọn nó không có mà nó cũng cần từ bác cái public key, cái này sau khi tạo interface WireGuard trên router của bác mà bác không điền private key thì bác sẽ có. Sau đó điền các thứ như cái hướng dẫn kia thôi. Phần tường lửa kia nó setup để mọi thứ trong mạng nhà bác chạy qua cái kết nối WireGuard ra ngoài, tức là phù hợp với nhu cầu chỉ dùng lúc đứt cáp như bác viết. Khi không dùng thì bác disable mấy cái route ở phần /ip route kia đi.
Còn nếu bác muốn kiểu chỉ khi nối vào một số đích nhất định mới cho qua WireGuard, còn lại vẫn đi qua đường bình thường thì lúc đó setup tường lửa phức tạp hơn, đại khái là bác phải thêm 1 cái routing table mới rồi chỗ mangle của tường lửa mark các kết nối muốn đi qua VPN ra ngoài cho dùng bảng routing này.
Gán WAN vào DDNS rồi khai báo domain DDNS vào Endpoint thôi.
Cheat WAN là nhà bác quay PPPoE 2 phát đồng thời với cùng 1 tài khoản à? Rồi cân bằng tải? Nếu có thể bác export cấu hình tường lửa hiện thời với
/ip firewall export/ip route print detailCảm ơn bác. Hiện nhà bác đang qua 2 kết nối pppoe ra ngoài rồi mark connection để chia các kết nối qua 1 trong 2 route. Về lý thuyết khi nối tất cả kết nối của nhà bác qua wireguard bác cũng có thể load balance kiểu thế, mỗi kết nối wireguard đi qua 1 cái pppoe-out1/2 kia. Tuy nhiên để làm được điều đó bác phải đăng ký 2 tài khoản wireguard ở 2 chỗ cung cấp dịch vụ khác nhau, để có 2 địa chỉ remote server khác nhau để còn lái mỗi cái qua 1 cái pppoe, và thiết lập sau đó cũng phức tạp hơn. Trong khi bác đang dùng con hEX RB750Gr3. Con này CPU cũng cũ rồi và theo các chú trên forum.mikrotik.com chia xẻ thì tốc độ WireGuard chỉ lên được tầm 140Mbps là max nên chắc không có lý do gì để load balancing 2 đường WireGuard 1 lúc ở nhà bác tại CPU nó cũng không xử lý được hơn.
add action=mark-connection chain=prerouting comment=\
"MANGLE RULE 06- LOADBALANCING DAY LAN LOCAL RA 2 WAN" connection-mark=no-mark dst-address-list=\
!CONNECTED dst-address-type=!local in-interface=BridgeLAN new-connection-mark="LAN TO VIETTEL1" \
passthrough=yes per-connection-classifier=both-addresses-and-ports:4/0 src-address-list="LAN LOCAL"
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=!CONNECTED \
dst-address-type=!local in-interface=BridgeLAN new-connection-mark="LAN TO VIETTEL2" passthrough=yes \
per-connection-classifier=both-addresses-and-ports:4/1 src-address-list="LAN LOCAL"
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=!CONNECTED \
dst-address-type=!local in-interface=BridgeLAN new-connection-mark="LAN TO VIETTEL3" passthrough=yes \
per-connection-classifier=both-addresses-and-ports:4/2 src-address-list="LAN LOCAL"
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=!CONNECTED \
dst-address-type=!local in-interface=BridgeLAN new-connection-mark="LAN TO VIETTEL4" passthrough=yes \
per-connection-classifier=both-addresses-and-ports:4/3 src-address-list="LAN LOCAL"hic e cũng làm theo mà e thấy không chạy Bác ơi, không biết có sai chỗ nào không nữa, Bác có thời gian bác add zalo em Bác teamview giúp e với
e đã làm đc rồi Bác
Armbian cài đc hả bạn
Trên có bác hướng dẫn cài wg rồi đấy b.
