Tải về
Quay lại blog
Thực hành··10 phút đọc

Cách Cài Đặt VPN Cho iPhone: Hướng Dẫn Thực Tế

Ngôn ngữ: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнська简体中文繁體中文

Cài đặt VPN cho iPhone khá đơn giản khi bạn biết mình cần đi theo con đường nào trong hai lựa chọn. Hầu hết mọi người chỉ cần cài ứng dụng VPN từ App Store rồi nhấn kết nối. Một nhóm nhỏ hơn — thường là người dùng được công ty cấp file cấu hình hoặc nhà cung cấp VPN cho thông tin đăng nhập thủ công — sẽ vào Settings để thiết lập. Cả hai cách đều hoạt động, cả hai đều tạo ra biểu tượng "VPN" trên thanh trạng thái, nhưng chúng xử lý lỗi theo cách khác nhau.

Hướng dẫn này trình bày cả hai cách, sau đó đề cập đến những phần mà hầu hết bài viết khác bỏ qua: iOS thực sự xử lý VPN bị ngắt kết nối như thế nào, "kill switch" thực sự có nghĩa gì trên nền tảng này, và quy tắc kết nối tự động — thứ âm thầm đảm nhiệm phần lớn công việc trong một thiết lập VPN hoạt động tốt.

Hai Cách Cài VPN Trên iPhone

Có đúng hai cách được hỗ trợ:

  1. Cài ứng dụng VPN từ App Store. Ứng dụng sẽ cài profile VPN khi khởi động lần đầu và quản lý mọi thứ cho bạn. Đây là con đường hầu hết mọi người nên chọn.
  2. Cấu hình VPN thủ công trong Settings. Bạn nhập địa chỉ máy chủ, thông tin đăng nhập và chi tiết giao thức theo cách thủ công, hoặc nhập file cấu hình. Hữu ích khi bạn có thông tin IKEv2 từ công ty hoặc file cấu hình từ nhà cung cấp không có ứng dụng riêng.

Nếu bạn chỉ muốn chạy VPN trên iPhone, hãy dùng ứng dụng VPN. Cách thủ công tồn tại cho các trường hợp cụ thể và được ghi lại bên dưới để tham khảo.

Dùng Ứng Dụng VPN (Khuyến Nghị)

Đây là con đường mặc định và hoạt động giống nhau bất kể bạn chọn nhà cung cấp nào.

Các bước thực hiện

  1. Mở App Store và cài ứng dụng VPN bạn chọn.
  2. Khởi động ứng dụng. Lần đầu chạy, iOS sẽ hiện thông báo hệ thống yêu cầu quyền thêm cấu hình VPN vào iPhone của bạn.
  3. Nhấn Cho phép, sau đó xác thực bằng Face ID, Touch ID hoặc mã passcode. Đây là iOS xác minh danh tính bạn — không phải ứng dụng VPN — nên hộp thoại trông giống nhau với mọi VPN.
  4. Đăng nhập vào ứng dụng hoặc chọn máy chủ. Hầu hết ứng dụng hiện đại cho phép bạn nhấn một nút kết nối duy nhất.
  5. Nhấn kết nối. Sau một hoặc hai giây, bạn sẽ thấy biểu tượng VPN nhỏ xuất hiện bên cạnh các chỉ báo mạng di động và Wi-Fi trên thanh trạng thái. Biểu tượng đó là xác nhận của chính iOS rằng đường hầm đã hoạt động, và ứng dụng không thể giả mạo nó.

Thông báo cài profile lần đầu chỉ xuất hiện một lần cho mỗi ứng dụng. Sau đó, việc kết nối và ngắt kết nối diễn ra hoàn toàn trong ứng dụng hoặc qua nút bật tắt trong Settings.

Profile Thực Sự Làm Gì

Profile VPN là một cấu hình nhỏ ở cấp hệ thống cho iOS biết cách định tuyến lưu lượng khi VPN đang hoạt động. Nó bao gồm giao thức (hầu hết ứng dụng chất lượng hiện dùng WireGuard), địa chỉ máy chủ và khóa mã hóa. Profile nằm trong Settings → General → VPN & Device Management → VPN. Nếu bạn gỡ cài đặt ứng dụng, xóa profile tại đây là cách sạch sẽ để đảm bảo không còn gì sót lại.

Cấu Hình Thủ Công (Settings → General → VPN & Device Management)

Đây là con đường dành cho người đã có thông tin đăng nhập VPN từ nguồn khác. Bạn sẽ không tìm thấy trình duyệt máy chủ hay bộ chọn quốc gia ở đây — cấu hình thủ công giả định bạn biết chính xác mình kết nối đến máy chủ nào.

Các Loại Được Hỗ Trợ Trên iOS

iOS hỗ trợ ba loại VPN tích hợp sẵn:

  • IKEv2 — hiện đại, nhanh, được hỗ trợ tốt. Lựa chọn mặc định cho cấu hình thủ công.
  • IPsec — cũ hơn nhưng ổn định. Phổ biến trong môi trường doanh nghiệp.
  • L2TP — đã bị Apple khai tử, yếu theo tiêu chuẩn hiện đại. Tránh dùng trừ khi không có lựa chọn nào khác.

WireGuard không phải loại VPN tích hợp sẵn của iOS. iOS không đi kèm hỗ trợ WireGuard gốc trong Settings, vì vậy dù đây là giao thức được hầu hết nhà cung cấp hiện đại ưa dùng, bạn cần một ứng dụng hỗ trợ WireGuard để dùng nó. Xem so sánh WireGuard với OpenVPN và IKEv2 để biết mỗi giao thức thực sự mang lại gì.

Khi Nào Dùng Cách Thủ Công

  • Nhà cung cấp VPN gửi cho bạn file .mobileconfig. Mở nó trên iPhone và iOS sẽ hướng dẫn bạn cài đặt.
  • Công ty bạn chạy máy chủ IKEv2 và cung cấp địa chỉ máy chủ, remote ID và thông tin đăng nhập.
  • Bạn kết nối đến router hoặc NAS có endpoint VPN riêng.

Cách Nhập Thông Tin Thủ Công

  1. Mở Settings → General → VPN & Device Management → VPN → Add VPN Configuration.
  2. Chọn loại (IKEv2 cho hầu hết trường hợp).
  3. Nhập mô tả, máy chủ, remote ID và tên người dùng cùng mật khẩu hoặc chứng chỉ của bạn.
  4. Lưu lại. Profile mới xuất hiện trong danh sách VPN với nút bật tắt.
  5. Bật nút để kết nối.

Nếu nhà cung cấp gửi file .mobileconfig, mở nó từ Mail hoặc Files sẽ bỏ qua phần lớn việc gõ tay — iOS nhập cài đặt trực tiếp.

Kết Nối Tự Động (On-Demand)

Đây là tính năng biến "tôi đã cài VPN" thành "tôi có VPN thực sự luôn bật." Hầu hết mọi người không bao giờ tìm thấy nó. Đáng để dành hai phút tìm hiểu.

Tính Năng Này Làm Gì

On-Demand yêu cầu iOS tự động kết nối VPN khi đáp ứng một số điều kiện mạng nhất định. Hai mẫu hữu ích là:

  • Luôn luôn — VPN tự kết nối lại bất cứ khi nào có mạng.
  • Chỉ trên Wi-Fi — VPN kết nối khi dùng Wi-Fi nhưng không kết nối khi dùng mạng di động (hữu ích nếu bạn tin tưởng nhà mạng nhưng không tin Wi-Fi quán cà phê).

Bạn cũng có thể làm ngược lại — kết nối khi dùng mạng di động nhưng không kết nối khi ở Wi-Fi nhà — dù đây là cấu hình ít phổ biến hơn.

Cách Tìm Tính Năng Này

  1. Mở Settings → General → VPN & Device Management → VPN.
  2. Nhấn vào biểu tượng (i) nhỏ bên cạnh profile VPN của bạn.
  3. Cuộn xuống Connect On Demand và bật lên.
  4. Cấu hình các quy tắc theo sở thích của bạn.

