VPN Management
Panduan lengkap manajemen VPN di LancarTech — mulai dari pembuatan tunnel WireGuard & IPSec, key management otomatis, integrasi langsung dengan MikroTik, monitoring status tunnel real-time, hingga berbagai use case untuk kebutuhan operasional ISP.
Overview
VPN (Virtual Private Network) adalah kebutuhan fundamental bagi ISP untuk menghubungkan infrastruktur jaringan antar lokasi, memberikan akses remote yang aman bagi teknisi, dan menyediakan layanan VPN premium bagi subscriber. LancarTech menyediakan manajemen VPN terpusat yang terintegrasi langsung dengan router MikroTik Anda.
Platform ini mendukung dua protokol VPN utama: modern dengan performa tinggi dan konfigurasi minimal, serta dengan perangkat legacy dan standar enterprise. Kedua protokol dapat dikelola sepenuhnya melalui dashboard tanpa perlu akses langsung ke terminal router.
WireGuard Tunnel
Protokol VPN modern dengan enkripsi state-of-the-art, latensi rendah, dan throughput tinggi. Ideal untuk inter-site VPN dan remote access.
IPSec Tunnel
Kelola tunnel IPSec untuk koneksi antar-cabang yang aman. Dukungan IKEv2, pre-shared key, dan sertifikat digital.
Monitoring Real-Time
Dashboard monitoring real-time — lihat status tunnel, traffic, dan peer connectivity di satu tampilan.
Integrasi MikroTik
Integrasi langsung dengan MikroTik via REST API — buat, edit, dan hapus tunnel tanpa login ke router.
Membuat VPN Tunnel
Berikut langkah-langkah membuat VPN tunnel WireGuard melalui dashboard LancarTech. Proses ini akan secara otomatis mengkonfigurasi interface WireGuard di router MikroTik yang terdaftar.
Buka menu Jaringan > VPN Management dari sidebar dashboard. Halaman ini menampilkan daftar semua VPN tunnel yang sudah dibuat beserta statusnya (Connected, Disconnected, Pending).
Klik tombol Tambah Tunnel di pojok kanan atas. Form pembuatan tunnel akan muncul dengan pilihan protokol WireGuard atau IPSec.
Pilih protokol VPN yang diinginkan (WireGuard direkomendasikan untuk performa terbaik). Kemudian pilih router MikroTik tujuan dari daftar router yang sudah terdaftar di LancarTech. Pastikan router dalam status Online.
Isi nama interface (contoh: wg-site-b), listen port (default: 51820), dan MTU (default: 1420). Untuk WireGuard, sistem akan otomatis generate private key dan public key. Anda juga dapat menggunakan key yang sudah ada.
Masukkan konfigurasi peer: public key peer remote, allowed IPs (subnet yang diizinkan melalui tunnel, contoh: 10.0.0.0/24), endpoint address dan port peer remote, serta persistent keepalive interval (default: 25 detik).
Tentukan IP address untuk interface tunnel lokal (contoh: 10.10.10.1/30). Sistem akan memvalidasi bahwa IP yang dipilih tidak konflik dengan IP pool atau subnet lain yang sudah terdaftar di IPAM.
Jika diperlukan, tambahkan static route untuk mengarahkan traffic ke subnet remote melalui tunnel. Contoh: route 192.168.10.0/24 via 10.10.10.2. Routing akan otomatis ditambahkan di MikroTik.
Periksa ringkasan konfigurasi, lalu klik Deploy. LancarTech akan mengirim konfigurasi ke router MikroTik melalui REST API, membuat interface WireGuard, menambahkan peer, mengassign IP, dan mengaktifkan interface.
yang sama berlaku namun dengan parameter berbeda: proposal (encryption algorithm, hash, DH group), policy (source/destination subnet), dan peer authentication (pre-shared key atau certificate). LancarTech mendukung IKEv2 untuk keamanan optimal.
