Chào bạn, Bùi Mạnh Đức đây. Trong thế giới số ngày nay, việc bảo vệ dữ liệu cá nhân và duy trì sự riêng tư khi trực tuyến đã trở nên cấp thiết hơn bao giờ hết. VPN, hay Mạng riêng ảo, chính là một trong những công cụ mạnh mẽ nhất giúp bạn thực hiện điều đó. Nó tạo ra một đường hầm mã hóa an toàn cho toàn bộ lưu lượng truy cập internet của bạn, giúp ẩn địa chỉ IP và bảo vệ bạn khỏi các mối đe dọa trên mạng.
Tuy nhiên, việc lựa chọn và thiết lập một máy chủ VPN có thể là một thách thức, đặc biệt với những ai không chuyên về kỹ thuật. Bài viết này sẽ hướng dẫn bạn từng bước chi tiết để cài đặt một máy chủ VPN hiện đại, an toàn và hiệu quả bằng giao thức IKEv2 và phần mềm StrongSwan trên hệ điều hành Ubuntu 20.04. Hãy cùng tôi xây dựng một pháo đài số cho riêng mình nhé!
Giới thiệu
Trong bối cảnh kết nối internet ở khắp mọi nơi, từ quán cà phê công cộng đến mạng gia đình, việc bảo vệ dữ liệu trở thành ưu tiên hàng đầu. Một Mạng riêng ảo (VPN) đóng vai trò như một người lính gác cổng trung thành cho hoạt động trực tuyến của bạn. Nó tạo ra một kết nối được mã hóa an toàn giữa thiết bị của bạn và internet, đảm bảo rằng không ai có thể xem trộm hoặc can thiệp vào dữ liệu bạn gửi và nhận.
Trong số các giao thức VPN, IKEv2 (Internet Key Exchange version 2) nổi bật với tốc độ, sự ổn định và khả năng bảo mật vượt trội. Giao thức này đặc biệt hiệu quả trên các thiết bị di động vì khả năng tự động kết nối lại khi có sự thay đổi mạng, ví dụ như chuyển từ Wi-Fi sang 4G. Tuy nhiên, việc thiết lập một máy chủ VPN từ đầu có thể khá phức tạp. Đây chính là lúc StrongSwan, một giải pháp VPN mã nguồn mở mạnh mẽ và linh hoạt, phát huy tác dụng. Bằng cách sử dụng StrongSwan trên Ubuntu 20.04, chúng ta có thể đơn giản hóa quá trình này.
Bài viết này sẽ là một hướng dẫn toàn diện, dẫn dắt bạn qua từng bước: từ cài đặt StrongSwan, tạo chứng chỉ bảo mật, cấu hình máy chủ, kết nối client cho đến khắc phục các lỗi thường gặp.
Cài đặt phần mềm StrongSwan trên Ubuntu 20.04
Trước khi xây dựng pháo đài VPN, chúng ta cần chuẩn bị nền móng vững chắc. Bước đầu tiên là cài đặt phần mềm StrongSwan và các công cụ cần thiết lên máy chủ Ubuntu 20.04 của bạn.
Chuẩn bị môi trường và cập nhật hệ thống
Đầu tiên, hãy đảm bảo bạn đang làm việc trên đúng phiên bản hệ điều hành. Bạn có thể kiểm tra phiên bản Ubuntu của mình bằng lệnh sau:
lsb_release -a
Kết quả sẽ hiển thị thông tin chi tiết về bản phân phối, hãy chắc chắn rằng bạn đang sử dụng Ubuntu 20.04 (Focal Fossa).
Tiếp theo, việc quan trọng nhất trước khi cài đặt bất kỳ phần mềm mới nào là cập nhật và nâng cấp hệ thống. Điều này đảm bảo rằng tất cả các gói phần mềm hiện có đều ở phiên bản mới nhất, giúp tránh các xung đột và lỗ hổng bảo mật tiềm ẩn. Chạy lệnh sau trong terminal:
sudo apt update && sudo apt upgrade -y
Lệnh này sẽ tải xuống danh sách các gói phần mềm mới nhất và sau đó tự động nâng cấp chúng. Quá trình này có thể mất vài phút tùy thuộc vào tình trạng hệ thống của bạn.
