Cara cepat menyiapkan server AmneziaWG2 sendiri di VPS

Kalau Anda ingin cara tercepat untuk punya server VPN sendiri tanpa repot memasang semuanya manual lewat konsol, alur self-hosted di Amnezia adalah salah satu opsi paling praktis. Anda membuat VPS, memberi akses SSH ke aplikasi, memilih protokol, lalu klien akan terhubung ke server dan memasang semua komponen yang dibutuhkan secara otomatis.

Di panduan ini, skenario utama memakai DigitalOcean, karena alurnya paling lurus dan mudah diikuti. Di bawah, saya juga jelaskan apa yang perlu dilakukan kalau Anda memakai AWS, Azure, atau Google Cloud Platform, terutama soal kunci SSH dan membuka port yang benar.

Satu klarifikasi penting di awal: pada beberapa langkah di antarmuka Amnezia, yang tampil mungkin hanya Amnezia WireGuard tanpa penekanan versi. Tetapi pada alur self-hosted terbaru di versi klien yang didukung, yang akhirnya Anda pasang adalah AmneziaWG 2.0.

Jalur cepat

Kalau Anda tidak butuh detailnya, alurnya seperti ini:

1. buat VPS;
2. siapkan kunci SSH;
3. tambahkan public key ke provider hosting;
4. salin private key, IP, dan username;
5. instal Amnezia;
6. pilih Self-hosted VPN;
7. tempel IP, username, dan private key;
8. pilih Manual → Amnezia WireGuard;
9. tentukan port;
10. tunggu instalasi selesai;
11. sambungkan dan cek apakah IP sudah berubah.

Di bawah ini adalah versi langkah demi langkah yang lebih rapi.

Yang Anda butuhkan

• VPS dengan IP publik
• akses SSH ke server
• kunci SSH
• aplikasi Amnezia yang sudah terpasang
• 3–5 menit waktu

Public key dan private key: jangan sampai tertukar

Ini adalah sumber kesalahan yang paling sering terjadi.

Saat Anda membuat kunci SSH, Anda akan mendapatkan sepasang file:

• private key — kunci rahasia yang hanya Anda simpan sendiri;
• public key — kunci yang Anda tambahkan ke panel provider.

Dalam kasus umum:

• file dengan ekstensi .pub adalah public key;
• file tanpa .pub adalah private key.

Dalam praktiknya, artinya:

• di DigitalOcean dan sering juga di Google Cloud, yang diunggah adalah public key;
• di Amnezia, yang ditempel adalah private key;
• di AWS dan Azure, portal bisa membuat kunci untuk Anda, jadi alurnya sedikit berbeda — dijelaskan di bawah.

DigitalOcean: skenario paling mudah

Untuk panduan seperti ini, DigitalOcean memang salah satu opsi yang paling mudah.

Langkah 1. Buat kunci SSH

Kalau Anda sudah punya kunci SSH terpisah untuk server ini, bagus — pakai saja. Kalau belum, buat yang baru.

Perintah dasar:

ssh-keygen

Setelah itu sistem akan menunjukkan lokasi penyimpanan kunci. Yang Anda butuhkan berikutnya adalah public key, yaitu file dengan .pub.

Untuk menampilkannya di terminal dan menyalinnya:

cat ~/.ssh/NAMA_KUNCI.pub

Kalau Anda memakai nama default, biasanya path-nya akan seperti ini:

cat ~/.ssh/id_ed25519.pub

Langkah 2. Tambahkan public key ke DigitalOcean

Di DigitalOcean, public key diunggah ke akun Anda lalu dipasang ke droplet baru saat proses pembuatan.

Jalur resmi: DigitalOcean Control Panel → Settings → Security → Add SSH Key

Instruksi resmi:

• Add SSH keys to a team: https://docs.digitalocean.com/platform/teams/how-to/upload-ssh-keys/
• Create a Droplet: https://docs.digitalocean.com/products/droplets/how-to/create/
• Add SSH keys to new or existing Droplets: https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/

Anda bahkan tidak perlu keluar dari halaman pembuatan droplet: ada tombol New SSH Key di sana yang melakukan hal yang sama.

