Sebuah rumah tangga dengan dua ponsel, dua laptop, satu smart TV, satu konsol, dan satu speaker pintar adalah tujuh perangkat yang semuanya mungkin membutuhkan cakupan VPN. Memasang dan memelihara klien VPN di masing-masing perangkat itu merepotkan. Beberapa di antaranya, terutama konsol dan banyak perangkat IoT, sama sekali tidak bisa menjalankan klien VPN normal. Yang lain, seperti smart TV, mungkin hanya mendukung aplikasi VPN pada platform tertentu.
Router VPN menyelesaikan ini dengan menjalankan VPN di router itu sendiri, sehingga setiap perangkat di belakangnya mewarisi tunnel tanpa memasang apa pun. Istilah ini mencakup beberapa penyiapan berbeda: router yang terhubung keluar ke penyedia VPN atas nama LAN, router yang bertindak sebagai server VPN sehingga Anda bisa menyalurkan tunnel masuk dari tempat lain, atau gateway host-sendiri di VPS yang Anda kendalikan sepenuhnya.
Versi Singkat
- Router VPN menjalankan perangkat lunak VPN di router sehingga setiap perangkat yang terhubung, termasuk yang tidak bisa menjalankan klien VPN sendiri, menggunakan tunnel secara otomatis.
- Router ini punya dua mode yang menyelesaikan masalah berbeda: mode klien menyalurkan lalu lintas keluar ke penyedia VPN atau server Anda sendiri; mode server membiarkan perangkat jarak jauh menyalurkan tunnel masuk ke LAN Anda.
- WireGuard adalah protokol yang tepat untuk VPN tingkat router di hampir semua kasus. Basis kodenya kecil, biaya per paketnya rendah, dan CPU router konsumen menanganinya lebih baik daripada menangani OpenVPN.
- Anda punya empat cara untuk mendapatkannya: gunakan router yang sudah mendukung VPN, pasang firmware kustom ke router yang Anda miliki, beli router VPN yang sudah dikonfigurasi sebelumnya, atau lewati perangkat keras sepenuhnya dan jalankan WireGuard di VPS. Opsi terakhir adalah yang terkuat jika Anda menginginkan pilihan server, kendali yurisdiksi, atau sudah meng-host sendiri.
Cara Sebenarnya Router VPN Bekerja
Saat sebuah perangkat terhubung ke router VPN dalam mode klien, perangkat itu tidak tahu bahwa ia berada di VPN. Perangkat menerima sewa DHCP biasa dari router, membuka koneksi TCP ke tujuan, dan mengirim paket. Router yang melakukan enkripsi. Perangkat melihat LAN yang normal. Ada dua mode yang perlu dipahami, dan sebagian besar "router VPN" konsumen hanya melakukan yang pertama dengan baik.
Mode Klien VPN (Keluar)
Dalam mode klien, router menyimpan kredensial VPN dan menyalurkan semua lalu lintas keluar atas nama perangkat di belakangnya. Aliran datanya adalah: perangkat → router → tunnel terenkripsi → server VPN → internet publik.
Setiap perangkat di LAN menggunakan tunnel yang sama secara otomatis. Router mengambil setiap paket, mengenkripsinya, dan meneruskannya ke endpoint VPN yang dikonfigurasi. Internet publik melihat IP keluar server VPN, bukan IP yang ditetapkan ISP rumah. Inilah penyiapan yang biasanya dimaksud orang saat mengatakan "router VPN."
Enkripsi terjadi di CPU router. Ini detail mekanis yang penting. Router konsumen yang lebih lama dan lebih murah mungkin menjalankan chip ARM atau MIPS berclock rendah dengan akselerasi kripto terbatas, sementara router berkemampuan VPN yang lebih baru jauh lebih cepat. Bagaimanapun, router tetap bertanggung jawab mengenkripsi setiap byte yang masuk dan keluar dari setiap perangkat di jaringan, sehingga perangkat keras router menjadi batas atas kinerja.
Protokol penting di sini karena alasan yang sama. Biaya per paket WireGuard lebih rendah daripada OpenVPN, itulah sebabnya dukungan WireGuard pada router konsumen adalah fitur yang patut dicari. Lihat panduan penyiapan WireGuard di VPS yang sudah ada.
Mode Server VPN (Masuk)
Dalam mode server, router itu sendiri menjalankan server VPN. Perangkat jarak jauh di internet terbuka terhubung masuk ke IP publik router dan mendarat di LAN seolah-olah mereka duduk di ruang tamu. Aliran datanya adalah: perangkat jarak jauh → IP publik → server VPN router → sumber daya LAN.
Ini menyelesaikan masalah yang berbeda. Ini adalah akses jarak jauh, bukan privasi keluar. Sebuah laptop di kedai kopi bisa menjangkau server berkas di rumah. Sebuah ponsel di luar negeri bisa menjangkau jaringan rumah. Router adalah server VPN; ponsel adalah klien VPN.
Mode server membutuhkan alamat IP yang dapat dirutekan secara publik. Jika ISP Anda menempatkan Anda di belakang CGNAT, dan banyak ISP residensial melakukannya, tidak ada IP publik untuk dihubungi masuk, dan mode ini tidak bekerja tanpa trik tambahan. Penerusan port biasanya juga diperlukan, yang membatasi ini hanya untuk orang yang memiliki router dan bisa mengonfigurasi firewall-nya.
Kedua mode itu tidak saling eksklusif. Router yang mumpuni bisa menjalankan keduanya sekaligus. Tetapi kasus penggunaannya sepenuhnya berbeda. Mode klien adalah untuk "Saya ingin seluruh rumah saya berada di balik exit VPN." Mode server adalah untuk "Saya ingin menjangkau rumah saya dari tempat lain."
Empat Jalur Menuju VPN Tingkat Router
Tidak ada satu hal bernama "mendapatkan router VPN." Ada empat jalur, dan mereka tersortir di sepanjang dua sumbu: seberapa banyak kendali perangkat keras dan firmware yang Anda inginkan, dan apakah Anda menginginkan penyedia komersial atau server Anda sendiri di ujung lain tunnel. Jalur yang tepat bergantung pada sumbu mana yang lebih penting.
Jalur 1: Gunakan Router yang Sudah Anda Miliki (Jika Mendukung VPN)
Beberapa vendor router konsumen kini menghadirkan dukungan klien VPN native, termasuk WireGuard, di firmware bawaan mereka. ASUS mendukung WireGuard secara native pada firmware terbaru. Seri Flint dan Beryl dari GL.iNET mendukung WireGuard langsung tanpa konfigurasi, didokumentasikan dalam tutorial resmi mereka.
Ini adalah jalur termurah dan berisiko paling rendah. Jika router Anda sudah ada di daftar ini, Anda tidak memasang apa pun dan tidak merusak apa pun. Anda memasukkan konfigurasi WireGuard di panel admin dan tunnel pun aktif. Keterbatasannya jelas: router harus mendukung protokol yang Anda inginkan, dan opsi protokol bergantung pada apa yang dihadirkan vendor. Model yang lebih lama tidak akan mendapatkan WireGuard yang ditambahkan secara retroaktif.
Jalur 2: Pasang Firmware Kustom (OpenWrt, DD-WRT, FreshTomato)
Jika router Anda tidak ada di daftar yang didukung, Anda bisa mengganti firmware-nya dengan salah satu alternatif sumber terbuka. OpenWrt adalah yang paling aktif dipelihara dari ketiganya dan memiliki dukungan perangkat keras terluas. DD-WRT juga aktif, dengan filosofi desain yang berbeda dan kumpulan perangkat yang didukung lebih besar. FreshTomato melanjutkan proyek Tomato asli tetapi terbatas pada chipset Broadcom dan melayani komunitas yang jauh lebih kecil.
Firmware kustom memberi Anda pilihan protokol: OpenVPN, WireGuard, IPsec, semuanya bisa dikonfigurasi. Itu juga memberi Anda segala hal lain yang ditawarkan proyek-proyek itu: QoS yang lebih baik, aturan firewall yang lebih rinci, manajemen paket. Biayanya adalah risiko dan waktu.
Tip Profesional
Memasang firmware kustom bisa secara permanen merusak router jika Anda memilih image yang salah, kehilangan daya di tengah pemasangan, atau menjalankan build dengan bug untuk revisi perangkat keras spesifik Anda. Pilih model yang secara eksplisit didukung proyek firmware, baca halaman khusus perangkat, dan terima bahwa Anda telah membatalkan garansi. Jika router yang Anda rusak adalah satu-satunya router Anda, bersiaplah offline selama waktu yang dibutuhkan untuk memperoleh penggantinya.
Jalur 3: Beli Router VPN yang Sudah Dikonfigurasi
Jalur paling sederhana. Vendor seperti GL.iNET menjual router dengan WireGuard sudah terpasang langsung tanpa konfigurasi. Beberapa penyedia VPN komersial juga menjual router bermerek yang sudah dikonfigurasi ke layanan mereka, yang berarti Anda mencolokkannya, memasukkan kredensial akun Anda, dan selesai.
Pertukarannya adalah harga dan keterikatan. Router yang sudah dikonfigurasi berbiaya lebih mahal per unit dibandingkan membangun sendiri. Jika unit datang bermerek dengan penyedia VPN tertentu, Anda terikat pada protokol, negara keluar, dan kebijakan pencatatan penyedia itu. Jika penyedia mengubah ketentuannya atau gulung tikar, router tidak mudah bermigrasi ke layanan baru.
Jalur keempat sedikit berbeda karena tidak mengharuskan membeli atau memasang perangkat keras router. Jalur ini tetap memberi Anda cakupan VPN tingkat router jika router Anda mengarah ke hulu ke VPS, tetapi endpoint VPN itu sendiri berada di server alih-alih di dalam router.
Jalur 4: Gunakan VPS sebagai Gateway VPN
Jalankan WireGuard atau OpenVPN di VPS Linux, lalu arahkan router atau perangkat individual Anda ke server itu. Ini bukan pembelian perangkat keras router. Ini adalah strategi endpoint yang berbeda, sehingga pertukarannya layak mendapatkan bagian tersendiri di bawah.
| Jalur | Kompleksitas Setup | Batas Atas Kinerja | Pergantian Server | Risiko Perangkat Keras | Biaya Berkelanjutan | Kecocokan |
|---|---|---|---|---|---|---|
| Router yang sudah ada | Rendah | Terbatas oleh CPU router | Melalui panel admin | Tidak ada | Tidak ada selain ISP | Anda sudah memiliki router yang didukung |
| Pasang firmware kustom | Tinggi | Terbatas oleh CPU router | Melalui panel admin | Risiko kerusakan | Tidak ada selain ISP | Anda menginginkan fleksibilitas protokol dan menerima risikonya |
| Router yang sudah dikonfigurasi | Terendah | Terbatas oleh CPU router | Bergantung vendor | Tidak ada | Biaya perangkat keras; langganan penyedia jika dibundel | Anda menginginkan colok-dan-pakai dan menerima markupnya |
| VPS sebagai gateway | Sedang-tinggi | Terbatas oleh CPU VPS (lebih tinggi) | Jalankan VPS baru di region lain | Tidak ada | Sewa VPS bulanan | Anda menginginkan pilihan yurisdiksi, kinerja lebih baik, atau sudah meng-host sendiri |
Kapan Router VPN Masuk Akal dan Kapan Tidak
Pertanyaannya bukan apakah VPN router lebih baik daripada VPN perangkat secara abstrak. Pertanyaannya adalah apakah situasi spesifik Anda benar-benar menuntut cakupan seluruh jaringan, karena begitu Anda menempatkan VPN di router, setiap perangkat di belakangnya membayar pajak enkripsi yang sama.
Kasus Penggunaan Di Mana VPN Router Sepadan dengan Biaya Penyiapannya
Rumah tangga multi-perangkat adalah kasus yang paling jelas. Begitu Anda mengelola lebih dari empat atau lima perangkat, memasang dan memperbarui klien VPN di masing-masing perangkat adalah pekerjaan yang melelahkan. Penyiapan tingkat router dikonfigurasi satu kali.
Perangkat dengan dukungan VPN yang terbatas atau canggung adalah kasus kedua. Konsol game, sebagian besar perangkat IoT, dan hub smart-home yang lebih lama biasanya tidak punya aplikasi VPN normal yang tersedia. Beberapa smart TV bisa menjalankan aplikasi VPN, terutama Android TV / Google TV dan model Apple TV yang lebih baru, tetapi VPN tingkat router tetap membantu saat platform TV tidak mendukung penyedia Anda atau saat Anda menginginkan satu kebijakan jaringan yang konsisten.
Bepergian adalah kasus ketiga. Sebuah router perjalanan ringkas dengan dukungan WireGuard berarti satu tunnel mencakup setiap perangkat di kamar hotel (ponsel, laptop, tablet) melalui Wi-Fi router, terlepas dari apa yang dilakukan jaringan hotel. Logika yang sama berlaku untuk gateway VPS yang diakses melalui router perjalanan.
Kantor kecil dan ruang hidup bersama adalah kasus keempat. Satu kebijakan jaringan konsisten yang diterapkan di gateway lebih mudah dipahami daripada armada konfigurasi tingkat perangkat yang menyimpang seiring waktu.
Kasus Di Mana VPN Router Adalah Pilihan yang Salah
Jika Anda sering berganti negara keluar VPN untuk konten terkunci wilayah, pengujian yurisdiksi, atau alasan lain apa pun, VPN tingkat router adalah alat yang salah. Mengalihkan exit di ponsel adalah satu ketukan. Melakukannya di router membutuhkan masuk ke panel admin.
Jika Anda membutuhkan split-tunneling pada tingkat aplikasi, beberapa aplikasi melalui VPN dan yang lain langsung, aplikasi VPN tingkat perangkat menanganinya dengan rapi. Router tidak bisa dengan mudah memberi tahu aplikasi mana yang menghasilkan paket mana.
Jika beberapa perangkat di jaringan Anda membutuhkan VPN dan yang lain justru tidak boleh, VPN router menempatkan semua orang di balik IP keluar yang sama. Aplikasi perbankan menandai lalu lintas VPN. Layanan streaming terkunci wilayah jadi rusak. Kebijakan menyeluruh di router berarti solusi sementara menyeluruh untuk setiap pengecualian.
Jika Anda punya satu atau dua perangkat, lapisan tingkat router adalah menyelesaikan masalah yang tidak Anda miliki.
How-To Geek membuat argumen latensi pada 2023: VPN seluruh jaringan memberlakukan latensi VPN pada setiap perangkat yang terhubung, termasuk yang melakukan pekerjaan sensitif latensi seperti gaming, panggilan video, dan rapat waktu nyata yang tidak mendapat manfaat dari perlindungan VPN selama aktivitas tersebut. Argumen itu benar dan layak dipertimbangkan. Perbaikannya bukan meninggalkan VPN router. Perbaikannya adalah menyadari bahwa Anda mungkin ingin beberapa perangkat berada di luar tunnel.
Banyak penyedia VPN komersial masih membatasi koneksi simultan per akun, sementara yang lain kini menawarkan jumlah perangkat yang lebih tinggi atau tanpa batas. VPN router tetap bisa berguna karena penyedia biasanya melihat router sebagai satu koneksi VPN, bahkan jika beberapa perangkat berada di belakangnya.
Pilihan Protokol: WireGuard, OpenVPN, dan Sisanya
Pilihan protokol lebih penting di router daripada di laptop, karena CPU router yang melakukan enkripsi dan CPU router itu lambat. Laptop modern dengan AES-NI menangani OpenVPN atau WireGuard sama baiknya pada gigabit. Router konsumen tidak.
WireGuard adalah jawaban yang tepat untuk hampir setiap skenario. Basis kodenya jauh lebih kecil daripada OpenVPN, yang membuatnya lebih mudah diaudit dan ditinjau. Kriptografinya modern: ChaCha20 untuk enkripsi, Poly1305 untuk autentikasi, Curve25519 untuk pertukaran kunci. Handshake-nya selesai dalam satu putaran perjalanan; handshake TLS OpenVPN membutuhkan beberapa. Biaya pemrosesan per paketnya cukup rendah sehingga CPU router konsumen menanganinya di mana mereka akan kesulitan dengan OpenVPN. WireGuard kini didukung secara native oleh ASUS, GL.iNET, dan sebagian besar proyek firmware kustom.
OpenVPN masih punya tempatnya. Ia matang, didukung secara luas, dan memiliki integrasi yang lebih luas dengan sistem autentikasi perusahaan. Jika Anda memiliki deployment OpenVPN yang sudah ada dengan sertifikat yang sudah diterbitkan, atau Anda memiliki persyaratan kompatibilitas spesifik yang belum dipenuhi WireGuard, OpenVPN tetap menjadi pilihan yang masuk akal. Ia berjalan baik di router yang mumpuni.
L2TP/IPsec masih muncul di banyak halaman admin router, sebagian besar untuk kompatibilitas lawas. Ia bisa bekerja, tetapi ia bukan protokol yang dipilih untuk VPN tingkat router baru saat WireGuard tersedia. PPTP harus diperlakukan sebagai mati. Ia memiliki masalah keamanan yang diketahui, dan Microsoft sudah bergerak untuk menghentikan PPTP dan L2TP dari versi Windows Server mendatang.
Tip Profesional
Jika CPU router Anda lebih tua dari lima tahun dan tidak memiliki akselerasi perangkat keras WireGuard, jalankan WireGuard tetap saja. Bahkan tanpa akselerasi, ia biasanya mengalahkan OpenVPN yang terakselerasi pada perangkat keras yang sama. Pengecualiannya jarang dan melibatkan chip Broadcom spesifik dengan offload OpenVPN khusus. Jika Anda tidak bisa memverifikasi router Anda termasuk salah satu kasus tepi itu, pilih WireGuard secara default.
Sebuah catatan tentang klaim kinerja yang beredar online. Halaman kinerja WireGuard sendiri menggambarkan benchmark yang dipublikasikannya sebagai "tua, usang, dan tidak dilakukan dengan sangat baik." Itu adalah para penulis proyek itu sendiri. Rasio throughput spesifik yang Anda temukan dikutip di blog pihak ketiga biasanya tidak bersumber secara otoritatif. Klaim kualitatif bahwa WireGuard biasanya mengungguli OpenVPN, terutama pada perangkat keras berdaya lebih rendah, didukung dengan baik. Pengganda spesifiknya tidak.
Haruskah Anda Membangun Router VPN atau Menggunakan Gateway VPS?
Bagi pembaca teknis, perbandingan yang lebih bersih adalah penempatan endpoint: apakah VPN berakhir pada perangkat keras di rumah Anda, atau pada perangkat lunak yang berjalan di server yang Anda sewa?
Router VPN perangkat keras punya beberapa kekuatan spesifik. Batas enkripsi terisolasi secara fisik ke perangkat yang Anda miliki. Tidak ada biaya sewa berkelanjutan selain ISP Anda. Model mentalnya sederhana: satu kotak, satu konfigurasi, satu kabel ke dinding. Untuk skenario perjalanan, router perangkat keras dalam bentuk yang muat di saku (unit GL.iNET kelas Beryl, misalnya) adalah objek yang benar-benar berguna.
VPS sebagai gateway punya kekuatan yang berbeda. VPS yang layak biasanya memberi Anda komputasi yang lebih dapat diprediksi dan lebih banyak ruang gerak daripada router konsumen murah, terutama saat Anda membutuhkan beberapa exit, uplink lebih tinggi, atau lebih banyak tunnel bersamaan. Anda memilih yurisdiksinya. Exit VPN berada di mana pun VPS berada, dan Anda bisa memindahkannya. Anda mengendalikan daemon VPN dan pencatatan tingkat aplikasinya, meskipun penyedia hosting tetap mengendalikan infrastruktur dasarnya. Jika Anda menginginkan exit kedua di region lain, Anda menjalankan VPS lain dalam 10 menit alih-alih membeli router lain.
Titik awal yang masuk akal untuk menentukan ukuran gateway VPN pribadi adalah 1 vCPU dan 1 GB RAM, yang menangani 5 hingga 10 koneksi perangkat bersamaan yang menjalankan WireGuard pada bandwidth residensial. Enkripsi bersamaan yang lebih berat atau uplink lebih tinggi membenarkan paket yang dioptimalkan untuk CPU. Pekerjaan enkripsi terikat pada CPU, bukan pada memori. Lihat VPS terbaik untuk VPN untuk penentuan ukuran paket.