Cài đặt gói StrongSwan và các công cụ hỗ trợ
Khi hệ thống đã được cập nhật, chúng ta đã sẵn sàng để cài đặt StrongSwan. StrongSwan là một hệ thống VPN dựa trên IPsec hoàn chỉnh, cung cấp mọi thứ chúng ta cần để xây dựng máy chủ IKEv2.
Để cài đặt StrongSwan cùng với các plugin cần thiết cho việc quản lý chứng chỉ (PKI – Public Key Infrastructure) và các tính năng mở rộng khác, hãy sử dụng lệnh sau:
sudo apt install strongswan strongswan-pki libcharon-extra-plugins libstrongswan-extra-plugins -y
Gói strongswan-pki cung cấp tiện ích pki mạnh mẽ, cho phép chúng ta tạo và quản lý các chứng chỉ bảo mật. Các gói extra-plugins bổ sung thêm các thuật toán mã hóa và các tính năng hữu ích khác, giúp tăng cường tính tương thích và bảo mật cho máy chủ VPN của bạn. Sau khi lệnh thực thi xong, StrongSwan đã được cài đặt và sẵn sàng để chúng ta cấu hình.
Tạo và quản lý chứng chỉ bảo mật cho VPN
Trái tim của một kết nối VPN an toàn nằm ở việc xác thực danh tính. Chúng ta sẽ sử dụng chứng chỉ điện tử (digital certificates) để đảm bảo rằng chỉ những client được cấp phép mới có thể kết nối đến máy chủ, và ngược lại. Quá trình này giống như việc cấp phát thẻ căn cước cho máy chủ và người dùng.
Tạo CA (Certificate Authority) và chứng chỉ máy chủ
Đầu tiên, chúng ta cần tạo một Tổ chức phát hành chứng chỉ (CA) riêng. Hãy tưởng tượng CA như một cơ quan có thẩm quyền, chịu trách nhiệm ký và xác nhận tính hợp lệ của tất cả các chứng chỉ khác. Chúng ta sẽ tự mình đóng vai trò này.
- Tạo khóa riêng cho CA:
pki --gen --type rsa --size 4096 --outform pem > ca-key.pem
Lệnh này tạo ra một khóa RSA 4096-bit, rất mạnh và an toàn.
- Tạo chứng chỉ tự ký cho CA:
pki --self --ca --lifetime 3650 --in ca-key.pem \
--dn "CN=VPN CA" --outform pem > ca-cert.pem
Chúng ta đang tạo một chứng chỉ cho CA có hiệu lực trong 10 năm (3650 ngày), với tên chung (Common Name) là “VPN CA”.
Bây giờ, khi đã có CA, chúng ta sẽ dùng nó để cấp chứng chỉ cho máy chủ VPN.
- Tạo khóa riêng cho máy chủ VPN:
pki --gen --type rsa --size 4096 --outform pem > server-key.pem
- Tạo chứng chỉ cho máy chủ VPN và ký bởi CA:
pki --pub --in server-key.pem | pki --issue --lifetime 1825 \
--cacert ca-cert.pem --cakey ca-key.pem \
--dn "CN=your_server_ip_or_domain" --san your_server_ip_or_domain \
--flag serverAuth --flag ikeIntermediate --outform pem > server-cert.pem
Quan trọng: Thay thế your_server_ip_or_domain bằng địa chỉ IP công cộng hoặc tên miền của máy chủ Ubuntu của bạn. Tham số --san (Subject Alternative Name) là rất cần thiết để client xác thực máy chủ một cách chính xác.
Tạo chứng chỉ cho client và phân phối
Tương tự như máy chủ, mỗi client (người dùng/thiết bị) kết nối tới VPN cũng cần một chứng chỉ riêng để xác thực. Điều này an toàn hơn nhiều so với việc chỉ dùng mật khẩu.
- Tạo khóa riêng cho client (ví dụ: client A):
pki --gen --type rsa --size 2048 --outform pem > client-key.pem
- Tạo chứng chỉ cho client và ký bởi CA:
pki --pub --in client-key.pem | pki --issue --lifetime 1825 \
--cacert ca-cert.pem --cakey ca-key.pem \
--dn "CN=clientA" --outform pem > client-cert.pem
Bạn có thể thay “clientA” bằng tên người dùng hoặc tên thiết bị để dễ quản lý.
