Trong bài viết này, chúng ta sẽ cấu hình một máy chủ VPN sử dụng WireGuard trên hệ điều hành Debian 12. WireGuard là một giao thức VPN hiện đại với hiệu suất cao, cấu hình đơn giản và bảo mật mạnh.
Sau khi cấu hình hoàn tất, thiết bị client (điện thoại hoặc máy tính) có thể kết nối VPN để truy cập Internet thông qua IP của máy chủ.
Mô hình:
1. Chuẩn bị #
Trước khi bắt đầu chúng ta cần chuẩn bị:
- VPS chạy Debian 12
- Quyền root hoặc sudo
- 1 Địa chỉ IP Public của VPS
- Mở port UDP cho WireGuard
2. Các bước cấu hình #
2.1. Cấu hình IP Forward trên Server #
Để client VPN có thể truy cập Internet thông qua server, Quý Khách cần bật chức năng IP forwarding.
Mở file cấu hình:
sudo nano /etc/sysctl.confThêm hoặc bỏ các comment các dòng sau:
# Port Forwarding for IPv4
net.ipv4.ip_forward=1
# Port forwarding for IPv6
net.ipv6.conf.all.forwarding=1Apply giá trị trên trên live bằng lệnh sau thay vì phải reboot
sudo sysctl -p2.2. Cài đặt Firewall (UFW) #
Để có thể cài đặt Firewall Quý Khách cần chạy lệnh sau:
sudo apt update && sudo apt install ufw -ymở firewall cho SSH và port Wireguard
sudo ufw allow OpenSSH
sudo ufw enable
sudo ufw allow 51820/udpSau đó kiểm tra trạng thái của firewall như sau:
sudo ufw status
2.3. Cấu hình Firewall trên hạ tầng VM #
Ngoài việc cấu hình firewall bên trong VPS, Quý Khách nên thiết lập thêm firewall bên ngoài tại tầng hạ tầng VM/Cloud. Việc này giúp kiểm soát và chặn các kết nối không hợp lệ ngay từ lớp mạng bên ngoài trước khi lưu lượng truy cập đến VPS, qua đó tăng cường bảo mật tổng thể và giảm thiểu rủi ro đối với hệ thống.
Ở phần này vHost sẽ hướng dẫn Quý Khách cấu hình Firewall trên hạ tầng VM bằng giao diện quản lý dịch vụ của Khách Hàng, sau khi Quý Khách đã cấu hình firewall bên trong VPS.
Tại giao diện quản lý Quý Khách truy cập vào mục tường lửa để cấu hình mở port Wireguard như sau:
Sau khi Quý Khách chọn vào mục Thêm quy tắc mới, giao diện sẽ hiển thị để Quý Khách có thể cấu hình thêm 1 rules firewall, hình phía dưới sẽ hướng dẫn Quý Khách cấu hình thêm firewall mở port 51820 với giao thức UDP như sau:
Nếu Quý Khách chưa biết cấu hình firewall trên giao diện quản lý dịch vụ, Quý Khách có thể tham khảo bài viết hướng dẫn cấu hình firewall tại đây.
3. Cài đặt Wireguard #
Cài đặt WireGuard trên server bằng lệnh sau:
sudo apt install wireguard3.1. Tạo Private Key và Public Key cho server #
Tạo private key:
wg genkey | sudo tee /etc/wireguard/server.keyPhân quyền bảo mật cho key:
sudo chmod 0400 /etc/wireguard/server.keyTạo public key:
sudo cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub3.2. Tạo Private Key và Public Key cho client #
Tạo thư mục lưu key cho client:
mkdir -p /etc/wireguard/clients/vhostTạo private key cho client:
wg genkey | tee /etc/wireguard/clients/vhost/vhost.keyTạo public key:
cat /etc/wireguard/clients/vhost/vhost.key | wg pubkey | tee /etc/wireguard/clients/vhost/vhost.pub4. Cấu hình WireGuard Server #
Tạo config cho server:
sudo nano /etc/wireguard/wg0.confThêm nội dung sau:
[Interface]
Address = 10.10.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = lấy nội dung ở /etc/wireguard/server.key
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = đây là nội dung của client pub key /etc/wireguard/clients/vhost/vhost.pub
AllowedIPs = 10.10.0.2/24
Sau đó lưu cấu hình và khởi động lại service wireguard:
sudo systemctl start wg-quick@wg0.service
sudo systemctl enable wg-quick@wg0.serviceHoặc Quý Khách cũng có thể up/down thủ công với 2 lệnh sau:
sudo wg-quick up /etc/wireguard/wg0.conf
sudo wg-quick down /etc/wireguard/wg0.conf5. Cấu hình trên Client #
Nếu Quý Khách sử dụng điện thoại để sử dụng VPN Quý Khách cần cài đặt ứng dụng WireGuard trên CH Play hoặc App Store. Sau đó Quý Khách truy cập vô ứng dụng và thêm cấu hình, cách cấu hình như sau:
[Interface]
# Define the IP address for the client - must be matched with wg0 on the
Wireguard Server
Address = 10.10.0.2/24
# specific DNS Server
DNS = 1.1.1.1
# Private key for the client - vhost.key
PrivateKey = privatekey của client
[Peer]
# Public key of the Wireguard server - server.pub
PublicKey = publickey của server
# Allow all traffic to be routed via Wireguard VPN
AllowedIPs = 0.0.0.0/0
# Public IP address of the Wireguard Server
Endpoint = IP của VPS:51820
# Sending Keepalive every 25 sec
PersistentKeepalive = 25Quý Khách có thể tham khảo ví dụ cấu hình trên Client
Sau khi Quý Khách cấu hình trên Client hoàn tất, Quý khách truy cập vào đường dẫn sau để kiểm tra IP của Quý Khách sau khi bật VPN tại mục Your IP Address
https://lg-sg.vhost.vn/
6. Kết luận #
Qua các bước trên, chúng ta đã hoàn thành việc cài đặt và cấu hình máy chủ VPN sử dụng WireGuard trên hệ điều hành Debian 12. Sau khi cấu hình thành công, các thiết bị client như điện thoại, laptop hoặc máy tính có thể kết nối tới máy chủ VPN để truy cập Internet thông qua địa chỉ IP của server.
WireGuard là một giải pháp VPN hiện đại với nhiều ưu điểm nổi bật như hiệu năng cao, cấu hình đơn giản, độ bảo mật tốt và dễ triển khai trên các hệ thống Linux.
Hy vọng bài viết này vHost sẽ giúp Quý Khách triển khai thành công một hệ thống VPN cơ bản để phục vụ nhu cầu truy cập từ xa hoặc bảo mật kết nối mạng. Trong quá trình triển khai, Quý Khách có thể mở rộng cấu hình để hỗ trợ nhiều client hoặc tích hợp với các hệ thống quản lý mạng khác tùy theo nhu cầu sử dụng.
Nếu Quý Khách hàng có thắc mắc gì trong quá trình thực hiện, Quý Khách có thể liên hệ qua các kênh sau:
- Tổng đài hỗ trợ khách hàng: 19006806 – phím 2
- Email: support@vHost.vn
- Ticket: https://members.vhost.vn/tickets/new/
Nếu Quý Khách có bất kỳ câu hỏi hoặc phản hồi nào, hãy để lại bình luận bên dưới.