Nếu bạn đã cài ứng dụng VPN, ứng dụng có thể có nút bật tắt on-demand riêng trong màn hình cài đặt. Cả hai cách đều ghi vào cùng một cấu hình iOS bên dưới.

Sự Đánh Đổi

On-Demand làm cho VPN đáng tin cậy hơn đáng kể. Chi phí là tiêu tốn thêm một chút pin và khởi động lâu hơn khi điện thoại thức dậy, vì iOS cần thiết lập lại đường hầm trước khi cho phép các ứng dụng truy cập mạng. WireGuard bắt tay đủ nhanh để bạn thường không nhận ra sự khác biệt.

Thực Tế Kill Switch Trên iOS

Phần này dành cho những người đã đọc về "kill switch" VPN và muốn biết thực tế trên iPhone là gì.

Kill switch thực sự — loại mà ứng dụng VPN trên máy tính quảng cáo — chặn toàn bộ lưu lượng internet nếu đường hầm VPN bị ngắt. Trên Windows, Linux và macOS, ứng dụng có thể cài quy tắc tường lửa thực thi điều này ở cấp độ hệ điều hành. iOS không cung cấp khả năng đó cho ứng dụng bên thứ ba. Framework NetworkExtension của Apple không bao gồm hook "chặn toàn bộ lưu lượng không qua VPN" toàn cục.

Những gì ứng dụng có thể làm trên iOS là mô phỏng hành vi đó bằng quy tắc on-demand. Cấu hình trông như sau:

  • On-demand được bật với quy tắc kích hoạt trên mọi mạng.
  • Quy tắc được đặt sao cho nếu VPN không thể kết nối, kết nối mạng được coi là không khả dụng.

Điều này hoạt động tốt trong trạng thái bình thường, nhưng có một lưu ý thành thật: trong khoảng thời gian ngắn khi iOS đang chuyển mạng (ví dụ từ Wi-Fi sang mạng di động) hoặc đang thức dậy, đường hầm có thể chưa hoạt động. Một lượng nhỏ lưu lượng có thể bị rò rỉ trong khoảng cách đó trước khi on-demand thiết lập lại kết nối. Ứng dụng WireGuard hiện đại kết nối lại trong chưa đầy một giây, nên khoảng cách đó rất ngắn, nhưng nó tồn tại. Bất kỳ ai nói iOS có kill switch hoàn hảo là chưa đọc tài liệu framework.

Nếu cửa sổ không rò rỉ quan trọng với trường hợp sử dụng của bạn, hệ điều hành máy tính để bàn cho bạn công cụ tốt hơn iOS. Với hầu hết mọi người, on-demand với quy tắc luôn bật là đủ.

Mạng Di Động và Wi-Fi

Theo mặc định, VPN trên iOS tồn tại qua các lần thay đổi mạng. Chuyển từ Wi-Fi nhà sang LTE và VPN vẫn bật — iOS chuyển đường hầm một cách trong suốt. Một số ứng dụng có nút "tắt khi dùng mạng di động" cho người muốn tiết kiệm pin hoặc tránh chi phí nhỏ trên các kết nối tính phí theo dung lượng.

Xử Lý Sự Cố Thường Gặp

Hướng dẫn ngắn về các vấn đề người dùng iPhone thực sự gặp phải.

"Profile Install Permission Denied"

Thường có nghĩa là chính sách MDM đang chặn profile VPN, hoặc bạn đã nhấn Không Cho Phép ở lần nhắc đầu tiên. Mở Settings → General → VPN & Device Management, tìm profile đang chờ và hoàn tất cài đặt. Nếu bạn đang dùng thiết bị được quản lý (điện thoại công ty hoặc trường học), hãy kiểm tra với quản trị viên của bạn.

VPN Bị Ngắt Khi Điện Thoại Ngủ

iOS tích cực tạm dừng hoạt động nền để tiết kiệm pin, và kết nối VPN không được miễn. Hãy bật Connect On Demand như mô tả ở trên — đó là cách được hỗ trợ để duy trì đường hầm qua các chu kỳ ngủ.

