Wireguard

Setting WireGuard di MikroTik dan Windows Client

Leave a Comment / By /

Dunia jaringan telah berkembang pesat, dan kebutuhan akan koneksi yang aman dan cepat menjadi prioritas utama. Virtual Private Network (VPN) adalah solusi populer untuk tujuan ini, memungkinkan Anda membuat koneksi aman melalui jaringan yang tidak aman seperti internet. Di antara berbagai protokol VPN yang tersedia, WireGuard telah muncul sebagai pilihan revolusioner.

WireGuard menonjol karena kesederhanaan, kecepatan, dan keamanannya yang tinggi. Didesain dengan filosofi “less is more”, WireGuard memiliki basis kode yang jauh lebih kecil dibandingkan protokol lain seperti OpenVPN atau IPsec, membuatnya lebih mudah diaudit, lebih sedikit bug, dan sangat cepat. Kecepatannya membuatnya ideal untuk berbagai kasus penggunaan, mulai dari akses remote ke jaringan kantor hingga mengamankan lalu lintas internet pribadi Anda saat bepergian.

Dalam artikel ini, kita akan membahas secara mendalam cara mengatur WireGuard di perangkat MikroTik Anda sebagai server, dan mengkonfigurasinya agar dapat diakses oleh client Windows. Panduan ini dirancang khusus untuk pemula, dengan langkah-langkah yang jelas, contoh perintah, dan tips praktis agar Anda dapat membangun VPN WireGuard pertama Anda dengan percaya diri.

Penjelasan Konsep Utama

Apa Itu VPN?

VPN, atau Virtual Private Network, adalah teknologi yang menciptakan “terowongan” aman dan terenkripsi di atas jaringan publik. Ini memungkinkan Anda untuk mengirim dan menerima data seolah-olah perangkat Anda terhubung langsung ke jaringan pribadi, meskipun Anda mungkin berada di lokasi fisik yang berbeda. Fungsi utama VPN adalah menyediakan privasi dan keamanan data.

Mengenal WireGuard

WireGuard adalah protokol VPN modern dan berkinerja tinggi yang dirancang untuk menjadi lebih sederhana, lebih cepat, dan lebih aman daripada protokol VPN yang ada. Berikut adalah beberapa karakteristik utamanya:

  • Sederhana: Dengan basis kode yang minimal (sekitar 4.000 baris kode), WireGuard jauh lebih mudah diaudit dan diimplementasikan.
  • Cepat: Dibangun di atas kernel Linux, WireGuard menawarkan throughput yang sangat tinggi dan latency yang rendah, seringkali mengungguli OpenVPN dan IPsec.
  • Aman: Menggunakan kriptografi modern yang telah diaudit secara ekstensif, seperti ChaCha20 untuk enkripsi simetris, Poly1305 untuk autentikasi, dan Curve25519 untuk pertukaran kunci.
  • UDP-based: WireGuard beroperasi di atas UDP, yang umumnya lebih cepat dan efisien dibandingkan TCP untuk lalu lintas VPN.

Terminologi Penting WireGuard

  • Private Key (Kunci Pribadi): Sebuah string unik yang sangat rahasia, hanya boleh diketahui oleh perangkat pemiliknya. Digunakan untuk mendekripsi lalu lintas.
  • Public Key (Kunci Publik): Dihasilkan dari Private Key. Ini adalah “identitas” yang dapat dibagikan secara publik untuk memungkinkan perangkat lain mengidentifikasi dan berkomunikasi secara aman.
  • Interface (Antarmuka): Sebuah antarmuka jaringan virtual yang dibuat oleh WireGuard, di mana lalu lintas VPN mengalir.
  • Peer (Rekan): Setiap perangkat lain yang ingin berkomunikasi melalui terowongan WireGuard. Setiap peer memiliki kunci publiknya sendiri.
  • Endpoint: Alamat IP publik dan port dari peer yang berlawanan. Ini memberi tahu client di mana server WireGuard berada.
  • AllowedIPs: Daftar alamat IP atau subnet yang diizinkan untuk dikirim ke peer tertentu atau yang diharapkan dari peer tertentu. Ini penting untuk routing lalu lintas.
  • ListenPort: Port UDP tempat antarmuka WireGuard mendengarkan koneksi masuk.

Pembahasan Mendalam

Mengapa Memilih WireGuard di MikroTik?

MikroTik RouterOS telah mendukung WireGuard sejak versi 7.x, menjadikannya pilihan yang sangat baik untuk router yang serbaguna ini. Beberapa alasan mengapa kombinasi ini populer:

  • Performa Unggul: Pada banyak perangkat MikroTik, WireGuard menunjukkan performa yang jauh lebih baik (throughput dan latency) dibandingkan OpenVPN atau IPsec, terutama pada model dengan hardware yang kurang bertenaga.
  • Konfigurasi Sederhana: Proses setup WireGuard di RouterOS relatif lebih mudah dan cepat daripada protokol VPN lain yang lebih kompleks.
  • Integrasi RouterOS: WireGuard terintegrasi langsung dengan fitur RouterOS lainnya seperti Firewall, QoS, dan Routing, memungkinkan kontrol penuh atas lalu lintas VPN.

Struktur Jaringan yang Akan Kita Bangun

Kita akan mengkonfigurasi perangkat MikroTik sebagai server WireGuard dan komputer Windows sebagai client. Asumsi topologi dasar adalah:

  • MikroTik Router (Server): Terhubung ke internet dengan alamat IP publik (atau melalui NAT dengan port forwarding). Router ini akan berfungsi sebagai gerbang untuk client WireGuard ke jaringan lokal di belakang MikroTik atau ke internet.
  • Windows PC (Client): Terhubung ke internet dari lokasi mana pun. PC ini akan membuat koneksi WireGuard ke MikroTik untuk mengakses sumber daya seolah-olah berada di jaringan lokal MikroTik.

Prasyarat

Sebelum memulai, pastikan Anda memiliki prasyarat berikut:

  • Perangkat MikroTik: Router MikroTik dengan RouterOS versi 7.x atau yang lebih baru. Pastikan sistem Anda telah diperbarui.
  • Akses Internet: Koneksi internet aktif untuk MikroTik dan client Windows.
  • Akses ke MikroTik: Anda harus bisa mengakses MikroTik Anda melalui WinBox atau SSH/WebFig.
  • Komputer Windows: PC atau laptop dengan sistem operasi Windows 10/11.
  • IP Publik/Port Forwarding: Jika MikroTik Anda berada di belakang NAT (misalnya, router ISP), pastikan Anda melakukan port forwarding pada port WireGuard (defaultnya UDP 51820) ke alamat IP lokal MikroTik Anda. Jika Anda memiliki IP publik langsung, itu akan lebih mudah.

Langkah-Langkah atau Implementasi Praktis

Bagian 1: Konfigurasi WireGuard Server di MikroTik

Pastikan RouterOS Anda sudah versi 7.x atau lebih baru. Anda bisa memeriksanya dengan:

/system package update check-for-updates
/system package update install
/system reboot

Setelah reboot, pastikan RouterOS Anda sudah yang terbaru.

1.1. Membuat Interface WireGuard

Tambahkan interface WireGuard baru dengan menekan tombol New

Kemudian akan tampil seperti ini, tekan tombol Apply

Setelah menekan tombol Apply, maka secara otomatis akan menghasilkan Private dan Public Key. Silahkan save key tersebut untuk digunakan pada tahap selanjutnya.

1.2. Memberikan Alamat IP ke Interface WireGuard

Kita akan memberikan alamat IP dari subnet khusus untuk tunnel WireGuard. Misalnya, 10.10.10.1/24

1.3. Mengkonfigurasi Firewall ( Input)

Kita perlu membuat aturan firewall agar lalu lintas dari client WireGuard bisa melewati MikroTik dan MikroTik menerima koneksi WireGuard.

Input Rule (Mengizinkan Koneksi WireGuard):

/ip firewall filter add chain=input proto=udp dst-port=1764 action=accept comment="Allow WireGuard VPN"

Input Rule (mengizinkan Client connect ke Winbox)

/ip firewall filter add chain=input proto=tcp dst-port=[diisi port iwnbox] action=accept comment="Allow WireGuard Client to Winbox"

Bagian 2: Konfigurasi WireGuard Client di Windows

2.1. Unduh dan Instal Aplikasi WireGuard

Kunjungi situs resmi WireGuard (wireguard.com) dan unduh installer untuk Windows.

  • Buka browser Anda dan kunjungi wireguard.com/install/
  • Unduh installer “Windows”.
  • Jalankan installer dan ikuti langkah-langkahnya.
2.2. Membuat Konfigurasi Client Baru
  • Buka aplikasi WireGuard di Windows.
  • Klik “Add Tunnel” lalu pilih “Add empty tunnel”. Isikan Name nya.
  • Public Key ini akan digunakan untuk membuat Peer di Mikrotik
2.3. Mengisi Detail Konfigurasi Client

Halaman konfigurasi akan terbuka dengan PrivateKey yang sudah terisi. Isi bagian lainnya seperti berikut:

[Interface]
PrivateKey = [PRIVATE_KEY_WINDOWS_CLIENT]
Address = 10.10.10.2/32
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = [PUBLIC_KEY_MIKROTIK_SERVER]
Endpoint = [ALAMAT_IP_PUBLIK_MIKROTIK_ATAU_DOMAIN]:1764
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 10

Penjelasan:

  • PrivateKey: Private key client Windows Anda (sudah terisi otomatis).
  • Address: Alamat IP yang akan digunakan client Windows dalam tunnel WireGuard. Harus unik dalam subnet 10.10.10.0/24 yang kita gunakan, dan sesuai dengan allowed-address di peer MikroTik.
  • DNS: Server DNS yang akan digunakan saat terhubung VPN (misalnya Google DNS).
  • PublicKey: Public key server MikroTik Anda (dapatkan dari langkah 1.1).
  • Endpoint: Alamat IP publik atau nama domain dari MikroTik Router Anda, diikuti dengan port WireGuard (51820).
  • AllowedIPs: 0.0.0.0/0 berarti semua lalu lintas dari client akan dirutekan melalui terowongan WireGuard. Jika Anda hanya ingin mengakses jaringan lokal MikroTik, Anda bisa mengaturnya ke 10.10.10.0/24, [Jaringan_Lokal_Mikrotik_Anda]/24.
  • PersistentKeepalive: Mengirim paket keep-alive setiap 10 detik. Ini berguna jika client berada di belakang NAT yang agresif untuk menjaga koneksi tetap hidup.
  • Contoh hasil akhir nya adalah sebagai berikut :
2.4. Menyimpan dan Mengaktifkan Terowongan
  • Setelah mengisi semua detail, klik “Save” (Simpan) di aplikasi WireGuard.
  • Beri nama tunnel Anda (misalnya “Wireguard Tunnel”).
2.5 Menambahkan Peer pada Mikrotik

Yang diisi cukup yang diberi kotak merah di bawah ini.
Public Key diisi dengan Public Key yang ada di Client Windows di atas, begitu pula dengan Allowed Address

Bagian 3: Pengujian dan Verifikasi

Activekan Tunnel WireGuard di Windows dengan menekan tombol Activate

Cek Status: Di aplikasi WireGuard Windows, Anda akan melihat status “Active”. Dapat dilihat juga bagian Peer nya untuk Latest HandShake dan Transfer nya

Ping ke MikroTik: Buka Command Prompt di Windows dan coba ping ke alamat IP interface WireGuard di MikroTik (10.10.10.1).

Jika berhasil, koneksi dasar sudah terbentuk.

Cek Akses Internet: Jika AllowedIPs Anda di client adalah 0.0.0.0/0, coba buka browser dan kunjungi situs web seperti “what is my ip”. Alamat IP yang terlihat seharusnya adalah alamat IP publik dari MikroTik Router Anda.

Akses Sumber Daya Lokal: Coba akses perangkat lain di jaringan lokal MikroTik Anda (misalnya, server internal, printer) menggunakan alamat IP lokalnya.

Tips dan Best Practice

  • Pembaruan RouterOS: Selalu pastikan RouterOS Anda adalah versi terbaru. WireGuard terus diperbarui dan peningkatan performa serta stabilitas sering disertakan dalam pembaruan.
  • Keamanan Kunci: Private key adalah rahasia mutlak. Jangan pernah membagikannya atau menyimpannya di lokasi yang tidak aman. Jika private key bocor, segera ganti semua kunci dan konfigurasi yang terpengaruh.
  • Firewall yang Tepat: Jangan lupa mengkonfigurasi firewall MikroTik dengan benar. Selain mengizinkan port WireGuard, pastikan Anda juga memiliki aturan input dan forward yang aman untuk jaringan Anda.
  • AllowedIPs yang Tepat:
    • Untuk client yang ingin merutekan semua lalu lintas melalui VPN (full tunnel), gunakan 0.0.0.0/0.
    • Untuk client yang hanya ingin mengakses jaringan lokal tertentu melalui VPN (split tunnel), gunakan subnet yang spesifik (misalnya, 192.168.1.0/24 untuk jaringan lokal Anda). Ini menghemat bandwidth dan overhead.
  • PersistentKeepalive: Gunakan PersistentKeepalive di konfigurasi client (misalnya, 25 detik). Ini membantu menjaga koneksi tetap hidup, terutama jika client berada di belakang NAT yang cenderung menutup koneksi UDP yang tidak aktif.
  • DNS Server: Di konfigurasi client, pastikan Anda menyertakan server DNS yang valid, seperti DNS publik (8.8.8.8) atau DNS server internal di jaringan MikroTik Anda jika Anda ingin mengakses host internal dengan nama.
  • Penamaan Interface/Peer: Gunakan nama yang deskriptif untuk interface dan peer WireGuard Anda di MikroTik (misalnya, wireguard-vpn, client-windows-andi) untuk memudahkan manajemen.
  • Monitor Koneksi: Secara berkala periksa status peer di MikroTik (/interface wireguard peers print detail) untuk memastikan koneksi aktif dan lalu lintas berjalan.

Kesimpulan

Selamat! Anda telah berhasil mengkonfigurasi WireGuard VPN di MikroTik sebagai server dan client Windows. Anda kini memiliki koneksi VPN yang cepat, aman, dan efisien, memungkinkan Anda untuk mengakses sumber daya jaringan Anda dari mana saja dengan aman. WireGuard, dengan desainnya yang minimalis namun bertenaga, adalah pilihan yang sangat baik untuk kebutuhan VPN modern. Dengan pemahaman dasar ini, Anda dapat mulai menjelajahi konfigurasi yang lebih kompleks atau menambahkan lebih banyak client sesuai kebutuhan Anda. Tetaplah bereksperimen dan jaga jaringan Anda tetap aman!

Leave a Comment

Your email address will not be published. Required fields are marked *