// IP ADDRESS ANDA SAAT INI
Mengambil informasi koneksi…
Buka Network Dashboard — Test Jaringan Kantor →

Skenario yang sering terjadi: kamu sysadmin yang lagi WFH, dapat laporan internet kantor lemot. Mau jalankan MTR atau traceroute untuk lihat di mana masalahnya, tapi hasilnya keluar dari perspektif jaringan rumahmu — bukan dari kantor. Padahal WireGuard sudah connect, tunnel hijau, semua kelihatan oke. Masalahnya: WireGuard kamu lagi mode split tunnel — cuma routing subnet internal kantor, bukan semua traffic. Untuk benar-benar jalan dari "perspektif kantor", kamu butuh full tunnel. Dan yang sering terlewat: konfigurasinya bukan cuma di sisi client — MikroTik sebagai server harus ada dua perubahan. Artikel ini fokus di sisi server, tutorial dari pengalaman langsung praktisi yang setup ini.

WireGuard Full Tunnel di MikroTik
Ilustrasi: WireGuard Full Tunnel di MikroTik
Artikel ini bagian dari cluster 4 artikel WireGuard Full Tunnel. Setelah baca ini (sisi server), lanjut ke panduan client: Windows · Mac · Linux.

Bedanya Split Tunnel dan Full Tunnel

Analogi sederhana: bayangkan WireGuard sebagai jalan tol khusus dari rumah ke kantor. Split tunnel = jalan tol cuma dipakai untuk tujuan kantor, sisanya (browsing, YouTube, Instagram) tetap lewat jalan biasa langsung dari ISP rumah. Full tunnel = semua kendaraan — termasuk yang tujuannya jauh dari kantor — wajib lewat jalan tol kantor dulu, baru lanjut ke tujuan akhir. Konsekuensinya: traffic browsing pribadimu tercatat di log gateway kantor, latency naik sedikit karena memutar, tapi IP publik yang dilihat dunia luar adalah IP kantor.

Aspek Split Tunnel Full Tunnel
AllowedIPs di client 10.20.20.0/24, 10.1.0.0/16 (subnet internal) 0.0.0.0/0, ::/0 (semua)
Traffic browsing Lewat ISP rumah ✅ Lewat ISP kantor ⚠️
IP publik terlihat IP rumah IP kantor ✅
NAT masquerade server Tidak perlu WAJIB ada ❌ tanpa ini = putus
DNS di client DNS rumah ok Wajib set DNS kantor di config
Latency browsing Optimal Naik 5–30ms (memutar)

Kapan Butuh Full Tunnel?

Yang Dibutuhkan Sebelum Mulai

WireGuard sudah terpasang di MikroTik

RouterOS 7.x ke atas — WireGuard built-in. Cek: /interface wireguard print

Peer client sudah terdaftar

Laptop/HP sudah ada entry-nya di WireGuard → Peers, public key dan allowed-address sudah di-fill.

Akses WinBox atau SSH

Pakai WinBox versi 3.40+ untuk RouterOS 7. Atau SSH ke IP MikroTik.

Tahu nama interface WAN

Interface yang konek ke ISP — biasanya ether1 atau pppoe-out1. Akan kita verifikasi di Langkah 2.

App WireGuard terpasang di client

Sesuai OS: WireGuard for Windows, Mac App Store, atau wg-quick di Linux.

Langkah 1 — Edit Allowed Address di MikroTik

Langkah pertama dilakukan di sisi server (MikroTik). Yang kita ubah: Allowed Address dari peer client. Field ini memberitahu MikroTik traffic apa saja yang boleh masuk lewat tunnel dari client ini. Untuk full tunnel, kita tambahkan 0.0.0.0/0 agar semua traffic — termasuk traffic internet bukan cuma subnet internal — diterima dari tunnel.

Via WinBox

Buka WireGuard → Peers → klik dua kali peer client → ubah field Allowed Address:

Allowed Address — Sebelum dan Sesudah 
# SEBELUM (split tunnel)
10.20.20.2/32, 10.1.0.0/16

# SESUDAH (full tunnel)
10.20.20.2/32, 10.1.0.0/16, 0.0.0.0/0
Tetap pertahankan IP peer (10.20.20.2/32) dan subnet internal (10.1.0.0/16) — kita hanya menambahkan 0.0.0.0/0 di akhir.

Via Terminal MikroTik

Terminal MikroTik / SSH 
# Lihat semua peer dulu untuk konfirmasi nama
/interface wireguard peers print

# Update allowed-address peer (ganti "laptop-staff" dengan nama peer kamu)
/interface wireguard peers
set [find name="laptop-staff"] \
    allowed-address=10.20.20.2/32,10.1.0.0/16,0.0.0.0/0

# Verifikasi
/interface wireguard peers print where name="laptop-staff"
Jangan ada spasi setelah koma di allowed-address — RouterOS sensitif terhadap format CSV.
Tip praktisi: kalau ada beberapa peer (laptop, HP, dll) dan tidak semua butuh full tunnel, cukup edit satu peer saja. Peer lain yang masih split tunnel tidak terdampak.

Langkah 2 — Tambahkan NAT Masquerade di MikroTik

Ini langkah yang paling sering terlewat — dan penyebab utama "internet putus setelah ganti ke full tunnel". Mari pahami dulu kenapa NAT masquerade diperlukan, biar ke depannya tidak salah konfigurasi.

Kenapa NAT Masquerade Wajib?

Saat client mengirim traffic internet via tunnel — misalnya request ke google.com — paket sampai di MikroTik dengan source IP 10.20.20.2 (IP internal subnet WireGuard). Kalau MikroTik langsung forward paket ke ISP dengan source IP itu, ISP akan drop — IP 10.20.20.x bukan IP publik, tidak ada di routing table internet manapun. NAT masquerade mengubah source IP dari 10.20.20.2 menjadi IP publik MikroTik sebelum dikirim ke ISP. Reply dari Google datang kembali ke IP publik MikroTik, lalu MikroTik translate balik ke 10.20.20.2 dan teruskan ke client lewat tunnel. Tanpa NAT masquerade, traffic out tetap pakai IP private — langsung di-drop di hop pertama setelah MikroTik.

Cek Rule yang Sudah Ada

Cek Existing NAT Rules 
/ip firewall nat print

# Atau cuma lihat rule masquerade saja
/ip firewall nat print where action=masquerade
Biasanya sudah ada satu rule masquerade default untuk subnet LAN ke WAN. Kita TIDAK ubah rule itu — kita tambah rule baru khusus untuk subnet WireGuard.

Tambahkan Rule Baru

Add NAT Masquerade for WireGuard 
# Ganti ether1 dengan nama interface WAN kamu
/ip firewall nat add \
    chain=srcnat \
    src-address=10.20.20.0/24 \
    out-interface=ether1 \
    action=masquerade \
    comment="NAT WireGuard Full Tunnel to Internet"

# Verifikasi
/ip firewall nat print where comment~"WireGuard"
src-address=10.20.20.0/24 = subnet WireGuard kita. Kalau subnet kamu beda, sesuaikan. Penting: jangan pakai 0.0.0.0/0 di src-address — itu akan double-NAT semua traffic dan bisa menyebabkan loop.

Cara Cari Nama Interface WAN

Kalau kamu tidak yakin nama interface WAN MikroTik kamu, cek dengan:

Identifikasi Interface WAN 
/ip address print

# Output contoh:
#  #  ADDRESS              NETWORK         INTERFACE
#  0  192.168.88.1/24      192.168.88.0    bridge-lan
#  1  103.10.x.x/29        103.10.x.0      ether1     ← INI WAN-nya
#  2  10.20.20.1/24        10.20.20.0      wireguard1
Cari baris yang ADDRESS-nya IP publik (bukan 192.168.x.x atau 10.x.x.x) — itulah interface WAN. Update src-address rule NAT sesuai nama yang ditemukan.
Peringatan: kalau kamu pakai PPPoE (umum di paket bisnis ISP rumahan/SMB), nama interface WAN biasanya pppoe-out1 bukan ether1. NAT yang dipasang ke ether1 tidak akan kena trigger karena traffic keluar lewat pppoe-out1. Always verify dulu.

Verifikasi — Pastikan Konfigurasi Sudah Benar

Langkah verifikasi sebenarnya dilakukan dari sisi client setelah semua selesai. Tapi ada beberapa cek dasar yang bisa kita lakukan langsung di MikroTik untuk memastikan konfigurasi sudah aman sebelum client mulai pakai.

Sanity Check di MikroTik 
# 1. Pastikan peer allowed-address sudah include 0.0.0.0/0
/interface wireguard peers print where name="laptop-staff"

# 2. Pastikan NAT rule WireGuard sudah ada
/ip firewall nat print where comment~"WireGuard"

# 3. Lihat trafik di interface WireGuard (counter naik = ada aktivitas)
/interface wireguard print stats

# 4. Cek connection tracking — saat client mulai browsing,
# entry NAT akan muncul dengan src-address=10.20.20.x
/ip firewall connection print where src-address~"10.20.20"
Step 4 paling informatif untuk troubleshooting — kalau ada entry tapi semua "no reply", artinya request keluar tapi reply tidak balik (NAT salah konfigurasi atau interface WAN salah).

Lanjutan — Konfigurasi Sisi Client

Sisi server beres. Sekarang lanjut ke sisi client — pilih panduan sesuai OS:

// CLIENT OS
  • <a href="/artikel/wireguard-full-tunnel-windows/">Windows</a> — App WireGuard for Windows, edit config notepad-style
  • <a href="/artikel/wireguard-full-tunnel-mac/">Mac</a> — Mac App Store WireGuard, harus deactivate dulu sebelum edit
  • <a href="/artikel/wireguard-full-tunnel-linux/">Linux</a> — wg-quick + systemd, paling fleksibel untuk monitoring otomatis
// YANG DILAKUKAN DI CLIENT
  • Edit AllowedIPs ke <code>0.0.0.0/0, ::/0</code>
  • Tambahkan <code>DNS =</code> di [Interface] — wajib agar internet tidak putus
  • Restart tunnel (deactivate → activate)
  • Verifikasi dengan <code>curl ifconfig.me</code> — harus return IP kantor

Troubleshooting — Masalah yang Sering Muncul

Internet putus total setelah client switch ke full tunnel

Penyebab paling umum (urutkan): (1) DNS tidak dikonfigurasi di config client — semua DNS query ikut di-tunnel tapi tidak ada server yang bisa diakses. (2) NAT masquerade belum ada di MikroTik — paket out tapi tidak bisa balik. (3) NAT rule pakai interface WAN yang salah (ether1 padahal WAN-nya pppoe-out1). Cara debug cepat: di MikroTik jalankan /ip firewall connection print where src-address~"10.20.20" — kalau ada entry tapi semua "no reply", masalah di NAT.

<code>curl ifconfig.me</code> di client return IP rumah, bukan IP kantor

Penyebab: AllowedIPs di sisi client masih 10.20.20.0/24, 10.1.0.0/16 saja — belum include 0.0.0.0/0. Sisi MikroTik OK, tapi client tidak men-route traffic internet via tunnel. Solusi: edit config di sisi client (Windows/Mac/Linux), tambahkan 0.0.0.0/0, ::/0 di AllowedIPs.

Tunnel connect, browsing partial — beberapa site jalan, beberapa timeout

Penyebab: MTU mismatch. Default WireGuard 1420, tapi koneksi PPPoE banyak ISP punya MTU efektif lebih rendah. Site dengan paket besar (HTTPS yang kirim sertifikat panjang) drop tengah jalan. Solusi: kecilkan MTU di interface WireGuard di MikroTik: /interface wireguard set wireguard1 mtu=1380. Test ulang.

NAT rule sudah ada tapi traffic tidak kena

Penyebab: kemungkinan urutan rule. NAT diproses top-down. Kalau ada rule masquerade lain di atas yang src-address-nya lebih luas (misal 0.0.0.0/0 dengan accept), rule WireGuard tidak pernah ter-trigger. Solusi: cek /ip firewall nat print, lihat urutan. Kalau perlu, pindahkan rule WireGuard ke atas: /ip firewall nat move [find comment~"WireGuard"] 0.

Latency naik signifikan setelah full tunnel

Penyebab: traffic memutar via kantor. Kalau client dan kantor di kota yang sama dan pakai ISP yang sama — penambahan latency biasanya 5–15ms wajar. Tapi kalau penambahan >50ms, bisa jadi: (1) MikroTik CPU bottleneck — cek /system resource print, kalau CPU 80%+ saat tunnel jalan, hardware kurang kuat. (2) WAN kantor lagi congested. Full tunnel memang punya trade-off latency — itu sebabnya pakai hanya saat butuh.

Kapan Harus Kembali ke Split Tunnel

Full tunnel tidak disarankan dipakai terus-menerus. Tiga alasan utama:

Best practice: aktifkan full tunnel hanya saat butuh — misalnya selama 30 menit untuk MTR diagnostic, atau saat akses layanan whitelist IP. Setelah selesai, kembali ke split tunnel. Cara kembali: di sisi client edit AllowedIPs balik ke subnet internal saja, hapus baris DNS. Rule NAT di MikroTik bisa dibiarkan permanen — tidak aktif kalau client tidak kirim traffic internet via tunnel.

Studi Kasus: Studi Kasus — Diagnosa Bottleneck Backbone Kantor dari Rumah
Pada akhir April 2026, sebuah kampus besar Indonesia mengalami gangguan akses keluar — beberapa user lapor speedtest cuma 30 Mbps padahal contract 1 Gbps. Sysadmin yang lagi WFH aktifkan full tunnel via WireGuard ke MikroTik kantor, lalu jalankan MTR 100 paket ke 8.8.8.8. Hasil: hop kedua (gateway ISP upstream) menunjukkan StDev 60ms — biasanya <5ms. Itu bukti angka yang dilampirkan ke laporan ke NOC ISP, dan masalah teratasi dalam 4 jam karena bukti konkret. Tanpa full tunnel, sysadmin akan jalan dari ISP rumah dan tidak bisa lihat masalah di hulu kantor. Lihat cara baca threshold MTR untuk interpretasi StDev.

FAQ — Pertanyaan yang Sering Ditanyakan

Tidak. Public/private key client dan server tetap pakai yang lama. Yang berubah hanya field Allowed Address di peer (sisi MikroTik) dan AllowedIPs di config client. Keypair bahkan tidak terpengaruh sama sekali.
Aman. Rule ini hanya kena trigger untuk traffic dari subnet 10.20.20.0/24 (subnet WireGuard). Kalau client tidak aktif atau tidak pakai full tunnel, rule tidak pernah jalan. Dampak overhead nol. Tetap rekomendasi: pakai src-address spesifik (10.20.20.0/24), bukan 0.0.0.0/0.
Bisa, tapi hati-hati: setiap peer yang butuh full tunnel harus AllowedAddress-nya include 0.0.0.0/0. Kalau semua peer pakai full tunnel sekaligus, bandwidth WAN kantor terbagi — pastikan upstream cukup. Untuk keluarga peer kantor cabang, biasanya lebih cocok pakai site-to-site VPN, bukan road-warrior full tunnel.
NAT masquerade adalah pilihan paling kompatibel. Alternatif seperti src-nat ke IP publik spesifik berfungsi tapi ribet kalau IP publik berubah (ISP DHCP). Masquerade otomatis pakai IP publik current dari interface WAN — set-and-forget.
Bisa dan ini setup paling umum. Misalnya: laptop kerja kamu = full tunnel (untuk testing jaringan), HP pribadi = split tunnel (cuma akses email kantor, browsing tetap lewat ISP HP). Per-peer config di MikroTik bersifat independen — atur AllowedAddress sesuai kebutuhan masing-masing.

Kesimpulan

Full tunnel di MikroTik adalah dua perubahan kecil yang sering luput: AllowedIPs di peer harus include 0.0.0.0/0, dan harus ada NAT masquerade yang men-translate source IP subnet WireGuard ke IP publik MikroTik. Tanpa salah satunya, full tunnel akan terlihat connect tapi internet putus atau IP publik masih IP rumah. Setelah server beres, langkah berikutnya tinggal di sisi client — pilih panduan sesuai OS: Windows, Mac, atau Linux. Pakai full tunnel hanya saat butuh — test jaringan, akses resource whitelist IP, atau verifikasi dari mana masalah berasal — lalu kembali ke split tunnel.

COBA SEKARANG
Buka Network Dashboard — Test Jaringan Kantor
→ Buka Network Dashboard — Test Jaringan Kantor
// ARTIKEL INI MEMBANTU?

Share ke teman yang butuh info ini:

WhatsApp Telegram Facebook Twitter/X Salin Link