router

Cấu hình VPN cho Router MikroTik qua Giao thức PPTP

Đã đăng trên bởi Hiếu IT

Trong kỷ nguyên chuyển đổi số, việc thiết lập kênh truyền an toàn để kết nối giữa các văn phòng chi nhánh hoặc cho nhân viên làm việc từ xa là yêu cầu bắt buộc đối với hạ tầng mạng doanh nghiệp. Một trong những phương thức phổ biến nhất là cấu hình vpn cho router sử dụng giao thức PPTP (Point-to-Point Tunneling Protocol). Dù hiện nay có nhiều công nghệ mới, PPTP vẫn giữ vị trí quan trọng nhờ tính tương thích cao và cấu hình đơn giản trên hầu hết các nền tảng từ Windows, Linux đến macOS.

Nguyên lý và Giao thức VPN PPTP trong Hệ thống Mạng

Để thực hiện cấu hình vpn cho router hiệu quả, kỹ sư cần nắm vững cơ chế hoạt động của PPTP dựa trên RFC 2637. Về bản chất, PPTP đóng gói các khung dữ liệu PPP (Point-to-Point Protocol) vào trong các gói tin IP để truyền tải qua Internet. Giao thức này hoạt động ở tầng Data Link (Layer 2) trong mô hình OSI, giúp tạo ra một đường hầm (tunnel) ảo giữa Client và Server.

PPTP sử dụng hai loại luồng dữ liệu chính:

  1. Luồng điều khiển (Control Stream): Chạy trên giao thức TCP, cổng 1723. Luồng này chịu trách nhiệm thiết lập, duy trì và ngắt kết nối VPN.
  2. Luồng dữ liệu (Data Stream): Sử dụng giao thức GRE (Generic Routing Encapsulation – Protocol ID 47) để đóng gói dữ liệu đã được mã hóa.

⚠️ Cảnh báo bảo mật: PPTP sử dụng phương thức mã hóa MPPE (Microsoft Point-to-Point Encryption). Tuy nhiên, do các lỗ hổng trong cơ chế xác thực MS-CHAPv2, PPTP không còn được coi là bảo mật mạng ở mức tuyệt đối. Thư Viện CNTT khuyến cáo chỉ nên sử dụng giao thức này cho các dịch vụ không nhạy cảm hoặc trong môi trường lab. Đối với dữ liệu quan trọng, hãy cân nhắc chuyển sang IPsec hoặc WireGuard.

Chuẩn bị Mô hình Lab và Thông số Kỹ thuật

Trước khi tiến hành cấu hình vpn cho router, bạn cần xác định mô hình topo mạng. Trong hướng dẫn này, chúng ta sử dụng thiết bị MikroTik chạy hệ điều hành RouterOS version 7.6.

Mô hình Lab VPN PPTP MikroTikMô hình Lab VPN PPTP MikroTik

Các thành phần cần thiết:

  • Thiết bị Router: MikroTik (RB750Gr3, RB4011 hoặc phiên bản Cloud Hosted Router – CHR).
  • Địa chỉ IP tĩnh: Router cần có một IP Public hoặc IP từ nhà mạng đã qua NAT để Client có thể định vị.
  • Công cụ quản trị: Phần mềm Winbox (phiên bản mới nhất tương thích với RouterOS v7).

Cấu hình cơ bản vpn pptp mikrotikCấu hình cơ bản vpn pptp mikrotik

Tham khảo: Chức năng của Router Là Gì? Nguyên Lý Và Cách Cấu Hình

Tại bước này, hãy đảm bảo router đã có kết nối VPN internet cơ bản, interface WAN đã nhận IP và interface LAN đã được thiết lập Bridge cùng DHCP Server.

Hướng dẫn Cấu hình VPN cho Router MikroTik chi tiết

Quy trình triển khai VPN Client-to-Site trên MikroTik bao gồm 4 bước kỹ thuật chính. Việc thực hiện sai thứ tự có thể dẫn đến lỗi định tuyến hoặc từ chối kết nối từ Client.

1. Kích hoạt PPTP Server trên RouterOS

Mặc định, dịch vụ PPTP Server trên MikroTik sẽ ở trạng thái tắt. Để bật dịch vụ, bạn truy cập vào mục PPP từ menu bên trái của Winbox.

Bật PPTP ServerBật PPTP Server

Tại bảng PPTP Server, tích chọn Enabled. Về phần mã hóa, hãy chọn default-encryption. Lưu ý: RouterOS v7 hỗ trợ các cipher mạnh hơn, nhưng để đảm bảo tính tương thích với Windows Client, bạn nên giữ nguyên các thiết lập mặc định của cấu hình xác thực MS-CHAPv2 và mã hóa MPPE 128-bit.

2. Thiết lập IP Pool cho người dùng truy cập từ xa

Khi một truy cập từ xa được thiết lập, Router cần cấp cho Client một IP nội bộ để giao tiếp với mạng LAN. Chúng ta sẽ tạo một dãy IP động riêng cho VPN để dễ dàng quản lý và phân quyền Firewall sau này.

