Hướng Dẫn Cấu Hình VPN WireGuard Trên Thiết Bị Secure Gateway Instant On SG1004 Và SG2505P

“Giải pháp kết nối an toàn tối ưu cho doanh nghiệp số — Thiết lập đơn giản, mã hóa thế hệ mới.”

Trong môi trường vận hành hiện đại, việc xây dựng một đường truyền kết nối mã hóa an toàn, độ trễ thấp từ xa về văn phòng là vô cùng thiết yếu. Vượt qua những hạn chế của các giao thức cũ, WireGuard ra đời như một chuẩn mực mới tối ưu hiệu năng toàn diện. Bài viết dưới đây từ đội ngũ kỹ thuật TechSpace TSC sẽ hướng dẫn chi tiết các bước thiết lập VPN WireGuard trên hai dòng Gateway chiến lược: SG1004 và SG2505P.

1. Những lưu ý kỹ thuật cốt lõi trước khi triển khai

Để đảm bảo luồng dữ liệu VPN được định tuyến chính xác và không gặp lỗi nghẽn mạch kết nối, bạn cần lưu tâm đến các nguyên lý vận hành sau:

2. Hướng dẫn chi tiết các bước cấu hình trên Aruba Instant On Portal

Quy trình triển khai được chia làm hai giai đoạn rõ ràng: Khởi tạo phân vùng dịch vụ VPN và tạo lập hồ sơ (Profile) cấp quyền truy cập cho Client đầu cuối.

Bước 1: Khởi tạo mạng dịch vụ VPN Network

Bạn tiến hành truy cập vào giao diện quản trị đám mây Aruba Instant On Portal (thông qua trình duyệt Web hoặc sử dụng app di động HPE Instant On). Trên bảng điều khiển Dashboard chính, truy cập tuần tự theo sơ đồ lệnh: Networks → LAN → Nhấp chọn nút Create Network.

Hình 1: Click chọn nút Create Network tại vùng quản lý LAN để bắt đầu thiết lập.

Tại cửa sổ tùy chọn vừa xuất hiện, di chuyển đến mục loại hình mạng (Network Type) → tích chọn phân loại "VPN" và nhập tên định danh phân biệt cho mạng tại ô Name.

Hình 2: Lựa chọn phân hệ Network Type là VPN và gán tên định danh gợi nhớ.

Tiếp theo, tại mục thiết lập cổng dịch vụ (Set Port), hệ thống khuyến nghị giữ nguyên thông số mã cổng lắng nghe mặc định toàn cầu của giao thức WireGuard là: 51820.

Hình 3: Cấu hình mã cổng dịch vụ kết nối Listening Port về thông số mặc định 51820.

Tại bước xác định dải địa chỉ IP cấp phát (IP Assignment), bạn tiến hành khai báo lớp mạng IP mà các thiết bị Client từ xa sẽ nhận được sau khi kết nối thông suốt. Trong bài viết hướng dẫn chuẩn mẫu này, chúng ta thiết lập dải IP cấp phát mẫu là: 172.30.2.1 /24. Sau đó nhấn nút Next.

Hình 4: Khai báo phân vùng dải IP cấp phát nội bộ cho các kết nối từ xa.

Tại bước cấu hình phân quyền vùng mạng đích đến (Tunneled Destinations), bạn tiến hành lựa chọn chính sách bảo mật tùy theo nhu cầu doanh nghiệp:

• All Wired Networks: Cho phép tài khoản người dùng VPN sau khi kết nối được quyền truy cập thông suốt vào tất cả các phân vùng mạng mạng LAN nội bộ đang có trên Gateway.
• Selected Wired Networks: Chính sách bảo mật nghiêm ngặt, chỉ cho phép kết nối kết nối đi tới một vài phân vùng mạng LAN chỉ định cụ thể.

Sau khi chọn xong, click chuột chọn nút lệnh "Create Network" để hệ thống Cloud đồng bộ ghi nhận mạng.

Hình 5: Thiết lập chính sách phân quyền truy cập mạng đích đến và nhấn lệnh hoàn tất.

Hệ thống xử lý cấu hình trong giây lát. Sau khi hoàn thành, phân hệ mạng VPN mới của bạn sẽ hiển thị trên danh sách tổng với trạng thái hoạt động tốt (Active / Good).

Hình 6: Hệ thống hiển thị mạng VPN WireGuard vừa tạo đã ở trạng thái Active ổn định.

Bước 2: Khởi tạo hồ sơ người dùng Client Configuration

Khi phân hệ mạng nền tảng đã sẵn sàng, chúng ta tiến hành tạo lập tệp tin cấu hình bảo mật tương ứng với từng thiết bị hoặc nhân sự kết nối.

