Bir MikroTik cihazını ilk kez kutusundan çıkardığınız anı çok iyi hatırlıyorum. 2013 yılındaydı, eğitim almak için Riga’dan getirdiğim bir RB951G-2HnD’ydi söz konusu olan. Bilgisayara bağladım, gözlerimi çevirdim, ekranda hiçbir şey olmadı. O an çok şey öğrenmedim, ama bir şey öğrendim: MikroTik, sıradan bir router gibi davranmaz. Şimdi her yıl yüzlerce öğrenciye verdiğim ilk yapılandırma dersinin tamamını bu yazıya sığdırmaya çalışacağım. Hedefim, evine veya ofisine yeni bir MikroTik almış birinin bu yazıyı okuyup yaklaşık iki saat içinde sıfırdan çalışan bir ağ kurmasıdır.

Başlamadan Önce: Neyiniz Var, Neye İhtiyacınız Olacak?

Bir MikroTik kurulumu için gereken ekipman listesi aslında çok kısadır. Kontrol etmeniz gerekenler:

• MikroTik cihazınız (hAP ax3, RB951G-2HnD, RB4011 veya benzer bir model fark etmez)
• İki adet CAT5e veya üstü ethernet kablosu
• Windows, macOS veya Linux çalıştıran bir bilgisayar
• Cihazın kutusunda gelen güç adaptörü (POE injektör varsa onu da hazır tutun)
• Mevcut internet servisinizden gelen modem veya fiber ONT

Yazılım tarafında ihtiyacınız olacak temel araç Winbox‘tır. Bu MikroTik’in resmi yönetim arayüzüdür ve mikrotik.com/download adresinden ücretsiz indirilebilir. macOS veya Linux kullanıyorsanız Winbox’ı Wine ile çalıştırabilir veya WebFig adlı tarayıcı tabanlı alternatifi tercih edebilirsiniz. Eğitimlerde sık tavsiye ettiğim yaklaşım, ilk konfigürasyonu Winbox ile yapmak, sonra alıştığınızda terminal komutlarına geçmektir.

Birinci Adım: Cihazı Fiziksel Olarak Bağlayın

MikroTik routerınızın arkasını incelediğinizde genellikle “Ether1” yazan bir port ile diğer numaralandırılmış portları (Ether2-5) göreceksiniz. Standart yaklaşımda:

Ether1 portu WAN görevi görür; yani internet servisinden gelen kablo buraya bağlanır. Eğer modemli bir aboneliğiniz varsa, modeminizden çıkan ethernet kablosunu MikroTik’in Ether1 portuna takın. Eğer ev tipi MikroTik (örneğin hAP serisi) kullanıyorsanız, kutudan çıktığı haliyle Ether2-5 portları LAN olarak yapılandırılmıştır; yani bilgisayarınızı bu portlardan herhangi birine takabilirsiniz.

Güç adaptörünü takıp cihazı açtığınızda yaklaşık 30 saniye içinde ön yüzdeki LED’ler ışımaya başlamalıdır. ACT (activity) ışığı düzenli aralıklarla yanıp sönüyorsa cihaz sağlıklı şekilde boot olmuştur.

İkinci Adım: Winbox ile Cihazı Keşfetmek

Winbox’ı açtığınızda iki sekme görürsünüz: “Connect To” ve “Managed”. Connect To sekmesinin altında “Neighbors” sekmesini açın. Burada MikroTik, aynı L2 ağında çalışan tüm cihazları otomatik olarak listeler. Cihazınızı görmüyorsanız endişelenmeyin; “Refresh” düğmesine bir kez basın.

Listede cihazınızın MAC adresini gördüğünüzde üzerine tıklayın. Login alanına admin yazın ve şifre alanını boş bırakın. Connect düğmesine basıp giriş yapın. Eğer cihazınız 2022 sonrası üretilmişse, ilk girişte bir şifre belirlemenizi isteyen bir uyarı görünebilir; bu adımı atlamayın, çünkü güvenlik açısından kritiktir.

Bir noktayı vurgulamak isterim: Winbox’ta MAC adresi üzerinden bağlanmak ile IP adresi üzerinden bağlanmak arasında önemli bir fark vardır. MAC adresi üzerinden bağlandığınızda cihazınızla aranızda IP yönlendirmesi olmasa bile erişebilirsiniz. Bu, yanlış IP yapılandırması sonucu cihaza ulaşamadığınız durumlarda hayat kurtarır.