Key Management
Pengelolaan kunci kriptografi adalah aspek krusial dalam keamanan VPN. LancarTech menyediakan sistem key management otomatis yang memastikan setiap tunnel menggunakan kunci yang unik dan aman tanpa intervensi manual.
Auto-Generate Keypair
Saat membuat tunnel WireGuard baru, sistem secara otomatis menggenerate pasangan private key dan public key menggunakan algoritma Curve25519. Private key disimpan terenkripsi di database dan hanya dikirim ke router MikroTik melalui koneksi terenkripsi. Public key ditampilkan di dashboard untuk dibagikan ke peer remote.
Pre-Shared Key (PSK)
Untuk lapisan keamanan tambahan, LancarTech mendukung penggunaan Pre-Shared Key (PSK) pada setiap peer WireGuard. PSK menambahkan enkripsi simetris di atas enkripsi asimetris Curve25519, memberikan perlindungan post-quantum. PSK dapat di-generate otomatis atau diinput manual.
Key Rotation
LancarTech mendukung rotasi kunci secara berkala untuk meningkatkan keamanan. Anda dapat mengatur jadwal rotasi otomatis (misalnya setiap 30 atau 90 hari). Saat rotasi dilakukan, sistem akan menggenerate keypair baru, mengupdate konfigurasi di kedua sisi tunnel, dan menyimpan riwayat kunci sebelumnya untuk audit.
Import Key Eksternal
Jika Anda sudah memiliki keypair yang di-generate secara eksternal (misalnya dari server Linux atau perangkat lain), Anda dapat mengimport public key peer ke LancarTech. Private key peer tidak perlu diinput karena hanya disimpan di sisi peer remote.
Enkripsi Penyimpanan
Semua private key dan pre-shared key disimpan terenkripsi di database menggunakan AES-256-GCM dengan tenant-specific encryption key. Key tidak pernah ditampilkan dalam log atau response API. Hanya router MikroTik yang menerima private key saat provisioning.
melalui jaringan publik tanpa enkripsi. Komunikasi antara LancarTech dan router MikroTik menggunakan HTTPS (REST API). Pastikan sertifikat SSL pada router MikroTik sudah dikonfigurasi untuk keamanan maksimal.
Integrasi MikroTik
LancarTech terintegrasi langsung dengan MikroTik RouterOS v7+ melalui REST API untuk melakukan provisioning VPN tunnel secara otomatis. Semua konfigurasi yang dibuat melalui dashboard akan langsung diterapkan di router tanpa perlu akses manual via Winbox atau terminal.
Proses Auto-Provisioning
Sebelum melakukan provisioning, sistem memverifikasi bahwa router MikroTik dapat dijangkau melalui REST API. Jika router offline atau credential tidak valid, proses dihentikan dan admin menerima notifikasi error.
Sistem mengirim perintah ke MikroTik untuk membuat interface WireGuard baru dengan parameter: nama interface, listen port, dan private key. Interface dibuat dalam status disabled untuk menghindari gangguan selama konfigurasi.
Peer ditambahkan ke interface WireGuard dengan konfigurasi: public key, allowed addresses, endpoint (jika ada), persistent keepalive, dan pre-shared key (jika digunakan). Satu interface dapat memiliki multiple peers.
IP address ditambahkan ke interface WireGuard sesuai konfigurasi yang ditentukan. Sistem memvalidasi bahwa IP tidak konflik dengan address yang sudah ada di router.
Static route ditambahkan untuk subnet remote yang perlu dijangkau melalui tunnel. Route menggunakan gateway address peer dan ditandai dengan comment untuk identifikasi oleh LancarTech.
Setelah semua konfigurasi selesai, interface WireGuard diaktifkan (enabled). Tunnel siap digunakan dan mulai melakukan handshake dengan peer remote.
Operasi yang Didukung
| Operasi | Deskripsi | MikroTik API |
|---|---|---|
| Create Interface | Membuat interface WireGuard/IPSec baru | /interface/wireguard |
| Add Peer | Menambahkan peer ke interface yang ada | /interface/wireguard/peers |
| Update Config | Mengubah parameter tunnel yang sudah berjalan | PATCH /interface/wireguard/{id} |
| Enable/Disable | Mengaktifkan atau menonaktifkan tunnel | PATCH disabled=true/false |
| Delete Tunnel | Menghapus interface, peer, IP, dan route terkait | DELETE /interface/wireguard/{id} |
| Sync Status | Membaca status aktual tunnel dari router | GET /interface/wireguard |
MikroTik RouterOS v7.1 atau lebih baru karena WireGuard baru tersedia mulai versi ini. Pastikan REST API aktif di router (Services > www-ssl atau www) dan user API memiliki akses write ke group yang sesuai.
Monitoring Tunnel
LancarTech menyediakan monitoring VPN tunnel secara real-time. Dashboard VPN menampilkan status setiap tunnel, statistik traffic, dan riwayat koneksi untuk memudahkan troubleshooting dan capacity planning.
Metrik yang Dipantau
| Metrik | Deskripsi | Interval |
|---|---|---|
| Status Tunnel | Connected, Disconnected, atau Pending — berdasarkan last handshake peer | 30 detik |
| Last Handshake | Waktu terakhir handshake berhasil antara kedua peer | 30 detik |
| TX/RX Traffic | Total bytes yang dikirim dan diterima melalui tunnel | 30 detik |
| Uptime | Durasi tunnel dalam status connected sejak aktivasi terakhir | Real-time |
| Endpoint IP | IP address dan port peer remote yang terdeteksi | 30 detik |
| Latency | Round-trip time (RTT) ke peer remote via tunnel | 60 detik |
Alert & Notifikasi
Sistem alert otomatis memantau kesehatan tunnel dan mengirim notifikasi saat terjadi masalah:
Tunnel Down
Alert dikirim jika tunnel tidak melakukan handshake dalam 3 menit (konfigurable). Notifikasi via WhatsApp/Telegram ke admin jaringan.
High Latency
Peringatan saat latency tunnel melebihi threshold yang ditentukan (default: 100ms). Berguna untuk mendeteksi masalah koneksi antar site sebelum berdampak pada layanan.
Traffic Anomaly
Deteksi anomali traffic yang tidak biasa — misalnya lonjakan traffic mendadak atau traffic drop ke nol. Membantu mengidentifikasi potensi masalah keamanan atau kegagalan link.
Key Expiry Reminder
Reminder otomatis H-7 sebelum jadwal rotasi kunci. Memastikan admin melakukan rotasi kunci tepat waktu untuk menjaga keamanan tunnel.
menampilkan grafik traffic real-time, peta topologi tunnel antar site, dan tabel status semua tunnel. Data historis tersedia hingga 90 hari untuk analisis tren dan capacity planning.
Use Cases
Berikut adalah skenario penggunaan VPN yang umum dalam operasional ISP dan bagaimana LancarTech membantu mengelolanya secara efisien.
Inter-Site VPN (Site-to-Site)
Menghubungkan kantor pusat ISP dengan POP (Point of Presence) atau BTS di berbagai lokasi. Dengan WireGuard, setiap POP terkoneksi ke kantor pusat melalui tunnel terenkripsi, memungkinkan manajemen perangkat di POP secara remote seolah-olah berada di jaringan lokal. Cocok untuk ISP dengan coverage area luas yang memiliki banyak POP tersebar di berbagai kecamatan atau kabupaten.
Remote Management Router
Memberikan akses aman ke router MikroTik di lokasi pelanggan atau POP yang tidak memiliki IP publik. Melalui VPN tunnel, teknisi NOC dapat mengakses Winbox atau SSH ke router tanpa perlu VPN client terpisah. Semua akses tercatat di log untuk audit keamanan. Sangat berguna untuk router di belakang NAT atau CGNAT operator upstream.
