Cara Setting WireGuard di MikroTik RouterOS 7 (Lengkap)

WireGuard sudah jadi VPN modern pilihan banyak admin jaringan: kode-nya ringkas, enkripsinya cepat (ChaCha20-Poly1305), dan overhead-nya jauh lebih kecil dari OpenVPN. Kabar baiknya, sejak RouterOS 7.1 WireGuard sudah native di MikroTik — tidak perlu paket tambahan. Artikel ini membahas konfigurasi WireGuard yang benar-benar dipakai di produksi: bukan sekadar bikin interface, tapi sampai NAT, firewall, akses ke LAN kantor, full vs split tunnel, verifikasi handshake, dan troubleshooting yang sering bikin pemula buntu.

Prasyarat: RouterOS 7.1 ke atas (artikel ini diuji di 7.18.2). Cek versimu dengan /system resource print. WireGuard tidak tersedia di RouterOS 6.

Kenapa WireGuard di RouterOS 7

Dibanding OpenVPN/L2TP/PPTP yang lebih dulu ada di MikroTik, WireGuard menang di tiga sisi: ringan di CPU (penting untuk router yang sudah padat trafik), handshake cepat (koneksi nyaris instan, cocok untuk perangkat mobile yang sering ganti jaringan), dan konfigurasi sederhana (cukup pasangan kunci publik-privat, tanpa sertifikat ribet). Untuk remote access admin ke jaringan kantor, atau menghubungkan kantor cabang, WireGuard jadi default yang masuk akal di RouterOS 7.

Arsitektur: Server, Peer, dan Subnet Tunnel

Skenario yang dipakai di sini: MikroTik berperan sebagai server WireGuard dengan subnet tunnel 10.20.20.0/24. Router mendapat alamat 10.20.20.1, dan tiap perangkat client (laptop, HP) mendapat alamat seperti 10.20.20.2. Lewat tunnel ini, client bisa mengakses LAN kantor (misalnya 10.1.0.0/16) dan/atau seluruh internet (full-tunnel). Listen-port standar WireGuard adalah UDP 51820.

Client
10.20.20.2 laptop/HP

Tunnel WG
10.20.20.0/24 UDP 51820

MikroTik
10.20.20.1 server WG

LAN + Internet
10.1.0.0/16 sumber daya kantor

Langkah 1: Konfigurasi WireGuard di MikroTik (Server)

LANGKAH 1

Buat interface WireGuard — RouterOS otomatis membuat pasangan kunci saat interface dibuat. Set listen-port 51820 dan MTU 1420.

LANGKAH 2

Beri alamat IP ke interface — Tetapkan 10.20.20.1/24 ke interface wg-vpn sebagai gateway tunnel.

LANGKAH 3

Ambil public-key router — Catat public-key interface (lihat /interface wireguard print) — dipakai di config client.

LANGKAH 4

Tambah peer (client) — Daftarkan public-key client + allowed-address berisi IP tunnel client (10.20.20.2/32).

RouterOS — Buat interface, IP, dan peer

# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════

# 1) Buat interface WireGuard (kunci dibuat otomatis)
/interface wireguard add name=wg-vpn listen-port=51820 mtu=1420

# 2) Beri IP gateway tunnel
/ip address add address=10.20.20.1/24 interface=wg-vpn

# 3) Lihat public-key router (untuk config client)
/interface wireguard print

# 4) Tambah peer/client (allowed-address = IP tunnel client saja)
/interface wireguard peers add interface=wg-vpn \
    public-key="PUBLIC_KEY_CLIENT" \
    allowed-address=10.20.20.2/32

allowed-address di sisi SERVER berisi IP tunnel client (10.20.20.2/32) — ini menentukan trafik balik dirutekan ke peer mana. Jangan isi 0.0.0.0/0 di sini; full-tunnel diatur di sisi client.

Langkah 2: NAT & Firewall (Paling Sering Terlewat)

Interface saja tidak cukup. Tanpa NAT, client WG tidak bisa keluar ke internet; tanpa firewall yang benar, handshake atau trafik akan diblokir. Ini bagian yang paling sering bikin "handshake sukses tapi tidak bisa ngapa-ngapain".

