Hướng dẫn thiết lập kết nối Site to Site với Wireguard VPN trên Router MikroTik

Việc kết nối mạng giữa các chi nhánh ở nhiều địa điểm khác nhau đòi hỏi một giải pháp bảo mật cao, dễ triển khai và quản lý. WireGuard VPN trên thiết bị Router MikroTik là giải pháp lý tưởng, cho phép bạn thiết lập kết nối Site to Site để các mạng ở các văn phòng có thể giao tiếp với nhau an toàn như trong cùng một hệ thống nội bộ. Hãy cùng Việt Tuấn tìm hiểu cách cấu hình kết nối Site to Site bằng WireGuard trên Router MikroTik một cách chi tiết và dễ hiểu.

WireGuard VPN là gì?

WireGuard VPN là một công nghệ mạng riêng ảo (VPN) giúp kết nối an toàn giữa các thiết bị qua Internet. Khi sử dụng WireGuard, dữ liệu sẽ được mã hóa và truyền qua một “đường hầm bảo mật”, ngăn người khác theo dõi hoặc đánh cắp thông tin. WireGuard có ưu điểm: tốc độ cao, bảo mật mạnh và cấu hình rất đơn giản, giúp bạn truy cập vào mạng công ty, văn phòng hay hệ thống riêng tư ở bất cứ đâu một cách an toàn và dễ dàng.

Tại sao nên sử dụng WireGuard VPN?

• Tốc độ vượt trội: WireGuard sử dụng thuật toán mã hóa hiện đại (ChaCha20), xử lý nhanh, giảm tải CPU.
• Cấu hình đơn giản: Chỉ cần trao đổi public key và IP nội bộ, không cần thương lượng phức tạp như IPSec.
• Bảo mật mạnh mẽ: Mã hóa end-to-end với kỹ thuật cryptography hiện đại, không dùng giao thức lỗi thời.
• Dễ kiểm soát, dễ gỡ lỗi: Không có khái niệm phase 1/2 như IPSec, dễ kiểm tra trạng thái tunnel.
• Thích hợp site-to-site hoặc remote VPN: Có thể dùng để nối chi nhánh, văn phòng, hoặc nhân viên từ xa.
• Tương thích tốt với thiết bị di động: WireGuard có app chính chủ cho Android/iOS, kết nối nhanh.

Hướng dẫn thiết lập kết nối Site to Site với Wireguard VPN trên thiết bị Router MikroTik

Chuẩn bị trước khi thiết lập

• MikroTik chạy RouterOS v7 trở lên (WireGuard không hỗ trợ v6).
• Cổng WAN trên mỗi site có IP public tĩnh hoặc DDNS.
• Cấu hình firewall cho phép port WireGuard (mặc định UDP 13231 hoặc tùy chọn).

Cấu hình WireGuard VPN Router Mikrotik

Mô hình VPN WireGuard:

Đây là sơ đồ giả lập trên EVE. Đầu tiên các bạn chuẩn bị giúp mình 2 IP WAN của 2 chi nhánh:

• IP WAN HCM: 113.113.113.100
• IP WAN HÀ NỘI: 100.100.100.100

Bước 1: Khởi tạo Interface WireGuard

Chọn WireGuard, nhấn vào dấu “+” và nhấn Apply.

• Name: Đặt tên cho giao diện, ví dụ: HCM 
• Type: WireGuard. 
• MTU: 1420
• Actual MTU:1420
• Private Key: Nhập khóa riêng tư (được che một phần trong hình, bạn cần tạo hoặc nhập khóa riêng tư hợp lệ, hoặc bạn không cần nhập cũng được để mặc định). 
• Public Key: qBFCFWEjnz24BxgpsaxRNOEk+bUFRuqB2+qYh4yc ( Bạn cần lưu lại key để khởi tạo liên kết Tunnel giữa hai đầu chi nhánh).
• Listen Port: 13231 (Port này bạn có thể theo ý mình).

Bước 2: Gán IP Interface WireGuard

Chọn IP → Address → Nhấn vào dấu “+”→ Apply

• Address: 123.123.123.123.1/24
• Network: 123.123.123.0
• Interface: HCM (bạn chọn cổng HCM đã khởi tạo ở bước 1)

Chú ý, bạn phải gán IP cho cả hai đầu chi nhánh nhé. Mình tạo trước ở HCM để các bạn hình dung. Các bạn làm tương tự ở chi nhánh còn lại nhé.

Bước 3: Thiết lập Tunnel giữa hai chi nhánh

Chọn WireGuard → Chọn Tab Peers →Nhấn vào dấu “+” → Thêm thông tin→ Apply

Ở đầu HCM bạn chọn qua Tab peer và ở đầu HN bạn vẫn giữ nguyên mục WireGuard.

• Name: Đặt tên cho peer, ví dụ: HCM-TO-HN.
• Interface: HCM (Chọn giao diện WireGuard đã tạo).
• Public Key: Nhập Public Key của INTERFACE WireGuard CỦA HÀ NỘI (ví dụ: W0LLajgeKWt1swQT9u3AJuN-HD7KXIo2rBFw0o=>).
• Endpoint: 100.100.100.100 (mình đang khởi tạo ở HCM nên mình sẽ điền IP WAN HN vào để tạo liên kết Peer cho HCM và HN).
• Endpoint Port: 1321 (Port bạn đã khởi tạo trên Interface WireGuard trên HN).
• Allowed Address:123.123.123.0/24, 172.16.1.0/25, 192.168.1.0/24 (như trong hình, bạn thêm các lớp mạng là cho phép IP nội bộ của chi nhánh HCM, IP nội bộ HN và IP lớp mạng Tunnel được phép hoạt động trên liên kết từ HCM đến HN).
• Thiết lập trên Router Mikrotik HCM đến Router Mikrotik HN.

• Thiết lập trên Router Mikrotik HN đến Router Mikrotik HCM.

Kết quả: Khi bạn thực hiện xong thì các IP Tunnel sẽ ping được nhau nhưng các IP nội bộ vẫn chưa thể ping tới được nhau, nên mình sẽ phải tạo một đường Routing.

Ở hình ảnh dưới, hai đầu IP Tunnel đã ping được với nhau.

Bước 4: Thực hiện Routing, kết nối mạng nội bộ giữa các chi nhánh

• Chọn IP → Routes → nhấn vào dấu “+” → Thực hiện điền thông tin như ảnh → Apply.
• Dst. Address: 172.16.1.0/24 (mạng nội bộ của chi nhánh đối diện, ở HCM thì đối diện sẽ là HN).
• Gateway: 123.123.123.1 (IP của Interface WireGuard bên HN).

Kết quả: Khi tạo thêm hai đường routing thì các IP nội bộ sẽ biết đường đi đến IP nội bộ chi nhánh kia.

Trên đây là hướng dẫn thiết lập kết nối Site to Site bằng WireGuard VPN trên Router MikroTik, giúp các chi nhánh của bạn liên kết an toàn và hoạt động như một mạng nội bộ thống nhất. Với cấu hình đơn giản, tốc độ cao và độ bảo mật mạnh mẽ, WireGuard sẽ là giải pháp VPN tối ưu để đảm bảo dữ liệu doanh nghiệp luôn an toàn và ổn định khi truyền qua Internet.