WireGuard ® là một giao thức VPN mới phát hành trên phiên bản kế tiếp của Router OS, cực kỳ đơn giản trong cách cấu hình cài đặt, an toàn và hiện đại. Bản thân của Wireguard là thay thế thế giao thức IPSec VPN, với mục đích nhanh hơn, đơn giản hơn, gọn gàng hơn và hữu ích hơn Ipsec nhiều. Wireguard hoạt động hiệu quả hơn đáng kể so với giao thức OpenVPN. WireGuard được thiết kế đặc biệt hơn để chạy trên các giao diện nhúng và các siêu máy tính, phù hợp với nhiều trường hợp khác nhau trong thực tế. Trước đây, Wiregurad phát hành cho Linux, giờ đây nó đã phát hành rộng rãi, đa nền tảng (Windows, macOS, BSD, iOS, Android) và có thể triển khai rộng rãi trên nhiều thiết bị thực tế. Không giống như các loại giao thức VPN khác, Wireguard này không nhận ra máy chủ (Server) , máy khách (client). Wireguard sử dụng khái niệm đồng đẳng được kết nối với nhau. Mặc dù wireguard này là một VPN, nó lại không đưa vào chung menu ppp mà có menu riêng, có menu con gồm các giao diện wireguard và các ứng dụng ngang hàng bên trong đó.
Trong bài viết này, chúng tôi sử dụng mô hình kết nối như sau. Trước tiên, hãy đảm bảo rằng bộ định tuyến của bạn đang sử dụng phiên bản hệ điều hành Router OS v7 mới nhất. Wireguard không có sẵn trên Router OS v6.
Các máy tính tại mỗi chi nhánh kết nối trong qua mỗi mạng LAN tại mỗi chi nhánh, các Router Mikrotik kết nối Internet.
Trước tiên, việc cài đặt đầu tiên tại mỗi Router là thiết lập Internet, cấu hình mạng LAN tương ứng và thực hiện NAT cho các kết nối Internet. Kết quả đảm bảo rằng tại mỗi chi nhánh, các máy tính trong mạng LAN có thể giao tiếp với mạng Internet bên ngoài. Chẳng hạn, với Router A, kết quả cài đặt trong như thế này.
Chẳng hạn, với Router B, kết quả cài đặt tương tự như thế này.
Bước tiếp theo, tạo giao diện liên kết wireguard để thiết lập thông tin riêng cho mỗi kết nối. Tại Menu wireguard -> Chọn mục thêm, dấu + “màu xanh”.
Sau khi thành công, đừng đóng các cửa sổ này vì dòng khóa công khai sẽ được điền tự động với các giá trị cố định ngẫu nhiên. Kết quả có thể được nhìn thấy trong hình ảnh phía trên. Lưu ý chép lại khóa công khai vì chúng tôi sẽ sử dụng nó để thêm một kết nối tới liên kết ngang hàng trên thiết bị kia. Router A: Public key: 2xb8Uk13TpA5YHGl3fdZkswHIn8COhLfdmnPRD0LGUc= Router B: Public key: fnHAwG1EHHLOieTZATkkggfIIhf2FH2vo0F8wgAZZEE= Bước tiếp theo, chúng tôi thiết lập kết nối tới các thiết bị ngang hàng, trong đó tái sử dụng các khóa công khai phía trên. Tại thẻ Peer, chọn mục thêm, dấu + “màu xanh”.
Trong các thuộc tính, các thuộc tính quan trọng chúng tôi cần lưu ý: + Endpoint: Địa chỉ IP các bộ định tuyến ngang hàng. Trong mô hình này, Endpoint của Router A là địa chỉ IP WAN Router B và ngược lại. + Public Key: Khóa công khai của bộ định tuyến ngang hàng. Trong mô hình này, Khóa công khai của Router A là khóa công khai của Router B và ngược lại. + Allowed Address: Cho phép lớp mạng nào trong mạng được phép truy nhập vào kết nối wireguard. Đây là lớp mạng tại Router A và Router được phép sử dụng liên kết Wireguard. Công việc tiếp theo của chúng tôi, là thêm địa chỉ IP cho các liên kết này. Tại Menu IP – Address, chúng tôi gán địa chỉ lần lượt, chẳng hạn.
So với các giao thức VPN trước đây, Wireguard quản lý lưu lượng qua các liên kết với thuộc tính allowed addresss. Việc này đảm bảo chỉ các lưu lượng nào được chỉ định, mới có thể hoạt động qua giao thức VPN này. Chính vì vậy, các mạng cục bộ, bao gồm mạng cục bộ tại Router A, Router B, mạng tại 2 điểm của liên kết VPN cũng được đặt trong thuộc tính này. Trở lại với Menu Wireguard và thẻ Peers, chúng tôi thêm các lớp mạng này vào các giao diện vừa khởi tạo.
Nếu thử kiểm tra liên kết vừa khởi tạo, bằng cách đứng tại Router B, có thể ping đến điểm bên kia của liên kết wireguard. Kết quả trả về thành công.
Bước cuối cùng, chúng tôi định tuyến cho các mạng tại mỗi bộ định tuyến. Đối với bộ định tuyến A, lớp mạng 192.168.100.0/24 cần truy cập tới lớp mạng 192.168.200.0/24 được thực hiện như sau. Tại Router A . Trong Menu IP – Routes.
Tại Router B .
Chà, cho đến thời điểm này, các mạng LAN trong hai mạng ngang hàng đã có thể kết nối. Chúng tôi có thể chứng minh điều đó bằng cách ping hoặc sử dụng công cụ theo dõi lộ trình (tracert route).
