Remote Access

Manajemen MikroTik Remote dengan WireGuard

Atur server WireGuard di VPS, sambungkan MikroTik sebagai peer, rutekan subnet LAN, dan amankan tunnel untuk akses jarak jauh yang andal.

MKController12 Februari 20255 min read

Ringkasan WireGuard memadukan VPS Linux sebagai titik temu dengan satu atau lebih router MikroTik sebagai peer, memberi Anda manajemen jarak jauh yang stabil melalui tunnel UDP yang tahan terhadap CGNAT, IP dinamis, dan sebagian besar keanehan dari sisi ISP. Panduan ini mengonfigurasi server VPS, klien MikroTik (RouterOS v7), routing yang memungkinkan Anda menjangkau LAN di belakang router dari sisi VPS, serta pengerasan keamanan yang menjaga tunnel tetap aman dalam jangka panjang.

Bagaimana WireGuard memungkinkan manajemen MikroTik jarak jauh?

WireGuard adalah VPN Layer-3 modern yang dibangun di atas kriptografi mutakhir (Curve25519 untuk pertukaran kunci, ChaCha20-Poly1305 untuk enkripsi) dan basis kode kecil yang mudah diaudit. Untuk manajemen MikroTik jarak jauh, topologi yang lazim adalah VPS Linux kecil yang bertindak sebagai titik temu selalu-online, dengan satu atau lebih router MikroTik (menjalankan RouterOS v7) yang melakukan koneksi keluar ke VPS sebagai peer. Karena WireGuard berbasis UDP dan router yang menginisiasi tunnel ke luar, topologi ini bekerja dengan cara yang sama baik router berada di IP publik nyata, di belakang NAT, maupun di belakang CGNAT.

Setelah tunnel aktif, VPS memegang rute yang memungkinkan Anda menjangkau LAN tiap router melalui IP WireGuard-nya. Dari laptop admin yang terhubung ke VPS (atau ke jaringan WireGuard itu sendiri), setiap lokasi dapat dijangkau seolah berada di LAN privat — dan tidak ada port Winbox atau WebFig yang terbuka di router pelanggan untuk ditemukan oleh penyerang.

Mengapa memilih WireGuard untuk akses jarak jauh MikroTik?

WireGuard unggul di lima dimensi praktis yang penting untuk manajemen armada: throughput tinggi dengan konsumsi CPU rendah bahkan di router kecil, basis kode minimal dan dapat diaudit dengan jauh lebih sedikit CVE dibanding OpenVPN, berkas konfigurasi per-peer yang sederhana dan bersih saat diversi-kontrol, dukungan lintas platform native (Linux, Windows, macOS, Android, iOS, RouterOS v7+), dan perilaku yang baik di balik NAT dan CGNAT berkat desain handshake yang toleran terhadap perubahan alamat. Kelemahannya adalah WireGuard tidak punya infrastruktur pencabutan sertifikat ala OpenVPN — kepercayaan dikelola dengan menambah dan menghapus entri peer secara langsung, yang berarti pengelolaan peer dalam skala besar memerlukan control plane kecil atau skrip otomatisasi.

Langkah 1: Instal WireGuard di VPS (Ubuntu)

apt update && apt install -y wireguard

Langkah 2: Buat kunci server

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

Kunci privat tetap di VPS. Kunci publik ditempelkan ke konfigurasi peer di MikroTik.

Langkah 3: Buat konfigurasi server

/etc/wireguard/wg0.conf:

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

Tambahkan satu blok [Peer] untuk setiap router MikroTik, masing-masing dengan IP tunnel unik di AllowedIPs.

Langkah 4: Jalankan tunnel dan buka firewall

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
ufw allow 51820/udp

(Sesuaikan perintah firewall ke nftables atau iptables sesuai distribusi VPS.) Gunakan port UDP non-standar bila Anda ingin menghindari pemindaian otomatis di internet.

Langkah 5: Konfigurasikan MikroTik sebagai peer WireGuard

RouterOS v7 sudah memiliki dukungan WireGuard bawaan — tidak perlu paket tambahan. Buka terminal Winbox:

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

/interface wireguard peers add interface=wg-vps \
    public-key="<server_public_key>" \
    endpoint-address=<VPS_IP> \
    endpoint-port=51820 \
    allowed-address=10.8.0.2/32 \
    persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

persistent-keepalive=25 adalah detail kecil tapi krusial — ia menjaga pemetaan NAT tetap hidup di router sisi WAN agar tunnel tidak diam-diam terputus setelah beberapa menit idle.