Sau khi tạo xong, chúng ta cần đóng gói chứng chỉ của client, khóa riêng của client và chứng chỉ CA vào một tệp .p12 duy nhất. Tệp này được bảo vệ bằng mật khẩu và rất tiện lợi để nhập vào các thiết bị như Windows, iOS hay Android.
openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -certfile ca-cert.pem -name "clientA" -out clientA.p12
Bạn sẽ được yêu cầu nhập một mật khẩu xuất (export password). Hãy chọn một mật khẩu mạnh và ghi nhớ nó. Tệp clientA.p12 này chính là thứ bạn cần gửi cho người dùng một cách an toàn (ví dụ qua một kênh mã hóa). Cuối cùng, di chuyển các tệp chứng chỉ và khóa của máy chủ vào thư mục cấu hình của StrongSwan:
sudo cp {ca-cert.pem,server-cert.pem,server-key.pem} /etc/ipsec.d/
Cấu hình máy chủ VPN sử dụng StrongSwan
Khi đã có đầy đủ chứng chỉ, chúng ta sẽ tiến hành cấu hình để StrongSwan biết cách hoạt động, chấp nhận kết nối từ đâu và sử dụng các chứng chỉ nào để xác thực.
Thiết lập cấu hình ipsec.conf và ipsec.secrets
Hai tệp tin quan trọng nhất của StrongSwan là /etc/ipsec.conf (định nghĩa các kết nối) và /etc/ipsec.secrets (lưu trữ các thông tin bí mật).
Đầu tiên, hãy sao lưu tệp cấu hình mặc định và tạo một tệp mới:
sudo mv /etc/ipsec.conf /etc/ipsec.conf.original
sudo nano /etc/ipsec.conf
Dán nội dung sau vào tệp:
config setup
charondebug="ike 2, knl 2, cfg 2"
uniqueids=yes
conn %default
keyexchange=ikev2
ike=aes256gcm16-sha256-modp2048!
esp=aes256gcm16-sha256-modp2048!
dpdaction=clear
dpddelay=300s
rekey=no
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server-cert.pem
right=%any
rightauth=pubkey
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8, 8.8.4.4
auto=add
conn IKEv2-VPN
also=%default
Giải thích nhanh các tham số quan trọng:
keyexchange=ikev2: Chỉ định sử dụng giao thức IKEv2.ike và esp: Định nghĩa các bộ mật mã hóa mạnh cho kết nối.left...: Các tham số cho máy chủ VPN. leftcert=server-cert.pem chỉ định chứng chỉ máy chủ. leftsubnet=0.0.0.0/0 cho phép client gửi toàn bộ lưu lượng truy cập qua VPN.right...: Các tham số cho client. rightsourceip=10.10.10.0/24 là dải IP ảo sẽ được cấp cho client khi kết nối. rightdns cung cấp máy chủ DNS cho client.auto=add: Tự động tải cấu hình này khi StrongSwan khởi động.
Tiếp theo, cấu hình tệp /etc/ipsec.secrets để chỉ định vị trí khóa riêng của máy chủ:
sudo nano /etc/ipsec.secrets
Thêm dòng sau:
: RSA server-key.pem
Dòng này báo cho StrongSwan rằng khóa riêng server-key.pem được lưu trữ trong thư mục /etc/ipsec.d/pvt/ (mặc định) và không được bảo vệ bằng mật khẩu. Nếu bạn đã đặt mật khẩu cho khóa khi tạo, hãy đặt nó trong dấu ngoặc kép sau tên tệp.
Cấu hình mở port và cập nhật firewall
Máy chủ VPN cần lắng nghe các kết nối từ bên ngoài. IKEv2 sử dụng cổng UDP 500 và 4500. Chúng ta cần mở các cổng này trên tường lửa. Nếu bạn đang dùng UFW (Uncomplicated Firewall), hãy chạy các lệnh sau:
sudo ufw allow 500,4500/udp
sudo ufw allow OpenSSH
sudo ufw enable
Ngoài ra, để client có thể truy cập Internet thông qua VPN, chúng ta cần cho phép chuyển tiếp gói tin (IP forwarding). Mở tệp /etc/sysctl.conf:
sudo nano /etc/sysctl.conf
Bỏ dấu # ở đầu dòng sau để kích hoạt nó:
net.ipv4.ip_forward=1
Lưu và áp dụng thay đổi: sudo sysctl -p.
Cuối cùng, chúng ta cần thiết lập quy tắc NAT (Network Address Translation) để lưu lượng truy cập từ client VPN được định tuyến đúng ra Internet với địa chỉ IP của máy chủ.
sudo iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
Lưu ý: Thay eth0 bằng tên card mạng chính của bạn (bạn có thể tìm bằng lệnh ip addr). Để lưu các quy tắc iptables này sau khi khởi động lại, hãy cài đặt gói iptables-persistent.
Khởi động lại dịch vụ StrongSwan để áp dụng tất cả các thay đổi:
sudo systemctl restart strongswan-starter
Thiết lập kết nối client tới máy chủ VPN
Sau khi máy chủ đã được cấu hình hoàn chỉnh, bước tiếp theo là thiết lập kết nối từ các thiết bị của bạn. Quá trình này khá đơn giản vì IKEv2 được hỗ trợ nguyên bản trên hầu hết các hệ điều hành hiện đại.
Cài đặt và cấu hình client trên các nền tảng phổ biến (Windows, iOS, Android)
Yếu tố cốt lõi bạn cần để thiết lập client là tệp .p12 đã tạo ở bước trước và mật khẩu của nó. Hãy chuyển tệp này đến thiết bị của bạn một cách an toàn.
Trên Windows 10/11:
- Nháy đúp vào tệp
.p12 để bắt đầu quá trình nhập chứng chỉ. Chọn “Current User”.
- Làm theo hướng dẫn, nhập mật khẩu của tệp khi được yêu cầu.
- Để Windows tự động chọn nơi lưu trữ chứng chỉ (“Automatically select the certificate store…”).
- Sau khi nhập xong, vào Settings > Network & Internet > VPN > Add a VPN connection.
- Cấu hình như sau:
- VPN provider: Windows (built-in)
- Connection name: Đặt tên tùy ý (ví dụ: My Office VPN)
- Server name or address: Nhập địa chỉ IP hoặc tên miền của máy chủ VPN.
- VPN type: IKEv2
- Type of sign-in info: Certificate
- Lưu lại và nhấn Connect để kết nối.
Trên iOS (iPhone/iPad):
- Gửi tệp
.p12 đến thiết bị của bạn (ví dụ qua email hoặc AirDrop).
- Mở tệp, iOS sẽ yêu cầu bạn cài đặt một “Profile”. Nhập mật khẩu của tệp và mật khẩu của thiết bị.
- Vào Settings > General > VPN & Device Management > VPN.
- Chọn Add VPN Configuration…
- Type: IKEv2
- Description: Đặt tên tùy ý.
- Server: Nhập địa chỉ IP hoặc tên miền của máy chủ.
- Remote ID: Nhập chính xác tên chung (CN) của chứng chỉ máy chủ (ví dụ:
your_server_ip_or_domain).
- User Authentication: None
- Use Certificate: Bật lên và chọn chứng chỉ bạn vừa nhập.
- Lưu và bật kết nối VPN.
Trên Android:
- Cài đặt ứng dụng strongSwan VPN Client từ Google Play Store.
- Chuyển tệp
.p12 vào bộ nhớ của thiết bị.
- Mở ứng dụng, nhấn Add VPN Profile.
- Nhập địa chỉ máy chủ.
- Trong phần Authentication, chọn Select a certificate và nhập chứng chỉ từ tệp
.p12.
- Lưu lại và nhấn vào profile để kết nối.
Kiểm tra kết nối và xác minh thông tin VPN
Sau khi client kết nối thành công, bạn có thể quay lại terminal của máy chủ Ubuntu và kiểm tra trạng thái. Sử dụng lệnh sau:
sudo strongswan statusall
Hoặc một lệnh ngắn gọn hơn:
sudo ipsec status
Nếu kết nối thành công, bạn sẽ thấy thông tin về một “Security Association” (SA) đã được thiết lập, bao gồm địa chỉ IP của client, địa chỉ IP ảo được cấp (từ dải 10.10.10.0/24), và các thuật toán mã hóa đang được sử dụng.
Để xác minh rằng toàn bộ lưu lượng truy cập của bạn đang đi qua VPN, hãy truy cập một trang web kiểm tra địa chỉ IP (như whatismyip.com) trên thiết bị client. Địa chỉ IP hiển thị phải là địa chỉ IP của máy chủ VPN.
Kiểm tra và khắc phục lỗi thường gặp khi thiết lập VPN
Mặc dù đã làm theo hướng dẫn cẩn thận, đôi khi vẫn có những vấn đề phát sinh. Đừng lo lắng, hầu hết các lỗi đều có thể được chẩn đoán và khắc phục. Chìa khóa để xử lý sự cố là kiểm tra nhật ký (log) của StrongSwan.
Lỗi phổ biến khi cấu hình StrongSwan và cách xử lý
Nhật ký hoạt động của StrongSwan cung cấp thông tin chi tiết về quá trình kết nối và các lỗi xảy ra. Để xem log theo thời gian thực, hãy sử dụng lệnh:
sudo journalctl -u strongswan-starter -f
Một số lỗi phổ biến bạn có thể gặp:
- Lỗi chứng chỉ không hợp lệ (Invalid certificate):
Nguyên nhân: Tên chung (CN) hoặc Tên thay thế chủ thể (SAN) trong chứng chỉ máy chủ không khớp với địa chỉ IP/tên miền mà client đang kết nối đến.
Cách xử lý: Kiểm tra lại cấu hình VPN trên client, đảm bảo mục “Server Address” và “Remote ID” chính xác. Nếu sai, bạn cần tạo lại chứng chỉ máy chủ với CN/SAN đúng.
- Lỗi kết nối IKEv2 (No proposal chosen):
Nguyên nhân: Máy chủ và client không thể thống nhất được một bộ thuật toán mã hóa chung để sử dụng.
Cách xử lý: Đảm bảo cấu hình ike và esp trong tệp /etc/ipsec.conf của bạn sử dụng các thuật toán hiện đại và được hỗ trợ rộng rãi như aes256gcm16-sha256-modp2048. Cấu hình mặc định trong hướng dẫn này thường hoạt động tốt với hầu hết client.
- Lỗi xác thực (Authentication failed):
Nguyên nhân: Client không cung cấp được chứng chỉ hợp lệ, hoặc chứng chỉ đó không được ký bởi CA mà máy chủ tin tưởng.
Cách xử lý: Đảm bảo bạn đã nhập đúng chứng chỉ .p12 vào client. Kiểm tra xem tệp ca-cert.pem trên máy chủ có phải là CA đã ký cho chứng chỉ client hay không.
Xử lý lỗi firewall và NAT traversal
Tường lửa và NAT là hai trong số những nguyên nhân gây ra sự cố kết nối VPN nhiều nhất.
- Vấn đề với tường lửa: Nếu client không thể kết nối ngay từ đầu (timeout), khả năng cao là tường lửa đang chặn các cổng UDP 500 và 4500.
Cách xử lý: Kiểm tra lại cấu hình UFW hoặc iptables trên máy chủ. Đồng thời, nếu có bất kỳ tường lửa nào khác giữa client và máy chủ (ví dụ: tường lửa của nhà mạng, công ty), hãy đảm bảo các cổng này cũng được mở.
- NAT Traversal (NAT-T): Hầu hết các client hiện nay đều nằm sau một bộ định tuyến NAT. NAT-T là một cơ chế cho phép IPsec hoạt động qua NAT bằng cách đóng gói dữ liệu vào các gói tin UDP trên cổng 4500.
Giải pháp: StrongSwan đã bật sẵn NAT-T theo mặc định. Vấn đề thường không nằm ở StrongSwan mà ở các thiết bị mạng trung gian có thể không xử lý NAT-T đúng cách. Đảm bảo rằng cấu hình tường lửa của bạn cho phép lưu lượng trên cổng 4500/udp. Việc kiểm tra log sẽ cho bạn biết liệu NAT-T có đang được kích hoạt hay không.
Các mẹo bảo mật và tối ưu hiệu suất VPN
Thiết lập một VPN hoạt động chỉ là bước khởi đầu. Để đảm bảo nó thực sự an toàn và hiệu quả trong dài hạn, bạn nên áp dụng thêm các biện pháp tối ưu và bảo mật nâng cao.
- Áp dụng chính sách mã hóa mạnh mẽ:
Luôn cập nhật các bộ thuật toán mã hóa (ike và esp trong ipsec.conf) của bạn. Các thuật toán như AES-GCM (ví dụ: aes256gcm16) được khuyến nghị vì chúng cung cấp cả mã hóa và xác thực, giúp tăng hiệu suất so với các kết hợp cũ hơn như AES-CBC và HMAC-SHA. Tránh sử dụng các thuật toán đã lỗi thời như 3DES hoặc MD5.
- Tối ưu timeout và tái kết nối:
Tham số dpdaction (Dead Peer Detection) trong cấu hình giúp máy chủ phát hiện khi client bị ngắt kết nối đột ngột. Giá trị clear sẽ đóng kết nối cũ, sẵn sàng cho một kết nối mới. dpddelay xác định tần suất kiểm tra. Đặt giá trị này khoảng 300s (5 phút) là một sự cân bằng tốt giữa việc phát hiện nhanh và giảm tải cho máy chủ.
- Giám sát log và cảnh báo sự cố kịp thời:
Thường xuyên kiểm tra nhật ký của StrongSwan không chỉ để khắc phục lỗi mà còn để phát hiện các hoạt động đáng ngờ, chẳng hạn như các nỗ lực kết nối thất bại liên tục từ một địa chỉ IP lạ. Bạn có thể thiết lập các công cụ như fail2ban để tự động chặn các IP này, tăng cường một lớp bảo vệ cho máy chủ VPN của bạn.
- Không nên: Sử dụng chứng chỉ tự ký không bảo mật:
Một sai lầm phổ biến là tạo một chứng chỉ tự ký riêng cho máy chủ và một cái khác cho client. Cách làm đúng đắn, như trong hướng dẫn này, là tạo một CA gốc và dùng nó để ký cho tất cả các chứng chỉ khác. Điều này tạo ra một chuỗi tin cậy (chain of trust) rõ ràng, giúp hệ thống an toàn và dễ quản lý hơn nhiều.
Bằng cách áp dụng những mẹo này, bạn không chỉ xây dựng một VPN mà còn vận hành một hệ thống bảo mật vững chắc, đáng tin cậy.
Kết luận
Vậy là chúng ta đã cùng nhau hoàn thành một hành trình đầy kỹ thuật nhưng vô cùng giá trị: thiết lập thành công một máy chủ VPN IKEv2 hoàn chỉnh với StrongSwan trên nền tảng Ubuntu 20.04. Từ việc cài đặt phần mềm, tạo và quản lý một hệ thống chứng chỉ bảo mật, cấu hình chi tiết cho máy chủ, cho đến việc kết nối các thiết bị client, bạn đã tự tay xây dựng một giải pháp bảo mật mạnh mẽ.
Việc sở hữu một máy chủ VPN riêng mang lại những lợi ích to lớn. Bạn có toàn quyền kiểm soát dữ liệu của mình, đảm bảo sự riêng tư tuyệt đối khi truy cập internet công cộng, và vượt qua các rào cản địa lý một cách an toàn. Giao thức IKEv2 cùng với StrongSwan cung cấp một sự kết hợp hoàn hảo giữa hiệu suất cao, tính ổn định và khả năng bảo mật cấp doanh nghiệp.
Tôi khuyến khích bạn hãy bắt tay vào thực hành theo hướng dẫn này. Quá trình này không chỉ giúp bạn có được một công cụ hữu ích mà còn nâng cao đáng kể kiến thức và kỹ năng quản trị hệ thống mạng. Bảo mật không phải là một điểm đến, mà là một hành trình liên tục.
Để tìm hiểu sâu hơn, bạn có thể khám phá tài liệu chính thức của StrongSwan, nghiên cứu về các chính sách tường lửa nâng cao hoặc cách tích hợp VPN với các hệ thống xác thực khác. Chúc bạn thành công trên con đường làm chủ không gian số của mình
Chỉ từ 49.000đ/tháng
