Mengelola Mikrotik Anda dengan WireGuard

Ringkasan
Panduan praktis WireGuard: siapkan server VPS, konfigurasi klien MikroTik, iklankan rute subnet, dan ikuti praktik terbaik keamanan untuk akses jarak jauh yang andal.

Manajemen MikroTik Jarak Jauh dengan WireGuard

WireGuard adalah VPN modern dan minimal yang terasa seperti keajaiban performa.

Ini ringan. Cepat. Aman.

Sangat cocok untuk menghubungkan VPS dan MikroTik, atau menggabungkan jaringan melalui internet.

Panduan ini menyediakan perintah copy-paste, contoh konfigurasi, dan tips berharga.

Apa itu WireGuard?

WireGuard adalah VPN Layer-3 ringan yang diperkenalkan oleh Jason Donenfeld.

Menggunakan kripto modern: Curve25519 untuk kesepakatan kunci dan ChaCha20-Poly1305 untuk enkripsi.

Tidak ada sertifikat. Pasangan kunci sederhana. Basis kode kecil.

Kesederhanaan ini menghasilkan sedikit kejutan dan throughput lebih baik.

Cara kerja WireGuard — inti utamanya

Setiap peer memiliki kunci privat dan kunci publik.

Peers memetakan kunci publik ke allowed IPs dan endpoint (IP:port).

Lalu lintas berbasis UDP dan peer-to-peer secara default.

Tidak wajib ada server pusat — tapi VPS biasanya berfungsi sebagai titik temu yang stabil.

Manfaat secara singkat

Throughput tinggi dan penggunaan CPU rendah.
Basis kode minimal dan mudah diaudit.
File konfigurasi sederhana per peer.
Cocok dengan NAT dan CGNAT.
Multi-platform: Linux, Windows, macOS, Android, iOS, MikroTik.

Server: WireGuard di VPS (Ubuntu)

Langkah-langkah ini akan menyiapkan server dasar yang bisa diakses peer.

1) Instal WireGuard

apt update && apt install -y wireguard

2) Buat kunci server

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) Buat file `/etc/wireguard/wg0.conf`

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

# contoh peer (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Aktifkan dan mulai

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Firewall

ufw allow 51820/udp
# atau gunakan nftables/iptables sesuai kebutuhan

Tip: Gunakan port UDP non-standar jika ingin menghindari pemindaian otomatis.

MikroTik: konfigurasi sebagai peer WireGuard

RouterOS mendukung WireGuard secara built-in (RouterOS 7.x+).

1) Tambahkan interface WireGuard

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Tambahkan server sebagai peer

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

3) Periksa status

/interface/wireguard/print
/interface/wireguard/peers/print

Jika peer memperlihatkan aktivitas handshake dan latest-handshake terbaru, tunnel sudah aktif.

Routing dan akses perangkat LAN di belakang MikroTik

Dari VPS: routing ke LAN MikroTik

Jika VPS (atau peer lain) ingin mencapai 192.168.88.0/24 di belakang MikroTik:

Tambahkan route di VPS:

ip route add 192.168.88.0/24 via 10.8.0.2

Di MikroTik, aktifkan IP forwarding dan opsional src-NAT untuk kemudahan:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Kini layanan di LAN router dapat diakses dari VPS melalui tunnel WireGuard.

Peringatan: Batasi jaringan yang Anda kendalikan saja. Gunakan aturan firewall untuk membatasi host atau port yang bisa diakses.

Praktik terbaik keamanan

Gunakan pasangan kunci unik untuk tiap perangkat.
Batasi AllowedIPs hanya pada yang diperlukan.
Jaga port WireGuard tetap firewall dan diawasi.
Cabut perangkat yang hilang dengan menghapus entri peer-nya.
Pantau handshake dan kondisi koneksi.

Tip: Persistent keepalive membantu menjaga mapping NAT pada koneksi konsumen.

Manajemen kunci dan otomatisasi

Putar kunci secara berkala.

Otomatisasi pembuatan peer dengan skrip saat mengelola banyak router.

Simpan kunci privat dengan aman — anggap seperti password.

Untuk fleet perangkat, pertimbangkan kontrol plane kecil atau alur distribusi kunci.

Perbandingan singkat

Solusi	Basis	Performa	Kemudahan	Cocok untuk
WireGuard	Kernel VPN	Sangat tinggi	Sederhana	Link modern dan berkinerja tinggi
OpenVPN	TLS/OpenSSL	Sedang	Kompleks	Perangkat lama dan setup PKI berat
Tailscale	WireGuard + control plane	Tinggi	Sangat mudah	Tim, akses berbasis identitas
ZeroTier	Jaringan mesh custom	Tinggi	Mudah	Jaringan mesh fleksibel

Integrasi dan penggunaan

WireGuard kompatibel dengan monitoring (SNMP), TR-069, TR-369, dan sistem orkestrasi.

Gunakan untuk manajemen jarak jauh, backhaul penyedia, atau tunnel aman ke layanan cloud.

Di mana MKController membantu:

NATCloud milik MKController menghilangkan keharusan membuat tunnel manual. Memberi akses terpusat, monitoring, dan onboarding lebih mudah — tanpa harus mengelola kunci per perangkat.

Kesimpulan

WireGuard menyederhanakan VPN tanpa mengorbankan keamanan.

Ini cepat, portabel, dan ideal untuk pasangan MikroTik dan VPS.

Gunakan untuk membangun akses jarak jauh yang andal, dengan routing yang tepat dan praktik baik.

Tentang MKController

Semoga wawasan di atas membantu Anda menavigasi dunia MikroTik dan internet dengan lebih baik! 🚀
Baik saat menyetel konfigurasi atau merapikan kehebohan jaringan, MKController hadir untuk membuat hidup Anda lebih mudah.

Dengan manajemen cloud terpusat, pembaruan keamanan otomatis, dan dashboard yang mudah digunakan, kami siap tingkatkan operasi Anda.

👉 Mulai uji coba gratis 3 hari Anda sekarang di mkcontroller.com — dan rasakan kendali jaringan tanpa repot sesungguhnya.