Posted inNetworking

Hướng Dẫn Cài Đặt WireGuard VPN Server Trên Linux (Nhanh & Bảo Mật)

Networking tutorial - IT technology blog
Networking tutorial - IT technology blog

Vấn Đề Với Các Giải Pháp VPN Truyền Thống

Bạn cần một VPN tự host. Có thể bạn muốn truy cập home lab từ xa, kết nối các văn phòng chi nhánh, hoặc định tuyến traffic qua một exit node đáng tin cậy. Câu trả lời cổ điển trước đây là OpenVPN hoặc IPsec — và nếu bạn đã từng cấu hình một trong hai, bạn biết nỗi đau đó: hàng ngàn dòng config, certificate authority, cipher lỗi thời, và những buổi debug kéo dài đến tận đêm khuya.

Nguyên nhân gốc rễ không phải là VPN vốn dĩ phức tạp. Các giao thức cũ được thiết kế khi “cryptographic agility” có nghĩa là hỗ trợ mọi cipher có thể tưởng tượng. “Tính linh hoạt cấu hình” có nghĩa là để lộ mọi tùy chọn cho người dùng. Kết quả là phần mềm khó cấu hình đúng và còn khó audit hơn nữa.

WireGuard đi theo hướng ngược lại — cố ý làm ít hơn. Codebase của nó chỉ ~4.000 dòng. OpenVPN thì hơn 100.000 dòng. WireGuard sử dụng một tập cố định các primitive mã hóa hiện đại và lưu trữ mọi thứ trong một file config duy nhất. Tôi đã deploy nó trên một VPS $5/tháng và có tunnel hoạt động trong chưa đầy 10 phút. Một khi bạn đã dùng nó, quay lại OpenVPN cảm giác như quay lại thời dial-up.

So Sánh Phương Án: WireGuard vs OpenVPN vs IPsec

Mỗi tùy chọn đều có use case thực tế. Đây là nơi chúng phù hợp — và nơi chúng không phù hợp.

OpenVPN

  • Trưởng thành, đã được kiểm chứng thực tế, hỗ trợ client rộng rãi
  • Chạy trong userspace — dễ cài đặt mà không cần root, nhưng chậm hơn
  • Dựa trên TLS: hoạt động qua hầu hết firewall (có thể dùng port 443)
  • Cần thiết lập PKI phức tạp (certificate, CA)
  • Tốn CPU, overhead đáng chú ý trên các kết nối throughput cao

IPsec / IKEv2

  • Hỗ trợ native trên iOS và macOS mà không cần app thêm
  • Chạy trong kernel — nhanh
  • Cấu hình nổi tiếng là dễ gây lỗi
  • Debug rất khó chịu; error message khó hiểu
  • Tốt cho enterprise hoặc mobile client, kém cho các setup self-hosted nhanh

WireGuard

  • Tích hợp kernel từ Linux 5.6 (cũng có sẵn dưới dạng userspace module trên kernel cũ hơn)
  • Cực kỳ nhanh: sử dụng ChaCha20 + Poly1305 để mã hóa, Curve25519 để trao đổi key
  • Không cần certificate: chỉ cần cặp public/private key
  • Thiết kế stateless — không có persistent connection, không có drama về handshake timeout
  • Attack surface nhỏ: ~4.000 dòng có thể được audit bởi một kỹ sư trong một cuối tuần

Ưu và Nhược Điểm của WireGuard

Ưu điểm

  • Tốc độ: Benchmark liên tục cho thấy WireGuard vượt trội OpenVPN 2–3 lần trên cùng phần cứng. Trên đường link 1 Gbps, OpenVPN thường đạt tối đa 200–300 Mbps. WireGuard thường đạt 700–900 Mbps.
  • Đơn giản: Setup server + client hoạt động mất chưa đầy 10 phút. Toàn bộ config hiển thị trên một màn hình.
  • Bảo mật theo thiết kế: Bộ mật mã cố định và hiện đại. Không có quá trình negotiate, vì vậy bạn không thể vô tình cấu hình sai.
  • Hỗ trợ roaming: Client có thể chuyển đổi mạng (WiFi → LTE) mà không cần kết nối lại. Tunnel tự động kết nối trở lại.
  • Ít tài nguyên: Chạy thoải mái trên VPS $5/tháng hoặc Raspberry Pi 3.

Nhược điểm

  • Chỉ dùng UDP: WireGuard chỉ sử dụng UDP. Một số firewall doanh nghiệp chặn UDP hoàn toàn. Nếu đó là trường hợp của bạn, bạn sẽ cần giải pháp thay thế như udp2raw hoặc TCP tunnel wrapper.
  • Không có obfuscation tích hợp: Traffic có thể nhận dạng được là WireGuard. Trong môi trường kiểm duyệt nặng, cần thêm lớp obfuscation bên trên.
  • Quản lý peer thủ công: Thêm hoặc xóa peer có nghĩa là chỉnh sửa config thủ công. Các tool như wg-easy hoặc headscale thêm lớp quản lý nếu bạn cần mở rộng quy mô.
  • Không có gán IP động theo mặc định: Bạn gán IP cho từng peer thủ công. wg-easy tự động hóa điều này cho các setup lớn hơn.

Cài Đặt Khuyến Nghị

Đối với VPN cá nhân hoặc nhóm nhỏ, một WireGuard server trên Linux VPS với config peer tĩnh là tất cả những gì bạn cần. Không cần UI quản lý, không cần database. File config đủ ngắn để chỉnh sửa trực tiếp nhanh hơn là học GUI.

Hướng dẫn này sử dụng Ubuntu 22.04 LTS, nhưng các bước cũng áp dụng được cho mọi hệ thống Debian/Ubuntu hiện đại. Server sẽ:

  • Lắng nghe trên UDP port 51820
  • Sử dụng subnet 10.0.0.0/24 cho VPN tunnel
  • Định tuyến toàn bộ traffic của client qua server (chế độ full-tunnel)

Hướng Dẫn Triển Khai

Bước 1: Cài Đặt WireGuard

Trên Ubuntu 22.04+, WireGuard đã có trong repo mặc định:

sudo apt update
sudo apt install wireguard -y

Xác nhận kernel module đã được tải:

lsmod | grep wireguard
# wireguard             86016  0

Bước 2: Tạo Server Keys

cd /etc/wireguard
umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
cat server_private.key   # Bạn sẽ cần cái này trong wg0.conf
cat server_public.key    # Chia sẻ cái này với mỗi client

server_private.key ở trên server — không bao giờ chia sẻ nó. Public key thì an toàn để phân phối.

Bước 3: Bật IP Forwarding

Nếu không có điều này, server không thể định tuyến traffic giữa các client và internet:

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Bước 4: Tạo Server Config

Thay YOUR_PRIVATE_KEY bằng nội dung của server_private.key. Thay eth0 bằng network interface thực tế của bạn — kiểm tra bằng ip a:

sudo nano /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = YOUR_PRIVATE_KEY

# NAT: thay eth0 bằng interface thực tế của bạn
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Thêm các peer block bên dưới (mỗi client một block)

Bước 5: Thêm Client Peer

Trên máy client, tạo cặp key theo cách tương tự:

wg genkey | tee client_private.key | wg pubkey > client_public.key

Quay lại server, thêm client làm peer trong wg0.conf:

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

AllowedIPs phía server nói với WireGuard: các packet đến 10.0.0.2 sẽ được gửi đến peer này. Đối với full-tunnel client, một /32 là đúng ở đây.

Bước 6: Khởi Động WireGuard

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
sudo systemctl status wg-quick@wg0

Sau đó mở port firewall:

sudo ufw allow 51820/udp
sudo ufw reload

Bước 7: Cấu Hình Client

Tạo /etc/wireguard/wg0.conf trên máy client:

[Interface]
Address = 10.0.0.2/24
PrivateKey = CLIENT_PRIVATE_KEY
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = YOUR_SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

AllowedIPs = 0.0.0.0/0 nghĩa là full-tunnel: mọi packet đều định tuyến qua VPN. Muốn split-tunnel thay thế — chỉ traffic đến VPN subnet? Dùng 10.0.0.0/24.

Kích hoạt tunnel:

sudo wg-quick up wg0

Bước 8: Xác Minh Kết Nối

Trên server, kiểm tra các peer đang hoạt động:

sudo wg show
# interface: wg0
#   public key: ...
#   listening port: 51820
# 
# peer: CLIENT_PUBLIC_KEY
#   endpoint: CLIENT_IP:PORT
#   allowed ips: 10.0.0.2/32
#   latest handshake: 5 giây trước
#   transfer: đã nhận 1.23 KiB, đã gửi 4.56 KiB

Từ client, ping VPN IP của server:

ping 10.0.0.1
# 64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=12.3 ms

Timestamp handshake có mặt và ping reply trả về — tunnel đã hoạt động. Xong rồi đó.

Các Vấn Đề Thường Gặp và Cách Khắc Phục Nhanh

  • Không có handshake: Kiểm tra rằng UDP 51820 đang mở trên server firewall. Xác minh public IP của server trong trường Endpoint của client là đúng.
  • Ping được VPN IP nhưng không vào được internet: IP forwarding có thể đang tắt. Chạy sysctl net.ipv4.ip_forward — kết quả phải là 1. Cũng xác nhận rằng iptables NAT rule trong PostUp đã được thực thi.
  • DNS leaks: Đặt DNS = 1.1.1.1 trong block [Interface] của client, hoặc trỏ đến DNS server chạy bên trong VPN subnet.
  • Thêm nhiều peer hơn: Mỗi client mới cần cặp key riêng và IP duy nhất (ví dụ: 10.0.0.3/32, 10.0.0.4/32). Reload mà không cần restart đầy đủ: sudo wg addconf wg0 <(wg-quick strip wg0).
Share:
Tags: