OpenVPN Full Tunnel di Linux

Q: Kenapa file config harus ekstensi .conf bukan .ovpn di Linux?

Konvensi systemd service template openvpn-client@.service di Linux. Service akan otomatis pickup file <name>.conf di /etc/openvpn/client/ berdasarkan parameter %i (instance name). Kalau pakai .ovpn , service tidak akan recognize. Konvensi ini standard sejak OpenVPN 2.4 + systemd integration. Solusi: rename kantor.ovpn jadi kantor.conf saat copy ke /etc/openvpn/client/ .

Linux + OpenVPN = kombinasi sysadmin paling fleksibel. Beda dengan Windows yang harus install GUI, atau Mac yang pakai Tunnelblick GUI, di Linux semua bisa di-script: install via package manager, edit config di /etc/openvpn/client/, jalankan via systemctl, monitoring dengan cron. Mau jadi always-on tunnel di server? Bikin systemd service. Mau auto-reconnect kalau koneksi putus? Tambah cron yang ping monitoring tiap 5 menit. Tutorial ini cover dari install dasar sampai bonus deployment pattern yang sering dipakai di production environment.

Asumsi server side: Tutorial ini fokus di sisi client Linux. Asumsinya kamu sudah punya: (1) file .ovpn dari admin kantor, (2) IP publik server kantor accessible, (3) cert client + private key embed di file .ovpn. Belum ada server side? Lihat OpenVPN Server di MikroTik.

Install OpenVPN per Distro

Linux modern (Ubuntu 20.04+, Debian 11+, Fedora 36+, Arch rolling) sudah include OpenVPN di repository default. Tidak perlu add custom repo atau compile manual.

Ubuntu / Debian

STEP 1 — Install OpenVPN Client di Ubuntu/Debian

# cekipsaya.com — install openvpn + tools pendukung
sudo apt update
sudo apt install openvpn openvpn-systemd-resolved -y

# Verify versi (harus 2.5+)
openvpn --version | head -1

Package openvpn-systemd-resolved wajib untuk handle DNS push dengan benar di systemd-resolved (default DNS resolver Ubuntu 18.04+). Tanpa ini, DNS leak risk tinggi.

Fedora / RHEL / CentOS / Rocky / Alma

STEP 1B — Install OpenVPN di Fedora/RHEL family

# cekipsaya.com — install via dnf (Fedora 22+, RHEL 8+, Rocky/Alma)
sudo dnf install openvpn -y

# Untuk EPEL repo di RHEL/Rocky/Alma kalau package tidak ada di base:
sudo dnf install epel-release -y
sudo dnf install openvpn -y

openvpn --version | head -1

RHEL/Rocky/Alma mungkin butuh enable EPEL untuk package OpenVPN versi terbaru. Fedora biasanya sudah include di base repo.

Arch / Manjaro / EndeavourOS

STEP 1C — Install OpenVPN di Arch family

# cekipsaya.com — install via pacman
sudo pacman -S openvpn --noconfirm

# Optional: GUI integration via NetworkManager (kalau pakai DE)
sudo pacman -S networkmanager-openvpn --noconfirm

openvpn --version | head -1

Arch rolling release biasanya punya OpenVPN versi paling baru. Kalau pakai desktop environment (GNOME/KDE), networkmanager-openvpn kasih GUI integration di network applet.

Setup Config & Certificate

Linux pakai konvensi /etc/openvpn/client/ untuk config client (sejak OpenVPN 2.4). Tutorial ini ikuti konvensi standard supaya systemd service bisa otomatis pickup config-nya.

STEP 2 — Place Config File ke /etc/openvpn/client/

# cekipsaya.com — copy file kantor.ovpn dari Downloads
# (atau dari channel yang aman dari admin)

sudo cp ~/Downloads/kantor.ovpn /etc/openvpn/client/kantor.conf

# Set permission ketat (file berisi private key!)
sudo chmod 600 /etc/openvpn/client/kantor.conf
sudo chown root:root /etc/openvpn/client/kantor.conf

Naming convention penting: File harus berakhiran .conf (bukan .ovpn) di folder /etc/openvpn/client/ supaya systemd service template bisa pickup. Naming kantor.conf nanti referenced sebagai openvpn-client@kantor.

Edit Config — Pastikan Full Tunnel Aktif

/etc/openvpn/client/kantor.conf — Directive Wajib

# cekipsaya.com — wajib ada di config untuk full tunnel di Linux
client
dev tun
proto tcp
remote 103.10.x.x 1194

redirect-gateway def1

remote-cert-tls server
cipher AES-256-CBC
auth SHA256
auth-user-pass

# DNS handling untuk Ubuntu/Debian dengan systemd-resolved:
script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre

verb 3

# (CA + cert + key embed di bawah)
<ca>...</ca>
<cert>...</cert>
<key>...</key>

redirect-gateway def1 = full tunnel. Block 4 baris up/down = handle DNS push lewat systemd-resolved (untuk Ubuntu/Debian). Untuk Arch/Fedora yang pakai NetworkManager atau resolvconf langsung, hapus block itu — DNS akan handle native.

Connect Manual via CLI (Test Dulu)

Sebelum bikin systemd service, test connect manual untuk pastikan config benar. Kalau ada error, lebih mudah debug di foreground daripada di background.

STEP 3 — Manual Connect via CLI

# cekipsaya.com — connect manual dengan output verbose
sudo openvpn --config /etc/openvpn/client/kantor.conf

# Output akan show handshake step real-time. Kalau muncul:
# "Initialization Sequence Completed" = SUCCESS
# Tekan Ctrl+C untuk disconnect.

Run di foreground supaya log langsung tampil di terminal. Kalau ada error TLS handshake, cipher mismatch, atau auth fail — akan muncul jelas di output.

STEP 4 — Verifikasi (di terminal terpisah)

# cekipsaya.com — buka terminal kedua sambil connection masih aktif

# Cek IP publik client
curl -s https://cekipsaya.com/api/?action=myip | grep -oE '"ip":"[^"]+'

# Cek default route (harus via tun0/utun)
ip route | grep default

# Cek DNS resolver (harus DNS push dari server)
resolvectl status | grep "Current DNS"

# Cek interface tun0 active
ip addr show tun0

IP publik harus IP kantor (103.10.x.x). Default route harus via tun0 (atau utun0 di kernel baru). Kalau masih via interface fisik (eth0/wlan0), tunnel split mode — cek redirect-gateway di config.

Bonus — systemd Service untuk Auto-Connect saat Boot

Linux modern (systemd-based: Ubuntu/Debian/Fedora/Arch/openSUSE) sudah include service template untuk OpenVPN client. Tinggal enable per-config. Pattern: openvpn-client@<config-name>.service.

STEP 5

Enable + Start Service — Service template [email protected] sudah ada bawaan package OpenVPN. Enable untuk auto-start saat boot, lalu start sekarang juga: sudo systemctl enable --now openvpn-client@kantor. Nama "kantor" = nama file kantor.conf di /etc/openvpn/client/.

STEP 6

Verifikasi Service Running — Cek status: sudo systemctl status openvpn-client@kantor. Output harus show "active (running)". Cek juga interface tun0 sudah up: ip addr show tun0.

STEP 7

Test Reboot Persistence — Reboot sistem: sudo reboot. Setelah login, cek lagi ip addr show tun0 — kalau interface auto-up tanpa intervensi manual, systemd service jalan benar. Tunnel sekarang permanent.

STEP 8

Stop / Disable Kalau Perlu — Stop sementara (sampai reboot): sudo systemctl stop openvpn-client@kantor. Disable auto-start saat boot: sudo systemctl disable openvpn-client@kantor. Untuk re-enable: sudo systemctl enable --now openvpn-client@kantor.

Multi-tunnel pattern: Bisa run beberapa tunnel sekaligus dengan config berbeda. Letakkan kantor.conf, vps.conf, backup.conf di /etc/openvpn/client/, lalu enable masing-masing: systemctl enable --now openvpn-client@kantor openvpn-client@vps. Tiap tunnel jalan independen.

Bonus — Cron Monitoring 24/7 dengan Auto-Reconnect

Real-world problem: tunnel kadang putus (network blip, server restart, ISP throttle). Default systemd akan retry beberapa kali, lalu give up. Solusi sysadmin: cron script yang ping check tiap 5 menit dan auto-restart kalau tunnel down.

STEP 9 — Script Monitoring + Auto-Reconnect

#!/bin/bash
# cekipsaya.com — /usr/local/bin/openvpn-monitor.sh
# Auto-restart OpenVPN kalau ping ke gateway tunnel fail

TUNNEL_GW="192.168.77.1"   # gateway dalam tunnel (sisi server)
SERVICE="openvpn-client@kantor"
LOG="/var/log/openvpn-monitor.log"

if ping -c 3 -W 2 -I tun0 "$TUNNEL_GW" > /dev/null 2>&1; then
    # Tunnel sehat — log ringkas
    echo "$(date '+%Y-%m-%d %H:%M:%S') OK" >> "$LOG"
else
    # Tunnel down — restart service
    echo "$(date '+%Y-%m-%d %H:%M:%S') DOWN — restarting $SERVICE" >> "$LOG"
    systemctl restart "$SERVICE"
    sleep 10
    # Verify after restart
    if ping -c 3 -W 2 -I tun0 "$TUNNEL_GW" > /dev/null 2>&1; then
        echo "$(date '+%Y-%m-%d %H:%M:%S') RECOVERED" >> "$LOG"
    else
        echo "$(date '+%Y-%m-%d %H:%M:%S') RESTART FAILED" >> "$LOG"
    fi
fi

Script ping ke gateway tunnel via interface tun0. Kalau fail = tunnel down → restart service. Log ke /var/log/openvpn-monitor.log untuk audit trail.

STEP 10 — Schedule via Cron

# cekipsaya.com — install + schedule monitoring
sudo mv openvpn-monitor.sh /usr/local/bin/
sudo chmod +x /usr/local/bin/openvpn-monitor.sh

# Edit root crontab
sudo crontab -e

# Tambah line ini (cek tiap 5 menit):
*/5 * * * * /usr/local/bin/openvpn-monitor.sh

# Verify cron aktif:
sudo crontab -l | grep openvpn

Interval 5 menit balance antara responsif (bukan 30 menit yang lama) dan tidak boros (bukan 30 detik yang spam). Adjust sesuai SLA — server mission-critical bisa pakai 1 menit, workstation casual 15 menit.

Pro pattern: Kombinasi systemd Restart=on-failure + cron monitoring = double-layer protection. systemd handle process crash internal, cron handle network-level connectivity. Bareng-bareng = uptime tunnel mendekati 100% bahkan di koneksi tidak stable.

Troubleshooting Linux

Gejala	Kemungkinan Penyebab	Cara Fix
Service "openvpn-client@kantor" gagal start	Config file tidak ditemukan atau permission salah	Cek `ls -la /etc/openvpn/client/kantor.conf`. Permission harus 600, owner root
"TLS handshake failed"	Cipher/auth mismatch atau cert expired	Bandingkan setting di .conf dengan server. Cek expired: `openssl x509 -in cert -text -noout \| grep "Not After"`
DNS resolution gagal setelah connect	systemd-resolved tidak handle DNS push	Install `openvpn-systemd-resolved` + tambah block `up/down` script di .conf
"AUTH_FAILED"	Username/password salah atau cert revoked	Cek dengan admin: PPP secret aktif, cert belum di-revoke di MikroTik
Connect tapi internet putus	NAT masquerade missing di server	Lapor admin server: tutorial server STEP 10
IP client tidak berubah setelah connect	`redirect-gateway` tidak nempel	Tambah `redirect-gateway def1` di .conf → restart service
Service stuck di "activating"	TCP port di-block firewall ISP	Test `nc -zv 103.10.x.x 1194`. Kalau timeout = port blocked → coba ganti ke port 443

Lihat Log untuk Debug

Cek Log via journalctl

# cekipsaya.com — log systemd OpenVPN client
sudo journalctl -u openvpn-client@kantor -f

# Filter log 1 jam terakhir
sudo journalctl -u openvpn-client@kantor --since "1 hour ago"

# Cek log monitoring script
tail -50 /var/log/openvpn-monitor.log

Flag -f = follow real-time. Useful saat debugging connect manual. Filter --since untuk lihat history specific.

Use Case Praktis di Linux

🖥️ Server Always-On Tunnel (VPS, Raspberry Pi)

Server Linux yang harus selalu connect ke jaringan kantor: VPS yang akses internal API, Raspberry Pi monitoring kantor dari rumah, atau dedicated jump box. Pakai systemd + cron monitoring = uptime mendekati 100%.

🛠️ Workstation Sysadmin Multi-Tunnel

Sysadmin yang manage beberapa client/network sekaligus. Bikin file config terpisah (klien-a.conf, klien-b.conf, kantor.conf), enable yang dibutuhkan saat itu juga. Switch antar tunnel via systemctl, tidak perlu close-reopen GUI.

🐧 Container / Docker Network Egress

Beberapa Docker container butuh network egress via tunnel kantor (akses internal API, whitelist IP). Bikin sidecar container yang run OpenVPN client + share network namespace ke app container. Pattern standard di k8s/docker-compose.

Kembali ke Split Tunnel

Untuk workstation interactive, split tunnel lebih efisien — cuma traffic ke jaringan kantor yang lewat tunnel. Untuk server always-on yang dedicated tunnel, full tunnel OK karena memang dirancang khusus untuk itu.

Untuk switch ke split: edit /etc/openvpn/client/kantor.conf, hapus redirect-gateway def1, tambah route 10.10.0.0 255.255.255.0. Restart service: sudo systemctl restart openvpn-client@kantor. Hanya akses ke subnet kantor yang lewat tunnel.

Pro tip: Bikin dua config terpisah — kantor-full.conf + kantor-split.conf. Switch via systemctl stop openvpn-client@kantor-full && systemctl start openvpn-client@kantor-split. Bisa di-script jadi alias bash supaya 1 command saja.

FAQ — Pertanyaan yang Sering Ditanyakan

Apa beda OpenVPN di Linux vs WireGuard di Linux?

OpenVPN: matang, banyak fitur, support cipher/auth granular, basis TLS, code base ~100K lines, throughput 30-50% lebih rendah dari WireGuard. WireGuard: protokol baru (2018), kernel-level (di Linux 5.6+ langsung native), throughput tinggi, code base ~4K lines, setup simpler. Untuk Linux server always-on: WireGuard lebih cocok karena kernel-native = lebih efisien CPU. Untuk kompatibilitas dengan client legacy atau migrasi dari setup OpenVPN existing: tetap pakai OpenVPN. Detail: <a href="/artikel/wireguard-full-tunnel-linux/">WireGuard di Linux</a>.

Kenapa file config harus ekstensi .conf bukan .ovpn di Linux?

Konvensi systemd service template <code>[email protected]</code> di Linux. Service akan otomatis pickup file <code><name>.conf</code> di <code>/etc/openvpn/client/</code> berdasarkan parameter <code>%i</code> (instance name). Kalau pakai <code>.ovpn</code>, service tidak akan recognize. Konvensi ini standard sejak OpenVPN 2.4 + systemd integration. Solusi: rename <code>kantor.ovpn</code> jadi <code>kantor.conf</code> saat copy ke <code>/etc/openvpn/client/</code>.

Apakah update-systemd-resolved wajib di Ubuntu/Debian?

Wajib kalau pakai Ubuntu 18.04+ atau Debian 11+ (default DNS resolver = systemd-resolved). Tanpa script ini, DNS push dari server tidak override DNS sistem → DNS leak. Install: <code>sudo apt install openvpn-systemd-resolved</code>. Tambah block 4 baris <code>up/down</code> script di config (lihat STEP 2 edit config). Untuk distro yang pakai resolvconf (legacy) atau NetworkManager (Arch/Fedora desktop), script ini tidak perlu.

Bisakah run multiple OpenVPN tunnel simultan di Linux?

Ya, salah satu keunggulan Linux. Letakkan multiple config (<code>kantor.conf</code>, <code>vps.conf</code>, <code>klien-a.conf</code>) di <code>/etc/openvpn/client/</code>, enable masing-masing via <code>sudo systemctl enable --now openvpn-client@kantor openvpn-client@vps</code>. Tiap tunnel akan get interface tun terpisah (tun0, tun1, tun2) dan running independen. Pastikan subnet OpenVPN tiap tunnel tidak overlap supaya routing tidak konflik.

Apakah ada GUI client OpenVPN di Linux?

Ada beberapa GUI di Linux — biasanya integrasi via NetworkManager: GNOME Settings → Network → Add VPN → Import .ovpn. Ada juga aplikasi standalone seperti <code>openvpn3-client</code> dari official OpenVPN. Tapi untuk sysadmin pattern (server, automation, multi-tunnel), CLI + systemd lebih powerful + scriptable. Tutorial ini fokus CLI karena audience sysadmin yang butuh deployment pattern, bukan workstation interactive.

Cron monitoring vs systemd Restart=on-failure — pilih mana?

Pakai keduanya (double-layer). systemd <code>Restart=on-failure</code> handle process-level crash (OpenVPN client crash karena bug, OOM, dll) — automatic restart cepat (~1 detik). Cron monitoring handle network-level failure yang systemd tidak detect (tunnel up tapi tidak bisa reach gateway karena routing issue, NAT timeout, dll) — restart slower (~5 menit) tapi catches scenario yang systemd miss. Bareng-bareng = uptime tunnel optimal di koneksi tidak stable.

Kesimpulan

Linux adalah platform paling powerful untuk OpenVPN client karena tiga keunggulan yang tidak dimiliki Windows/Mac: (1) bisa di-jadikan systemd service untuk auto-connect saat boot, (2) bisa kombinasi dengan cron + ping check untuk monitoring otomatis 24/7 dengan auto-reconnect, dan (3) resource overhead minimum — cocok untuk server tugas khusus, Raspberry Pi, atau VPS yang butuh always-on tunnel. Tutorial ini cover tiga distro mainstream (Ubuntu/Debian, Fedora/RHEL, Arch) plus dua skenario sysadmin: workstation manual (jalan saat dibutuhkan) dan server always-on (auto-reconnect). Untuk sisi server kantor, lihat OpenVPN Server di MikroTik.