Lewati ke konten
MKController Blog
InstagramYouTubeFacebook

Tutorial

Konfigurasi VPN WireGuard di MikroTik

Konfigurasikan router MikroTik sebagai klien WireGuard dengan policy-based routing dan kill switch dalam lima langkah di RouterOS v7.

MKController5 min read

Ringkasan WireGuard berjalan secara native di router MikroTik mulai RouterOS v7 dan merupakan cara tercepat dan paling sederhana untuk mengirim perangkat LAN tertentu melalui tunnel VPN. Panduan ini mengonfigurasi MikroTik sebagai klien WireGuard, menambahkan policy-based routing agar hanya perangkat yang Anda pilih yang melewati tunnel, dan memasang blackhole route sebagai kill switch yang menjatuhkan trafik saat tunnel mati alih-alih membocorkannya melalui ISP.

Bagaimana WireGuard bekerja di MikroTik?

WireGuard adalah protokol VPN modern yang sudah disertakan secara native di RouterOS v7 — tanpa paket tambahan, tanpa container, tanpa modul kernel yang perlu dikompilasi. Di router MikroTik, Anda mengonfigurasi sebuah interface WireGuard, menetapkan IP tunnel dari penyedia VPN, menambahkan peer (server jarak jauh) lengkap dengan public key dan endpoint-nya, lalu memutuskan trafik lokal mana yang benar-benar melewati tunnel menggunakan policy-based routing.

Hasilnya adalah tunnel kriptografis yang cepat dan teruji, dengan performa jauh lebih baik dibanding OpenVPN atau L2TP/IPsec pada perangkat keras yang sama. Protokol ini dirancang dengan hanya beberapa ribu baris kode alih-alih puluhan ribu, sehingga lebih cepat dijalankan dan lebih mudah diverifikasi oleh peneliti keamanan.

Dapatkan kredensial WireGuard Anda

Sebelum membuka Winbox, kumpulkan konfigurasi dari penyedia VPN Anda (Proton VPN, Mullvad, NordVPN, atau server WireGuard yang Anda hosting sendiri). Anda memerlukan empat informasi:

  • Private Key: ditetapkan untuk interface MikroTik Anda. Portal penyedia biasanya memberi Anda file konfigurasi yang berisi kunci ini.
  • Public Key: milik server jarak jauh. MikroTik menggunakannya untuk mengautentikasi peer.
  • Alamat dan port Endpoint: IP atau hostname server dan port UDP tempat server mendengarkan (umumnya 51820).
  • Allowed IPs: biasanya 0.0.0.0/0 untuk full tunnel yang menangani semua trafik. Persempit jika Anda hanya ingin subnet tertentu yang melewati tunnel.
Konfigurasi interface WireGuard MikroTik di Winbox

Langkah 1: Buat interface WireGuard

Di Winbox, buka menu WireGuard dan klik + untuk menambahkan interface baru. Beri nama WG-Client, tempel Private Key dari penyedia, lalu klik OK — MikroTik akan menghasilkan public key yang sesuai secara otomatis. Di IP → Addresses, tambahkan IP yang ditetapkan penyedia untuk tunnel Anda (seperti 10.66.66.2/32).

Langkah 2: Konfigurasi peer

Peer adalah server jarak jauh yang Anda tuju. Di jendela WireGuard, beralih ke tab Peers dan tambahkan peer yang mengarah ke interface WG-Client:

  • Public Key: public key server.
  • Endpoint dan Endpoint Port: IP dan port UDP server.
  • Allowed IPs: 0.0.0.0/0. Ini mengizinkan semua trafik melewati tunnel — tetapi belum me-rute apapun. Routing terjadi di Langkah 4.
Menambahkan peer WireGuard di Winbox

Langkah 3: Policy-based routing (PBR)

Biasanya Anda tidak ingin seluruh LAN melewati VPN — hanya perangkat tertentu, seperti workstation yang perlu mengakses layanan yang dibatasi secara geografis atau server media yang menangani trafik sensitif privasi. MikroTik menyelesaikannya dengan aturan Mangle yang menandai paket, dan tabel routing yang bertindak berdasarkan tanda tersebut.