Tạo Pool cho ClientTạo Pool cho Client

Lệnh cấu hình qua CLI (Terminal):
/ip pool add name=vpn-pool ranges=192.168.100.10-192.168.100.50

Việc tách biệt dải IP của VPN (ví dụ: 192.168.100.0/24) và dải IP LAN (ví dụ: 192.168.88.0/24) là kinh nghiệm thực tế giúp tránh xung đột địa chỉ và tối ưu hóa việc định tuyến (Routing).

3. Cấu hình PPP Profile và Secret (Tài khoản người dùng)

Profile là nơi tập hợp các chính sách về giới hạn băng thông, DNS và cơ chế mã hóa dành cho đối tượng cấu hình vpn cho router.

Tham khảo: Chức Năng Chính Của Router Là Gì? Tìm Hiểu Chi Tiết Về Thiết Bị Định Tuyến Mạng

Tạo Profile vpn pptp mikrotikTạo Profile vpn pptp mikrotik

Trong tab Profiles, tạo mới một bản ghi:

  • Local Address: Địa chỉ IP của router trong đường hầm VPN (thường lấy IP interface Bridge của LAN).
  • Remote Address: Chọn dãy vpn-pool đã tạo ở bước 2.
  • Change TCP MSS: Chọn yes (Rất quan trọng để tránh lỗi không mở được trang web do vượt quá kích thước gói tin MTU).

Tiếp theo, tab Secrets là nơi bạn khởi tạo Username và Password cho từng thành viên.

Tạo User VPN ClientTạo User VPN Client

Cấu hình Firewall và NAT cho VPN Tunnel

Đây là bước mà nhiều sysadmin thường bỏ quên khi cấu hình vpn cho router, dẫn đến tình trạng máy tính đã báo “Connected” nhưng không thể truy cập dữ liệu trong máy chủ nội bộ.

  1. Mở cổng Firewall: Bạn cần cho phép lưu lượng đi vào router qua cổng TCP 1723 và giao thức GRE. 
    /ip firewall filter
add action=accept chain=input comment="Allow PPTP" port=1723 protocol=tcp
add action=accept chain=input comment="Allow GRE" protocol=gre
  2. Cấu hình Proxy-ARP: Nếu bạn muốn Client VPN và LAN nằm cùng một subnet (cùng lớp mạng), bạn phải chuyển chế độ ARP trên interface Bridge sang proxy-arp. Điều này cho phép router trả lời các yêu cầu ARP thay cho VPN Client.
  3. Masquerade: Đảm bảo có rule NAT để VPN Client có thể ra được internet thông qua IP Public của router.

Kiểm tra Kết nối và Xử lý Sự cố

Sau khi hoàn tất cấu hình vpn cho router, bước tiếp theo là thiết lập kết nối từ phía khách (Client). Trên Windows, bạn vào VPN Settings -> Add a VPN connection. Nhập địa chỉ IP tĩnh của Router và thông tin Account đã tạo.

Tạo kết nối VPN trên WindowsTạo kết nối VPN trên Windows

Lưu ý: Nếu bạn đứng trong cùng mạng LAN để test VPN về IP Public, kết nối có thể thất bại do cơ chế NAT Loopback. Hãy sử dụng mạng 4G hoặc một đường truyền internet khác để kiểm tra.

Máy tính đã kết nối thành công VPNMáy tính đã kết nối thành công VPN

Khi kết nối thành công, bạn có thể kiểm tra bằng lệnh ping đến địa chỉ IP của server trong mạng nội bộ.

Test ping thử đến LAN công tyTest ping thử đến LAN công ty

Nếu gặp lỗi Error 619 hoặc Error 807, hãy kiểm tra lại:

  • Router có nằm sau một thiết bị modem khác không? Nếu có, hãy NAT port 1723 và GRE từ Modem về Router MikroTik.
  • Kiểm tra xem dịch vụ PPTP Passthrough đã được bật trên modem nhà mạng (ISP) chưa.

Việc hoàn tất hướng dẫn cấu hình vpn cho router MikroTik sẽ giúp bạn làm chủ khả năng quản trị từ xa hiệu quả. Để nâng cao tính bảo mật, sau khi thành thạo PPTP, bạn hãy tham khảo thêm các bài viết về L2TP/IPsec hoặc OpenVPN tại Thư Viện CNTT. Chúc các bạn cấu hình hệ thống thành công và ổn định!

Cập nhật lần cuối 01/03/2026 by Hiếu IT

Avatar photo
Hiếu IT

Đỗ Ngọc Hiếu – Người sáng lập & vận hành Thư Viện CNTT. Nơi kết nối và chia sẻ kho tàng tài liệu, Ebook, Video bài giảng chất lượng cao dành cho cộng đồng yêu công nghệ.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *