// IP ADDRESS ANDA SAAT INI
Mengambil informasi koneksi…
Cek Ping & Port Setelah Tunnel Aktif →

Skenarionya umum: ada aplikasi internal — sistem informasi, dashboard, ERP, atau aplikasi HR — yang jalan di kantor pusat (Kantor B) dan tidak boleh diekspos ke internet. Tapi beberapa PC di kantor cabang / mitra (Kantor A) perlu mengaksesnya. Solusi yang benar: IPsec site-to-site — tunnel terenkripsi antar-router yang menyambung kedua jaringan seolah satu LAN, tanpa membuka aplikasi ke publik. Artikel ini memakai MikroTik di kedua sisi (RouterOS v7, IKEv2), lengkap dengan config, verifikasi, dan jebakan yang paling sering bikin gagal.

IPsec Site-to-Site MikroTik: PC Kantor A Akses Aplikasi Internal Kantor B
Ilustrasi: IPsec Site-to-Site MikroTik: PC Kantor A Akses Aplikasi Internal Kantor B
Semua IP di artikel ini memakai rentang dokumentasi (RFC 5737 & RFC 1918) — ganti dengan IP aslimu. Tunnel ini sudah teruji di lapangan; angka-angkanya disamarkan, tekniknya nyata.

Apa Itu IPsec Site-to-Site & Kapan Dipakai

IPsec site-to-site menghubungkan dua jaringan lewat tunnel terenkripsi di level router — beda dengan VPN remote access (L2TP/WireGuard client) yang menyambungkan satu perangkat. Dengan site-to-site, PC di Kantor A cukup ping/akses IP internal Kantor B seperti biasa; routernya yang mengurus enkripsi di belakang layar. Pengguna tak perlu instal apa pun.

Kapan kamu butuh ini: akses aplikasi internal antar-kantor · gabungkan LAN dua lokasi · akses server/NAS pusat dari cabang · integrasi sistem dengan mitra — semuanya tanpa mengekspos layanan ke internet.

Topologi & Parameter IPsec

Contoh topologi dua kantor. Kantor A punya PC yang perlu akses; Kantor B punya aplikasi internal:

Topologi IPsec Site-to-Site (MikroTik ke MikroTik)
IPsec Site-to-Site — MikroTik ↔ MikroTik PC di Kantor A mengakses aplikasi internal Kantor B, aman tanpa ekspos ke internet KANTOR A · CABANG PC di kantor cabang. Cukup akses IP aplikasi seperti biasa — router yang mengurus enkripsi di belakang layar. Pengguna tak perlu instal apa pun. PC Cabang 10.10.10.21 Router MikroTik sisi cabang (inisiator tunnel). IP publiknya menjadi alamat peer yang dituju router Kantor B. MikroTik A 203.0.113.1 IP publik · inisiator Internet publik. Data melintas di sini TAPI sudah terenkripsi penuh oleh IPsec — tak bisa dibaca atau diubah siapa pun di tengah jalan. Internet IPsec IKEv2 · AES-256 · SHA-256 DH group 14 · PFS · Pre-Shared Key Tunnel IPsec: semua trafik antara kedua kantor dienkripsi AES-256. Aplikasi internal tak pernah terekspos ke internet. ▶ trafik terenkripsi KANTOR B · PUSAT Router MikroTik sisi pusat (responder). Konfigurasinya cermin dari Kantor A: parameter sama, tapi src-address dan dst-address ditukar. MikroTik B 198.51.100.1 IP publik · responder Aplikasi internal (sistem informasi, dashboard, ERP, dll) yang hanya boleh diakses dari dalam jaringan — kini bisa dijangkau PC Kantor A lewat tunnel. Aplikasi Internal 10.20.20.40 Gratis untuk keperluan pendidikan — Lisensi CC-BY-SA 4.0. Cantumkan sumber. cekipsaya.com

Arahkan kursor (atau sentuh) tiap perangkat untuk penjelasan singkat. Garis hijau putus-putus = tunnel IPsec terenkripsi; aplikasi internal Kantor B tak pernah terekspos ke internet.

Gratis untuk keperluan pendidikan — Lisensi CC-BY-SA 4.0. Cantumkan cekipsaya.com sebagai sumber.

Kantor A (cabang) Kantor B (pusat)
IP publik router 203.0.113.1 198.51.100.1
LAN internal 10.10.10.0/24 10.20.20.0/24
Yang diakses PC: 10.10.10.21 Aplikasi: 10.20.20.40
Peran Inisiator Responder

Parameter kriptografi harus identik di kedua sisi. Ini set yang aman dan didukung luas (setara yang dipakai integrasi enterprise):

Fase Enkripsi Integrity DH / PFS Lifetime
Phase 1 (IKEv2) AES-256 SHA-256 Group 14 (modp2048) 24 jam
Phase 2 (ESP) AES-256-CBC SHA-256 PFS Group 14 8 jam
Kalau satu parameter saja berbeda antar sisi (mis. hash SHA-1 vs SHA-256, atau DH group beda), Phase 2 tak akan terbentuk — inilah penyebab klasik error "no phase 2". Cocokkan persis.

Config MikroTik Sisi Kantor A (Inisiator)

RouterOS v7. Buat profile (Phase 1) dan proposal (Phase 2), lalu peer, identity (PSK), dan policy yang menentukan trafik mana yang masuk tunnel:

MikroTik Kantor A — RouterOS v7
# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, security headers & more.
# ══════════════════════════════════════════
# --- Phase 1 (IKE) ---
/ip ipsec profile
add name=ike2-prof hash-algorithm=sha256 enc-algorithm=aes-256 \
    dh-group=modp2048 lifetime=1d

# --- Phase 2 (ESP) ---
/ip ipsec proposal
add name=ike2-prop auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
    pfs-group=modp2048 lifetime=8h

# --- Peer: IP publik router Kantor B ---
/ip ipsec peer
add name=peer-kantor-b address=198.51.100.1/32 \
    exchange-mode=ike2 profile=ike2-prof

# --- Identity: Pre-Shared Key (JANGAN pakai contoh ini) ---
/ip ipsec identity
add peer=peer-kantor-b auth-method=pre-shared-key \
    secret="<PSK-RAHASIA-MIN-24-KARAKTER-ACAK>"

# --- Policy: LAN A  ->  LAN B (encryption domain) ---
/ip ipsec policy
add peer=peer-kantor-b tunnel=yes \
    src-address=10.10.10.0/24 dst-address=10.20.20.0/24 \
    proposal=ike2-prop action=encrypt
Langkah yang paling sering kelupaan — bypass NAT. Tanpa ini, trafik ke Kantor B ikut ter-NAT dan tak pernah masuk tunnel (tunnel up tapi trafik nol). Tambahkan rule ini di atas rule masquerade-mu:
MikroTik Kantor A — bypass NAT + izinkan forward
# --- Bypass NAT untuk trafik tunnel (WAJIB, taruh paling atas) ---
/ip firewall nat
add chain=srcnat action=accept place-before=0 \
    src-address=10.10.10.0/24 dst-address=10.20.20.0/24 \
    comment="Bypass NAT IPsec ke Kantor B"

# --- Izinkan forward dua arah ---
/ip firewall filter
add chain=forward action=accept \
    src-address=10.10.10.0/24 dst-address=10.20.20.0/24 \
    comment="IPsec: A -> B"
add chain=forward action=accept \
    src-address=10.20.20.0/24 dst-address=10.10.10.0/24 \
    comment="IPsec: B -> A"

Config MikroTik Sisi Kantor B (Responder)

Sisi Kantor B persis cermin dari Kantor A: parameter sama, tapi src-address dan dst-address ditukar, dan peer mengarah ke IP publik Kantor A. PSK harus sama persis.

MikroTik Kantor B — RouterOS v7 (mirror)
# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# ══════════════════════════════════════════
/ip ipsec profile
add name=ike2-prof hash-algorithm=sha256 enc-algorithm=aes-256 \
    dh-group=modp2048 lifetime=1d

/ip ipsec proposal
add name=ike2-prop auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
    pfs-group=modp2048 lifetime=8h

# --- Peer mengarah ke IP publik Kantor A ---
/ip ipsec peer
add name=peer-kantor-a address=203.0.113.1/32 \
    exchange-mode=ike2 profile=ike2-prof

/ip ipsec identity
add peer=peer-kantor-a auth-method=pre-shared-key \
    secret="<PSK-RAHASIA-SAMA-PERSIS-DENGAN-A>"

# --- Policy: src/dst DITUKAR dari sisi A ---
/ip ipsec policy
add peer=peer-kantor-a tunnel=yes \
    src-address=10.20.20.0/24 dst-address=10.10.10.0/24 \
    proposal=ike2-prop action=encrypt

# --- Bypass NAT + forward (arah ditukar) ---
/ip firewall nat
add chain=srcnat action=accept place-before=0 \
    src-address=10.20.20.0/24 dst-address=10.10.10.0/24 \
    comment="Bypass NAT IPsec ke Kantor A"

Membatasi ke PC / Aplikasi Tertentu (Lebih Aman)

Contoh di atas menyambung seluruh subnet. Untuk keamanan lebih ketat — mis. hanya 2 PC tertentu boleh akses 1 aplikasi tertentu — persempit policy ke host spesifik (/32) di kedua sisi. Ini pola yang dipakai saat pihak tujuan hanya mengizinkan daftar host tertentu (whitelist):

Policy dipersempit ke host /32 (mirror di kedua sisi)
# Sisi Kantor A — hanya 2 PC boleh akses 1 aplikasi:
/ip ipsec policy
add peer=peer-kantor-b tunnel=yes proposal=ike2-prop action=encrypt \
    src-address=10.10.10.21/32 dst-address=10.20.20.40/32
add peer=peer-kantor-b tunnel=yes proposal=ike2-prop action=encrypt \
    src-address=10.10.10.22/32 dst-address=10.20.20.40/32

# Sisi Kantor B — mirror terbalik (src/dst ditukar):
#   src-address=10.20.20.40/32 dst-address=10.10.10.21/32  ... dst-address=10.10.10.22/32
Pakai /32 berarti tiap policy harus mirror persis di kedua sisi. Menambah 1 PC = update kedua router. Lebih aman, tapi lebih banyak koordinasi — trade-off yang wajar untuk aplikasi sensitif.

Verifikasi Tunnel Lapis demi Lapis

Jangan langsung tes aplikasi. Verifikasi berlapis supaya tahu persis di mana masalahnya kalau gagal:

CEK 1
Phase 1 established — Jalankan /ip ipsec active-peers print — status harus established. Kalau kosong: cek IP publik peer, PSK, dan parameter Phase 1.
CEK 2
Phase 2 (SA) mature — Jalankan /ip ipsec installed-sa print — harus ada SA mature dan angka bytes naik saat ada trafik. Kalau "no phase 2": proposal/policy tak cocok.
CEK 3
Ping dari PC (bukan dari router) — Dari PC di Kantor A: ping 10.20.20.40. Wajib dari PC yang masuk encryption domain — bukan dari router (router punya src-address beda). Balasan = jaringan tembus.
CEK 4
Cek port aplikasi — Dari PC: Test-NetConnection 10.20.20.40 -Port 443 (PowerShell). Kalau ping jalan tapi ini gagal — lompat ke bagian troubleshooting di bawah.

Perintah bantu di MikroTik untuk melihat trafik nyata melintasi tunnel:

MikroTik — pantau trafik tunnel
/ip ipsec active-peers print          ;# Phase 1: established?
/ip ipsec installed-sa print          ;# Phase 2: mature? bytes naik?
/ip ipsec policy print stats          ;# counter ph2-state, in/out bytes
/tool torch src-address=10.10.10.0/24 dst-address=10.20.20.0/24  ;# lihat paket real-time

Troubleshooting: "No Phase 2" & "Ping Jalan tapi Aplikasi Tak Kebuka"

Dua kegagalan paling sering — dan keduanya bukan soal "IPsec-nya rusak":

Phase 1 up, tapi "no phase 2"

Penyebab #1: proposal Phase 2 tak cocok (enc/hash/PFS beda antar sisi). Penyebab #2: policy src/dst tak mirror terbalik — subnet di sisi A harus jadi dst di sisi B, dan sebaliknya. Cocokkan sampai identik.

Tunnel up, tapi trafik nol

Hampir selalu NAT belum di-bypass. Trafik ke subnet tujuan ter-masquerade sebelum sempat masuk policy IPsec. Pastikan rule accept bypass NAT ada di atas masquerade.

Ping sukses, tapi aplikasi/port tak kebuka

Ini bukan masalah tunnel — jaringan sudah tembus (ping bukti). Cek 3 hal di sisi tujuan: (1) firewall di Kantor B belum meng-allow port aplikasi dari subnet Kantor A, (2) aplikasi belum listening di port yang kamu kira, atau (3) port aplikasi bukan yang kamu tebak. Uji Test-NetConnection ke port 80 / 8080 / 8443 untuk menemukan yang benar.

Sesekali putus lalu nyambung sendiri

Lifetime Phase 2 habis lalu re-key. Normal. Kalau sering putus lama: pastikan PFS group sama dan tak ada perangkat di tengah yang memblok UDP 500/4500 (NAT-T).

Alur diagnosa singkat: Phase 1 → Phase 2 → ping → port. Berhenti di lapis pertama yang gagal — jangan lompat ke aplikasi kalau ping saja belum tembus. Pakai ping test dan cek port untuk memisahkan "jaringan" dari "aplikasi".

Studi Kasus: Kalau Sisi Seberang Bukan MikroTik (Palo Alto / FortiGate)

Dalam praktik, sisi lawan sering memakai firewall enterprise seperti Palo Alto atau FortiGate — dan di sinilah banyak integrasi tersendat. MikroTik memakai model policy-based (policy = encryption domain), sedangkan Palo Alto lazimnya route-based dengan Proxy-ID. Keduanya bisa nyambung, asal Proxy-ID di sisi enterprise mirror persis dengan src-address/dst-address policy MikroTik.

Poin interoperabilitas yang menyelamatkan berjam-jam debugging: kalau kamu pakai policy /32 (host spesifik) di MikroTik, maka tiap pasangan harus punya Proxy-ID sendiri di sisi Palo Alto/FortiGate. Ketidakcocokan Proxy-ID = "no phase 2" walau Phase 1 sudah established. Selebihnya (IKEv2, AES-256, SHA-256, DH14) sama persis — parameter itu netral-vendor.

Prinsipnya tetap sama: encryption domain kedua sisi harus cocok. Nama teknisnya beda (MikroTik: policy src/dst · Palo Alto: Proxy-ID · FortiGate: phase2 selectors), tapi maknanya identik — "subnet/host mana yang boleh lewat tunnel".

FAQ — Pertanyaan yang Sering Ditanyakan

IPsec site-to-site menghubungkan dua jaringan di level router — semua PC di satu sisi otomatis bisa akses sisi lain tanpa instal apa pun. L2TP dan WireGuard client lebih untuk remote access (satu perangkat konek ke jaringan). Untuk menyambung kantor-ke-kantor secara permanen, site-to-site (IPsec atau WireGuard site-to-site) yang tepat.
Dua penyebab utama: (1) proposal Phase 2 tak cocok antar sisi — enkripsi, hash, atau PFS group berbeda; (2) policy tidak mirror — src-address di satu sisi harus jadi dst-address di sisi lain, dan sebaliknya. Samakan proposal persis dan pastikan subnet policy saling terbalik.
Kalau ping sudah tembus, jaringan dan tunnel-nya sehat — masalahnya di lapisan aplikasi, bukan IPsec. Cek di sisi tujuan: firewall belum meng-allow port aplikasi dari subnet asal, aplikasi belum listening di port yang diharapkan, atau port-nya beda dari yang dikira. Tes koneksi ke beberapa port umum (80, 443, 8080, 8443) untuk menemukan yang benar.
Hampir selalu karena NAT belum di-bypass. Trafik menuju subnet tujuan ikut ter-masquerade sebelum masuk policy IPsec, sehingga tidak pernah terenkripsi. Tambahkan rule firewall NAT action=accept untuk pasangan subnet tunnel, dan letakkan di atas rule masquerade.
Minimal 24 karakter acak dengan campuran huruf besar-kecil, angka, dan simbol. PSK pendek (misalnya 12 karakter alfanumerik) rentan brute force. Simpan PSK di tempat aman (password manager atau vault), jangan menaruhnya di dokumen yang dibagikan, dan ganti berkala.
Bisa. Parameter kriptografinya netral-vendor (IKEv2, AES-256, SHA-256, DH group 14). Yang perlu diperhatikan: MikroTik memakai model policy-based, sedangkan Palo Alto/FortiGate lazimnya route-based dengan Proxy-ID. Pastikan Proxy-ID di sisi enterprise cocok persis dengan src-address/dst-address policy MikroTik — ketidakcocokan ini penyebab paling umum Phase 2 gagal antar-vendor.

Kesimpulan

IPsec site-to-site MikroTik itu bukan sihir: cocokkan Phase 1 & Phase 2 di kedua sisi, mirror src-address/dst-address secara terbalik, dan JANGAN lupa bypass NAT untuk trafik tunnel. Kalau tunnel established tapi aplikasi belum kebuka, hampir selalu itu soal firewall/port di sisi tujuan — bukan tunnelnya. Verifikasi tiap lapis dengan ping lalu cek port, dan kamu punya jalur antar-kantor yang aman tanpa mengekspos aplikasi internal ke internet.

COBA SEKARANG
Cek Ping & Port Setelah Tunnel Aktif
→ Cek Ping & Port Setelah Tunnel Aktif
// ARTIKEL INI MEMBANTU?

Share ke teman yang butuh info ini: