OpenVPN Full Tunnel di Mac

Mac adalah platform yang relatif OpenVPN-friendly — tidak ada drama TAP-Windows adapter, tidak butuh manual driver install, dan macOS punya utun interface bawaan yang langsung dipakai client OpenVPN. Tapi ada 3 hal Mac-specific yang sering bikin frustrasi pemula: (1) Gatekeeper warning saat first run aplikasi unsigned, (2) Privacy & Security permission yang harus di-toggle manual, dan (3) DNS push dari server kadang tidak fully override DNS macOS. Tutorial ini cover step-by-step pakai Tunnelblick — client open-source paling stabil dan paling banyak dipakai sysadmin Mac.

Disclaimer: CekIPSaya tidak diendorse, disponsori, atau berafiliasi dengan ISP, provider, atau brand pihak ketiga manapun yang disebutkan dalam artikel ini. Pembahasan disusun secara independen berdasarkan data publik dan pengalaman pengguna — tujuan kami murni edukasi. Semua merek dagang adalah milik pemegang hak masing-masing.

Asumsi server side: Tutorial ini fokus di sisi client Mac. Asumsinya kamu sudah punya: (1) file .ovpn dari admin kantor, (2) IP publik server kantor accessible, (3) cert client + private key embed di file .ovpn. Belum punya server side? Lihat dulu OpenVPN Server di MikroTik.

Pilih Client — Tunnelblick vs OpenVPN Connect

Ada dua client OpenVPN populer di macOS. Beda lisensi dan target user:

Aspek	Tunnelblick	OpenVPN Connect
Lisensi	Open-source (GPLv2)	Proprietary, free tier 3 koneksi
Engine	OpenVPN community 2.6+	OpenVPN community 2.6+
UI	Menu bar tray icon klasik	Modern UI window
Apple Silicon	Native M1/M2/M3 (3.8+)	Native
Apple Notarized	✅ (since 3.8.4)	✅
Setup	Drag-drop .ovpn	Import via menu file
Rekomendasi	✅ Untuk tutorial ini	Kalau pakai OpenVPN Cloud / Access Server

Tutorial ini pakai Tunnelblick — open-source, no signup, paling stabil di macOS, dan support langsung Apple Silicon native. Engine OpenVPN-nya sama dengan OpenVPN Connect, jadi performa identik. Switch ke OpenVPN Connect kalau kantor mandate (langkah-langkah 90% sama).

Install Tunnelblick di macOS

Download Tunnelblick dari source resmi. Mac App Store TIDAK punya Tunnelblick (karena lisensi GPL tidak compatible dengan App Store policy) — selalu download dari tunnelblick.net.

STEP 1

Download Installer Resmi — Buka tunnelblick.net di browser. Klik tombol Download — pilih Stable version (terbaru: 7.x). File .dmg sekitar 12–15 MB. Untuk Apple Silicon (M1/M2/M3), Tunnelblick 3.8+ sudah native — tidak butuh Rosetta.

STEP 2

Mount + Install — Double-click file .dmg yang sudah di-download. Drag icon Tunnelblick ke folder Applications. Eject DMG setelah selesai. Note: Mac TIDAK butuh Run as Admin — installer Tunnelblick handle privilege escalation sendiri saat butuh.

STEP 3

First Run — Bypass Gatekeeper — Buka Tunnelblick dari Applications folder. macOS akan show warning "Tunnelblick is from an unidentified developer" — itu false alert (Tunnelblick 3.8.4+ sudah notarized Apple). Workaround: klik kanan icon Tunnelblick → Open. Konfirmasi dialog "Open" — setelah itu tidak akan ditanya lagi.

STEP 4

Welcome Wizard — Tunnelblick first-run wizard akan muncul. Pilih: I have configuration files kalau sudah punya .ovpn dari admin. Atau I have no configuration files kalau mau import nanti. Wizard juga akan minta password admin untuk install helper tool — ini normal, ketik password macOS account kamu.

"Tunnelblick is damaged" error? Ini sering terjadi kalau download dari mirror tidak resmi atau extended-attributes corrupt setelah download. Fix via Terminal: xattr -cr /Applications/Tunnelblick.app — clear extended attributes, lalu reopen. Kalau masih error, re-download dari tunnelblick.net langsung (jangan via cloud sync).

