İşletmenizin bir şubesindeki muhasebe verilerine, kendi evinizden, sanki ofise oturmuşsunuz gibi güvenle erişebilmek; sahadaki bir mühendisin sıfır risk ile merkezdeki SCADA panosuna bağlanması; üç farklı ildeki şubelerin sanki tek bir LAN üzerindeymiş gibi birbirleriyle haberleşmesi… Bu senaryoların hepsinin ortak çözümü tek bir kelimede toplanır: VPN. Ancak gerçek dünyada “VPN” demek tek başına bir şey ifade etmez. WireGuard mı, IPsec mi, L2TP mi, OpenVPN mi, SSTP mi, ZeroTier mi seçeceksiniz? Site-to-site mı, road warrior mı kuracaksınız? IPv4 üzerinden tünel mi açacaksınız yoksa IPv6 üzerinden DMVPN mı tasarlayacaksınız? Bu rehber, MikroTik ekosistemi etrafında bu sorulara yapılandırılmış cevaplar vermek için tasarlanmış bir pillar, yani şemsiye sayfasıdır.

MikroTik, RouterOS’un sunduğu zenginlik sayesinde piyasadaki neredeyse tüm VPN protokollerini destekleyen ender platformlardan biridir. Bu zenginlik aynı zamanda bir paradoks doğurur: çok seçenek, az netlik. Hangisi sizin kullanım senaryonuza uyar? Bir KOBİ için WireGuard kurmak yerine IPsec/IKEv2 tercih etmenin bir nedeni var mıdır? Sahada 50 farklı şubeyi mesh topoloji ile bağlamak istediğinizde nasıl bir otomasyon kurarsınız? Tüm bu sorulara bu pillar sayfa boyunca cevap vereceğiz ve her bölümde sizi daha derin, uygulamaya dönük yazılara yönlendireceğiz.

Bu Rehber Kimin İçin?

Bu pillar üç farklı okuyucu profili için yapılandırıldı. Birincisi, küçük veya orta ölçekli bir işletmenin sistem sorumlusu olan ve “uzaktan ofisime nasıl güvenli bağlanırım” sorusuna pratik bir cevap arayanlar. İkincisi, çok şubeli bir kurumun ağ mimarisini sıfırdan tasarlama görevini üstlenen sistem yöneticileri, IT direktörleri ve danışmanlar. Üçüncüsü ise WireGuard, IPsec/IKEv2 gibi protokollerin teknik içselliklerini, kriptografi katmanını ve crypto-routing ilkelerini anlamak isteyen ağ mühendisleri.

Hangi profile dahil olursanız olun, bu sayfa bir “harita” görevi görür. İhtiyacınıza göre alt yazılara dalabilir, bitirince buraya dönüp diğer parçalara geçebilirsiniz. Pillar sayfası bilinçli olarak fazla teknik detaya inmez; bunun yerine kavramları bir araya getirir ve sizi uygulamaya dönük detaylı yazılara yönlendirir.

MikroTik tabanlı VPN ve uzak erişim altyapısını temsil eden güvenli ağ bağlantısı

VPN Protokollerini Anlamak: Hangi Senaryoda Hangisini Seçmeli?

RouterOS’un sunduğu VPN listesi başlangıçta göz korkutucudur: PPTP, L2TP/IPsec, SSTP, OpenVPN, IPsec/IKEv1, IPsec/IKEv2, WireGuard, EoIP, GRE, ZeroTier… Bu listenin her bir üyesi farklı bir kullanım senaryosu, performans profili ve güvenlik seviyesi için tasarlandı. Yanlış protokol seçimi, sadece güvenlik açığına değil; uzun vadede operasyonel kabusa da yol açar. Örneğin PPTP hâlâ pek çok firmanın ağında çalışıyor olabilir; ama 2012’den bu yana kırılgan kabul edildiği için sadece backward compatibility ihtiyacı dışında tercih edilmemelidir.

VPN protokolünü seçerken cevaplamanız gereken sorular şunlardır: Mobil cihazlardan native bağlantı destekleniyor mu? NAT arkasındaki istemcilerden çalışıyor mu? CPU başına throughput nasıl? Hangi kriptografi algoritmaları kullanılıyor? UDP mi TCP mi? Firewall dostu mu? Türk ISP’lerinde port engellemesi var mı? Bu soruların hepsine birden cevap vermek için ayrı bir karşılaştırmalı yazı hazırladık. Detaylı bir matriks ile her protokolün artılarını ve eksilerini görmek için MikroTik VPN türleri karşılaştırması yazımıza mutlaka göz atın. Orada IPsec, L2TP, OpenVPN, SSTP ve WireGuard tarafları kafa kafaya değerlendirildi.