  1. Buka IP → Firewall → Mangle.
  2. Tambahkan aturan baru dengan Chain: prerouting.
  3. Atur Src. Address ke IP lokal perangkat yang ingin Anda tunelkan (misalnya 192.168.88.50).
  4. Atur Action ke mark routing.
  5. Atur New Routing Mark ke via-wireguard.
  6. Hapus centang “Pass Through” — tanpa ini, aturan setelahnya bisa menimpa tanda tersebut dan Anda akan kehilangan tunnel.
Aturan Mangle MikroTik menandai trafik untuk routing WireGuard

Langkah 4: Routing dan kill switch

Sekarang beri tahu router bahwa paket apapun yang ditandai via-wireguard harus melewati tunnel.

  1. Buka IP → Routes.
  2. Tambahkan route baru: Gateway: WG-Client, Routing Table: via-wireguard, Distance: 1.
  3. Tambahkan kill switch — tambahkan route kedua dengan Routing Table yang sama (via-wireguard), atur Type ke blackhole, dan beri Distance lebih tinggi (misalnya 10).

Blackhole route adalah bagian kritis. Jika tunnel WireGuard putus, route normal hilang, blackhole route mengambil alih, dan paket yang dicocokkan oleh aturan Mangle dijatuhkan secara diam-diam alih-alih kembali ke ISP — tanpa kebocoran DNS, tanpa kebocoran IP, tanpa trafik tidak terenkripsi keluar melalui WAN.

Tabel routing MikroTik dengan blackhole kill switch untuk WireGuard

Verifikasi tunnel

Dari perangkat yang Anda tandai untuk dilewatkan tunnel, buka situs seperti ifconfig.me atau whatismyip.com. Situs harus melaporkan IP server VPN, bukan IP ISP Anda. Lalu di MikroTik, jalankan:

/interface/wireguard/peers print stats

Peer yang berfungsi menunjukkan counter byte rx dan tx terkini yang bertambah saat Anda menghasilkan trafik. Jika counter byte tetap nol, penyebab paling umum adalah port endpoint yang salah atau hilang, atau firewall di WAN yang menjatuhkan UDP keluar.

Tips

  • Jaga agar distance kill switch lebih tinggi dari distance route aktif — jika Anda membaliknya secara tidak sengaja, blackhole akan menjadi rute utama dan semua trafik tertunneling dijatuhkan, bahkan ketika tunnel hidup.
  • Jika Anda mengelola beberapa perangkat MikroTik dari jarak jauh melalui tunnel yang sama, lihat panduan manajemen jarak jauh SSTP untuk protokol pelengkap, atau WireGuard untuk manajemen MikroTik jarak jauh untuk pola admin jarak jauh lengkap.
  • WireGuard tidak mencoba ulang handshake secara agresif saat endpoint tidak terjangkau; jika penyedia VPN Anda merotasi server, rencanakan untuk merotasi juga konfigurasi endpoint.

Ambil langkah berikutnya

WireGuard pada satu MikroTik memakan waktu dua puluh menit. Mempertahankan konfigurasi yang sama — kunci yang sama dirotasi sesuai jadwal, aturan kill switch yang sama, tanda Mangle yang sama — di seluruh armada lokasi, di situlah disiplin operasional berperan. Penyimpangan mulai muncul: seorang engineer mengubah aturan Mangle untuk satu pelanggan, sebuah router direset dan kill switch hilang, rotasi kunci melewatkan satu perangkat.

MKController mendorong konfigurasi WireGuard, Mangle, dan routing yang sama ke setiap MikroTik di inventaris Anda dan menyoroti perangkat yang menyimpang dari template. Saat tunnel putus atau kill switch hilang di lokasi pelanggan, dashboard menandainya sebelum pelanggan menyadari.

Mulai uji coba MKController gratis Anda