Cách cấu hình proxy trên router MikroTik: bảo vệ mạng doanh nghiệp và lọc lưu lượng từng bước

Nếu công ty của bạn có ít nhất một router MikroTik — bạn đã có một công cụ tích hợp để kiểm soát lưu lượng, chặn các trang web không mong muốn và bảo vệ mạng doanh nghiệp. Hầu hết các quản trị viên hệ thống không sử dụng được một nửa khả năng của nó. Trong hướng dẫn này, chúng ta sẽ tìm hiểu cách cài đặt proxy ngay trên MikroTik — mà không cần máy chủ bổ sung và chi phí không cần thiết.

Proxy Web là gì trong MikroTik và tại sao nó cần thiết cho doanh nghiệp

MikroTik RouterOS là một hệ điều hành hoàn chỉnh cho thiết bị mạng, bao gồm một máy chủ proxy HTTP/HTTPS tích hợp. Nó được gọi là Proxy Web và có sẵn từ các giấy phép cơ bản. Về cơ bản, đây là một nút trung gian giữa người dùng trong mạng của bạn và internet: toàn bộ lưu lượng đi qua nó, và bạn có toàn quyền kiểm soát những gì xảy ra trong mạng.

Điều này khác gì so với một tường lửa thông thường? Tường lửa hoạt động ở cấp độ địa chỉ IP và cổng — nó không "hiểu" nội dung của các yêu cầu. Proxy hoạt động ở cấp độ ứng dụng: nó thấy các URL cụ thể, tên miền, loại nội dung. Điều này cung cấp một mức độ kiểm soát hoàn toàn khác.

Proxy Web tích hợp trong MikroTik có thể:

• Cache nội dung web — giảm tải cho kênh internet lên đến 30–40% ở các văn phòng có trình duyệt hoạt động tích cực
• Chặn truy cập đến các trang web, tên miền, mẫu URL cụ thể
• Phân quyền truy cập theo địa chỉ IP của người dùng hoặc các mạng con
• Ghi lại tất cả các yêu cầu HTTP — ai, đi đâu và khi nào đã truy cập
• Hoạt động ở chế độ trong suốt — người dùng không nhận thấy sự hiện diện của nó
• Chuyển hướng lưu lượng đến một máy chủ proxy bên ngoài (parent proxy)

Quan trọng là hiểu giới hạn: Proxy Web tích hợp trong MikroTik chỉ hoạt động với lưu lượng HTTP ở chế độ gốc. Lưu lượng HTTPS chỉ có thể bị chặn trong chế độ trong suốt với một số giới hạn nhất định, hoặc thông qua cài đặt parent proxy. Để kiểm tra HTTPS đầy đủ, cần có các giải pháp bổ sung — chúng tôi sẽ đề cập trong phần về proxy bên ngoài.

Các kịch bản sử dụng: ai và tại sao cần cài đặt này

Trước khi đi vào chi tiết kỹ thuật, hãy cùng xem xét các nhiệm vụ kinh doanh cụ thể mà proxy trên MikroTik giải quyết. Điều này sẽ giúp bạn hiểu rõ hơn về những cài đặt nào là cần thiết.

Văn phòng với nhân viên thuê

Kịch bản phổ biến nhất. Nhiệm vụ: chặn mạng xã hội trong giờ làm việc, cấm tải xuống torrent, hạn chế truy cập vào các dịch vụ phát trực tuyến "ngốn" băng thông. Proxy trong suốt trên MikroTik giải quyết tất cả điều này mà không cần cài đặt agent trên máy tính của nhân viên. Nhân viên thậm chí không biết rằng lưu lượng của họ đang được lọc — mọi thứ hoạt động tự động.

Quán cà phê, không gian làm việc chung, khách sạn

Tại đây, proxy cần thiết cho hai điều: caching (nội dung phổ biến tải nhanh hơn và không tiêu tốn băng thông lặp lại) và lọc cơ bản nội dung bất hợp pháp. Caching đặc biệt quan trọng khi băng thông internet bị hạn chế hoặc đắt đỏ.

Các công ty marketing và đội ngũ digital

Kịch bản cụ thể: các đội ngũ làm việc với nhiều tài khoản quảng cáo trên Facebook Ads, TikTok Ads, Instagram thường sử dụng MikroTik doanh nghiệp như một cổng để định tuyến lưu lượng qua các proxy bên ngoài. Các nhân viên khác nhau hoặc các trạm làm việc truy cập internet qua các địa chỉ IP khác nhau — điều này rất quan trọng khi làm việc với nhiều tài khoản trên cùng một nền tảng.

Các nhà cung cấp và ISP

Các nhà cung cấp nhỏ sử dụng proxy caching MikroTik để giảm tải cho kênh chính. Khi có nhiều thuê bao xem cùng một tin tức hoặc YouTube, caching mang lại tiết kiệm lưu lượng đáng kể.

Những gì cần chuẩn bị trước khi bắt đầu cài đặt

Trước khi bắt đầu cấu hình, hãy đảm bảo rằng bạn có tất cả những gì cần thiết. Bỏ qua bước này là nguyên nhân của 80% vấn đề khi cài đặt.

Truy cập vào router: Bạn sẽ cần quyền truy cập vào giao diện web của MikroTik (Winbox hoặc WebFig) với quyền quản trị. Winbox là lựa chọn ưu tiên, nó cung cấp quyền truy cập đầy đủ vào tất cả các cài đặt. Bạn có thể tải nó miễn phí từ trang web chính thức của MikroTik.

Phiên bản RouterOS: Để Proxy Web hoạt động ổn định, khuyến nghị sử dụng RouterOS 6.x hoặc 7.x. Kiểm tra phiên bản qua System → Packages. Nếu phiên bản đã lỗi thời — hãy cập nhật qua System → Packages → Check for Updates.

Không gian trống trên đĩa: Cache của proxy được lưu trên đĩa của router. Để caching, cần ít nhất 50–100 MB không gian trống. Kiểm tra qua Files trong Winbox. Trên các router có bộ nhớ flash nhỏ (8 MB trở xuống), tốt nhất là tắt caching.

Sơ đồ mạng: Ghi lại hoặc vẽ sơ đồ các mạng con của bạn, giao diện nào kết nối với internet (WAN), và giao diện nào kết nối với mạng nội bộ (LAN). Nếu không có hiểu biết này, bạn sẽ không thể cấu hình các quy tắc NAT cho proxy trong suốt.

Bước 1: Bật Proxy Web trên MikroTik

Bật Proxy Web là bước đơn giản nhất. Tất cả được thực hiện qua giao diện đồ họa Winbox chỉ trong vài phút.

Qua Winbox (khuyến nghị):

1. Mở Winbox và kết nối với router
2. Trong menu bên trái, chọn IP → Web Proxy
3. Trong cửa sổ mở ra, đánh dấu vào Enabled
4. Thiết lập cổng — mặc định là 8080, có thể giữ nguyên hoặc thay đổi
5. Trong trường Max Cache Size, chỉ định kích thước cache (ví dụ, 100 MB) hoặc chọn unlimited nếu có đủ không gian
6. Nhấn Apply, sau đó OK

Qua terminal (dành cho những ai thích dòng lệnh):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB
  

Sau khi bật, hãy kiểm tra xem proxy đã khởi động chưa. Trong terminal, thực hiện:

/ip proxy print
  

Trong kết quả, bạn sẽ thấy enabled: yes. Nếu bạn thấy enabled: no — có nghĩa là có điều gì đó không ổn, hãy lặp lại các bước.

Tại thời điểm này, proxy đã được bật, nhưng vẫn chưa tự động chặn lưu lượng. Người dùng phải tự tay nhập vào cài đặt trình duyệt của họ (IP của router, cổng 8080). Để làm điều này tự động cho toàn bộ mạng — cần chế độ trong suốt, mà chúng tôi sẽ đề cập trong bước tiếp theo.

Cũng hãy chú ý đến tham số Cache Path — nó chỉ định nơi lưu trữ cache. Theo mặc định, đây là bộ nhớ tích hợp của router. Nếu bạn có một ổ USB hoặc thẻ nhớ, tốt hơn nên chuyển cache đến đó — điều này sẽ tăng dung lượng và giảm mòn cho bộ nhớ tích hợp.

Bước 2: Cài đặt proxy trong suốt qua Firewall NAT

Proxy trong suốt là chế độ mà toàn bộ lưu lượng HTTP từ mạng nội bộ tự động được chuyển hướng qua máy chủ proxy. Người dùng không cần phải cấu hình gì trong trình duyệt. Từ góc độ của nhân viên, mọi thứ hoạt động như bình thường, nhưng thực tế mỗi yêu cầu đều đi qua proxy.

Điều này được thực hiện thông qua một quy tắc NAT trong tường lửa MikroTik. Quy tắc này chặn toàn bộ lưu lượng TCP ra ngoài trên cổng 80 (HTTP) và chuyển hướng nó đến cổng proxy (8080).

Qua Winbox:

1. Đi đến IP → Firewall → NAT
2. Nhấn nút + (thêm quy tắc)
3. Trong tab General, thiết lập:
   • Chain: dstnat
   • Protocol: tcp
   • Dst. Port: 80
   • In. Interface: giao diện LAN của bạn (ví dụ, ether2 hoặc bridge-local)
4. Trong tab Action, thiết lập:
   • Action: redirect
   • To Ports: 8080
5. Nhấn OK

Qua terminal:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080
  

Thay thế ether2 bằng tên giao diện LAN của bạn. Nếu bạn có nhiều giao diện LAN được kết hợp trong bridge, hãy chỉ định tên của bridge.

Sau khi thêm quy tắc, hãy kiểm tra hoạt động: mở bất kỳ trang web HTTP nào từ máy tính trong mạng nội bộ. Nếu proxy hoạt động chính xác — trang sẽ mở ra, và trong nhật ký proxy (IP → Web Proxy → Access) sẽ có một bản ghi. Nếu trang không mở — hãy kiểm tra tên giao diện và cổng proxy.

Bước 3: Quy tắc lọc — chặn các trang web và danh mục

Đây là phần quan trọng cho những ai muốn kiểm soát quyền truy cập của nhân viên vào internet. Proxy Web trong MikroTik cho phép tạo ra các quy tắc linh hoạt: chặn các tên miền cụ thể, mẫu URL, hoặc ngược lại — chỉ cho phép các tài nguyên nhất định.

Các quy tắc truy cập được cấu hình trong IP → Web Proxy → Access. Mỗi quy tắc có điều kiện (điều gì được kiểm tra) và hành động (làm gì: cho phép hoặc từ chối).

Chặn một tên miền cụ thể (ví dụ, vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Block VK"
add dst-host=*.vk.com action=deny comment="Block VK subdomains"
  

Chặn theo mẫu URL (ví dụ, tất cả các trang của YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Block YouTube"
add dst-host=youtube.com action=deny comment="Block YouTube main"
  

Cho phép truy cập chỉ cho một mạng con cụ thể (ví dụ, chỉ bộ phận IT có thể truy cập GitHub):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny
  

Chặn theo phần mở rộng tệp (cấm tải xuống .exe, .torrent):

/ip proxy access
add path=*.exe action=deny comment="Block EXE downloads"
add path=*.torrent action=deny comment="Block Torrent files"
add path=*.zip action=deny comment="Block ZIP downloads"
  

Hãy chú ý đến thứ tự của các quy tắc: MikroTik kiểm tra chúng từ trên xuống và dừng lại ở lần khớp đầu tiên. Các quy tắc allow cho các IP cụ thể phải đứng trên các quy tắc deny cho cùng một tên miền.

Qua Winbox, các quy tắc được thêm vào trong IP → Web Proxy → tab Access → nút +. Giao diện rất dễ hiểu: bạn chọn điều kiện (Source Address, Destination Host, Path, Method) và hành động (Allow/Deny).

Bước 4: Lưu trữ lưu lượng để tiết kiệm băng thông

Caching là một trong những lý do chính mà người ta bật proxy trên MikroTik trong các văn phòng nhỏ và cơ sở giáo dục. Nguyên tắc rất đơn giản: nếu 20 nhân viên mở cùng một trang tin tức, mà không có cache, router sẽ tải nó 20 lần. Với cache — chỉ một lần, và 19 lần còn lại nhận dữ liệu từ bộ nhớ cục bộ của router ngay lập tức.

Các cài đặt cache nằm trong IP → Web Proxy. Các tham số chính:

Cài đặt qua terminal:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d
  

Để kiểm tra hiệu quả của cache, hãy sử dụng lệnh:

/ip proxy monitor
  

Hãy chú ý đến các chỉ số hits và misses. Một chỉ số tốt là khi hits chiếm 20–40% tổng số yêu cầu. Nếu hits gần bằng không — hoặc là hầu hết lưu lượng là HTTPS (nó không được cache), hoặc cache quá nhỏ.

Một điểm quan trọng: các trang web hiện đại ngày càng sử dụng các tiêu đề Cache-Control: no-store hoặc no-cache, cấm việc caching. Do đó, trên thực tế, hiệu quả của cache vào năm 2024 thấp hơn so với 5–10 năm trước. Tuy nhiên, đối với các tài nguyên tĩnh (hình ảnh, CSS, tệp JS), cache vẫn hoạt động tốt.

Bước 5: Kết nối máy chủ proxy bên ngoài qua MikroTik

Đây là kịch bản thú vị nhất cho những ai muốn không chỉ lọc lưu lượng, mà còn hoàn toàn kiểm soát địa chỉ IP mà mạng doanh nghiệp hoặc các thiết bị riêng lẻ sử dụng để truy cập internet. MikroTik hỗ trợ chức năng Parent Proxy — khi tất cả các yêu cầu từ proxy nội bộ được chuyển đến một máy chủ proxy bên ngoài cấp cao hơn.

Tại sao điều này lại cần thiết trong thực tế:

• Thay đổi IP cho toàn bộ mạng — toàn bộ lưu lượng của văn phòng đi ra qua IP của proxy bên ngoài, chứ không phải qua IP thực của nhà cung cấp của bạn
• Vượt qua các hạn chế khu vực — truy cập vào các tài nguyên bị chặn trong khu vực của bạn
• IP khác nhau cho các thiết bị khác nhau — thông qua định tuyến, các trạm làm việc khác nhau sử dụng các proxy bên ngoài khác nhau
• Bảo vệ IP thực của công ty — các dịch vụ bên ngoài thấy IP của proxy, chứ không phải địa chỉ doanh nghiệp của bạn

Cài đặt Parent Proxy qua Winbox:

1. Đi đến IP → Web Proxy
2. Tìm phần Parent Proxy
3. Nhập Parent Proxy Address — địa chỉ IP của máy chủ proxy bên ngoài
4. Chỉ định Parent Proxy Port — cổng của proxy (thường là 8080, 3128 hoặc cổng khác)
5. Nhấn Apply

Qua terminal:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080
  

Thay thế 203.0.113.10 và 8080 bằng dữ liệu thực tế của máy chủ proxy của bạn.

Đối với các nhiệm vụ doanh nghiệp, nơi sự ổn định và ẩn danh là quan trọng, các proxy cư trú được sử dụng làm parent proxy — chúng có địa chỉ IP của người dùng thực tế, điều này làm cho lưu lượng không thể phân biệt với lưu lượng người dùng thông thường. Điều này đặc biệt quan trọng khi làm việc với các nền tảng phân tích hành vi và loại kết nối.

Nếu nhóm của bạn cần mô phỏng lưu lượng di động — chẳng hạn như để thử nghiệm các chiến dịch quảng cáo trên Facebook Ads hoặc Instagram từ các thiết bị di động — các proxy di động là lựa chọn phù hợp làm parent proxy. Chúng hoạt động thông qua các SIM thực tế của các nhà mạng và cung cấp IP của các mạng di động 3G/4G/5G.

Giám sát và ghi lại các yêu cầu

Một trong những lý do chính để sử dụng proxy trong môi trường doanh nghiệp là khả năng thấy được người dùng đang làm gì trên internet. Proxy Web MikroTik có khả năng ghi lại tất cả các yêu cầu HTTP: ai (địa chỉ IP), đi đâu (URL), khi nào, phương thức yêu cầu và trạng thái phản hồi.

Bật ghi lại:

/ip proxy
set log-connect=yes
  

Sau khi bật, các nhật ký sẽ xuất hiện trong Log (menu trong Winbox). Để xem thuận tiện, hãy lọc theo chủ đề web-proxy.

Để lưu trữ lâu dài các nhật ký và phân tích thuận tiện, hãy thiết lập gửi đến một máy chủ Syslog bên ngoài:

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy
  

Thay thế 192.168.1.100 bằng địa chỉ IP của máy chủ syslog của bạn. Bạn có thể sử dụng Graylog, Splunk hoặc rsyslog đơn giản trên Linux làm máy chủ syslog.

Cũng hữu ích là lệnh để xem thống kê proxy trong thời gian thực:

/ip proxy monitor
  

Tại đây bạn sẽ thấy: số lượng kết nối hoạt động, tổng số yêu cầu, số lần hit trong cache, khối lượng dữ liệu đã truyền. Những dữ liệu này giúp đánh giá tải trên router và hiệu quả của caching.

Lưu ý quan trọng về GDPR và luật lao động: nếu bạn ghi lại lưu lượng của nhân viên, hãy đảm bảo rằng điều này được quy định trong hợp đồng lao động hoặc chính sách an ninh của công ty. Ở một số quốc gia, việc giám sát hoạt động internet của nhân viên mà không thông báo cho họ là vi phạm pháp luật.

Các lỗi thường gặp và cách khắc phục

Chúng tôi đã tổng hợp những vấn đề phổ biến nhất mà người dùng gặp phải khi cài đặt Proxy Web trên MikroTik và cách giải quyết chúng.