Import <code>.ovpn</code> Config — Drag & Drop

Tunnelblick handle import dengan UX yang elegan: drag-drop file .ovpn ke Tunnelblick icon di menu bar → otomatis di-install. Tidak butuh navigate folder system seperti di Windows.

STEP 5

Drag File .ovpn ke Tunnelblick Icon — Buka Finder, navigate ke file .ovpn dari admin (biasanya di Downloads). Drag file ke icon Tunnelblick di menu bar (pojok kanan atas, tampil seperti terowongan). Tunnelblick akan tanya: Install for me only / for all users. Pilih Only Me kalau Mac ini cuma kamu pakai.

STEP 6

Konfirmasi Install — Tunnelblick akan show dialog "Install configuration?" Klik Install. macOS minta password admin (untuk add config ke system) — ketik password account Mac kamu.

STEP 7

Verifikasi Config Installed — Klik icon Tunnelblick di menu bar → menu dropdown akan show nama config (misal "kantor") di list "Configurations". Kalau muncul, install berhasil.

Edit <code>.ovpn</code> — Pastikan Full Tunnel Aktif

Sebelum connect, edit file .ovpn dulu via Tunnelblick → klik kanan config name → Edit OpenVPN Configuration File. Atau buka file via Finder + edit di TextEdit/VS Code.

.OVPN — Directive Wajib Full Tunnel di Mac

# cekipsaya.com — wajib ada di .ovpn untuk full tunnel di macOS
client
dev tun
proto tcp
remote 103.10.x.x 1194

redirect-gateway def1

remote-cert-tls server
cipher AES-256-CBC
auth SHA256
auth-user-pass

verb 3

# (CA + cert + key embed di bawah)
<ca>...</ca>
<cert>...</cert>
<key>...</key>

redirect-gateway def1 = full tunnel mode. Mac TIDAK butuh block-outside-dns (itu Windows-specific directive). DNS push handling di Mac via Tunnelblick built-in mechanism.

Connect & Verifikasi Tunnel Berjalan

Setelah .ovpn ter-install dan directive sudah benar, tinggal connect. Tunnelblick handle prompt password yang muncul.

STEP 8

Klik Tunnelblick Menu → Connect — Klik icon Tunnelblick di menu bar → pilih nama config (misal "kantor") → klik. Tunnelblick akan show window log real-time menampilkan handshake step-by-step.

STEP 9

Allow Permission (Privacy & Security) — macOS Sonoma (14)+ akan minta permission untuk add VPN configuration. Buka System Settings → Privacy & Security → Network Extensions / VPN — toggle ON Tunnelblick. Tanpa toggle ini, koneksi akan fail dengan error "permission denied".

STEP 10

Login Prompt (kalau auth-user-pass) — Kalau .ovpn pakai auth-user-pass, prompt username + password muncul. Centang Save in Keychain kalau mau auto-fill next time. Tunnelblick simpan credential di Keychain Mac (encrypted).

STEP 11

Tunggu Status Connected — Window log akan tutup otomatis. Icon Tunnelblick berubah jadi terowongan dengan animasi (connected). Notifikasi muncul: "kantor — Connected". Window log bisa di-buka lagi via klik kanan config.

STEP 12

Verifikasi: Cek IP via cekipsaya.com — Buka cekipsaya.com/cek-ip-saya. IP publik harus IP kantor (103.10.x.x), bukan IP rumah. ASN match provider kantor. Kalau IP masih rumah → cek redirect-gateway di .ovpn, atau permission Network Extension belum di-allow.

STEP 13 — Verifikasi Route via Terminal

# cekipsaya.com — cek default route lewat tunnel
# Buka Terminal (Cmd+Space → ketik "Terminal")

netstat -rn | grep default

Output harus show default route via interface "utun0" atau "utun1" (bukan "en0" atau "en1" yang interface fisik). Itu indicator default route sudah pindah ke tunnel = full tunnel berjalan benar.

Fix DNS — Pastikan Tidak Leak di Mac

macOS lebih sane dari Windows soal DNS — tidak ada DNS Client Service yang bypass tunnel by default. Tapi kalau server tidak push DNS, Mac fallback ke DNS dari koneksi WiFi/Ethernet rumah → bisa jadi DNS leak.

Test DNS leak: Buka dnsleaktest.com setelah connect. Pilih Standard test. Hasil harus show DNS server yang di-push server kantor (misal 1.1.1.1 atau IP DNS internal kantor). Kalau show DNS resolver ISP rumah (biasanya format 203.142.x.x untuk IndiHome), DNS leak terjadi — perlu fix.

Cara Fix — 2 Layer

LAYER 1 — Push DNS dari Server (Best Practice)

# cekipsaya.com — server side, di MikroTik PPP profile:
/ppp profile
set ovpn-profile dns-server=1.1.1.1,8.8.8.8

Kalau admin server kantor sudah set dns-server=... di PPP profile MikroTik, DNS push otomatis sampai ke client Mac. Tunnelblick handle apply DNS via macOS networking API. Detail di tutorial server.

LAYER 2 — Set DNS Manual di Tunnelblick (Fallback)

# cekipsaya.com — kalau server tidak push DNS,
# set manual di Tunnelblick:

# Klik kanan config kantor → Edit OpenVPN Configuration File
# Tambah baris ini di bagian atas:

dhcp-option DNS 1.1.1.1
dhcp-option DNS 8.8.8.8

dhcp-option DNS di .ovpn akan override DNS Mac saat tunnel up. Restart connection setelah edit. Verifikasi via scutil --dns di Terminal — output harus show resolver baru.

Use Case Praktis di Mac

☕ WFH dari Cafe / Co-working Space

Mac tipikal banyak dipakai di luar (cafe, co-working, klien). WiFi publik tidak aman — full tunnel ke kantor = encrypted, tidak ke-intercept. Bonus: kalau kantor punya konten yang IP-restricted (mis. file server, dashboard internal), bisa diakses dari mana saja.

🎬 Akses Region-Locked Tools / Services

Beberapa tools development (testing internal API, akses Confluence/Jira partner, vendor support portal) hanya allow IP whitelist. Full tunnel ke server kantor di Indonesia = traffic kamu kelihatan dari Indonesia → akses lancar meski lagi traveling abroad.

🔒 Privacy dari ISP Rumah

Kalau kamu lagi research sensitif (security audit, vulnerability research, dll) atau cuma mau privasi browsing dari ISP — full tunnel bypass DPI ISP rumah. Semua traffic appear via IP kantor / server dedicated.

Troubleshooting Mac

Gejala	Kemungkinan Penyebab	Cara Fix
"Tunnelblick is from unidentified developer"	Gatekeeper warning first run	Right-click Tunnelblick.app → Open → Konfirmasi dialog "Open"
"Tunnelblick is damaged"	Extended attributes corrupt setelah download	`xattr -cr /Applications/Tunnelblick.app` via Terminal
"Permission denied" saat connect	Network Extension permission belum di-allow	System Settings → Privacy & Security → Network Extensions → toggle ON Tunnelblick
Connect tapi IP tidak berubah	Tunnel split mode	Tambah `redirect-gateway def1` di .ovpn → reconnect
DNS leak (browsing pakai DNS rumah)	Server tidak push DNS, Mac fallback default	Tambah `dhcp-option DNS 1.1.1.1` di .ovpn atau set push DNS di server
"AUTH_FAILED" di log	Username/password salah atau cert revoked	Cek dengan admin: PPP secret aktif, cert belum di-revoke
Connect lambat di Apple Silicon	Tunnelblick versi lama (pre-3.8) jalan via Rosetta	Update ke Tunnelblick 3.8+ untuk native M1/M2/M3

Tip log debugging: Klik kanan icon Tunnelblick → Show OpenVPN Log. Log real-time muncul di Console.app. Kalau ada TLS handshake error, biasanya cipher/auth mismatch — bandingkan setting di .ovpn dengan setting OVPN server di MikroTik. Untuk save log: select all → copy ke text file untuk laporan ke admin.

Kembali ke Split Tunnel

Full tunnel = semua traffic lewat tunnel = bandwidth boros + latency naik. Untuk kerja sehari-hari di Mac (browsing, email, Zoom, dev work), split tunnel lebih efisien — cuma traffic ke jaringan kantor yang lewat tunnel.

Untuk switch ke split tunnel: edit .ovpn (klik kanan config → Edit), hapus redirect-gateway def1, tambah route subnet kantor saja: route 10.10.0.0 255.255.255.0. Save dan reconnect. Hanya akses ke 10.10.x.x akan lewat tunnel — sisanya direct via WiFi/Ethernet rumah.

Pro tip: Buat dua config di Tunnelblick — kantor-full dan kantor-split. Switch tinggal disconnect-connect dari menu Tunnelblick. Tidak perlu edit file setiap mau ganti mode. Ini workflow standar sysadmin Mac.

FAQ — Pertanyaan yang Sering Ditanyakan

Tunnelblick vs OpenVPN Connect — pilih yang mana untuk Mac?

Tunnelblick = open-source GPL, gratis, paling stabil di macOS, support langsung Apple Silicon native (M1/M2/M3) sejak versi 3.8. UI klasik via menu bar — efisien untuk power user. OpenVPN Connect = proprietary, free tier 3 koneksi simultan, premium untuk enterprise dengan support OpenVPN Cloud / Access Server. Tutorial ini pakai Tunnelblick karena: open-source, no signup, dan kompatibel langsung dengan setup MikroTik server. Engine OpenVPN-nya sama, jadi performa identik.

Kenapa Tunnelblick tidak ada di Mac App Store?

Tunnelblick lisensinya GPL (GNU Public License) — tidak compatible dengan App Store policy yang require sandbox + DRM. Selalu download dari source resmi <code>tunnelblick.net</code>. Hindari "Tunnelblick clones" di mirror tidak resmi — banyak yang bundling adware. Versi resmi sejak 3.8.4 sudah notarized Apple, jadi aman bypass Gatekeeper warning sekali via right-click Open.

Apakah perlu install ke Mac dengan Apple Silicon (M1/M2/M3)?

Ya — Tunnelblick 3.8+ sudah native ARM64 untuk Apple Silicon. Tidak butuh Rosetta 2. Performa optimal: connect lebih cepat, encryption AES-256 jalan di Apple silicon crypto extensions = throughput tinggi + low CPU. Versi lama (Tunnelblick 3.7 atau lower) memang jalan via Rosetta — slower dan boros battery. Update ke 3.8+ kalau Mac kamu Apple Silicon.

macOS Sonoma minta permission Network Extension — apa itu?

Sejak macOS Sonoma (14, 2023), Apple require explicit user permission untuk apps yang install Network Extension (termasuk Tunnelblick). Buka System Settings → Privacy & Security → Network Extensions (atau VPN configurations) — toggle ON Tunnelblick. Tanpa permission ini, koneksi gagal dengan error "permission denied". Ini security feature Apple, bukan bug Tunnelblick.

Kenapa Mac tidak butuh block-outside-dns seperti Windows?

macOS handle DNS routing lebih sane dari Windows — DNS query otomatis ikut default route. Saat tunnel aktif dengan <code>redirect-gateway def1</code>, semua DNS query lewat tunnel by default. Tidak perlu directive Windows-specific. Tapi pastikan server push DNS via PPP profile (<code>dns-server=1.1.1.1</code>) atau tambah <code>dhcp-option DNS</code> di .ovpn — supaya client tau resolver mana yang dipakai dalam tunnel.

Bisakah save password supaya tidak diminta setiap connect?

Ya, via Keychain integration. Saat first connect, prompt username/password muncul — centang opsi <em>Save in Keychain</em>. Tunnelblick simpan credential di Keychain Mac (encrypted dengan login password kamu). Next connect langsung auto-fill. Kalau ganti password, edit credential via Keychain Access.app → search "Tunnelblick" → edit entry. Untuk mencabut, hapus entry dari Keychain.

Kesimpulan

OpenVPN di Mac jauh lebih bersih dari Windows — Tunnelblick adalah open-source client paling populer, drag-drop .ovpn langsung di-import otomatis, dan macOS handle tun interface secara native (no driver issue). Tiga gotcha yang sering luput: (1) Gatekeeper warning saat first run — fix via right-click + Open, (2) permission prompt sistem yang harus di-allow di Privacy & Security, (3) DNS push dari server kadang tidak override DNS macOS — perlu up.sh script atau setting manual via System Settings. Verifikasi via cekipsaya.com/cek-ip-saya — kalau muncul IP publik kantor, full tunnel sudah jalan. Untuk server side, lihat OpenVPN Server di MikroTik. Atau jajal WireGuard di Mac kalau ingin setup yang lebih ringan.