Chậm Hơn Mong Đợi

Một số điều cần kiểm tra:

  • Khoảng cách máy chủ. Máy chủ VPN ở phía bên kia hành tinh sẽ luôn chậm hơn máy chủ trong thành phố của bạn. Hãy chọn máy chủ gần hơn trước.
  • Giao thức. WireGuard thường vượt trội so với IKEv2 và OpenVPN trong các bài kiểm tra thực tế.
  • MTU của Wi-Fi. Hiếm gặp nhưng có thực: nếu router của bạn dùng MTU bất thường, việc đóng gói VPN có thể gây phân mảnh. Hầu hết ứng dụng hiện đại xử lý điều này tự động.

IP Không Thay Đổi

Nếu địa chỉ IP của bạn không thay đổi sau khi kết nối, hãy chạy kiểm tra rò rỉ với bất kỳ công cụ web "IP của tôi là gì" nào. Hai nguyên nhân thường gặp: lưu lượng IPv6 bỏ qua đường hầm (một số cấu hình cũ không tunnel IPv6), hoặc truy vấn DNS bị rò rỉ đến resolver của ISP. Cả hai đều là vấn đề cấu hình, và ứng dụng VPN được xây dựng tốt sẽ xử lý chúng cho bạn.

Không Kết Nối Lại Sau Chế Độ Máy Bay

Tắt VPN rồi bật lại từ Settings, hoặc thoát và khởi động lại ứng dụng VPN. Chế độ máy bay làm ngắt toàn bộ kết nối mạng, và đôi khi máy trạng thái VPN không phục hồi sạch sẽ.

VPN Cho Từng Ứng Dụng

Bạn có thể đã nghe về việc chỉ định tuyến một số ứng dụng nhất định qua VPN. Trên iOS, VPN theo từng ứng dụng có thực nhưng giới hạn ở thiết bị được quản lý. Đây là tính năng MDM mà doanh nghiệp dùng để tunnel các ứng dụng nội bộ mà không ảnh hưởng đến lưu lượng cá nhân. Ứng dụng VPN người dùng thông thường không có quyền truy cập API này. Dù bạn cài VPN nào trên iPhone cá nhân, nó đều định tuyến toàn bộ hệ thống.

Điều này hầu như không sao. Nếu bạn muốn một ứng dụng bỏ qua VPN, cách giải quyết là ngắt VPN, dùng ứng dụng đó, rồi kết nối lại. Bất tiện, nhưng hiếm khi cần thiết.

Tóm Lại

Với hầu hết người dùng iPhone, cài đặt VPN cho iPhone có nghĩa là tải ứng dụng, chấp nhận lời nhắc profile một lần và bật Connect On Demand. Điều đó mang lại hầu hết giá trị mà không cần cấu hình thủ công. Cách thủ công trong Settings tồn tại cho các trường hợp cụ thể như IKEv2 doanh nghiệp hoặc nhà cung cấp không có ứng dụng, và câu chuyện kill switch của iOS thành thật mà nói yếu hơn so với các hệ điều hành máy tính, nhưng quy tắc on-demand bù đắp phần lớn khoảng cách đó.

Nếu bạn đang chọn VPN lần đầu, hãy ưu tiên những VPN dùng WireGuard, mặc định dùng tài khoản ẩn danh không cần đăng ký email, và có lập trường rõ ràng về nhật ký. Các bước cài đặt giống nhau giữa các nhà cung cấp — mô hình tin cậy thì không.

Snap VPN là ứng dụng iOS gốc được xây dựng xung quanh WireGuard. Đăng ký của bạn gắn với Apple ID, không cần email hay tạo tài khoản, và chúng tôi không liên kết bất kỳ định danh người dùng nào với người thật. macOS sẽ ra mắt tiếp theo. Nếu bạn muốn VPN tôn trọng các quy ước nền tảng được mô tả ở trên và không làm phiền bạn, Snap VPN là nơi để bắt đầu.

Đọc thêm: VPN thực sự là gì dùng VPN khi đi du lịch.

The Snap VPN Team
Editorial