Üçüncü Adım: Fabrika Ayarlarını Anlamak (Veya Sıfırlamak)

Yeni bir MikroTik cihazı genellikle bir varsayılan yapılandırma ile gelir. RouterOS, modeline göre farklı bir başlangıç yapılandırması yükler. hAP serisinde Wi-Fi açık ve “MikroTik-XXXXXX” isimli bir SSID yayınlar; RouterBoard serisinde ise sadece Ether1 üzerinde DHCP istemcisi etkindir.

İlk işiniz, mevcut yapılandırmayı temizleyip sıfırdan başlamak olmalı. Bunun için Winbox’ta açtığınız oturumda System > Reset Configuration menüsüne gidin. Karşınıza üç onay kutusu çıkar:

• Keep User Configuration: Mevcut kullanıcı hesaplarını korur. İlk kurulumda kapalı tutun.
• No Default Configuration: Cihazı tamamen boş bırakır. Eğer ilerleyen adımlarda manuel yapılandırmaya geçeceksek bu kutuyu işaretleyin.
• Do Not Backup: Sıfırlamadan önce yedek almasını engeller. Daima kapalı bırakın, MikroTik’in otomatik yedekleme özelliği size güvence sağlar.

Reset Configuration düğmesine bastıktan sonra cihaz yeniden başlar ve yaklaşık bir dakika içinde temiz haliyle ayağa kalkar. Bu süre sonunda yine Neighbors sekmesinden bağlanabilirsiniz.

Dördüncü Adım: WAN ve LAN Tanımlamaları

Şimdi gerçek yapılandırma başlıyor. Hedefimiz: Ether1 üzerinden internete çıkmak, Ether2-5 portlarını birleştirip LAN haline getirmek, kendi DHCP sunucunuzu çalıştırmak.

Önce LAN tarafını hazırlayalım. Interfaces menüsünde Ether2, Ether3, Ether4 ve Ether5’i seçin, sağ tıklayıp “Master Port” olarak Ether2’yi atayın. Bu MikroTik’in eski bir özelliği olan HW bridge yöntemidir; modern RouterOS sürümlerinde alternatif olarak Bridge menüsünden bir köprü arayüzü oluşturup tüm LAN portlarını köprüye dahil edebilirsiniz. RouterOS 7.x’te köprü yöntemi tercih edilir, çünkü tüm modelleri standart hâle getirir.

Bridge oluşturmak için Bridge > Add diyerek “bridge1” adında yeni bir köprü oluşturun. Sonra Bridge > Ports sekmesinde Ether2-5 portlarını sırayla bu köprüye ekleyin.

Sonra köprüye bir IP adresi atayın. Tipik bir ev/küçük ofis kurulumunda 192.168.88.1/24 standart seçimdir. IP > Addresses > Add deyip Address kutusuna 192.168.88.1/24 yazın, Interface olarak bridge1’i seçin.

WAN tarafı için IP > DHCP Client > Add deyip Interface olarak Ether1’i belirleyin. Eğer servis sağlayıcınız PPPoE kullanıyorsa farklı bir yol izlenir: PPP > Interface > Add > PPPoE Client‘tan kullanıcı adı ve şifrenizi girip Ether1’i kullanın.

Beşinci Adım: DHCP Sunucusu Kurmak

LAN tarafındaki bilgisayarların otomatik IP alabilmesi için bir DHCP sunucusuna ihtiyacımız var. IP > DHCP Server > DHCP Setup sihirbazını açın. Sihirbaz size adım adım sorular sorar:

1. DHCP Server Interface: bridge1’i seçin.
2. DHCP Address Space: 192.168.88.0/24 olarak otomatik geleceğini göreceksiniz, onaylayın.
3. Gateway: 192.168.88.1 olarak doldurun.
4. Addresses to Give Out: 192.168.88.2-192.168.88.254 aralığı genellikle yeterlidir.
5. DNS Servers: Hem MikroTik’in kendi IP’sini hem de 1.1.1.1 (Cloudflare) veya 8.8.8.8 (Google) gibi bir public DNS belirleyin.
6. Lease Time: Varsayılan 10 dakika çoğu evde kısa kalır; 1 saat (1h) önerimdir.

Altıncı Adım: NAT Kuralı — Olmazsa Olmaz

İnternet erişimi için trafiğin Ether1 üzerinden çıkarken kaynak adresinin maskelenmesi (NAT) gereklidir. Bu kural eklenmediğinde LAN’daki bilgisayarlar internete çıkamaz.

IP > Firewall > NAT > Add diyerek yeni bir kural ekleyin. Chain olarak srcnat seçin, Out. Interface olarak Ether1’i belirleyin. Action sekmesinde masquerade‘i seçip uygulayın. Bu, dış IP’niz değişse bile çalışmaya devam edecek esnek bir kural sağlar.

Bu noktada bilgisayarınızı LAN portuna takıp ethernet kablosunu yeniden bağladığınızda 192.168.88.0/24 ağından bir IP almalı ve internete çıkabilmelisiniz. ping 1.1.1.1 komutuyla test edin; cevap geliyorsa kurulumu doğru tamamladınız.

Yedinci Adım: Güvenliğin İlk Hattı — Firewall

Bu noktada çoğu kişi “tamam, çalışıyor, bıraktım” der. Yapmayın. RouterOS, varsayılan olarak gelen yapılandırma ile başladığında firewall kuralları zaten var; ama biz sıfırdan kurduğumuz için kendi kurallarımızı yazmamız lazım.

IP > Firewall > Filter Rules menüsünde aşağıdaki kuralları sırasıyla ekleyin:

1. Kural 1 (Accept established/related): Chain=input, Connection State=established,related → Action=accept. Bu, mevcut bağlantıların cevaplarının geçmesini sağlar.
2. Kural 2 (Drop invalid): Chain=input, Connection State=invalid → Action=drop. Hatalı paketleri filtrele.
3. Kural 3 (Accept ICMP): Chain=input, Protocol=icmp → Action=accept. Ping’lere cevap verebilmesi için.
4. Kural 4 (Accept LAN management): Chain=input, In. Interface=bridge1 → Action=accept. LAN’dan yönetim erişimine izin ver.
5. Kural 5 (Drop all other input): Chain=input → Action=drop. Geri kalan tüm girdiyi reddet.

Forward chain için de benzer kurallar:

1. Chain=forward, Connection State=established,related → accept
2. Chain=forward, Connection State=invalid → drop
3. Chain=forward, In. Interface=bridge1, Out. Interface=Ether1 → accept (LAN’dan WAN’a)
4. Chain=forward → drop

Sekizinci Adım: Şifre, Admin ve Erişim Sertleştirme

Şimdi cihazınız çalışıyor, internete çıkıyor ve firewall aktif. Sıra geldi en sık atlanan adıma: yönetim erişimini sertleştirmek.

System > Users menüsünden mevcut admin kullanıcısının üzerine çift tıklayın ve şifre alanını güçlü bir şifre ile değiştirin. Minimum 14 karakter, harf+rakam+sembol içeren bir şifre seçin. Şifre yöneticisi (Bitwarden, 1Password) kullanmıyorsanız şimdi başlamak için iyi bir an.

Sonra IP > Services menüsüne gidin. Burada Telnet, FTP, API, API-SSL, WWW, WWW-SSL ve SSH gibi yönetim servisleri listelenir. Kullanmadığınız tüm servisleri kapatın. Bir ev ortamında genellikle sadece SSH ve Winbox yeterlidir; geri kalanlar dış saldırı yüzeyini gereksiz büyütür. Kullanılan servisleri sadece LAN’dan erişilebilir hâle getirmek için “Available From” alanına 192.168.88.0/24 yazın.

Son olarak Winbox’ın varsayılan TCP 8291 portunu değiştirin. Bu küçük bir önlem ama otomatik bot taramalarına karşı önemli bir engel oluşturur.

Dokuzuncu Adım: Yedek Alın — Şimdi, Erteme

Çalışan bir yapılandırma elinizde var. Şimdi yapacağınız en akıllıca şey yedek almak. RouterOS’ta iki yedek türü vardır:

• Binary backup: System > Backup > Backup. Komut satırından /system backup save name=ilk-kurulum. Bu, cihaza özgüdür ve yalnızca aynı modele geri yüklenebilir.
• Export script: /export file=ilk-kurulum. Bu, yapılandırmanızı tüm RouterOS sürümlerinde okunabilir bir betik olarak dışa aktarır.

Her ikisini de alın. Yedek dosyalarını cihazdan çıkarıp güvenli bir yere kopyalayın. Bunu yapmazsanız, ileride yaptığınız bir yapılandırma hatası sonucu cihazınızı sıfırlamak zorunda kaldığınızda günler önce harcadığınız iki saati yeniden harcamanız gerekir.

Onuncu Adım: Wi-Fi Açma (Sadece hAP/AP modellerinde)

Eğer cihazınızda wireless modül varsa Wireless menüsünden Wi-Fi’yi etkinleştirmeniz gerekir. RouterOS 7 itibarıyla yeni cihazlar WiFi (Wave2) menüsünü kullanır; eski cihazlar ise klasik Wireless menüsünü.

Wi-Fi açarken dikkat edilmesi gereken üç ana ayar:

• SSID: Ağınızın adı. Açık ve hatırlanabilir bir isim seçin; ama markanızı veya soyadınızı kullanmayın (komşunuzun değil sosyal mühendisin işine yarar).
• Şifreleme: WPA2-PSK AES veya WPA3 (destekleyen cihazlarda). WEP ve WPA artık kabul edilemez.
• Kanal: 2.4 GHz için 1, 6 veya 11. 5 GHz için 36, 40, 44, 48 veya 149+ aralığından bölgenize uygun olanı.

İlk Yapılandırmadan Sonra Yapmanız Gerekenler

Çalışan bir kurulumunuz var ama bu sadece başlangıç. Önümüzdeki haftalarda öğrenmeniz gereken konular:

1. NTP istemcisi yapılandırın: System > SNTP Client‘tan time.google.com’u ekleyin. Saat senkronize değilse loglarınız anlamsız olur.
2. DDNS: Dış IP’niz değişiyorsa Cloud (cloud.mikrotik.com) hizmetini etkinleştirip ücretsiz dinamik DNS alın.
3. RouterOS güncelleme: System > Packages > Check for Updates‘tan kararlı sürümü takip edin.
4. VPN: Uzaktan erişim için WireGuard veya IKEv2 yapılandırmasına geçin.

Terminal Komutlarına Geçmek İçin Mini Sözlük

Winbox arayüzü görsel olarak rahattır ama bazı işlemlerde terminal çok daha hızlıdır. Yeni başlayan biri için, en sık kullanacağınız komutların kısa bir listesi aşağıdadır:

• /interface print — Tüm arayüzleri listeler.
• /ip address print — Tanımlı IP adreslerini gösterir.
• /ip route print — Routing tablosunu okur.
• /ip dhcp-server lease print — Şu an DHCP’den IP alan istemcileri görürsünüz.
• /system resource print — CPU, RAM, uptime gibi sistem kaynaklarını listeler.
• /system identity set name=evim — Cihaza isim verir; ağda kolayca tanıyabilmeniz için kritiktir.
• /tool ping 1.1.1.1 count=5 — Beş paket ping testi.
• /log print where topics~"warning" — Sadece uyarı loglarını filtreler.

RouterOS CLI’sındaki en güçlü özellik tab tamamlamadır. Bir komutu yarım yazıp Tab’a basarsanız MikroTik size seçenekleri sunar. Bu özellik, komut yapısını ezberlemenize gerek kalmadan rahat çalışmanızı sağlar.

Cihaza Güvenli Uzaktan Erişim İçin İlk Adımlar

İlk yapılandırmanızı tamamladıktan sonra çoğunlukla “dışarıdan eve nasıl bağlanırım?” sorusu gelir. Bu sorunun cevabı kesinlikle “router’ın WAN IP’sine port forward” değildir. 2026 itibarıyla evlerde bile WireGuard tabanlı VPN tek doğru cevaptır.

WireGuard kurulumu için WireGuard > Interface > Add diyerek bir interface oluşturun. Listen Port olarak 13231 gibi standart dışı bir port seçin. Public key MikroTik tarafından otomatik üretilir. Sonra peer ekranından telefon veya laptop’unuz için bir peer tanımlayın; QR kod ile telefondan tek tıkla bağlanabilirsiniz. Bu konuyu detaylı işleyen ayrı bir rehberimiz mevcut, dilerseniz blog arşivinde “WireGuard Nedir ve MikroTik Üzerinde Nasıl Kurulur?” başlığıyla bulabilirsiniz.

Karşılaşacağınız Üç Tipik Hata

Eğitimlerde en çok soru aldığım üç sorun şunlardır:

Sorun 1: “Cihazı bağlıyorum ama Winbox’ta görünmüyor.” Çözüm: Antivirüsünüzün veya Windows Defender Firewall’unuzun MikroTik’i broadcast keşfetmesine izin verdiğinden emin olun. Geçici olarak kapatıp tekrar deneyin.

Sorun 2: “DHCP IP alıyorum ama internete çıkamıyorum.” Çözüm: NAT masquerade kuralının doğru Out. Interface’e yazıldığını kontrol edin. Ether1 yerine yanlışlıkla bridge1’i seçmek en yaygın hatadır.

Sorun 3: “Yapılandırmayı kaydettim ama kapatıp açtığımda kayboldu.” Çözüm: MikroTik tüm yapılandırmaları otomatik olarak kalıcı hâle getirir. Konfigürasyonunuz kaybolduysa, büyük ihtimalle başka bir cihaza bağlanmışsınızdır veya yapılandırma fabrika ayarlarına döndürülmüştür. System > History‘den son işlemleri kontrol edin.

Sıkça Sorulan Sorular

Winbox yerine sadece tarayıcı arayüzü (WebFig) kullansam olur mu?

Evet, çoğu işlem için WebFig yeterlidir. Ama bazı ileri seviye özelliklere (özellikle terminal akışı ve dosya yöneticisi) Winbox üzerinden daha rahat erişebilirsiniz.

İlk yapılandırma için MikroTik’in QuickSet’ini kullansam?

Kullanabilirsiniz ama tavsiye etmem. QuickSet hızlı çözüm sağlar, fakat içinden çıkardığı kuralları görme ve düzenleme alışkanlığı kazandırmaz. Eğitim amaçlı bir cihazda manuel yapılandırma çok daha öğreticidir.

Modemi köprü (bridge) modunda mı kullansam, yoksa modem üzerinden bağlansam mı?

Eğer mümkünse modemi bridge moduna alıp PPPoE oturumunu doğrudan MikroTik’te açın. Bu çift NAT problemini ortadan kaldırır ve dış IP doğrudan MikroTik’e gelir. Bu, port yönlendirme veya VPN gibi gelişmiş senaryolarda hayati önem taşır.

İlk kurulum sonrası performansı nasıl ölçerim?

BTest aracını kullanarak iki MikroTik arasında bant genişliği ölçümü yapabilirsiniz. Tek cihazınız varsa, LAN tarafında bir bilgisayardan iperf3 ile dış bir sunucuya test yapabilirsiniz. Anlamlı sonuçlar için CPU ve RAM kullanım grafiklerini de Tools > Profile‘dan inceleyin.

Üretim ortamına almadan önce nelere bakmalıyım?

Asgari kontrol listesi: güçlü admin şifresi, gereksiz servislerin kapalı olması, NTP senkronizasyonu, NAT kuralının doğru çalıştığı, DNS çözümlemesinin sağlıklı olduğu, firewall kurallarının test edildiği, yedek dosyalarının dış bir konuma alındığı.

Kapanış

Bu yazıda ilk MikroTik kurulumunuzun temellerini detaylıca ele aldık. Eğitmen olarak vurgulamak istediğim son nokta şudur: MikroTik öğrenmek bir maraton, sprint değil. İlk hafta gözünüze devasa görünen menü yapısı, üçüncü ayda doğal hâle gelecek. Sabırlı olun, her hatadan not alın, ve mümkün olduğunda her değişikliği yedekleyin. Bu üç prensip, beni ve binlerce öğrencimi başarıya götürdü.

Yeni başlayanlar için sıklıkla önerdiğim bir yöntem: Cihazınızı her kapattığınızda yapılandırmayı bir tekrar gözden geçirin, kendi kendinize “bu kural neden burada?” diye sorun. Birkaç hafta içinde sezgisel bilginiz oluşacak, ve sahada karşılaşacağınız sorunları daha hızlı çözeceksiniz.

Kurulum sırasında takıldığınız bir nokta olursa, MikroTikBox üzerinden iletişime geçebilir veya topluluk forumlarında soru sorabilirsiniz. Her sorunun bir cevabı vardır; sadece doğru soruyu sormayı öğrenmek gerek.

İlgili Yazılar

Bu konuyla doğrudan ilişkili pratik rehberlerimiz:

• MikroTik Nedir? RouterOS Mimarisinden Saha Senaryolarına 2026 Rehberi
• Site-to-Site VPN: Mimari, Protokol ve Topoloji Tasarımı
• MikroTik vs Cisco: KOBİ İçin 5 Yıllık TCO Karar Rehberi
• RouterOS 7 Mimarisi: Paket, Container ve Modern Özellikler

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• MikroTik Resmi Dökümantasyon (RouterOS Wiki)
• MikroTik Resmi Forumu
• MikroTik Resmi Sitesi
• Wikipedia: Network Address Translation
• Wikipedia: OSI Model