// IP ADDRESS ANDA SAAT INI
Mengambil informasi koneksi…
Buka Network Dashboard — Test Jaringan Kantor →

Skenario: kamu sysadmin atau IT helpdesk yang lagi WFH pakai laptop Windows, dapat laporan internet kantor bermasalah. Mau jalankan tracert atau WinMTR untuk lihat di mana gangguannya, tapi hasil keluar dari perspektif IP rumah — bukan IP kantor. Padahal WireGuard sudah connect, tunnel hijau, tapi ternyata cuma split tunnel: hanya routing subnet internal kantor, bukan semua traffic. Untuk benar-benar jalan dari "perspektif kantor" — termasuk traceroute hop pertama keluar dari gateway ISP kantor — kamu butuh full tunnel. Artikel ini fokus di sisi client Windows: dua perubahan kecil di config plus satu perubahan tersembunyi yang sering bikin DNS leak.

WireGuard Full Tunnel di Windows
Ilustrasi: WireGuard Full Tunnel di Windows
Prasyarat sisi server: sebelum lanjut, pastikan MikroTik sudah dikonfigurasi full tunnel — lihat WireGuard Full Tunnel di MikroTik untuk setup AllowedAddress + NAT masquerade di server. Tanpa itu, perubahan di Windows tidak akan jalan.

Split Tunnel vs Full Tunnel — Ringkas

Bedanya cuma satu kata: cakupan. Split tunnel = tunnel cuma dipakai untuk traffic ke subnet internal kantor (file server, intranet, printer). Browsing, YouTube, segala traffic internet umum tetap lewat ISP rumah. Full tunnel = semua traffic, termasuk Google search dan Netflix, lewat tunnel ke kantor dulu baru keluar via ISP kantor. Konsekuensinya: IP publik yang dilihat dunia luar adalah IP kantor, log gateway kantor mencatat semua aktivitas, latency naik sedikit.

Untuk penjelasan lengkap perbedaan dan kapan harus pakai masing-masing — termasuk konfigurasi sisi server MikroTik — lihat WireGuard Full Tunnel di MikroTik.

Yang Dibutuhkan Sebelum Mulai

WireGuard for Windows terinstall

Download dari wireguard.com/install — official, gratis, no telemetry. Avoid versi pihak ketiga.

Peer sudah terdaftar di server MikroTik

Public key client sudah ada entry-nya di sisi server. Kalau belum, daftarkan dulu sebelum lanjut.

Tunnel sudah bisa connect mode split tunnel

Test dulu: bisa ping IP internal (mis. ping 10.1.0.1)? Kalau split tunnel saja belum jalan, full tunnel pasti tidak akan jalan.

Tahu DNS server kantor

Cek dari MikroTik dengan /ip dns print, atau tanya admin jaringan. Catat IP-nya — akan dipakai di config Windows.

Sisi server sudah di-setup full tunnel

Verifikasi via admin server bahwa AllowedAddress peer sudah include 0.0.0.0/0 dan NAT masquerade sudah ada — lihat artikel MikroTik.

Langkah 1 — Edit Config WireGuard di Windows

Buka aplikasi WireGuard di Windows. Di panel kiri, klik nama tunnel kamu, lalu klik tombol Edit di pojok kanan bawah. Window editor akan terbuka — UI-nya mirip Notepad, monospace font, langsung bisa diketik.

Config Sebelum dan Sesudah

SEBELUM — Split Tunnel 
[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.20.20.2/32

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 103.10.x.x:51820
AllowedIPs = 10.20.20.0/24, 10.1.0.0/16
PersistentKeepalive = 25
Ini config tipikal split tunnel — AllowedIPs cuma subnet internal, tidak ada baris DNS.
SESUDAH — Full Tunnel 
[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.20.20.2/32
DNS = 103.10.x.x, 8.8.8.8       # ← TAMBAHKAN baris ini

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 103.10.x.x:51820
AllowedIPs = 0.0.0.0/0, ::/0    # ← UBAH dari subnet ke 0.0.0.0/0
PersistentKeepalive = 25
Dua perubahan: tambah baris DNS di [Interface], ubah AllowedIPs di [Peer]. Ganti 103.10.x.x dengan IP DNS kantor yang sebenarnya.

Penjelasan Setiap Perubahan

AllowedIPs = 0.0.0.0/0, ::/0

Memberitahu Windows bahwa semua traffic IPv4 dan IPv6 harus lewat tunnel. Tanpa ini, Windows cuma route subnet yang disebut spesifik. 0.0.0.0/0 = semua IPv4, ::/0 = semua IPv6.

DNS = 103.10.x.x, 8.8.8.8

WAJIB di Windows. Tanpa baris ini, Windows masih query DNS via interface ISP rumah — DNS leak. Set primary ke DNS kantor (resolusi internal kantor jadi jalan), fallback 8.8.8.8 kalau DNS kantor down.

Tip Windows: berbeda dari Mac, di Windows kamu bisa edit config tanpa perlu Deactivate dulu. WireGuard for Windows otomatis apply perubahan saat klik Save — kalau tunnel masih Active, dia akan reconnect dengan config baru.

Klik Save setelah selesai edit. Kalau tunnel sebelumnya Active, otomatis reconnect dengan config baru. Kalau Inactive, klik Activate sekarang.

Langkah 2 — Pastikan Server MikroTik Sudah Siap

Sebelum cek hasil di Windows, pastikan sisi server tidak menjadi blocker. Sisi server butuh dua hal: (1) AllowedAddress peer kamu di MikroTik sudah include 0.0.0.0/0, dan (2) ada NAT masquerade rule untuk subnet WireGuard ke interface WAN. Tanpa salah satunya, Windows akan tampak connect tapi internet putus atau IP publik tidak berubah. Detail lengkap konfigurasi server ada di WireGuard Full Tunnel di MikroTik — termasuk cara cek interface WAN dan urutan rule NAT.

Langkah 3 — Verifikasi Full Tunnel Berhasil

Setelah Activate, jalankan urutan test ini di Windows. Empat test, masing-masing memvalidasi aspek berbeda dari full tunnel.

Test 1 — IP Publik via PowerShell

PowerShell — Cek IP Publik 
# Buka PowerShell (Win+X → Windows PowerShell)
Invoke-RestMethod ifconfig.me

# Atau pakai curl (built-in di Windows 10+)
curl ifconfig.me

# Hasil yang diharapkan:
# IP publik kantor (bukan IP rumah)
Kalau hasilnya masih IP rumah, AllowedIPs di config belum benar — edit ulang, pastikan ada 0.0.0.0/0, ::/0.

Test 2 — Visual Check via cekipsaya.com

Buka cekipsaya.com di browser. IP yang muncul di banner harus IP kantor + nama institusi/ISP kantor. Test paling cepat dan visual — tidak butuh paham PowerShell.

Test 3 — tracert dari Perspektif Kantor

CMD / PowerShell — Traceroute 
tracert 8.8.8.8

# Output yang diharapkan:
#   1     <1 ms     <1 ms     <1 ms  10.20.20.1   ← gateway WG
#   2     8 ms      7 ms      8 ms  103.10.x.x   ← gateway ISP KANTOR
#   3    12 ms     11 ms     12 ms  ...           ← upstream kantor
#   ...
Hop pertama setelah 10.20.20.1 harus gateway ISP kantor — bukan gateway ISP rumah. Kalau hop 2 menunjukkan IP/ISP rumah, full tunnel belum jalan benar.

Test 4 — WinMTR untuk Diagnostic Lengkap

WinMTR adalah port MTR untuk Windows — gabungan ping + traceroute real-time. Lebih akurat untuk deteksi packet loss intermittent. Download dari winmtr.net (portable, no install). Jalankan, masukkan host (mis. 8.8.8.8), klik Start. Tunggu 100 paket. Hasilnya lebih informatif dari tracert biasa karena menampilkan loss% per-hop dan StDev.

Cara baca WinMTR: kolom Loss% di hop manapun >2% = potensial masalah, StDev tinggi = jitter (jelek untuk video conference). Detail lengkap: Threshold Normal MTR — Cara Baca StDev & Wrst.

Troubleshooting Windows

Internet putus total setelah klik Save di config

Penyebab paling umum: baris DNS = belum ditambahkan di section [Interface], atau sisi server belum punya NAT masquerade. Solusi: Deactivate tunnel dulu → Edit config → pastikan baris DNS = 103.10.x.x, 8.8.8.8 ada di [Interface] → Save → Activate. Kalau masih putus, masalah di sisi server — cek artikel MikroTik troubleshooting NAT.

<code>curl ifconfig.me</code> return IP rumah

Penyebab: AllowedIPs belum diubah ke 0.0.0.0/0, ::/0. Solusi: Edit config, ubah AllowedIPs di section [Peer]. Pastikan format persis: AllowedIPs = 0.0.0.0/0, ::/0 dengan spasi setelah koma.

Tunnel connect tapi semua website timeout

Penyebab: NAT masquerade di MikroTik salah interface WAN, atau MTU mismatch. Solusi: Pertama cek di MikroTik /ip address print untuk verifikasi nama interface WAN, update rule NAT. Kalau interface sudah benar tapi tetap timeout, kecilkan MTU di MikroTik: /interface wireguard set wireguard1 mtu=1380.

Windows Defender Firewall blokir tunnel

Penyebab: setelah install WireGuard, Windows Defender kadang blokir interface baru. Gejala: tunnel Active hijau, tapi semua test gagal. Solusi: Control Panel → Windows Defender Firewall → Allow an app through firewall → centang WireGuard untuk Private dan Public network.

DNS leak — IP publik benar tapi DNS masih ISP rumah

Cara cek: buka dnsleaktest.com → Run Extended Test. Semua DNS server yang muncul harus dari kantor atau 8.8.8.8 — bukan ISP rumah. Solusi: pastikan baris DNS = ada di [Interface]. Windows masih bisa DNS leak walau full tunnel kalau DNS tidak di-set explicit. Restart tunnel setelah edit.

Kembali ke Split Tunnel

Kalau test sudah selesai, kembalikan ke split tunnel agar browsing pribadi tidak melewati gateway kantor (privacy + tidak membebani bandwidth kantor). Edit config di WireGuard for Windows:

Edit Config — Kembali ke Split Tunnel 
[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.20.20.2/32
# DNS = ...        ← HAPUS atau comment out baris ini

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = 103.10.x.x:51820
AllowedIPs = 10.20.20.0/24, 10.1.0.0/16   # ← KEMBALIKAN ke subnet internal
PersistentKeepalive = 25
Save → tunnel reconnect otomatis. Sekarang traffic browsing kembali lewat ISP rumah, tunnel cuma route ke subnet internal kantor.
Workflow yang lebih praktis: bikin dua tunnel terpisah di WireGuard — satu split (WG-Split), satu full (WG-Full). Cukup klik Activate sesuai kebutuhan, tidak perlu edit config bolak-balik. Keypair sama, beda cuma di AllowedIPs + DNS.

Use Case Praktis di Windows

TEST
Diagnose jaringan kantor saat ada laporan lemot — Activate full tunnel → buka WinMTR → target 8.8.8.8 dengan 100 paket → screenshot hasil. Bukti konkret untuk lampiran tiket ke ISP. Detail interpretasi: Threshold Normal MTR.
AKSES
Akses layanan whitelist IP kantor — Banyak SIA kampus, banking corporate, atau partner API hanya allow IP publik tertentu. Activate full tunnel sebelum login → traffic keluar dari IP whitelisted → akses jalan. Setelah selesai, kembali split tunnel.
VERIFIKASI
Bedakan masalah ISP rumah vs kantor — Speedtest dari split tunnel = ukur ISP rumah. Speedtest dari full tunnel = ukur ISP kantor (via tunnel). Bandingkan — kalau full tunnel jauh lebih lemot dari split, masalah ada di kantor (atau jalur tunnel). Kalau sama-sama lemot, masalah hulu yang lebih jauh.

FAQ — Pertanyaan yang Sering Ditanyakan

Hanya saat install pertama kali. Untuk operasi normal (Activate/Deactivate, edit config), tidak perlu admin. WireGuard install service yang jalan dengan privilege sistem, lalu UI komunikasi via service tanpa butuh elevation per session.
Windows punya DNS resolution stack berbeda — bisa query DNS lewat semua interface jaringan secara bersamaan (DNS over multiple interfaces) untuk resolve lebih cepat. Tanpa baris DNS explicit di config WireGuard, Windows kadang masih query lewat ISP rumah walau full tunnel sudah aktif. Mac dan Linux strict per-interface, jadi lebih jarang leak.
Bisa — install dan konfigurasi sama persis. Untuk Windows Server 2019+ kernel module WireGuard sudah include native. Cocok untuk skenario site-to-site VPN antara office dan data center, atau remote access untuk admin.
Tidak perlu. Service langsung jalan setelah install selesai. Tunnel pertama bisa langsung diaktifkan tanpa reboot.
Cek dua hal: (1) Pastikan AllowedIPs masih include subnet internal — <code>0.0.0.0/0</code> sebenarnya sudah cover semua, termasuk subnet internal. (2) Cek firewall di sisi server MikroTik — chain forward atau input mungkin block traffic dari subnet WireGuard. Jalankan <code>/ip firewall filter print</code> di MikroTik untuk audit.

Kesimpulan

Full tunnel di Windows = dua perubahan di config: AllowedIPs jadi 0.0.0.0/0, ::/0 dan tambahkan baris DNS di section [Interface]. Tanpa DNS, internet akan putus dengan error "Could not resolve host" — ini jebakan paling umum. Setelah Activate, verifikasi dengan curl ifconfig.me di PowerShell — harus return IP kantor. Sebelum mulai, pastikan sisi server MikroTik sudah dikonfigurasi — tanpa NAT masquerade di server, perubahan di Windows tidak akan jalan. Pakai full tunnel hanya saat butuh test atau akses resource whitelist IP, lalu kembalikan ke split tunnel.

COBA SEKARANG
Buka Network Dashboard — Test Jaringan Kantor
→ Buka Network Dashboard — Test Jaringan Kantor
// ARTIKEL INI MEMBANTU?

Share ke teman yang butuh info ini:

WhatsApp Telegram Facebook Twitter/X Salin Link