“Hangi VPN protokolünü kullanmalıyım?” sorusu bana en sık sorulan teknik sorulardan biridir. Cevabı tek bir cümleyle vermek mümkün değil — protokol seçimi senaryoya bağlıdır. MikroTik üzerinde altı farklı VPN protokolü destekleniyor: PPTP, L2TP/IPsec, SSTP, OpenVPN, IKEv2/IPsec ve WireGuard. Bu yazıda altı protokolün teknik karşılaştırmasını, performans rakamlarını ve hangi senaryoda hangisinin doğru tercih olduğunu paylaşacağım. Sonunda elinizde bir karar matrisi olacak ve bir sonraki VPN kurulumunuz için emin bir başlangıç yapabileceksiniz.

VPN Protokolünün Üç Temel Görevi

Bir VPN protokolü üç temel görevi yerine getirmek zorundadır: kimliklendirme (kim olduğunu kanıtlama), şifreleme (trafiği gizleme) ve tünelleme (paketleri uzak ağa taşıma). Bu üç görevi farklı protokoller farklı algoritmalarla, farklı verimlilikle ve farklı güvenlik seviyesinde gerçekleştirir.

Protokol seçimi yaparken sormanız gereken sorular:

• Hangi istemci platformları destekleyecek? (Windows, Mac, iOS, Android, Linux)
• Performans kritik mi? (sürekli açık tünel mi, ara sıra mı kullanılacak)
• Güvenlik gereksinimleri ne? (kişisel kullanım mı, kurumsal sertifika tabanlı mı)
• NAT arkasında çalışacak mı? (mobil ağlar, ev bağlantıları)
• Kurulum karmaşıklığını ne kadar kabul ediyoruz?

PPTP — Eskimiş ve Güvensiz

Point-to-Point Tunneling Protocol, Microsoft tarafından 1996’da geliştirildi. Bir zamanlar VPN dünyasının standardıydı; bugün ise kesinlikle kullanılmamalıdır. Şifreleme algoritması (MPPE/RC4) yıllar önce kırıldı, MS-CHAPv2 kimlik doğrulaması kolayca brute-force edilebiliyor. 2025 itibarıyla pek çok modern işletim sistemi PPTP desteğini default olarak kaldırdı (iOS 10, macOS Sierra ve sonrası).

Bu protokolün kullanımının tek istisnası “legacy bir sisteme zorunlu uyumluluk” senaryosudur ve bu durumda bile mümkünse hızlıca migrate edilmelidir. MikroTik üzerinde PPTP halen destekleniyor ama eski sistemler için uyumluluk amaçlıdır; yeni kurulumlarda asla seçmeyin.

PPTP Özet

• Güvenlik: ✗ (kırılmış)
• Performans: 250-300 Mbps (RB5009)
• Kurulum: Çok kolay
• NAT geçişi: Sorunlu (GRE protokolü engellenebilir)
• Önerim: Asla kullanmayın

L2TP/IPsec — Klasik ama Eskiyen

Layer 2 Tunneling Protocol genelde IPsec ile birlikte kullanılır (sadece L2TP şifresizdir). Microsoft ve Cisco’nun ortak çalışmasıyla geliştirildi. PPTP’ye göre çok daha güvenli, ama günümüz standartlarına göre yavaş ve karmaşık.

L2TP/IPsec’in temel sorunu çift kapsülleme yapmasıdır: paketleri önce L2TP sonra IPsec ile sarar. Bu, hem CPU yükünü artırır hem de MTU sorunlarına yol açar. Modern alternatifler (IKEv2, WireGuard) bu sorunları yaşamaz.

L2TP/IPsec Özet

• Güvenlik: ✓ (AES kullanılırsa makul)
• Performans: 200-280 Mbps (RB5009)
• Kurulum: Orta zorluk
• NAT geçişi: NAT-T ile destekli
• Önerim: Eski cihaz uyumluluğu için kullanılabilir, yeni kurulumlarda IKEv2 tercih edin

SSTP — Windows Dünyasının Tercihi

Secure Socket Tunneling Protocol, Microsoft tarafından geliştirilen SSL/TLS tabanlı bir VPN protokolüdür. Trafiği TCP 443 üzerinden taşır; bu sayede neredeyse her firewall’dan geçer. Eğer bağlanmaya çalıştığınız ağda sıkı bir firewall varsa ve sadece HTTPS açıksa SSTP işe yarar.

SSTP’nin zayıf yanı performans ve platform desteğidir. Windows’ta native, Linux ve macOS’ta deneyimi sınırlı. Mobil platformlarda doğrudan desteklenmez. TCP üzerinden çalıştığı için TCP-in-TCP problemine yatkın; latency yüksek ortamlarda performans dramatik şekilde düşer.

SSTP Özet

• Güvenlik: ✓ (SSL/TLS tabanlı)
• Performans: 150-250 Mbps (RB5009)
• Kurulum: Sertifika gerekli, orta zorluk
• NAT geçişi: Mükemmel (TCP 443)
• Önerim: Sıkı firewall arkasından Windows istemci bağlatıyorsanız değerlendirin

OpenVPN — Çok Yönlü Ama Yavaş

OpenVPN, 2001’de geliştirilen açık kaynak bir SSL tabanlı VPN protokolüdür. Yıllar içinde en popüler VPN protokollerinden biri haline geldi. Tüm platformlarda destekli, esnek konfigürasyon, sertifika veya statik anahtar bazlı kimliklendirme — sahada çok karşılaşılır.

OpenVPN’in temel zayıflığı performanstır. User space’te çalışır (kernel’da değil), bu da paket başına ek sistem çağrısı maliyetidir. Tek thread’lidir, dolayısıyla çok çekirdekli sistemlerde tek bir CPU çekirdeğine yük bindirir. MikroTik üzerinde 180-250 Mbps civarında throughput verir.

OpenVPN Özet

• Güvenlik: ✓ (modern, denetlenmiş)
• Performans: 180-250 Mbps (RB5009)
• Kurulum: Orta-zor (sertifika yönetimi)
• NAT geçişi: Mükemmel (UDP/TCP seçenekli)
• Önerim: Esneklik ihtiyacı yüksekse, çok platform desteği gerekiyorsa

IKEv2/IPsec — Enterprise Standardı

Internet Key Exchange version 2, IPsec ile birlikte modern enterprise VPN dünyasının standardıdır. iOS, macOS, Windows native olarak destekler; Android’de istemci uygulaması (strongSwan) ile kullanılır. MOBIKE genişletmesi sayesinde mobil ağ değişiminde bağlantı kopmaz.

IKEv2 hardware acceleration’dan faydalanır; AES-NI destekleyen MikroTik cihazlarında throughput WireGuard’a yakın seviyelere çıkar. Kurumsal sertifika altyapısıyla (PKI) entegre edilebilir, group bazlı yetkilendirme yapılabilir. Bu özelliği onu büyük kurumların tercihi yapar.

IKEv2/IPsec Özet

• Güvenlik: ✓✓ (modern, denetlenmiş)
• Performans: 450-600 Mbps (RB5009)
• Kurulum: Orta-zor
• NAT geçişi: NAT-T ile mükemmel
• Önerim: Kurumsal kullanım, native istemci desteği önemli

WireGuard — Modern ve Hızlı

WireGuard, 2018’de Linux çekirdeğine giren modern bir VPN protokolüdür. Tasarım felsefesi: az kod (4.000 satır vs OpenVPN’in 100.000+), modern kriptografi (ChaCha20-Poly1305), hızlı handshake (60 ms), Linux kernel space’te çalışma.

WireGuard’ın özellikleri:

• Tek UDP portu kullanır (genelde 51820 veya özelleştirilmiş)
• Asimetrik anahtar tabanlı kimliklendirme (public/private key)
• Pre-shared key opsiyonel (post-quantum güvenlik için önerilir)
• Stateless tasarım — tünel “her zaman açık” hissi verir
• Roaming desteği — IP değişimi şeffaf

MikroTik RouterOS 7’de native destek vardır. RB5009 üzerinde 800-1000 Mbps throughput sağlar.

WireGuard Özet

• Güvenlik: ✓✓ (modern, denetlenmiş, az kod)
• Performans: 800-1000 Mbps (RB5009)
• Kurulum: Kolay-orta
• NAT geçişi: Mükemmel
• Önerim: Yeni kurulumlarda varsayılan tercih

Detaylı Teknik Karşılaştırma: Şifreleme Algoritmaları

Her VPN protokolü farklı şifreleme algoritmaları sunar. Modern güvenlik için kabul edilebilir olanlar:

• AES-256-GCM: IKEv2, OpenVPN, WireGuard (alternatif) destekler. Modern, hızlı, denetimli.
• ChaCha20-Poly1305: WireGuard’ın varsayılanı. Yazılım tabanlı sistemlerde AES-NI’den hızlı.
• AES-256-CBC: Eskimiş ama hâlâ kabul edilebilir. Modern alternatiflere geçilmeli.
• Blowfish/3DES: Eskimiş. Yeni kurulumda kullanılmamalı.

Önemli ipucu: AES-NI desteği olan modern x86 sunucularda (örneğin CHR çalıştıran VPS’ler) AES-GCM ChaCha20’den biraz hızlı. ARM tabanlı MikroTik cihazlarında (RB5009 vb) ChaCha20 önde gelir.

Anahtar Yönetimi Karşılaştırması

Her protokolün kimlik bilgisi yönetimi farklıdır:

• PPTP/L2TP: Kullanıcı adı + şifre. Basit ama eskimiş.
• SSTP: Sertifika tabanlı (genelde). Daha güvenli ama yönetimi karmaşık.
• OpenVPN: Sertifika veya statik anahtar. PKI ile entegre.
• IKEv2: PSK veya sertifika. PKI entegrasyonu güçlü.
• WireGuard: Public/private key çiftleri. Anahtar başına node, basit ama scale’i farklı yönetilir.

WireGuard’ın anahtar modeli farklıdır: her node’un kendi key çifti olur, manuel olarak peer listelerine eklenir. 100+ kullanıcılı senaryolarda yönetimi otomasyona (Ansible, scripting) bağlamak şarttır.

Karar Matrisi: Hangi Senaryoda Hangi Protokol?

Senaryo 1: Bireysel kullanıcı, yüksek performans

WireGuard. Hızlı, az pil tüketir, modern.

Senaryo 2: Kurumsal kullanıcı, sertifika tabanlı

IKEv2/IPsec. PKI ile entegre, native istemci desteği.

Senaryo 3: Sıkı firewall arkasında, sadece HTTPS açık

SSTP veya OpenVPN-over-TCP-443. Firewall’ı geçer.

Senaryo 4: Maksimum platform desteği gerekli

OpenVPN. Her yerde çalışır, ama yavaş.

Senaryo 5: Site-to-site şube bağlantısı

IKEv2/IPsec (klasik) veya WireGuard (modern). İkisi de mükemmel iş çıkarır.

Senaryo 6: Çok eski cihaz uyumluluğu

L2TP/IPsec. PPTP’den kaçının.

Senaryo 7: BYOD (Bring Your Own Device) ortam

IKEv2 (Windows/iOS/Mac native) + WireGuard (Android, Linux). İki seçenek paralel sunulabilir.

Senaryo 8: Bulut sunucu ile şirket ağı bağlantısı

WireGuard. Bulut tarafında hızlı kurulur (Linux native), MikroTik tarafında native destek var.

Mobil Cihaz Tecrübesi Karşılaştırması

Mobil cihazlarda VPN kullanımı, masaüstüne göre farklı dinamikler içerir. Pil tüketimi, otomatik yeniden bağlanma, arka planda çalışma davranışları belirleyicidir.

iOS ve macOS’ta IKEv2 native destek sayesinde sistem ayarlarından ekleyebilirsiniz; uygulama yüklemeye gerek yok. Pil tüketimi minimaldir, sistem optimizasyonlarından faydalanır. WireGuard’ın resmi uygulaması var; pil tüketimi düşük ama uygulama açık olmalı.

Android’de WireGuard resmi uygulaması en hafif ve hızlı seçenektir. Pil tüketimi OpenVPN’in yaklaşık yarısı kadardır. IKEv2 için strongSwan uygulaması kullanılır, biraz daha gelişmiş yapılandırma sunar.

Pil testlerimde, sürekli açık WireGuard tüneli (sadece şirket subnet’i yönlendirilmiş) günlük pil tüketimine yaklaşık %2-4 ek katkı yapar. OpenVPN aynı senaryoda %8-12 katkı yapar. Bu fark, sürekli VPN kullanan mobil çalışan için ay sonunda farkedilir hale gelir.

Performans Karşılaştırma Tablosu

RB5009 üzerinde benim ölçtüğüm gerçek throughput değerleri (üretim ortamı, çift yönlü TCP):

• PPTP: 280 Mbps (CPU %85)
• L2TP/IPsec: 240 Mbps (CPU %80)
• SSTP: 200 Mbps (CPU %75)
• OpenVPN: 220 Mbps (CPU %78)
• IKEv2/IPsec (HW offload): 540 Mbps (CPU %55)
• WireGuard: 920 Mbps (CPU %30)

WireGuard’ın CPU kullanımının düşüklüğü dikkat çekicidir; bu özelliği özellikle yüksek bant genişliği gerektiren senaryolarda önemli bir avantajdır.

Güvenlik Karşılaştırması

Güvenlik açısından protokoller şöyle sıralanır (yüksek → düşük):

1. WireGuard: Modern algoritmalar, az kod, denetimli
2. IKEv2/IPsec: Standartlaşmış, geniş çapta test edilmiş
3. OpenVPN: Açık kaynak, denetimli
4. SSTP: SSL/TLS güvenliği seviyesinde
5. L2TP/IPsec: IPsec ile birlikte makul
6. PPTP: Kırılmış — KULLANMAYIN

Saha Tecrübesinden 4 Vaka

Vaka 1: Eskimiş PPTP’den WireGuard’a geçiş. Bir mali müşavirlik firması 12 yıllık PPTP altyapısını kullanıyordu. PCI-DSS denetimine girince güvenlik bulgularıyla karşılaştı. WireGuard’a geçişle hem denetim sonuçları geçti hem de bağlantı hızı 4 kat arttı.

Vaka 2: Sıkı firewall arkasından bağlanan saha satış ekibi. Müşterilerinin ofislerinden bağlanması gereken satış temsilcileri için SSTP tercih edildi. Çoğu müşteri firewall’unda sadece HTTPS açıktı; SSTP bu sayede sorunsuz çalıştı.

Vaka 3: BYOD politikası uygulayan bir yazılım şirketi. Çalışanların kendi cihazlarını kullanmaları gerektiğinde, iOS/Mac için IKEv2 + Android/Linux için WireGuard çift seçenek olarak sunuldu. Her platform native veya iyi destekli istemciyle bağlandı.

Vaka 4: 200 kullanıcılı bir kurum, sertifika tabanlı kimlik. Bu büyüklükte WireGuard’ın peer yönetimi karmaşık olurdu. IKEv2 + PKI + Active Directory entegrasyonu tercih edildi; kullanıcı eklemek/kaldırmak AD’den otomatik yönetildi.

Migrasyon Tavsiyeleri

Eğer mevcut bir VPN altyapınız varsa ve yeni bir protokole geçmeyi planlıyorsanız, paralel yaklaşım önerilir.

Önce yeni protokolü (örneğin WireGuard) eski yapının yanına kurun. Bir pilot grup (3-5 kullanıcı) yeni protokolü test etsin. 2-4 hafta sahada gözlem yapın: bağlantı sorunları, performans şikayetleri, kullanıcı geri bildirimleri. Sorun olmadığı kanıtlandığında geri kalan kullanıcıları aşamalı olarak geçirin. Tüm kullanıcılar yeni protokolde sağlam çalıştığında eski protokolü disable edin (silmeyin; gerekirse geri açabilirsiniz).

Loglama ve Audit Karşılaştırması

Bir VPN altyapısının değeri sadece bağlantı sağlamakla bitmez; kim, ne zaman, hangi kaynağa bağlandı bilgisinin loglanması kurumsal güvenlik için kritiktir.

• PPTP/L2TP: Kullanıcı adı bazlı, login/logout zamanları kayıt edilir. MikroTik System Log’ta görünür.
• SSTP/OpenVPN: Detaylı kullanıcı bazlı log. OpenVPN için ayrı bir log dosyası tutulabilir.
• IKEv2: Identity bazlı log. RADIUS entegrasyonuyla merkezi loglama yapılır.
• WireGuard: Native log sınırlı (handshake, peer endpoint değişimi). Detaylı log için ek script gereklidir.

5651 veya KVKK uyumluluğu gereken senaryolarda WireGuard’ın bu zayıflığı dezavantaj olabilir; ek loglama scriptleri ile telafi edilebilir ama yine de IKEv2 daha yetenekli.

Sıkça Sorulan Sorular

WireGuard tüm protokollerin yerini alacak mı?

Çoğu kullanım senaryosunda evet; ama IKEv2/IPsec hâlâ enterprise PKI ile entegre senaryolarda güçlüdür. PPTP gibi eskimişleri tamamen, OpenVPN’i çoğunlukla, IKEv2’yi bazen yer değiştirir.