Vẫn tại không gian quản lý Network LAN, nhấp chọn vào mạng VPN vừa khởi tạo ở Bước 1. Tại khung thuộc tính thông số chi tiết của mạng, chuyển dịch sang tab danh mục Client Configurations.

Hình 7: Di chuyển menu sang tab Client Configurations để bắt đầu phân quyền tài khoản.

Đối với hệ thống mới chưa từng khởi tạo tài khoản nào từ trước, tại không gian trung tâm màn hình sẽ hiển thị thông báo kèm theo nút bấm khởi tạo. Bạn click chọn nút Create Client Configuration.

Hình 8: Nhấp chọn nút Create Client Configuration tại vùng trung tâm màn hình quản trị.

Tại bảng thiết lập thuộc tính, tiến hành điền tên định danh của nhân sự hoặc thiết bị đầu cuối vào ô Name. Hệ thống Aruba Instant On sẽ tự động phân bổ và gán cố định một địa chỉ IP tĩnh nội mạch riêng biệt (Ví dụ trong bài mẫu: 172.30.2.2) hỗ trợ công tác kiểm soát quản trị sau này.

Hình 9: Đặt tên gợi nhớ phân loại Client và ghi nhận địa chỉ IP tĩnh nội bộ được cấp phát.

Tiếp theo, bạn tiến hành xác định phương thức tạo lập khóa mật mã mã nguồn bảo mật (Cryptographic Client Identity) cho Client với hai tùy chọn phân loại:

• Automatic (Default): Hệ thống tự động khởi tạo ngẫu nhiên cặp khóa mã hóa bảo mật tối cao Public/Private Key an toàn (TechSpace khuyến nghị áp dụng).
• User Defined: Lựa chọn nâng cao chỉ dùng khi doanh nghiệp của bạn có sẵn bộ chứng chỉ mật mã riêng độc lập và muốn nạp thủ công vào hệ thống.

Sau khi chọn chế độ mặc định tự động, nhấn nút Create Client Configuration để hoàn tất tiến trình khởi tạo.

Hình 10: Giữ nguyên cơ chế Automatic tự động sinh khóa mật mã bảo mật cao và lưu cấu hình.

Ngay lập tức, một bảng thông báo Pop-up hiển thị kết quả thành công xuất hiện. Bạn click chuột chọn dòng liên kết chữ View configuration để hiển thị thông tin tệp mã kết nối.

Hình 11: Cửa sổ thông báo xuất hiện, nhấn chọn View configuration để trích xuất dữ liệu kết nối.

Tại đây, bạn tiến hành bấm nút Download để tải về và lưu trữ tệp tin file cấu hình (định dạng phần mở rộng dạng đuôi .conf) về máy tính cá nhân, hoặc lưu lại hình ảnh mã QR Code trực quan để cấp phát cho người dùng thiết bị di động.

3. Hướng dẫn cài đặt ứng dụng Client đầu cuối & Kiểm tra kết nối

Dựa trên loại hình nền tảng thiết bị phần cứng của người dùng kết nối từ xa, chúng ta sẽ áp dụng các thao tác nạp tệp cấu hình tương thích.

A. Môi trường Máy tính (Chạy hệ điều hành Windows, macOS, Linux)

1. Truy cập trực tiếp vào trang chủ tải phần mềm chính thức của nhà phát triển dự án theo đường dẫn liên kết: https://www.wireguard.com/install/. Tiến hành tải phiên bản bộ cài đặt tương ứng chính xác với phiên bản hệ điều hành máy tính cá nhân của bạn về chạy setup thông thường.

Hình 12: Trang chủ download phần mềm bộ cài đặt WireGuard Client chính thức thế giới.

2. Khởi chạy ứng dụng WireGuard vừa cài đặt thành công trên máy tính. Tại giao diện tab quản lý mạng Tunnels chính, nhấn chuột chọn mũi tên cạnh nút bấm Add Tunnel → Chọn dòng lệnh "Import tunnel(s) from file..." (hoặc nhấn nhanh tổ hợp phím tắt Ctrl + O). Sau đó tìm trỏ đường dẫn tới vị trí tệp tin cấu hình dạng đuôi .conf đã tải về máy tính ở bước quản trị trước đó để nạp cấu hình.

Hình 13: Thực hiện thao tác nạp cấu hình thông qua tính năng Import tunnel(s) from file trên máy tính.

3. Sau khi tệp cấu hình nạp vào cơ sở dữ liệu ứng dụng thành công, tên cấu hình mạng Tunnel của bạn sẽ hiển thị ở cột danh sách trái. Bạn nhấp chuột chọn vào tên cấu hình mạng đó rồi nhấn chọn nút lệnh "Active" ở khung điều khiển chính bên phải.

Hình 14: Click chuột kích hoạt khởi chạy đường truyền mã hóa bằng phím lệnh Active.