Periksa status:

/interface/wireguard/print
/interface/wireguard/peers/print

Saat peer menunjukkan aktivitas handshake dan latest-handshake masih segar (dalam interval keepalive), tunnel sudah aktif.

Langkah 6: Rutekan ke perangkat LAN di belakang MikroTik

Untuk menjangkau LAN di belakang MikroTik (misalnya 192.168.88.0/24) dari VPS:

Di VPS:

ip route add 192.168.88.0/24 via 10.8.0.2

Di MikroTik, tambahkan aturan srcnat masquerade agar trafik balikan menemukan jalan pulang melalui tunnel:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 \
    out-interface=wg-vps action=masquerade

Sekarang layanan LAN di belakang MikroTik dapat dijangkau dari VPS, dan dari peer lain yang dikenal VPS, melalui tunnel WireGuard. Hanya paparkan jaringan yang Anda kendalikan, dan gunakan aturan firewall untuk membatasi host dan port mana saja yang dapat dijangkau melintasi tunnel. Untuk varian sisi klien dari skenario ini (MikroTik sebagai klien VPN ke penyedia komersial alih-alih peer ke VPS Anda sendiri), lihat tutorial klien WireGuard kami.

Pengerasan keamanan

Pasangan kunci unik per perangkat. Jangan pernah memakai ulang kunci antar MikroTik. Membuat pasangan baru hanya butuh hitungan detik dan menyederhanakan pencabutan secara dramatis.
AllowedIPs ketat. Atur AllowedIPs ke minimum yang dibutuhkan (10.8.0.2/32 untuk satu router, plus LAN bila merutekan). Rentang yang lebih luas membuka peluang trafik peer-to-peer antar lokasi yang mungkin tidak diinginkan.
Pasang firewall pada port WireGuard. Meski WireGuard menolak trafik tidak valid secara diam-diam, membiarkan 51820/udp terbuka ke seluruh internet adalah hal yang tidak perlu. Batasi berdasarkan IP sumber bila alur administrasi memungkinkan.
Cabut perangkat yang hilang. Hapus entri [Peer] dari konfigurasi VPS dan restart tunnel. Router tidak akan dapat terhubung lagi.
Pantau handshake. Tunnel yang tidak melakukan handshake selama 24 jam berarti rusak — biasanya akibat rotasi kunci yang tak sinkron atau perubahan routing.

Lakukan rotasi kunci secara berkala sebagai bagian dari rutinitas rotasi kredensial standar. Simpan kunci privat dengan disiplin yang sama seperti kunci host SSH. Untuk armada lebih dari 10–20 router, rencanakan alur kerja control plane kecil untuk pembuatan peer alih-alih menyunting konfigurasi VPS secara manual.

Dibandingkan opsi VPN lain

Solusi	Basis	Performa	Kemudahan setup	Cocok untuk
WireGuard	VPN di kernel	Sangat tinggi	Sederhana	Manajemen modern berperforma tinggi
OpenVPN	TLS/OpenSSL	Sedang	Kompleks	Perangkat lawas, lingkungan PKI berat
Tailscale	WireGuard + control plane	Tinggi	Sangat mudah	Tim, akses berbasis identitas
ZeroTier	Mesh kustom	Tinggi	Mudah	Topologi mesh yang fleksibel

Untuk opsi manajemen jarak jauh yang lebih luas, lihat panduan kami tentang manajemen MikroTik berbasis VPS dan manajemen jarak jauh SSTP.

Langkah berikutnya

Satu tunnel WireGuard antara VPS dan satu MikroTik mudah dikerjakan. Mengelola kunci, entri peer, dan tabel routing di puluhan atau ratusan router — dengan rotasi kunci dan pergantian pelanggan yang tak terhindarkan — adalah titik di mana biaya operasional menumpuk.

NATCloud dari MKController menghapus seluruh perpipaan tunnel manual itu. Setiap MikroTik online melalui tunnel keluar ke control plane tanpa perlu menjaga kunci per perangkat, tanpa edit konfigurasi VPS, dan tanpa skrip yang harus dipelihara. Anda mendapatkan monitoring terpusat, akses jarak jauh yang aman, dan alur onboarding yang jauh lebih sederhana daripada membangun infrastruktur WireGuard sendiri.

Mulai uji coba gratis MKController