Hot!

Kumpulan Semua Artikel

Campuran Semua Kategori Artikel

Remote MikroTik Tanpa IP Publik Menggunakan VPN WireGuard via OPNsense

 



Remote MikroTik Tanpa IP Publik Menggunakan VPN WireGuard via OPNsense


Dalam banyak kasus di lapangan, router MikroTik berada di lokasi yang tidak memiliki IP publik (di balik NAT ISP).
Hal ini membuat remote management menjadi sulit, bahkan mustahil, jika hanya mengandalkan port forwarding.

Solusi yang aman, modern, dan efisien adalah menggunakan VPN WireGuard dengan OPNsense sebagai server VPN, sehingga:

  • MikroTik bertindak sebagai client

  • Laptop admin juga sebagai client

  • Semua koneksi terenkripsi

  • Tidak perlu IP publik di sisi MikroTik

Pada artikel ini kita akan membahas konsep, topologi, dan alur konfigurasi hingga semua VLAN di MikroTik bisa diakses dari laptop.



Studi Kasus

Kondisi Awal

  • OPNsense (Server 1)

    • Memiliki IP publik

    • Menjadi WireGuard Server

  • MikroTik (Server 2)

    • Tidak punya IP publik

    • Banyak VLAN di bawahnya

  • Laptop Admin

    • Berada di jaringan internet mana saja

    • Ingin mengakses seluruh jaringan MikroTik






Konsep Dasar WireGuard (Penting Dipahami)

WireGuard bekerja dengan prinsip peer-to-peer berbasis public key.

Aturan emasnya:

Public key yang kita masukkan = public key milik lawan bicara

  • Peer di OPNsense untuk MikroTik → pakai public key MikroTik

  • Peer di MikroTik untuk OPNsense → pakai public key OPNsense

  • Peer di Laptop untuk OPNsense → pakai public key OPNsense




Alur Koneksi yang Terjadi

  1. Laptop terkoneksi ke OPNsense via WireGuard

  2. MikroTik juga terkoneksi ke OPNsense via WireGuard

  3. OPNsense menjadi hub

  4. Laptop dan MikroTik bisa saling berkomunikasi melalui tunnel

Dua client WireGuard bisa saling terhubung selama:

- Allowed IPs benar
- Routing dan firewall mengizinkan

 

Konfigurasi Singkat (High-Level)

IP Address WireGuard

DeviceIP WG
OPNsense10.20.30.1
Laptop10.20.30.2
MikroTik10.20.30.3

Allowed IPs di OPNsense (Peer MikroTik)

10.20.30.3/32
192.168.40.0/24
192.168.10.0/23
192.168.4.0/23
172.16.29.0/24

Artinya: Semua jaringan tersebut berada di belakang MikroTik



Tantangan Umum: Bisa Remote Router Tapi Tidak Bisa Akses VLAN

Ini adalah kasus paling sering terjadi.

Penyebabnya:

  • Remote ke router = INPUT chain

  • Akses ke VLAN = FORWARD chain

  • MikroTik memproses firewall dari atas ke bawah

  • Rule Hotspot / Drop sering berada di atas rule VPN

Solusi:

Rule firewall VPN HARUS diletakkan di atas rule Hotspot

Contoh rule penting:

/ip firewall filter add \
  chain=forward \
  in-interface=wg-opn \
  action=accept \
  place-before=0 \
  comment="ALLOW VPN TO ALL VLAN"


NAT untuk Remote Management (Opsional Tapi Praktis)

Agar tidak perlu routing balik di setiap VLAN, kita gunakan src-nat masquerade:

/ip firewall nat add \
  chain=srcnat \
  src-address=10.20.30.0/24 \
  action=masquerade \
  comment="NAT VPN to LAN"

Dengan ini: 

- Semua VLAN menganggap traffic berasal dari MikroTik

- Sangat cocok untuk remote admin & maintenance


Catatan Penting: Overlapping Subnet

Jika OPNsense dan MikroTik memiliki subnet LAN yang sama (misalnya sama-sama 172.16.29.0/24):

Akan terjadi bentrok routing

Solusi terbaik:

- Ganti subnet salah satu sisi atau

- Lakukan NAT subnet remote



Keamanan WireGuard

Keunggulan pendekatan ini:

  • Tidak membuka port manajemen MikroTik ke publik

  • Semua trafik terenkripsi

  • Tidak tergantung IP dinamis MikroTik

  • Lebih aman dibanding port forwarding



Kesimpulan

Dengan WireGuard dan OPNsense:

  • MikroTik tanpa IP publik tetap bisa diremote

  • Semua VLAN bisa diakses dengan aman

  • Cocok untuk:

    • ISP kecil

    • Kantor cabang

    • Data center

    • Remote NOC

Ini adalah arsitektur VPN modern yang stabil, aman, dan scalable.