Hướng dẫn cấu hình WireGuard VPN Mikrotik kết nối với điện thoại, máy tính

WireGuard là một giao thức VPN mã nguồn mở hiện đại, được đánh giá cao nhờ tính đơn giản, hiệu suất vượt trội và bảo mật mạnh mẽ. Việt Tuấn sẽ hướng dẫn chi tiết cách cấu hình WireGuard VPN trên router MikroTik để kết nối với điện thoại (Android/iOS) và máy tính (Windows), giải thích lý do nên sử dụng WireGuard và các bước sử dụng cho client.

Tại sao nên dùng WireGuard?

• Tốc độ cao: WireGuard sử dụng mã hóa nhẹ với các thuật toán hiện đại như ChaCha20 và Poly1305, giúp giảm độ trễ và tăng tốc độ kết nối so với các giao thức như OpenVPN hay IPsec.tenten.vn. Với ít hơn 4.000 dòng mã, WireGuard hoạt động hiệu quả trên cả thiết bị nhúng và máy tính siêu mạnh, tối ưu hóa tài nguyên hệ thống.
• Bảo mật mạnh mẽ: Sử dụng các thuật toán mã hóa tiên tiến như Curve25519 cho trao đổi khóa, ChaCha20 cho mã hóa đối xứng, Poly1305 cho xác thực thông điệp, giúp bảo vệ dữ liệu khỏi giả mạo và tấn công. WireGuard có bề mặt tấn công nhỏ hơn nhờ thiết kế đơn giản, giảm nguy cơ lỗi và lỗ hổng bảo mật so với các giao thức phức tạp hơn.
• Dễ dàng cấu hình: WireGuard sử dụng cặp khóa công khai/riêng tư (public/private key), giúp việc thiết lập kết nối giữa máy chủ và client trở nên đơn giản hơn so với các giao thức như IPsec hay OpenVPN yêu cầu cấu hình phức tạp hơn.

Cấu hình WireGuard VPN cho client Chi tiết

Bước 1: Khởi tạo Interface WireGuard

Chọn WireGuard, nhấn dấu “+” và chọn Apply

• Name: Đặt tên cho giao diện, ví dụ: HCM 
• Actual MTU:1420
• Private Key: Nhập khóa riêng tư (được che một phần trong hình, bạn cần tạo hoặc nhập khóa riêng tư hợp lệ, hoặc bạn không cần nhập cũng được để mặc định). 
• Public Key: tc/ds/RJMNLuKCCtyKYpIWEwCI9I+X3rnGbEXOeLhyw= (Bạn cần lưu lại key để khởi tạo liên kết từ Router Mikrotik với Client).
• Listen Port: 13231 (Port này bạn có thể theo ý mình).

Bước 2: Gán IP Interface WireGuard

Bạn chọn Mục IP →Address→ nhấn dấu “+”→ Apply

• Address:123.123.123.123.1/24
• Network: 123.123.123.0
• Interface: HCM (bạn chọn cổng HCM đã khởi tạo ở bước 1)

Bước 3: Thực hiện trên Client 

Trên PC, LapTop 

Cài đặt App WireGuard từ https://www.wireguard.com/install/

Sau khi cài đặt xong, bạn mở App và click vào biểu tượng tam giác và chọn add empty tunnel hoặc nhấn Ctrl + N.

Chọn add empty tunnel. Màn hình sẽ hiện ra bảng nhập thông tin VPN của Router Mikrotik. 

Name: VIETTUAN 

• Public Key: Nu8+RzBLB2ghdC9apFTbdXHOMCR207uyE5Ie+DGGs= (Public Key của App WireGuard tự động tạo, bạn nhớ lưu key này để tạo peer liên kết với Router Mikrotik).

Interface:  

• PrivateKey: 8LEQbyQaiS9pQ4CeRM5S81fEcMzTd62f1NKRVIUXI= (PrivateKey của App WireGuard tự động tạo).
• Address: 123.123.123.3/24 (Thêm IP cùng lớp mạng với IP của Interface WireGuard ở bước 2).

Peer: 

• PublicKey: tc/ds/RJMNLuKCCtyKypIWEC9I+X3rnGbEXOeLhyw= (Publickey đã khởi tạo Interface WireGuard trên Router Mirotik).
• AllowedIPs: 0.0.0.0/0 (định tuyến toàn bộ lưu lượng qua VPN).
• Endpoint: 42.117.205.42:13231 (Đây là IP WAN của Router Mikrotik với Port 13231 mà mình đã tạo ở trên Bước 1).

Sau khi nhập thông tin bạn chọn Save.

Trên Router Mikrotik 

Chọn WireGuard → Tab Peers → nhấn dấu “+”→ Thêm thông tin→ Apply

• PublicKey: Nu8+RIzbLB2gHdC9ApFTbdXHOmCR2O7UyE5Ie+DGgEs= (Publickey đã khởi tạotrên App WireGuard ở PC).

• AllowedIPs: 123.123.123.3/24 (cho phép IP của client đã thiết lập Peer được phép hoạt động trên Tunnel này).

Sau khi bạn thực hiện cấu hình xong ở Router Mikrotik, bạn quay lại PC, Laptop vào lại App WireGuard và chọn Active để kích hoạt VPN nhé.

Kết quả, bạn sẽ thấy phần Transfer có lưu lượng đi qua và Status hiện Active là thành công.

Trên điện thoại

Các bạn vào CH PLAY hoặc APPLE STORE cài đặt WireGuard.

Tiếp theo, nhấn dấu “+” và chọn Create from scratch.

Nhấn chọn biểu tượng xoay vòng để khởi tạo PublicKey.

Interface:

• Name: Client-to-HCM (bạn có thể đổi theo ý muốn của bạn)

• Public key: bRKE8LWB7RB+mT90w9sV2Rp7jUlAhBdIcakvz1Mx6ls= (do app khởi tạo bạn nhớ lưu lại key này để tạo liên kết Peer với Router Mikrotik).

• Addresses: 123.123.123.2/24(bạn nhập IP cùng với lớp mạng IP Interface WireGuard ở Bước 2 mình đã tạo).

Peer:

• Public key: tc/ds/RJMNLuKCCtyKYpIWEwCI9I+X3rnGbEXOeLhyw= (nhập PublicKey của Interface WireGuard của Mikrotik).

• Endpoint: 42.117.205.42:13231 (Đây là IP WAN của Router Mikrotik với Port 13231 mình đã tạo ở trên Bước 1).
• Allowed IPs: 0.0.0.0/0 (định tuyến toàn bộ lưu lượng qua VPN).

Trên Router Mikrotik 

Chọn Mục WireGuard → Tab Peers → nhấp vào nút +→ Thêm thông tin→ Apply

• PublicKey: bRKE8LWB7RB+mT90w9sV2Rp7jUlAhBdIcakvz1Mx6ls= (bạn nhập Publickey của điện thoại đã khởi tạo App WireGuard).
• AllowedIPs: 123.123.123.2/24 (cho phép IP của client đã thiết lập Peer được phép hoạt động trên Tunnel này).

Kết quả khi bạn cấu hình và bật VPN trên WireGuard:

Trên đây là hướng dẫn cấu hình WireGuard VPN trên thiết bị MikroTik để kết nối an toàn với điện thoại và máy tính. Việc triển khai thành công giúp bạn bảo mật dữ liệu, truy cập từ xa vào hệ thống mạng nội bộ một cách tiện lợi và ổn định. Hãy thường xuyên kiểm tra và cập nhật cấu hình để đảm bảo hiệu suất và tính an toàn cho toàn bộ hệ thống mạng của bạn.