Konfigurasikan VPN langsung pada router menggunakan OpenVPN. Ini adalah salah satu cara paling ampuh dan fleksibel untuk melindungi seluruh jaringan rumah atau bisnis Anda tanpa perlu repot memasang aplikasi di setiap perangkat. Jika dilakukan dengan benar, perangkat apa pun yang terhubung ke Wi-Fi Anda atau melalui kabel akan mengakses internet melalui terowongan terenkripsi, seolah-olah secara fisik berada di jaringan yang berbeda.
Panduan ini mengumpulkan, menata ulang, dan memperluas informasi teknis dari produsen seperti TP-Link, ASUS, Omada, dan dokumentasi resmi OpenVPN sehingga Anda memiliki semua yang Anda butuhkan dalam satu artikel: apa itu OpenVPN. OpenVPNApa yang Anda peroleh dan hilangkan dengan menggunakannya, cara mengaturnya di router dan server, cara terhubung dari PC dan ponsel, dan cara mengatasi kesalahan yang paling umum.
Apa itu OpenVPN dan mengapa menggunakannya di router Anda?
OpenVPN adalah sebuah perangkat lunak VPN sumber terbuka Ini menciptakan "terowongan" terenkripsi antara klien (laptop, ponsel, dll.) dan server (router, server Linux, NAS, dll.). Ia bekerja melalui SSL/TLS, memungkinkan penggunaan sertifikat digital, kunci, nama pengguna dan kata sandi, serta berbagai algoritma enkripsi modern.
Salah satu keunggulan utamanya dibandingkan protokol lain seperti IPsec adalah bahwa protokol ini lebih mudah diaturSelain itu, aplikasi ini tersedia di hampir semua sistem operasi (Windows, macOS, GNU/Linux, Android, iOS, router, firewall, NAS…).
Saat Anda menginstal dan mengaktifkan OpenVPN pada router, Router itu sendiri bertindak sebagai server VPN. Jaringan lokal Anda menjadi "sisi aman," dan perangkat jarak jauh (klien VPN) terhubung dari luar rumah atau kantor Anda melalui internet, selalu terenkripsi. Router bertindak sebagai gerbang antara VPN dan LAN Anda.
Hasilnya adalah Anda bisa Jelajahi internet dengan aman dari jaringan WiFi publik.Akses sumber daya internal Anda (NAS, printer, kamera IP, server SMB/FTP…) seolah-olah Anda berada di rumah, dan juga sembunyikan IP asli Anda atau lewati blokir geografis tergantung pada bagaimana Anda mengatur konfigurasinya.
Keuntungan dan kerugian menggunakan VPN dan OpenVPN
Memasang VPN pada router dengan OpenVPN memiliki banyak keuntungan praktisNamun, ada juga beberapa kekurangan yang perlu Anda ketahui sebelum memulai, sehingga Anda dapat memilih peralatan, penyedia internet, dan metode instalasi yang tepat. Berikut daftarnya:
- Kemampuan untuk mengubah atau menyembunyikan alamat IP Anda.
- Enkripsi lalu lintas untuk mencegah pengintaian (sangat berguna pada WiFi terbuka).
- Akses konten yang dibatasi berdasarkan negara.
- Jelajahi internet dengan tingkat anonimitas yang jauh lebih tinggi.
Di bagian privasi, VPN tersebut mencegah siapa pun untuk melihat dengan mudah. Situs web yang Anda kunjungi dan lokasi tempat Anda terhubung tidak dilacak, meskipun penyedia layanan internet Anda akan selalu memiliki visibilitas. Meskipun demikian, hal ini membuat pelacakan Anda melalui penyadap, titik akses yang tidak aman, atau jaringan bersama menjadi sangat sulit.
Sebagai imbalannya, Enkripsi dan perutean melalui server VPN mengonsumsi sumber daya. VPN juga cenderung mengurangi kecepatan dan bandwidth yang tersedia, terutama jika router Anda kurang bertenaga atau Anda menggunakan layanan gratis. Selain itu, program antivirus yang baik tetap penting, dan Anda harus berhati-hati saat mengunduh perangkat lunak, karena VPN tidak melindungi Anda dari malware.
Sus kekuatan Keunggulannya adalah keamanan, stabilitas, berbagai pilihan kustomisasi (layer 2 atau 3, tunnel TUN atau TAP, IP dinamis tanpa masalah, kompatibilitas NAT…) dan kontrol yang baik atas aturan firewall dan skrip boot, tetapi hal ini membutuhkan pemahaman yang baik tentang konfigurasinya, terutama jika Anda akan menyesuaikan algoritma dan sertifikat.
Prasyarat dan pertimbangan penting (CG-NAT, IP publik, dan DNS dinamis)
Sebelum mengaktifkan OpenVPN pada router, Anda perlu memeriksa beberapa hal. poin-poin penting:
- Jika router Anda mendukung server OpenVPN.
- Pastikan koneksi internet Anda memiliki alamat IP publik.
- Jika Anda perlu menggunakan DNS dinamis.
Banyak router kelas menengah dan atas dari TP-Link, ASUS, atau Omada sudah memiliki server OpenVPN terintegrasi, tetapi tidak semua model menyertakannya, dan tidak semua versi firmware memilikinya. Disarankan untuk... Periksa spesifikasi model Anda dan, jika perlu, perbarui firmware ke versi terbaru yang ditawarkan oleh produsen.
Persyaratan yang paling penting adalah memiliki alamat IP publik pada WAN router.Jika ISP Anda menggunakan CG-NAT dan memberi Anda alamat IP pribadi bersama (umum pada koneksi 4G/5G atau ISP tertentu), Anda tidak akan dapat meneruskan port dari internet ke router Anda, sehingga VPN tidak akan dapat diakses dari luar. Dalam hal ini, Anda perlu meminta alamat IP statis atau publik dari ISP Anda.
Mampu menemukan router Anda berdasarkan nama dan bukan berdasarkan alamat IP numerik, sangatlah praktis. Aktifkan layanan DNS dinamis pada router itu sendiri. (NO-IP, DynDNS, layanan milik produsen, dll.). Dengan cara ini Anda dapat terhubung ke mydomain.no-ip.org alih-alih menghafal alamat IP publik Anda, yang dapat berubah.
Selain itu, Disarankan untuk menyinkronkan waktu sistem router dengan internet secara benar.Hal ini karena sertifikat digital dan fungsi TLS bergantung pada tanggal dan waktu yang tepat. Ketidaksesuaian dapat menyebabkan kesalahan validasi sertifikat yang tidak biasa.
Bagaimana cara kerja OpenVPN secara teknis dan mode apa saja yang ditawarkannya (TUN/TAP, UDP/TCP)
OpenVPN dapat beroperasi dalam mode TUN atau TAPdan menggunakan UDP atau TCP sebagai protokol transport. Setiap pilihan memengaruhi kinerja, kompatibilitas, dan jenis jaringan yang dibuat antara klien dan server.
- Mode TUN meniru antarmuka point-to-point. Ini hanya berfungsi dengan lalu lintas IP. Ini ideal untuk membuat subnet virtual baru (misalnya, 10.8.0.0/24) tempat klien VPN berada, terpisah dari LAN fisik. Ini adalah mode yang paling umum untuk akses jarak jauh dan biasanya menawarkan kinerja yang lebih baik.
- Mode TAP mensimulasikan antarmuka Ethernet Layer 2.Ini melibatkan enkapsulasi langsung frame Ethernet. Hal ini memungkinkan perangkat jarak jauh berada di subnet yang sama dengan LAN, yang berguna ketika Anda ingin klien VPN tampak "terhubung" ke switch lokal, meskipun dapat menyebabkan masalah jika rentang jaringan tumpang tindih dan umumnya kurang efisien.
Mengenai protokol, UDP lebih disarankan daripada TCP. Untuk terowongan VPN, TCP lebih disukai karena menghindari transmisi ulang internal yang tidak perlu dan lebih tahan terhadap kehilangan paket dan serangan penolakan layanan. TCP juga dimungkinkan, tetapi menimbulkan lebih banyak overhead dan menduplikasi kontrol sesi.
Dalam praktiknya, konfigurasi yang paling direkomendasikan Mereka menggunakan TUN melalui UDP, dengan subnet virtual khusus untuk VPN dan rute spesifik untuk mengakses LAN atau untuk memaksa semua lalu lintas internet melalui terowongan.
Enkripsi, sertifikat, dan keamanan tingkat lanjut di OpenVPN
Salah satu keunggulan OpenVPN adalah kemampuannya untuk memilih algoritma enkripsi simetris, asimetris, dan hash dengan presisi yang tinggi, serta versi TLS dan berbagai langkah tambahan untuk melawan serangan penolakan layanan (denial-of-service).
Untuk infrastruktur kunci publik (PKI)Umumnya, sertifikat berbasis kurva eliptik (EC) digunakan sebagai pengganti RSA klasik. Misalnya, Easy-RSA 3 dapat dikonfigurasi untuk menghasilkan CA, sertifikat server, dan sertifikat klien menggunakan kurva secp521r1 dan menandatanganinya dengan SHA512, sehingga menghasilkan kunci yang sangat aman dan relatif ringan.
Dalam saluran kontrol (negosiasi TLS)OpenVPN mendukung setidaknya TLS 1.2 dan, pada versi terbaru, TLS 1.3. Disarankan menggunakan paket TLS yang kuat dengan Perfect Forward Secrecy, seperti TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 atau TLS_AES_256_GCM_SHA384 dan TLS_CHACHA20_POLY1305_SHA256 yang lebih baru untuk TLS 1.3. Selalu periksa dengan perintah `openvpn --show-tls` untuk mengetahui versi yang didukung oleh instalasi Anda.
Untuk saluran data (lalu lintas VPN sebenarnya)Algoritma enkripsi yang direkomendasikan adalah AES-256-GCM atau AES-128-GCM, yang mengintegrasikan otentikasi (AEAD) dan menghilangkan kebutuhan akan hash terpisah. Jika prosesor Anda tidak mendukung akselerasi AES-NI, algoritma enkripsi CHACHA20-POLY1305 biasanya menawarkan kinerja yang lebih baik dan juga didukung mulai dari OpenVPN 2.5 dan seterusnya.
Lapisan tambahan penting lainnya adalah penggunaan kunci HMAC tambahan Dengan tls-crypt (atau tls-auth di versi yang lebih lama), yang melindungi fase awal koneksi dari serangan port UDP, serangan SYN, dan pemindaian, ia juga menyembunyikan kunci pra-berbagi itu sendiri saat menggunakan tls-crypt. Semua klien harus berbagi kunci yang sama jika Anda menggunakan versi pertama, sedangkan dengan tls-crypt-v2 setiap klien dapat memiliki kunci yang berbeda.
Pembuatan PKI dengan Easy-RSA dan pengorganisasian sertifikat
Jika Anda menyiapkan Server OpenVPN "murni" pada GNU/Linux atau yang serupa.Praktik yang umum dilakukan adalah membuat sertifikat sendiri dengan Easy-RSA 3, menyesuaikan file vars untuk menentukan apakah Anda akan menggunakan RSA atau EC, hash, kurva, masa berlaku CA dan sertifikat, dll.
Setelah menyalin vars.example ke vars dan mengeditnya, Anda dapat memilih mode cn_only untuk menyederhanakan DN, mengaktifkan EASYRSA_ALGO ec, memilih kurva secp521r1, mengkonfigurasi masa berlaku (misalnya, 10 tahun untuk CA dan 1080 hari untuk sertifikat), dan mengatur EASYRSA_DIGEST ke sha512.
Setelah berkas tersebut siap, Anda menginisialisasi PKI dengan perintah ./easyrsa init-pkiAnda membuat CA dengan ./easyrsa build-ca (dengan atau tanpa kata sandi pada kunci privat) dan dari sana, Anda membuat permintaan sertifikat untuk server dan sebanyak yang Anda butuhkan untuk klien, kemudian menandatanganinya sebagai server atau klien masing-masing.
Pada titik ini sangat disarankan mengatur file dalam map transparan:
- Satu untuk server (ca.crt, server.crt, server.key, ta.key, dan opsional dh.pem jika Anda tidak menggunakan ECDHE).
- Satu untuk setiap klien (ca.crt, clientX.crt, clientX.key dan ta.key).
Dengan cara ini Anda menghindari tercampurnya kunci dan sertifikat.
Selain sertifikat, OpenVPN memungkinkan penggunaan otentikasi tambahan dengan nama pengguna/kata sandi, baik terhadap sistem itu sendiri, atau terhadap server RADIUS atau basis data lainnya, memperkuat keamanan terhadap pencurian sertifikat.
Konfigurasi klien OpenVPN pada PC, perangkat seluler, dan router.
Langkah selanjutnya adalah mengkonfigurasi klien jarak jauhyang bisa berupa komputer Windows atau Linux, ponsel Android/iOS, router lain, atau bahkan peralatan yang terhubung dari pengontrol seperti Omada.
Dalam satu klien desktop klasikFile client.ovpn menyertakan arahan seperti client, dev tun, proto udp, baris remote dengan IP publik atau domain router dan port yang dipilih, resolv-retry infinite, nobind dan jalur ke ca.crt, sertifikat dan kunci klien sendiri, ditambah tls-crypt ta.key.
Untuk keamanan tambahan, klien memvalidasi server Dengan `remote-cert-tls server`, gunakan cipher dan otentikasi yang sama dengan server, dan idealnya replikasikan rangkaian TLS yang didukung yang sama. Sangat penting bahwa cipher dan kurva cocok; jika tidak, jabat tangan TLS akan gagal.
Di Android, Anda dapat menggunakan aplikasi OpenVPN resmi. atau aplikasi pihak ketiga yang lebih canggih yang mendukung fitur-fitur terbaru. Biasanya, cukup dengan menyalin folder yang berisi ca.crt, cliente.crt, cliente.key, ta.key, dan file .ovpn ke memori ponsel Anda, lalu mengimpor profil tersebut dari dalam aplikasi itu sendiri.
Di Windows, klien OpenVPN Community. Biasanya, Anda perlu menyalin file .ovpn dan sertifikat ke C:\Program Files\OpenVPN\config (atau jalur yang ditentukan selama instalasi). Kemudian, klik kanan ikon OpenVPN di system tray, pilih profil, dan sambungkan.
Mengonfigurasi OpenVPN pada router TP-Link
Beberapa router TP-Link generasi baru dilengkapi dengan server OpenVPN terintegrasi. dalam antarmuka web canggihnya, yang sangat menyederhanakan berbagai hal karena secara otomatis menghasilkan sertifikat dan file .ovpn untuk klien.
Dalam skenario sederhana dengan satu router tunggal di jaringanAlurnya biasanya: masuk ke antarmuka web, buka Advanced > VPN Server > OpenVPN, centang Enable VPN server dan, jika ini pertama kalinya, klik Generate untuk membuat sertifikat internal.
Selanjutnya, pilihan dibuat. jenis layanan (UDP atau TCP), port layanan ditentukan antara 1024 dan 65535, subnet dan mask VPN dikonfigurasi, dan jenis akses klien dipilih: Hanya jaringan rumah (hanya LAN 192.168.xx) atau Internet dan jaringan rumah (semua lalu lintas Internet melewati VPN).
Setelah Simpan konfigurasi dan buat/perbarui sertifikat.Klik Ekspor untuk mengunduh file konfigurasi OpenVPN yang akan digunakan klien. Kemudian, cukup instal klien OpenVPN di PC atau perangkat seluler Anda, salin file yang diekspor ke folder konfigurasi, dan sambungkan.
Ketika terdapat dua router atau lebih dalam topologi rumah. (misalnya, router ISP dan router TP-Link di belakangnya), selain mengkonfigurasi OpenVPN pada router kedua, Anda juga harus membuat penerusan port (server virtual) pada router pertama, mengarahkan port eksternal ke IP LAN router kedua dan port internal yang sama yang digunakan OpenVPN.
Mengonfigurasi OpenVPN pada router ASUS
Los Router ASUS dengan firmware ASUSWRT Mereka juga menyertakan server OpenVPN dengan antarmuka grafis yang cukup ramah pengguna, meskipun tampilan layar sedikit berubah antara versi firmware sebelum dan sesudah 3.0.0.4.388.xxxx.
Proses dimulai mengakses GUI router Dari http://www.asusrouter.com atau IP LAN Anda, masuk dengan nama pengguna dan kata sandi administrator Anda, lalu buka VPN > Server VPN untuk mengaktifkan OpenVPN.
Pada pengaturan umum port server telah ditentukan (misalnya, 2000 atau nilai antara 1024 dan 65535), panjang enkripsi RSA default, dan sekali lagi apakah klien hanya dapat mengakses jaringan lokal atau juga Internet melalui router.
Setelah semuanya diterapkan, File client.ovpn diekspor Dari bagian server OpenVPN. File tersebut sudah menyertakan sertifikat, kunci, dan parameter yang diperlukan. Jika Anda kemudian mengubah kunci atau sertifikat, Anda perlu mengekspor ulang dan mendistribusikannya ke klien.
Di bagian Detail VPN > Pengaturan Lanjutan Anda dapat mengedit kunci dan sertifikat secara manual, menyesuaikan parameter seperti versi atau algoritma TLS, dan mengadaptasi konfigurasi ke lingkungan yang lebih menuntut tanpa menyentuh firmware.
Konfigurasikan OpenVPN di Omada (TP-Link) sebagai server dan buat pengguna.
Dalam lingkungan yang dikelola oleh pengontrol. omada Anda dapat menentukan kebijakan VPN tipe Server OpenVPN untuk akses Klien-ke-Situs, yang ideal ketika Anda ingin memusatkan manajemen dalam satu panel.
Dari pengontrol yang Anda akses Konfigurasi> VPNAnda mengklik Tambah untuk membuat kebijakan baru dan menentukan nama (misalnya "test"), mengaturnya ke Diaktifkan, memilih Tujuan Klien ke Situs dan Jenis VPN: Server VPN - OpenVPN.
Dalam kebijakan yang sama Anda memutuskan apakah akan menggunakan terowongan terpisah atau terowongan penuh.Pilih antara Split Tunnel, sehingga hanya lalu lintas ke jaringan internal yang melewati VPN, atau Full Tunnel, sehingga semua lalu lintas internet juga melewati server. Anda juga dapat memilih protokol (TCP/UDP), port layanan (default 1194), mode otentikasi (lokal), jenis jaringan lokal, dan rentang alamat IP yang akan diberikan kepada klien.
Setelah Anda membuat pengguna VPN di Pengaturan > VPN > PenggunaProses ini melibatkan pemberian nama akun dan kata sandi, pemilihan protokol OpenVPN, dan menghubungkan pengguna ke server VPN yang baru dibuat. Setiap pengguna kemudian akan memiliki kredensial dasar mereka.
Terakhir, file .ovpn diekspor dari daftar kebijakan.Salin file tersebut ke klien (PC, laptop, dll.), instal perangkat lunak OpenVPN Community, letakkan file tersebut di folder konfigurasi, dan sambungkan. Anda dapat memeriksa statusnya di pengontrol di bawah Insight > Status VPN.
Pembaruan OpenVPN terbaru dan alternatif yang tersedia
OpenVPN terus berevolusi dengan setiap versinya.Menambahkan peningkatan keamanan, kinerja, dan kemudahan penggunaan. Perubahan terbaru mencakup tls-crypt-v2 (untuk menetapkan kunci khusus klien dan lebih lanjut mengurangi serangan DoS), dukungan untuk CHACHA20-POLY1305, dan peningkatan negosiasi cipher data menggunakan cipher data.
Pada saat bersamaan, Dukungan untuk algoritma enkripsi usang telah ditarik. seperti BF-CBC dalam konfigurasi default, yang mendorong administrator untuk menggunakan AES-GCM atau CHACHA20, yang jauh lebih aman dan lebih cepat dalam praktiknya.
Di perusahaan, hal ini juga umum terjadi. kombinasikan OpenVPN dengan solusi cloud seperti Azure VPN Gateway atau dengan firewall yang mengintegrasikan IPsec dan protokol lain untuk koneksi antar lokasi, sementara di lingkungan rumah, router yang kompatibel dengan OpenVPN yang dikonfigurasi dengan baik biasanya menyediakan semua yang dibutuhkan.
Dengan semua yang terlihat, Konfigurasikan VPN pada router Anda menggunakan OpenVPN. Dari sesuatu yang misterius, proyek ini bisa berubah menjadi proyek yang sepenuhnya dapat dikelola jika Anda memenuhi persyaratan dasar (IP publik, router yang kompatibel, sedikit kesabaran) dan mengikuti struktur yang jelas: siapkan sertifikat atau gunakan sertifikat yang dihasilkan oleh router, aktifkan dan sesuaikan server, ekspor konfigurasi untuk klien, dan uji dengan tenang, perbaiki kesalahan umum; sebagai imbalannya, Anda mendapatkan jaringan yang jauh lebih aman dan fleksibel, siap untuk bekerja jarak jauh dan untuk melindungi semua perangkat di rumah sekaligus.