Lỗi 1: Internet ngừng hoạt động sau khi cài đặt proxy trong suốt

Nguyên nhân: Giao diện LAN được chỉ định trong quy tắc NAT không chính xác, hoặc quy tắc không đứng ở vị trí đúng.

Giải pháp: Kiểm tra tên giao diện bằng lệnh /interface print. Đảm bảo rằng bạn chỉ định đúng giao diện mà người dùng kết nối. Nếu bạn đã sử dụng bridge — hãy chỉ định bridge, không phải cổng vật lý.

Lỗi 2: Các trang HTTPS không bị chặn bởi quy tắc Proxy Web

Nguyên nhân: Proxy Web trong MikroTik không chặn lưu lượng HTTPS. Các quy tắc trong IP → Web Proxy → Access chỉ hoạt động cho HTTP.

Giải pháp: Để chặn các trang HTTPS, hãy sử dụng Layer 7 Protocols hoặc Address Lists trong tường lửa. Ví dụ, thêm địa chỉ IP của trang web cần chặn vào danh sách và chặn nó qua IP → Firewall → Filter Rules.

Lỗi 3: Proxy hoạt động, nhưng cache không được lấp đầy

Nguyên nhân: Hầu hết các trang web hiện đại sử dụng HTTPS và các tiêu đề cấm caching. Cache chỉ hoạt động cho HTTP.

Giải pháp: Đây là hành vi bình thường của web hiện đại. Cache sẽ được lấp đầy bởi các tài nguyên tĩnh (hình ảnh, tệp) từ các trang HTTP. Nếu cache là yếu tố quan trọng — hãy xem xét các giải pháp chuyên biệt như Squid trên một máy chủ riêng với SSL-bump.

Lỗi 4: Router hoạt động chậm sau khi bật proxy

Nguyên nhân: Bộ xử lý yếu của router không xử lý được tải từ proxy khi có nhiều người dùng.

Giải pháp: Kiểm tra tải CPU bằng lệnh /system resource print. Nếu CPU luôn trên 80% — hãy giảm kích thước cache hoặc chuyển proxy sang một máy chủ riêng (Squid trên Ubuntu/Debian). Trong trường hợp này, MikroTik chỉ được sử dụng như một cổng, chuyển hướng lưu lượng đến proxy bên ngoài.

Lỗi 5: Parent Proxy không hoạt động — các trang mở ra qua IP thực

Nguyên nhân: Parent Proxy trong MikroTik chỉ áp dụng cho lưu lượng thực tế đi qua Proxy Web. Các yêu cầu HTTPS và lưu lượng không bị chặn bởi quy tắc NAT đi trực tiếp.

Giải pháp: Đảm bảo rằng quy tắc proxy trong suốt (redirect đến cổng 8080) đang hoạt động và đứng ở vị trí đúng. Để chuyển hướng toàn bộ lưu lượng qua proxy bên ngoài, cần một cấu hình phức tạp hơn với việc sử dụng Định tuyến Dựa trên Chính sách.

Kết luận

Cài đặt Proxy Web trên MikroTik là một giải pháp thực tiễn để kiểm soát lưu lượng doanh nghiệp mà không cần máy chủ bổ sung và giấy phép. Chỉ với vài bước, bạn có thể: lọc các trang web không mong muốn, caching để tiết kiệm băng thông, ghi lại hoạt động của người dùng và khả năng định tuyến lưu lượng qua các máy chủ proxy bên ngoài.

Điều quan trọng cần nhớ: proxy tích hợp MikroTik hoạt động tốt với lưu lượng HTTP, nhưng để bảo vệ đầy đủ cho mạng doanh nghiệp hiện đại, nơi 95% lưu lượng là HTTPS, khả năng của nó là không đủ. Trong những trường hợp như vậy, MikroTik được sử dụng như một cổng và bộ định tuyến, trong khi các chức năng lọc và kiểm tra lưu lượng được chuyển giao cho các giải pháp chuyên biệt.

Nếu nhiệm vụ của bạn là định hướng lưu lượng của toàn bộ mạng doanh nghiệp qua một proxy bên ngoài đáng tin cậy với IP cố định hoặc một nhóm địa chỉ, hãy chú ý đến proxy trung tâm dữ liệu — chúng cung cấp tốc độ cao và kết nối ổn định, điều này rất quan trọng khi sử dụng làm parent proxy cho toàn bộ văn phòng. Đối với các nhiệm vụ mà ẩn danh tối đa là quan trọng và lưu lượng không nên khác biệt...