İki farklı VPN protokolünü aynı MikroTik’te çalıştırabilir miyim?

Evet. Farklı port’lar ve farklı interface’ler kullanılırsa, aynı cihaz hem WireGuard hem IKEv2 sunabilir. Migrasyon dönemlerinde sık kullanılır.

Mobil cihazlardan en kolay bağlantı hangi protokolle olur?

iOS ve macOS için IKEv2 (built-in), Android için WireGuard (resmi uygulama), Windows için her ikisi de pratik.

Şirket VPN’imde 2FA kullanmak istiyorum, hangi protokol uygun?

OpenVPN ve IKEv2 RADIUS entegrasyonuyla 2FA destekler. WireGuard 2FA’yı native desteklemez; önüne ek bir auth layer (örneğin Tailscale + identity provider) eklemek gerekir.

VPN performansı yetersiz kalırsa donanım mı yazılım mı yükselteyim?

Önce protokol değiştirin (örneğin OpenVPN’den WireGuard’a). Bu çoğu zaman donanım yükseltmeden 3-4 katı performans verir. Hâlâ yetmiyorsa donanım yükseltin.

Sonuç

Doğru VPN protokolü seçimi, performans, güvenlik ve operasyonel sürdürülebilirliği aynı anda etkileyen bir karardır. 2026 itibarıyla yeni bir kurulum yapıyorsanız varsayılan tercihim WireGuard’dır; istisnai senaryolar dışında ihtiyacınızın tamamını karşılar. Kurumsal PKI gereksinimi varsa IKEv2/IPsec ikinci seçenektir. PPTP ise tarihe karışmıştır; hâlâ kullanan bir sistem varsa migrasyon planına başlayın. Bu yazıda paylaştığım karar matrisini kendi senaryonuza uyarlayın, bir pilot proje ile test edin, sonra üretime alın. Yıllarca dayanan VPN altyapıları, ilk gün doğru kararlar verilen altyapılardır. Sahada gördüğüm bir gerçek var: protokol değiştirmek, sahaya alındıktan sonra çok daha zor olur. O yüzden ilk seçiminizi dikkatle yapın, gelecek beş yılda yaşayacağınız senaryoları göz önünde bulundurun ve esnek bir mimari kurun.

Eklemek istediğim son bir nokta: hiçbir protokol başına buyruk değildir, doğru yapılandırma ile kullanılmalıdır. WireGuard’ın varsayılan ayarları çoğu zaman güvenli olsa da, pre-shared key eklemek ve allowed-ips listesini sıkı tutmak ek güvenlik katmanları sağlar. IKEv2 için modp2048 yerine modp4096 ya da elliptic curve DH grupları tercih edin. OpenVPN için cipher direktifini gözden geçirin, eski DES varyantlarından kaçının. Sahip olduğunuz protokol kadar onu nasıl yapılandırdığınız da güvenliğinizi belirler; bu yüzden protokol seçimi tek başına yeterli değildir, doğru parametrelerle eşleştirilmesi gerekir. Bir VPN altyapısı kurulduktan sonra tüm yapılandırma parametrelerini bir doküman halinde toplayın; ileride bir başka mühendise veya kendinize bile kararlarınızı hatırlatmak için referans noktası olur. Bu küçük disiplin yıllar içinde paha biçilmez bir varlık haline gelir ve VPN altyapınızın evrimini izlemenize olanak verir.

Devam Eden Konular

Bu rehberi tamamlayan diğer içerikler şunlardır:

• MikroTik ile Uzak Erişim: VPN, Port Forward ve Cloud Yöntemleri Hangi Senaryoda?
• ZeroTier ile MikroTik VPN Mesh: Container Üzerinden Multi-Site Köprüleme
• MikroTik Site-to-Site IPsec/IKEv2 VPN Kurulumu: İki Şube Arasında Sıfırdan Tünel
• Site-to-Site VPN: Mimari, Protokol ve Topoloji Tasarımı
• WireGuard Protokolünün İçi: Kriptografi, Crypto-Routing ve Linux Çekirdeği Desteği

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• WireGuard Resmi Sitesi
• IETF IKEv2 RFC 7296
• NIST VPN Guideline (SP 800-77)
• MikroTik Resmi Dökümantasyon (RouterOS Wiki)
• MikroTik Resmi Forumu