Bir müşterimle geçtiğimiz hafta yaptığım toplantıda gündeme şu soru geldi: “Uzaktan ağıma erişmek için en hızlı çözüm hangisi?” Sahada bu soruyu son üç yılda 200 defadan fazla duydum. Doğru cevap, sandığınız kadar tek değil — uzak erişim için MikroTik üzerinde üç temel yaklaşım var ve her birinin kullanım senaryosu birbirinden farklı. Bu yazıda VPN tüneli, port-forward + sertleştirme, ve MikroTik Cloud yöntemini detaylıca karşılaştıracağım. Yazının sonunda, hangi senaryonun sizin için doğru olduğunu net biçimde göreceksiniz.

Uzak Erişim Sorununun İki Yüzü

Uzak erişim derken aslında iki farklı ihtiyaçtan bahsediyoruz ve bunların karıştırılması en yaygın hatalardan biri. İlki yönetim erişimi: IT sorumlusunun dışarıdan router/switch yapılandırmasına erişebilmesi. İkincisi iç ağa kullanıcı erişimi: çalışan personelin ev veya yoldayken şirket ağındaki kaynaklara (dosya sunucusu, intranet, ön muhasebe) bağlanabilmesi.

Bu iki ihtiyaç farklı çözüm gerektirir. Yönetim erişimi tek bir IP’ye yönelik küçük bir cerrahidir; kullanıcı erişimi ise tüm bir subnet’i tünelleme operasyonudur. Yanlış araç seçimi hem güvenlik açığı yaratır hem de gereksiz karmaşıklığa neden olur.

Yöntem 1: VPN Tüneli — Modern Standart

VPN tüneli, iki nokta arasında şifreli bir kanal kurar. MikroTik üzerinde desteklenen 6 farklı VPN protokolü var: PPTP, L2TP, SSTP, OpenVPN, IKEv2 ve WireGuard. 2026 itibarıyla yeni kurulumlar için iki gerçek seçenek var: WireGuard ve IKEv2/IPsec.

WireGuard performans açısından ezici şekilde önde. Ortalama handshake süresi 60 ms civarındadır; bu OpenVPN’in 3-4 katı hızdır. Şifreleme ChaCha20-Poly1305 ile yapılır, modern donanımlarda hardware acceleration ile çalışır. MikroTik RouterOS 7’de yerleşik destek vardır.

IKEv2 ise enterprise tarafında daha yaygın. Windows, macOS ve iOS tarafından native olarak desteklenir, hiçbir uygulama indirme gerekmez. Mobil bağlantıda kesintide otomatik yeniden bağlanır; bu özellik MOBIKE genişletmesiyle sağlanır.

WireGuard Tüneli Pratik Kurulum

MikroTik üzerinde WireGuard sunucusu kurmak için temel adımlar:

/interface wireguard
add name=wg-uzak listen-port=13231

/ip address
add address=10.99.99.1/24 interface=wg-uzak

/interface wireguard peers
add interface=wg-uzak public-key="ISTEMCI_PUBLIC_KEY" allowed-address=10.99.99.2/32 
  preshared-key="PRESHARED_KEY" comment="Mert laptop"

/ip firewall filter
add chain=input protocol=udp dst-port=13231 action=accept comment="WireGuard"
add chain=forward in-interface=wg-uzak out-interface=bridge1 action=accept comment="VPN to LAN"
add chain=forward in-interface=bridge1 out-interface=wg-uzak action=accept comment="LAN to VPN"

İstemci tarafında peer yapılandırması QR kod ile telefonlara tek tıkla aktarılabilir. Detayları MikroTik WireGuard kurulum rehberimizde bulabilirsiniz.

VPN Tünelinin Avantajları

• Tüm iç ağ kaynaklarına şeffaf erişim
• Trafik şifrelidir, MitM saldırılarına karşı dayanıklı
• Logging yapılabilir, kim ne yaptı kaydedilir
• Kullanıcı bazlı yetki tanımlanabilir
• Ana hat IP’si değişse bile (cloud-mikrotik.com DDNS ile) bağlantı kopmaz

VPN Tünelinin Dezavantajları

• Sunucu tarafında bir port açılması gerekir (genelde UDP 13231 veya 500/4500)
• Sertifika ve anahtar yönetimi gerektirir
• Çok az teknik bilgi varsa kurulum karmaşık gelebilir
• İstemci uygulaması yüklenmelidir (WireGuard) ya da native destek kullanılmalıdır (IKEv2)

Yöntem 2: Port Forward + Sertleştirme — Tek Servis Erişimi

Tüm iç ağa değil de sadece bir tek servise (örneğin yerel bir web sunucusuna ya da kamera kayıt cihazına) erişim isteniyorsa, port-forward daha basit bir çözüm olabilir. Ancak bu yöntemin yanlış uygulanması büyük güvenlik açıkları yaratabilir.

Doğru bir port-forward kurulumunda olması gerekenler:

• Standart dışı bir dış port (örneğin TCP 22 yerine TCP 32422)
• Sadece belirli kaynak IP’lere açık kuralı (özellikle yönetim için)
• Fail2ban benzeri brute-force koruma (MikroTik üzerinde script ile)
• Sertifika tabanlı kimliklendirme (özellikle SSH için)
• İlgili servisin son sürüm olması ve güvenlik patch’lerinin uygulanması

Bir kamera kayıt cihazına dışarıdan erişim için tipik bir konfigürasyon:

/ip firewall nat
add chain=dstnat in-interface=ether1 protocol=tcp dst-port=32422 
  action=dst-nat to-addresses=192.168.88.50 to-ports=80 comment="Kamera"

/ip firewall filter
add chain=forward in-interface=ether1 dst-address=192.168.88.50 protocol=tcp dst-port=80 
  src-address-list=yetkili-IP action=accept

Yukarıdaki örnekte sadece “yetkili-IP” listesindeki adresler erişebilir. Liste manuel olarak doldurulabilir veya VPN ile bağlanan kullanıcıların IP’leri otomatik olarak eklenebilir.

Port Forward Avantajları

• Tek servis için yeterlidir, VPN istemci yüklemeye gerek yok
• Tarayıcı üzerinden anında erişim
• Konfigürasyonu hızlı

Port Forward Dezavantajları

• Dış dünyaya direkt port açar — saldırı yüzeyi artar
• Servis seviyesinde zafiyet tüm ağı tehlikeye atabilir
• Trafik şifresiz olabilir (HTTP, FTP gibi)
• Hangi IP’nin neye eriştiği logu zayıftır

Yöntem 3: MikroTik Cloud — Hibrit Yaklaşım

MikroTik’in kendi sunduğu Cloud hizmeti (cloud.mikrotik.com), router’ınızı kayıt ettiğinizde size dinamik bir DNS adı verir. Örneğin abc1234.sn.mynetname.net şeklinde. Bu, dış IP’niz değişse bile router’a stabil bir adresle ulaşmanızı sağlar.

Cloud servisi kurulumu çok basit:

/ip cloud set ddns-enabled=yes
/ip cloud print

Bu kadar. MikroTik size otomatik olarak bir DNS adı verir ve her IP değişiminde günceller. Ek bir hizmet alma veya üçüncü parti DDNS kullanma gerek kalmaz.

Cloud yalnız tek başına yeterli değildir — bir VPN veya port-forward ile birleştirilerek kullanılır. Cloud’un sağladığı şey “router’a nasıl ulaşırım” sorununu çözmektir; “ağa nasıl güvenli girerim” sorusu hâlâ VPN veya port-forward gerektirir.

MikroTik Cloud Avantajları ve Sınırları

MikroTik Cloud servisi yıllar içinde olgunlaşan, ücretsiz ama oldukça yararlı bir özelliktir. Avantajları arasında: yıllık ücret yok, kurulum 2 satır komut, IP değişimine otomatik tepki, MikroTik’in kendi altyapısı üzerinde çalıştığı için kararlı. Türkiye’den erişilebilir cevap süreleri 60-90 ms civarındadır.