Akses Teknisi Lapangan
Teknisi yang bekerja di lapangan dapat mengakses sistem internal ISP (dashboard, monitoring, NMS) melalui VPN tunnel dari perangkat mobile. Setiap teknisi mendapatkan peer WireGuard sendiri dengan allowed IPs yang dibatasi hanya ke subnet yang diperlukan. Akses dapat di-revoke kapan saja tanpa mengganggu teknisi lain.
Backup Link Antar POP
VPN tunnel dapat digunakan sebagai backup link saat koneksi fisik utama antara dua POP mengalami gangguan. Dengan mengkonfigurasi routing failover di MikroTik, traffic secara otomatis dialihkan ke tunnel VPN saat link utama down. Ini meningkatkan reliability jaringan tanpa biaya tambahan untuk link fisik redundan.
Layanan VPN Premium Subscriber
ISP dapat menawarkan layanan VPN premium kepada subscriber korporat yang membutuhkan koneksi aman antar cabang. LancarTech memudahkan provisioning dan monitoring tunnel untuk setiap pelanggan korporat, lengkap dengan SLA monitoring dan billing terintegrasi.
Monitoring SNMP via Tunnel
Perangkat jaringan di remote site yang hanya bisa diakses via private IP dapat dimonitor melalui SNMP poller yang berjalan di kantor pusat. Traffic SNMP dikirim melalui VPN tunnel, sehingga tidak perlu mengekspos SNMP ke internet. LancarTech SNMP Poller dapat dikonfigurasi untuk menggunakan source IP dari interface tunnel.
Best Practices
Tips dan praktik terbaik untuk mengelola VPN tunnel secara aman dan efisien menggunakan LancarTech:
Gunakan WireGuard untuk koneksi baru
WireGuard menawarkan performa yang jauh lebih baik dibanding IPSec dengan overhead minimal. Gunakan IPSec hanya jika harus berinteroperasi dengan perangkat yang tidak mendukung WireGuard. Throughput WireGuard bisa 2-3x lebih tinggi dari IPSec pada hardware yang sama.
Aktifkan Pre-Shared Key (PSK)
Selalu aktifkan PSK pada setiap peer WireGuard untuk mendapatkan lapisan keamanan tambahan. PSK melindungi terhadap serangan quantum computing di masa depan dan menambahkan autentikasi simetris.
Batasi Allowed IPs
Konfigurasikan allowed IPs seketat mungkin. Jangan gunakan 0.0.0.0/0 kecuali memang diperlukan (full tunnel). Batasi hanya ke subnet yang benar-benar perlu diakses melalui tunnel untuk mengurangi attack surface.
Rotasi kunci secara berkala
Aktifkan key rotation setiap 90 hari untuk meminimalkan risiko jika kunci bocor. LancarTech mendukung rotasi otomatis tanpa downtime — kunci baru diterapkan di kedua sisi tunnel secara atomik.
Monitor uptime dan latency
Konfigurasi alert untuk tunnel down dan high latency. Tunnel yang sering disconnect biasanya mengindikasikan masalah pada link upstream atau konfigurasi MTU yang tidak tepat. Sesuaikan MTU jika latency tinggi.
Dokumentasikan setiap tunnel
Gunakan field deskripsi dan tag untuk mendokumentasikan tujuan setiap tunnel: lokasi site, PIC yang bertanggung jawab, dan kontak darurat. Dokumentasi yang baik mempercepat troubleshooting saat terjadi masalah.
Pisahkan tunnel management dan subscriber
Gunakan subnet dan interface yang berbeda untuk tunnel manajemen internal dan layanan VPN subscriber. Ini mencegah subscriber mengakses infrastruktur internal ISP melalui tunnel yang salah konfigurasi.