Langkah 3. Buat droplet

Untuk deployment pertama, ini sudah cukup:

• Ubuntu
• paket dasar apa pun
• autentikasi SSH key
• public key yang Anda buat

Setelah droplet selesai dibuat, Anda akan membutuhkan:

• IP publik
• username
• private key Anda

Di DigitalOcean, username default untuk droplet Ubuntu biasanya adalah root.

Instal Amnezia

Sambil menunggu VPS dibuat, Anda bisa langsung mengunduh kliennya.

Halaman unduhan: https://amnezia.org/

Amnezia tersedia untuk:

• Windows
• macOS
• Linux
• Android
• iOS

Instal aplikasinya, buka, lalu tekan Let’s get started.

Menyiapkan AmneziaWG2 self-hosted

Langkah 1. Pilih Self-hosted VPN

Di dalam aplikasi, pilih:

Self-hosted VPN

Setelah itu Anda akan membutuhkan tiga hal:

• IP server
• username
• private SSH key

Langkah 2. Tempel private key

Di sini Anda membutuhkan private key, bukan file .pub.

Sebagai contoh, kalau public key Anda adalah:

~/.ssh/id_ed25519.pub

maka private key biasanya adalah:

~/.ssh/id_ed25519

Untuk menampilkannya:

cat ~/.ssh/id_ed25519

Salin seluruh isinya dan tempelkan ke Amnezia.

Langkah 3. Masukkan username

Di DigitalOcean, biasanya ini adalah:

root

Di provider lain, username bisa berbeda, jadi jangan otomatis mengisi root di semua tempat.

Langkah 4. Masukkan IP

Salin IP publik VPS dari panel provider lalu tempelkan ke Amnezia.

Langkah 5. Pilih Manual → Amnezia WireGuard

Berikutnya aplikasi akan menanyakan jenis instalasi. Pilih:

• Manual
• lalu Amnezia WireGuard

Di sinilah banyak orang bingung karena penamaannya: antarmukanya mungkin tidak menegaskan “version 2”, tetapi pada alur self-hosted saat ini, ini adalah AWG 2.0 selama klien Anda mendukung versi baru.

Instruksi resmi AmneziaWG 2.0 untuk self-hosted: https://docs.amnezia.org/ru/documentation/instructions/new-amneziawg-selfhosted/

Langkah 6. Tentukan port

Di video, port yang dipakai adalah 8080, dan untuk setup awal yang praktis, itu pilihan yang masuk akal.

Yang penting dipahami:

• ini adalah port server VPN, bukan port SSH;
• kalau protokol tidak berhasil jalan, sering kali masalahnya bukan pada protokolnya sendiri, tetapi karena port-nya belum dibuka;
• kalau port tertentu tidak berhasil, biasanya lebih cepat mencoba port lain dulu daripada langsung mencari penyebab jaringan yang rumit.

Troubleshooting resmi untuk AmneziaWG self-hosted: https://docs.amnezia.org/troubleshooting/self-hosted-amneziawg-not-working/

Di sana mereka secara langsung menyarankan mencoba port lain di bawah 9999, misalnya 585 atau 1234, kalau ada masalah.

Langkah 7. Tunggu instalasi otomatis selesai

Setelah itu, Amnezia akan:

• terhubung ke server lewat SSH;
• memasang semua yang dibutuhkan;
• menyiapkan konfigurasi;
• menambahkan koneksi ke dalam aplikasi.

Itulah keunggulan utama alur self-hosted: Anda tidak perlu memasang semuanya manual lewat konsol.

Langkah 8. Sambungkan dan cek IP

Saat instalasi selesai, tombol Connect akan muncul.

Lalu:

1. tekan Connect;
2. tunggu sampai tunnel aktif;
3. buka layanan pengecekan IP apa saja;
4. muat ulang halamannya dan pastikan IP sekarang sesuai dengan VPS Anda.

Kalau IP sudah berubah menjadi IP server Anda, berarti setup dasarnya sudah selesai.

Bagaimana kalau Anda tidak memakai DigitalOcean?

Di bawah ini ada ringkasan praktis untuk provider populer lainnya.

AWS: kunci SSH dan port

Di AWS EC2, alurnya berbeda dari DigitalOcean.

Kunci SSH di AWS

Di AWS, Anda tidak wajib membuat kunci SSH secara lokal terlebih dahulu. Saat membuat instance EC2, Anda bisa:

• memilih key pair yang sudah ada;
• atau membuat key pair baru langsung di konsol.

Saat membuat key pair baru, AWS akan memberi Anda file private key (misalnya .pem) untuk diunduh satu kali. Public key kemudian akan dipasang ke instance secara otomatis.

Dokumentasi resmi:

• EC2 key pairs: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Jadi di AWS, jalur paling mudah adalah:

1. buat key pair saat proses peluncuran EC2;
2. unduh private key;
3. gunakan private key itu di Amnezia.

Di mana membuka port di AWS

Di AWS, Anda memerlukan Security Group dengan aturan inbound untuk port UDP yang dibutuhkan.

Jalur: EC2 → Instance → Security Group yang terpasang → Edit inbound rules

Dokumentasi resmi:

• Change security groups: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html
• Security group rules reference: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

Kalau aturan inbound UDP belum ada, server bisa saja terpasang dengan sukses, tetapi koneksi dari luar tidak akan berfungsi.

Azure: kunci SSH dan port

Di Azure, alurnya juga cukup nyaman.

Kunci SSH di Azure

Azure bisa membuat dan menyimpan kunci SSH langsung di portal. Ini berguna kalau Anda tidak ingin membuat kunci secara manual di mesin lokal lebih dulu.

Dokumentasi resmi:

• Generate and store SSH keys in Azure portal: https://learn.microsoft.com/en-us/azure/virtual-machines/ssh-keys-portal
• Connect to a Linux VM: https://learn.microsoft.com/en-us/azure/virtual-machines/linux-vm-connect

Jadi di Azure, Anda punya dua opsi:

1. memakai public key yang sudah ada;
2. membiarkan Azure membuat kunci saat VM dibuat.

Dalam kedua kasus, yang pada akhirnya dibutuhkan Amnezia adalah private key.

Di mana membuka port di Azure

Di Azure, membuka port biasanya dilakukan lewat:

• Networking
• dan/atau Network Security Group (NSG)

Dokumentasi resmi:

• Network security groups overview/tutorial: https://learn.microsoft.com/en-us/azure/virtual-network/tutorial-filter-network-traffic
• NSG management: https://learn.microsoft.com/en-us/azure/virtual-network/manage-network-security-group

Secara praktik, Anda membutuhkan aturan inbound untuk port UDP Anda.

Google Cloud Platform: tempat yang paling sering membingungkan

Di sinilah bagian yang paling tidak intuitif biasanya muncul.

Kunci SSH di GCP

Google Cloud punya dua model akses SSH yang berbeda:

1. OS Login
2. metadata-based SSH keys

Inilah yang sering membuat GCP terasa seperti “kuncinya disembunyikan entah di mana”.

Kalau OS Login tidak dipakai, public SSH key bisa ditambahkan:

• baik ke project metadata,
• maupun ke instance metadata untuk VM tertentu.

Dokumentasi resmi:

• Add SSH keys / access overview: https://docs.cloud.google.com/compute/docs/access
• Troubleshooting SSH errors: https://docs.cloud.google.com/compute/docs/troubleshooting/troubleshooting-ssh-errors

Kalau Anda hanya butuh SSH untuk satu VM tertentu, biasanya lebih praktis memakai instance metadata daripada menambahkan kunci di level project.

Di mana membuka port di GCP

Di Google Cloud, Anda tidak terutama membuka port “di dalam VM”. Titik kontrol utamanya adalah VPC firewall rules.

Dokumentasi resmi:

• Firewall rules overview: https://docs.cloud.google.com/firewall/docs/firewalls
• Using firewall rules: https://docs.cloud.google.com/firewall/docs/using-firewalls

Dalam praktiknya, alurnya seperti ini:

1. buka VPC firewall;
2. buat aturan;
3. izinkan port UDP yang dibutuhkan;
4. terapkan ke VM / target tags / jaringan yang benar.

Ini adalah salah satu alasan paling umum kenapa sesuatu di GCP terlihat “sudah terpasang dengan benar”, tetapi tetap tidak bisa menerima koneksi dari luar.

Port mana yang sebaiknya dipilih?

Tidak ada satu port “terbaik” yang berlaku universal di sini.

Pendekatan praktisnya seperti ini:

Untuk deployment pertama

• pilih satu port UDP yang jelas;
• buka port itu di level cloud firewall / security group / NSG / VPC firewall;
• pakai port yang sama di setup dan jangan membuat deployment pertama jadi terlalu rumit.

Kalau tidak berhasil

Periksa dalam urutan ini:

1. apakah port terbuka di level provider;
2. apakah Anda memilih protokol yang benar;
3. apakah Anda menempelkan kunci yang benar;
4. apakah username sudah benar;
5. apakah Anda memakai IP publik, bukan IP internal;
6. apakah lebih cepat cukup dengan mengganti port.

Kalau Anda ingin paling cepat menyingkirkan kemungkinan masalah jaringan, langkah yang paling berguna biasanya adalah mencoba port UDP lain.

Kesalahan yang umum terjadi

Tertukar antara public key dan private key

Ini adalah kegagalan yang paling sering terjadi.

Aturan sederhananya:

• .pub → masuk ke panel provider
• tanpa .pub → masuk ke Amnezia

Username salah

Di DigitalOcean biasanya root, tetapi di AWS, Azure, GCP, atau image VM tertentu bisa berbeda.

Port UDP belum dibuka

Server bisa terpasang dengan benar, tetapi traffic dari luar tidak akan masuk.

Salah memakai IP

Amnezia membutuhkan IP publik, bukan alamat internal VM.

Terlalu cepat mengutak-atik pengaturan

Kalau koneksi dasar saja belum berhasil, jangan langsung mengubah banyak hal sekaligus. Pastikan koneksi normalnya dulu yang berjalan.

Apa langkah berikutnya?

Setelah server AWG2 pertama Anda berhasil jalan, topik lanjutan yang masuk akal adalah:

1. pengaturan AmneziaWG2
2. perbandingan AWG2 vs WireGuard vs VLESS Reality
3. setup cepat VLESS Reality
4. routing lewat Cloudflare WARP
5. skenario server-side yang lebih lanjut

Jadi materi ini adalah titik masuk: cara cepat meluncurkan setup AWG2 self-hosted yang berfungsi, bukan kursus penuh administrasi server VPN.

Ringkasan singkat

Kalau Anda ingin jalur paling cepat yang praktis, ini urutannya:

• buat VPS;
• dapatkan akses SSH;
• tambahkan public key di sisi provider;
• tempel private key, IP, dan username ke Amnezia;
• pilih Manual → Amnezia WireGuard;
• tentukan port;
• tunggu instalasi;
• sambungkan;
• verifikasi IP.

Di DigitalOcean, ini adalah jalur yang paling langsung dan paling mudah dipahami. Di AWS dan Azure, portal bisa mempermudah pembuatan kunci. Di Google Cloud, kebingungan biasanya ada di model SSH dan aturan VPC firewall.

Tetapi kalau Anda mengingat tiga hal — kunci yang benar, username yang benar, dan port UDP yang terbuka — alur self-hosted awal ini menjadi sangat sederhana.