RouterOS — NAT untuk subnet WireGuard

# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════

# NAT WG -> Internet (ganti ether1 dengan interface WAN-mu, mis. sfp28-1)
/ip firewall nat add chain=srcnat action=masquerade \
    src-address=10.20.20.0/24 out-interface=ether1 \
    comment="NAT WG to Internet"

# NAT WG -> LAN kantor (WAJIB agar akses ke 10.1.0.0/16 jalan)
/ip firewall nat add chain=srcnat action=masquerade \
    src-address=10.20.20.0/24 dst-address=10.1.0.0/16 \
    comment="NAT WG to LAN"

Gotcha dari lapangan: akses client WG ke LAN kantor sering gagal walau routing benar. Tambahkan masquerade WG->LAN (rule kedua) — ini yang bikin akses ke server/printer/CCTV di LAN berhasil.

RouterOS — Firewall filter untuk WireGuard

# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════

# Izinkan handshake WireGuard masuk (UDP 51820)
/ip firewall filter add chain=input action=accept \
    protocol=udp dst-port=51820 comment="Allow WireGuard"

# Izinkan trafik dari subnet WG
/ip firewall filter add chain=forward action=accept \
    src-address=10.20.20.0/24 comment="WG Traffic"

# WG <-> LAN kantor (dua arah)
/ip firewall filter add chain=forward action=accept \
    src-address=10.20.20.0/24 dst-address=10.1.0.0/16
/ip firewall filter add chain=forward action=accept \
    src-address=10.1.0.0/16 dst-address=10.20.20.0/24

Letakkan rule accept ini SEBELUM rule drop di chain forward/input, kalau tidak akan tertelan. Banyak admin pakai address-list khusus (mis. list "WG") untuk merapikan rule ini.

Langkah 3: Konfigurasi Client (Laptop/HP)

Di sisi client (aplikasi WireGuard di Windows/macOS/Android/iOS), arahkan ke IP publik router. Bagian AllowedIPs menentukan apa yang lewat tunnel — ini perbedaan kunci full-tunnel vs split-tunnel.

WireGuard Client — wg-client.conf

# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════

[Interface]
PrivateKey = PRIVATE_KEY_CLIENT
Address    = 10.20.20.2/32

[Peer]
PublicKey  = PUBLIC_KEY_ROUTER
Endpoint   = 203.0.113.10:51820
# Split-tunnel: hanya LAN kantor + subnet WG lewat tunnel
AllowedIPs = 10.1.0.0/16, 10.20.20.0/24
# Full-tunnel: ganti baris di atas dengan: AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Ganti 203.0.113.10 dengan IP publik router. PersistentKeepalive = 25 penting bila router atau client di balik NAT/CGNAT — menjaga sesi tetap hidup. Full-tunnel (0.0.0.0/0) merutekan SEMUA trafik client lewat router.

Full-Tunnel vs Split-Tunnel

Aspek	Split-Tunnel	Full-Tunnel
AllowedIPs (client)	10.1.0.0/16, 10.20.20.0/24	0.0.0.0/0
Yang lewat tunnel	Hanya LAN kantor	Semua trafik
IP publik client jadi	Tetap IP ISP sendiri	IP publik router
Cocok untuk	Remote akses kerja	Privasi / bypass CGNAT
Beban router	Ringan	Lebih berat

Langkah 4: Verifikasi Handshake & Koneksi

Setelah client connect, pastikan tunnel benar-benar hidup — bukan sekadar "ada interface".

RouterOS — Cek status peer

/interface wireguard peers print

# Yang dicari pada output:
#   last-handshake : waktu kecil (mis. 39s) = tunnel sehat
#   rx / tx        : angka naik = data mengalir dua arah
#   current-endpoint-address : IP publik client yang terhubung

Kalau last-handshake kosong atau lama: handshake belum terjadi — cek firewall UDP 51820, endpoint IP/port di client, dan public-key kedua sisi.

Troubleshooting yang Sering Terjadi

Handshake tidak pernah terjadi

Penyebab tersering: firewall belum mengizinkan UDP 51820 masuk, endpoint IP/port salah di client, atau public-key tertukar. Pastikan juga router punya IP publik yang bisa dijangkau (kalau di balik CGNAT, lihat poin terakhir).

Handshake OK tapi tidak bisa internet/LAN

Hampir selalu masalah NAT. Pastikan ada masquerade untuk src-address 10.20.20.0/24 ke WAN, dan untuk akses LAN tambahkan masquerade WG->LAN. Cek juga rule firewall forward accept tidak tertelan rule drop.

Koneksi sering putus / lag

Set MTU interface ke 1420 (default WireGuard) untuk menghindari fragmentasi. Di client, pasang PersistentKeepalive = 25 agar sesi NAT tidak menutup jalur.

Router di balik CGNAT

Kalau router rumahmu kena CGNAT, client tidak bisa connect langsung (tidak ada IP publik yang dijangkau). Solusinya: balik perannya — pakai VPS publik sebagai server WG, router/PC dial-out ke sana. Lihat panduan VPS + WireGuard.

Studi Kasus: Kasus Nyata: Remote Akses Admin ke Jaringan Kantor
Seorang admin perlu mengelola server, switch, dan CCTV di jaringan kantor (10.1.0.0/16) dari luar tanpa membuka port satu per satu. Dengan satu interface WireGuard di MikroTik + peer untuk laptopnya (allowed-address 10.20.20.2/32), ditambah masquerade WG ke internet DAN ke LAN, plus firewall accept dua arah, laptopnya kini bisa menjangkau seluruh perangkat kantor lewat satu tunnel terenkripsi. Handshake nyaris instan setiap kali connect — keunggulan WireGuard dibanding OpenVPN yang dipakai sebelumnya.

FAQ — Pertanyaan yang Sering Ditanyakan

WireGuard tersedia di RouterOS versi berapa?

WireGuard mulai didukung native sejak RouterOS 7.1. Di RouterOS 6 tidak tersedia. Disarankan memakai versi 7 yang lebih baru (artikel ini diuji di 7.18.2) untuk stabilitas dan perbaikan bug.

Berapa port default WireGuard di MikroTik?

Listen-port default WireGuard adalah UDP 51820. Kamu bisa menggantinya, tapi pastikan firewall mengizinkan port yang dipakai dan endpoint di client menunjuk port yang sama.

Kenapa handshake sukses tapi tidak bisa akses LAN kantor?

Masalah ini hampir selalu di NAT atau firewall. Pastikan ada rule masquerade untuk subnet WG menuju LAN, dan rule firewall forward yang mengizinkan trafik WG ke LAN dan sebaliknya. Routing saja tidak cukup tanpa NAT dan filter yang benar.

Apa beda full-tunnel dan split-tunnel?

Pada full-tunnel, AllowedIPs di client diisi 0.0.0.0/0 sehingga semua trafik lewat router — IP publik client menjadi IP router. Pada split-tunnel, hanya subnet tertentu (misalnya LAN kantor) yang lewat tunnel, sisanya tetap lewat koneksi internet client sendiri.

Bagaimana kalau router MikroTik saya di balik CGNAT?

Kalau router tidak punya IP publik karena CGNAT, client tidak bisa menghubunginya langsung. Solusinya membalik arah: gunakan VPS dengan IP publik sebagai titik temu, lalu router atau perangkat dial-out ke VPS. Pendekatan ini dibahas di panduan VPS dan WireGuard.

Apakah WireGuard lebih cepat dari OpenVPN di MikroTik?

Umumnya ya. WireGuard lebih ringan di CPU dan handshake-nya jauh lebih cepat, sehingga terasa lebih responsif terutama di perangkat mobile yang sering berpindah jaringan. Untuk router yang sudah padat trafik, beban WireGuard lebih kecil dibanding OpenVPN.

Kesimpulan

WireGuard di RouterOS 7 adalah cara paling ringan dan cepat untuk membangun VPN sendiri — baik untuk remote access ke jaringan kantor maupun full-tunnel. Kunci suksesnya ada di tiga hal yang sering terlewat: NAT masquerade untuk subnet WG (ke internet dan ke LAN), firewall yang mengizinkan trafik WG, dan persistent-keepalive di sisi client bila berada di balik CGNAT. Kalau kamu ingin tunnel dari rumah yang ber-CGNAT, padukan ini dengan VPS sebagai titik publik. Lihat juga kumpulan panduan MikroTik lain di hub MikroTik.