4. Hệ thống xử lý bắt tay xác thực mã hóa trong vài giây. Khi trường trạng thái (Status) chuyển đổi hiển thị chấm tròn dạng màu Xanh lá cây đi kèm dòng chữ báo hiệu thông báo Active, đồng thời các thông số trường dữ liệu gửi nhận Transfer nhảy số liên tục biến thiên, kênh truyền bảo mật VPN đã chính thức thông suốt hoàn toàn về hạ tầng văn phòng.

Hình 15: Kênh truyền bảo mật Tunnel hiển thị trạng thái Active xanh lá báo hiệu thông suốt hoàn tất.

B. Môi trường Thiết bị di động thông minh (Chạy hệ điều hành Android, iOS)

Đối với không gian thiết bị di động thông minh như điện thoại hoặc máy tính bảng di động, quy trình thiết lập được tối ưu hóa nhanh chóng thông qua cơ chế hình ảnh quét mã QR Code trực quan:

• Bạn truy cập vào kho ứng dụng chính thức Google Play Store (đối với dòng máy hệ điều hành Android) hoặc kho ứng dụng App Store (đối với dòng máy iPhone/iPad) tìm kiếm ứng dụng chính chủ có tên gọi WireGuard và thực hiện cài đặt thông thường lên điện thoại.

Hình 16: Ứng dụng WireGuard trên cửa hàng Google Play Store (Android).

Hình 17: Ứng dụng WireGuard trên cửa hàng App Store (iOS).

• Mở ứng dụng WireGuard trên điện thoại di động lên, click chạm chọn vào biểu tượng dấu cộng (+) nằm tại vị trí góc bên phải trên cùng màn hình giao diện ứng dụng di động. Khi này, hệ thống sẽ đưa ra hiển thị 3 phương án để bạn lựa chọn nhập nạp cấu hình:

Hình 18: 3 phương thức hỗ trợ nạp tệp dữ liệu cấu hình linh hoạt trên thiết bị app di động.

• Phương án 1: Create from QR code (Đội ngũ TechSpace khuyến khích sử dụng): Ứng dụng di động sẽ tự động kích hoạt quyền chạy Camera của máy, bạn chỉ cần hướng khung hình camera thực hiện quét trực diện hình ảnh mã QR Code được trích xuất trên trang quản trị Instant On Portal ở Bước 2. Tiến hành điền tên gợi nhớ cho kết nối Tunnel này rồi lưu lại là hoàn thành.
• Phương án 2: Create from file or archive: Tương thích áp dụng khi bạn đã tải tệp tin file định dạng cấu hình .conf trực tiếp về lưu trữ trong thư mục bộ nhớ điện thoại di động. Bạn chỉ cần trỏ link chỉ đường dẫn tới vị trí file để hệ thống tự động nạp cấu hình.
• Phương án 3: Nhập thông số cấu hình thủ công (Create from scratch): Người dùng tự tiến hành sao chép và tự nhập tay tuần tự các thông số trường bảo mật khóa Public/Private key, thông số dải IP địa chỉ, thông số IP Endpoint tương ứng theo đúng dữ liệu phân bổ được trích xuất trên trang quản trị Aruba tổng.
• Sau khi hoàn thành nạp thông số bằng một trong ba phương án linh hoạt trên, ngoài màn hình bảng danh mục Tunnels của ứng dụng app di động sẽ xuất hiện hiển thị tên kết nối mạng bạn vừa thiết lập. Bạn chỉ cần gạt thanh nút chuyển đổi công tắc sang trạng thái màu xanh. Khi màn hình ứng dụng hiện chữ thông báo Active cùng lúc đó trên thanh trạng thái hệ thống của điện thoại hiển thị biểu tượng chữ biểu tượng mạng VPN nhỏ, thiết bị di động của bạn đã kết nối an toàn bảo mật về mạng tổng cơ quan doanh nghiệp.

Hình 19: Giao diện kết nối thông suốt thành công hiển thị chữ Active xanh lá trên không gian di động.

Tổng Kết

Thông qua bài viết chia sẻ cẩm nang hướng dẫn chuyên sâu trên đây, đội ngũ kỹ thuật TechSpace TSC đã truyền tải chi tiết đến quý bạn đọc toàn bộ các bước triển khai xây dựng cấu hình dịch vụ mạng VPN WireGuard bảo mật cao trên thế hệ thiết bị định tuyến an ninh mạng mới HPE Networking Instant On Secure Gateway (áp dụng chuẩn đồng bộ đối với cả hai dòng mã phần cứng SG1004 và SG2505P).

Chúc các bạn áp dụng triển khai cấu hình thành công hệ thống mô hình làm việc từ xa (Remote Work) an toàn, mượt mà và tối ưu hóa chi phí nhất cho doanh nghiệp của mình. Chúc các bạn thực hiện thành công!