Sınırları da var: Cloud sadece “router’ın IP’sini bulma” sorununu çözer, kimliklendirme veya tünelleme işlevi sunmaz. Cloud’un domain adı tahmin edilebilir bir şablona sahiptir (sn.mynetname.net altında), dolayısıyla bot taramalarından gizlenemez. Bu yüzden Cloud’u kullanırken Winbox/SSH portlarını dış dünyaya açmak büyük bir hatadır; mutlaka VPN katmanı eklenmelidir.

İleri bir senaryo: Cloud DDNS adresinizi Let’s Encrypt sertifikasıyla eşleştirip MikroTik’in WebFig üzerinden HTTPS erişim sağlayabilirsiniz. Cloud, Let’s Encrypt entegrasyonunu native olarak sunar; /ip cloud set ddns-update-interval=1m ve /certificate enable-ssl-certificate komutları ile sertifika otomatik yenilenir. Bu, web tabanlı yönetim için ek bir güvenlik katmanı olur.

Karar Matrisi: Hangi Senaryoda Hangi Yöntem?

Sahada en sık karşılaştığım 8 senaryo ve önerdiğim çözümler:

Senaryo 1: IT yöneticisinin dışarıdan router’ı yönetmesi

Önerim: WireGuard VPN tüneli. Yöneticinin laptopu/telefonunda WireGuard uygulaması olur, tek tıkla bağlanır, Winbox üzerinden tüm cihazları yönetir. Bu, port açmadan, güvenli ve hızlı bir çözüm. Cloud DDNS ile de IP değişimine karşı korumalı olur.

Senaryo 2: Evden çalışan çalışanın ön muhasebe yazılımına erişmesi

Önerim: WireGuard veya IKEv2 VPN. Her çalışan için ayrı peer tanımlanır. Ön muhasebe sunucusu zaten LAN’da olduğu için VPN ile bağlandığında doğal olarak erişilebilir. Süre ve bant genişliği limitleri istenirse User Manager ile yönetilir.

Senaryo 3: Dışarıdan IP kameralarına bakmak

Önerim: VPN + iç ağ erişimi. Asla port forward ile kameraları dışa açmayın — bu en yaygın IoT zafiyetinin kaynağıdır. VPN ile bağlanıp iç ağ üzerinden kameralara erişin.

Senaryo 4: Müşterilere web sunucusu hizmeti vermek

Önerim: Port-forward (80/443) + güçlü reverse proxy (Nginx veya Apache). Bu durumda sunucu zaten dışa açık olmalı. Cloudflare proxy katmanı eklemek hem DDoS hem WAF avantajı sağlar.

Senaryo 5: Şube ile merkez ofis arasında sürekli bağlantı

Önerim: Site-to-site IPsec/IKEv2 VPN. Bu, kullanıcı VPN’i değildir; iki yönlendirici arasında 7/24 açık bir tüneldir. Şube ağı ile merkez ağı tek bir mantıksal ağ gibi davranır.

Senaryo 6: Tek bir misafire geçici erişim

Önerim: WireGuard peer’i geçici olarak ekle, sonra sil. Süresi dolduğunda peer disable edilir. Bu, en az ayak izi bırakan yöntem.

Senaryo 7: Hassas verilere erişen finansal kullanıcı

Önerim: WireGuard + 2FA. WireGuard üzerinde 2FA native olarak yoktur ama önüne bir RADIUS sunucusu (FreeRADIUS) konularak iki faktörlü kimliklendirme sağlanır. Yüksek hassasiyet için bu katman önerilir.

Senaryo 8: Sahada teknisyenlerin geçici erişimi

Önerim: MikroTik Cloud + WireGuard. Cloud DDNS sayesinde IP değişimi sorun olmaz, WireGuard ile teknisyen anında bağlanır, iş bitince peer silinir veya disable edilir.

Performans Karşılaştırması

Bir RB5009 üzerinde yaptığım gerçek ölçümler:

• WireGuard tüneli üzerinden bant genişliği: 850-1000 Mbps
• IKEv2/IPsec tüneli: 450-550 Mbps
• OpenVPN tüneli: 180-250 Mbps
• Port-forward + HTTPS: hat hızına yakın (şifreleme yükü sunucuda)

Bu rakamlar şifreleme yükünün net etkisini gösterir. Yüksek throughput gerekiyorsa WireGuard veya port-forward + uçtan uca uygulama şifrelemesi tercih edilmelidir.

Saha Vakası: 18 Şubeli Bir Eczane Zinciri

Geçen yıl danışmanlık yaptığım bir eczane zinciri için kurduğumuz uzak erişim mimarisi şöyleydi: Merkez ofiste CCR2004 omurga, 18 şubede hAP ac3, IT yöneticisi evden bir WireGuard tüneli üzerinden tüm ağa erişiyor. Şube müdürleri ek olarak intranet web arayüzüne port-forward ile erişiyor (Cloudflare proxy + IP whitelist). Sistem 14 aydır çalışıyor, sıfır güvenlik olayı.

Bu mimari size hibrit yaklaşımın gücünü gösterir: tek bir araç tüm sorunları çözmez. Doğru aracı doğru senaryoda kullanmak, hem güvenlik hem operasyonel verim sağlar.

Tipik Uzak Erişim Hatalarının Üçü

Hata 1: Winbox portunu (TCP 8291) dışa açmak. Bu, MikroTik’in en yaygın saldırı vektörlerinden biridir. Asla yapmayın. Yönetim için her zaman VPN üzerinden geçin.

Hata 2: Tüm IP’lere açık port-forward. Bir kamera ya da NAS’a port açmak, onu tüm internet’e açmak demektir. Mutlaka IP whitelist kullanın.

Hata 3: Aynı VPN şifresi tüm kullanıcılarda. Her kullanıcı için ayrı peer/profil olmalı. Bir çalışan ayrıldığında sadece o peer’i silersiniz, başkalarını etkilemez.

Sertifika ve Anahtar Yönetimi Disiplini

VPN kullanımının başında ihmal edilen bir konu sertifika ve anahtar yönetimidir. WireGuard peer’leri yıllar içinde birikmeye başlar. Bir kullanıcının cihazını kaybettiğini düşünün — o peer’in private key’i ele geçirilmiş demektir, hemen disable edilmelidir.

Bu disiplini sürdürmek için aşağıdaki rutinleri kurun: 6 ayda bir tüm aktif peer’leri gözden geçirin, kullanılmayanları kaldırın. Çalışan ayrılışlarında HR akışına bir IT adımı ekleyin: “VPN peer’lerini disable et”. Önemli bir anahtarın değiştirilmesi gerektiğinde tüm peer’leri etkilemeyecek şekilde planlayın.

Uzak Erişimde Sık Karşılaşılan Bağlantı Sorunları

Bir VPN tüneli her zaman ilk seferde sorunsuz çalışmaz. Saha tecrübemden derlediğim en yaygın sorunları ve çözümlerini paylaşmak isterim.

İlk sorun NAT-T problemi. IPsec tünelleri çift NAT arkasında bazen çalışmaz. Çözüm: NAT-T (UDP 4500) portunun da hem istemci hem sunucu tarafında açık olmasından emin olun. WireGuard bu sorundan etkilenmez çünkü tek UDP portu kullanır.

İkinci sorun MTU mismatch. VPN tüneli içinden geçen paketler MTU sınırına takılırsa bağlantı kurulur ama trafik akmaz. Çözüm: tünel MTU değerini 1380-1420 aralığında ayarlayın; WireGuard varsayılan 1420’dir, IPsec için 1400 önerilir.

Üçüncü sorun DNS sızıntısı. VPN bağlandığında DNS sorgularının VPN dışına çıkması, hem güvenlik hem performans sorunudur. Çözüm: WireGuard yapılandırmasında DNS = 10.99.99.1 (sunucu içi DNS) tanımlayın; tüm DNS sorguları tünel içinde kalır.

Dördüncü sorun routing loop. Bazen istemci tarafında “tüm trafik VPN” yapılandırması ile şirket ağındaki bir kaynağa bağlanırken sonsuz döngü olur. Çözüm: AllowedIPs alanını sadece şirket subnet’ine sınırlandırın (split-tunnel).

Beşinci sorun firewall sıralaması. MikroTik firewall kuralları sıraya göre işler. Yeni eklediğiniz WireGuard kabul kuralı bir drop kuralının altına düşerse, tünel hiç kurulmaz. Çözüm: yeni kuralları her zaman en üste alın veya konumlarını manuel kontrol edin.

Sıkça Sorulan Sorular

Cloud DDNS kullandığımda IP’m değişse bile bağlanmaya devam eder miyim?

Evet, MikroTik Cloud her IP değişikliğinde DNS kaydını otomatik günceller. WireGuard veya IKEv2 istemcisinde adres olarak DNS adını kullanırsanız, IP değişimi şeffaf olur.

VPN kullanmadan SSH ile router’a bağlansam güvenli olur mu?

SSH şifre ile değil sertifika ile yapılırsa, standart dışı bir port kullanırsa ve sadece belirli IP’lere açıksa makul güvenlik sağlar. Ancak VPN seviyesinde değildir. Mümkünse VPN tercih edin.

İki faktörlü kimliklendirme MikroTik VPN’inde mümkün mü?

Native değildir. RADIUS sunucusu önüne konularak (FreeRADIUS + Google Authenticator) sağlanır. Bu ek bir altyapı gerektirir ama yüksek hassasiyetli ortamlarda kesinlikle önerilir.

Mobil bağlantıda VPN ne kadar pil tüketir?

WireGuard, OpenVPN’e göre %40-60 daha az pil tüketir. Sürekli açık tutmak istiyorsanız WireGuard kullanın.

VPN bağlandığında internete çıkışım yavaşlıyor mu?

Eğer “tüm trafik VPN üzerinden” yapılandırması varsa evet. Sadece şirket ağ aralığını VPN üzerinden geçirip, internet çıkışını direkt yapan split-tunnel yapılandırmasıyla yavaşlamadan kaçınabilirsiniz.

Sonuç

Uzak erişim için tek bir altın çözüm yoktur. VPN tüneli geniş kapsamlı erişim için, port-forward tek servisli senaryolar için, MikroTik Cloud ise dinamik IP yönetimi için kullanılır. Sahada başarılı kurulumlar, bu üç aracın senaryoya göre birleştirilmesinden oluşur. Önemli olan her aracın güçlü ve zayıf yönlerini bilmek, müşterinizin gerçek ihtiyacını analiz etmek ve gereğinden karmaşık çözümlerden kaçınmaktır. Eğitmen ve danışman gözüyle vurgulamak isterim: en iyi mimari, en az hareketli parçaya sahip olandır. WireGuard’ın yaygınlaşması, uzak erişim alanında bize bu basitliği kazandıran en önemli gelişmedir; yıllar içinde MikroTik üzerinde kurduğum tüm yeni uzak erişim mimarileri WireGuard merkezli oldu, ve sonuçlar her zaman umduğumdan iyi geldi.

Bir son not olarak: uzak erişim çözümünüzü kurduktan sonra mutlaka bir bağlantı kesintisi tatbikatı yapın. Ana hattı kapatın, mobil veriden bağlanın, farklı ülkelerden ölçüm yapın. Bu tatbikatlar, gerçek bir kriz anında sistemin nasıl davranacağını size önceden öğretir. Kurulduktan sonra bir kez denenip unutulan VPN mimarileri, gerektiğinde hayal kırıklığı yaşatır. Düzenli sınamayı bir disiplin haline getirin; bu, profesyonel bir ağ yöneticisini amatörden ayıran en önemli farktır.

İlgili Yazılar

Aşağıdaki içerikler, bu yazıdaki konuların farklı yönlerini ele alıyor:

• MikroTik Site-to-Site IPsec/IKEv2 VPN Kurulumu: İki Şube Arasında Sıfırdan Tünel
• ZeroTier ile MikroTik VPN Mesh: Container Üzerinden Multi-Site Köprüleme
• MikroTik VPN Türleri Karşılaştırması: PPTP, L2TP, SSTP, OpenVPN, IKEv2, WireGuard

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• WireGuard Resmi Sitesi
• IETF IKEv2 RFC 7296
• NIST VPN Guideline (SP 800-77)
• MikroTik Resmi Dökümantasyon (RouterOS Wiki)
• MikroTik Resmi Forumu