Pilih perangkat keras jika Anda menginginkan nol biaya bulanan di atas ISP Anda, Anda sudah memiliki router yang mumpuni, atau Anda secara khusus membutuhkan bentuk router perjalanan. Pilih VPS jika Anda menginginkan kinerja enkripsi yang lebih baik daripada yang bisa diberikan router konsumen, pilihan yurisdiksi pada exit, atau Anda sudah meng-host sendiri layanan lain dan menambahkan satu daemon lagi bukan beban tambahan. Untuk lingkungan jaringan yang restriktif, jalur VPS juga bisa lebih mudah diadaptasi daripada penyiapan router bawaan, karena Anda mengendalikan perangkat lunak server dan tidak terbatas pada protokol apa pun yang diekspos vendor router di panel adminnya.
Jika Anda mengambil jalur VPS, kriteria pembeliannya sederhana: pilih region terdekat, CPU yang cukup untuk enkripsi, IP khusus, dan penyedia yang memberi Anda akses root tanpa menyembunyikan detail jaringan. VPS Linux Cloudzy adalah salah satu opsi untuk ini, dan marketplace memiliki deployment WireGuard dan OpenVPN Access Server sekali klik jika Anda ingin melewati penyiapan server manual.
Pertanyaan yang Sering Diajukan
Apakah Saya Membutuhkan Router Khusus untuk Menggunakan VPN?
Tidak. Anda tidak membutuhkan router khusus jika router Anda saat ini sudah mendukung mode klien VPN. Banyak model ASUS dan GL.iNET terbaru mendukung WireGuard atau OpenVPN di firmware bawaan, tetapi dukungannya bergantung pada model dan versi firmware yang tepat. Jika router Anda tidak mendukung VPN secara native, Anda bisa memasang firmware kustom seperti OpenWrt atau menjalankan VPN di perangkat terpisah, seperti VPS, Raspberry Pi, atau server Linux kecil, yang dilewati router.
Apakah Router VPN Akan Memperlambat Internet Saya?
Ya, sedikit. CPU router yang melakukan pekerjaan enkripsi, dan CPU router konsumen lebih lambat daripada CPU di ponsel atau laptop Anda. Besarnya perlambatan bergantung pada chip router, protokol (WireGuard lebih ringan daripada OpenVPN), dan apakah router memiliki akselerasi perangkat keras. Router modern yang menjalankan WireGuard biasanya kehilangan sebagian kecil dari throughput WAN. Router lama yang menjalankan OpenVPN bisa kehilangan jauh lebih banyak.
Apa Perbedaan Antara Router VPN dan Aplikasi VPN di Perangkat Saya?
Router VPN menempatkan tunnel pada tingkat jaringan, sehingga setiap perangkat yang terhubung (ponsel, laptop, smart TV, konsol, IoT) menggunakan VPN secara otomatis tanpa memasang apa pun. Aplikasi VPN menempatkan tunnel pada satu perangkat dan hanya melindungi perangkat itu, tetapi memungkinkan kendali yang lebih halus: perutean per aplikasi, pergantian server yang mudah, dan pengecualian aplikasi tertentu. Pertukarannya adalah cakupan seluruh jaringan versus fleksibilitas per perangkat.
Protokol VPN Mana yang Harus Saya Gunakan di Router Saya, WireGuard atau OpenVPN?
WireGuard, di hampir setiap kasus. Basis kodenya lebih kecil, kriptografinya modern, dan biaya pemrosesan per paketnya cukup rendah sehingga CPU router konsumen menanganinya dengan baik. OpenVPN tetap menjadi pilihan yang masuk akal jika Anda sudah memiliki deployment OpenVPN dengan sertifikat yang diterbitkan, atau jika Anda memiliki persyaratan kompatibilitas spesifik yang belum dipenuhi WireGuard.
Bisakah Saya Menggunakan VPS alih-alih Router VPN Perangkat Keras?
Ya. Pasang WireGuard atau OpenVPN di VPS Linux, lalu arahkan router OpenWrt atau DD-WRT ke sana sebagai tunnel hulu, atau hubungkan perangkat individual ke VPS secara langsung. Pendekatan ini memberi Anda pilihan yurisdiksi pada exit, kendali atas daemon VPN dan log tingkat aplikasinya, dan lebih banyak ruang gerak komputasi daripada sebagian besar penyiapan router konsumen. Pertukarannya adalah Anda mengoperasikan sebuah server, termasuk menambalnya dan memantaunya.