WireGuard: Modern, Hızlı ve Sade VPN

Son birkaç yıldır VPN ekosisteminin gözdesi WireGuard oldu. Jason Donenfeld tarafından geliştirilen bu protokol, IPsec’in karmaşıklığına, OpenVPN’in CPU yoğunluğuna karşı bir cevap olarak doğdu. Sadece 4000 satır kernel kodu, UDP üzerinde tek port, Noise protokol framework’üne dayalı modern kriptografi… WireGuard, RouterOS 7.0 sürümünden itibaren MikroTik tarafından yerel olarak destekleniyor.

Pratik tarafta WireGuard’ı bir kafe işletmecisinin ofisinden eve uzanan bağlantı için kullanmak da mümkün, 30 şubeli bir kurumun mesh ağını sıfırdan kurmak için de. Tek bir yapılandırma dosyası, üç-beş satır komut ile çalışmaya başlar. Üretilen anahtar çiftiyle (public + private key) cihazlar birbirini tanır. Adım adım kurulum, qrencode üzerinden iPhone/Android için mobil profil oluşturma ve dynamic DNS ile birleştirme örneklerini görmek istiyorsanız MikroTik WireGuard VPN kurulum kılavuzunu okuyun. Orada hem road-warrior hem de site-to-site senaryolarını ele aldık.

WireGuard’ı “büyülü” yapan asıl konu kullanıcı arayüzünün sadeliği değil; altındaki kriptografi yapısıdır. Curve25519, ChaCha20, Poly1305 ve BLAKE2s gibi modern algoritmaları varsayılan ve “değiştirilemez” olarak benimser; eski cipher suit’ler için döküm sağlamaz. Bu, hem güvenlik hem de bakım açısından devrim niteliğindedir. Crypto-routing kavramı (her peer’in IP’sinin public key ile eşleştirildiği yapı), Linux kernel modülünün iç işleyişi ve handshake mekaniği gibi derin konulara WireGuard protokolünün içi: kriptografi, crypto-routing, Linux kernel yazısında ayrıntılı bir teknik analiz yaptık. Ağ mühendisi okurlarımız için bu metin bir hazinedir.

IPsec/IKEv2: Kurumsal Standart ve Site-to-Site Mimari

WireGuard tüm övgüleri toplarken IPsec’i mezara gömmek de doğru olmaz. Özellikle kurumsal dünyada, kurumsal sertifika altyapısıyla (PKI) entegre, mobil cihazlardan native bağlantı destekleyen ve denetim altında olması gereken senaryolarda IPsec/IKEv2 hâlâ ana akım çözümdür. Android, iOS, Windows ve macOS hepsi IKEv2’yi yerleşik olarak destekler; üçüncü parti uygulama gerektirmez.

IPsec’in karmaşıklığı bir efsane gibi anlatılır; ama yapılandırmaya bir kez hakim olduktan sonra son derece güvenilir bir altyapı sunar. Phase 1 (IKE) ve Phase 2 (IPsec SA) ayrımı, PFS (Perfect Forward Secrecy) seçimi, NAT-T (NAT traversal), dead peer detection gibi kavramlar başlangıçta korkutucu görünse de net bir mantığa oturur. Bir şubeyi merkeze tek bir public IP üzerinden bağlamak istediğinizde, sertifika tabanlı kimlik doğrulama ile yapılan IKEv2 tüneli sadece çalışmakla kalmaz; aynı zamanda BYOD politikalarına da uyum sağlar.

RouterOS üzerinde site-to-site bir IPsec/IKEv2 tüneli kurmanın adımlarını sıfırdan, gerçek bir iki şubeli senaryo üzerinden anlattığımız uygulamaya dönük rehberimiz için MikroTik site-to-site IPsec/IKEv2 VPN kurulumu sayfasına bakın. Orada peer profilinden phase 2 proposal’larına, NAT istisna kurallarından log analizine kadar tüm pratik adımları örnek konfig’lerle paylaştık. Bu yazı, IPsec’i ilk kez kuracak okurun yapacağı 3 ana hatayı önler.

Site-to-Site VPN: Mimari, Topoloji, Protokol Tasarımı

İki şubeyi bağlamak çocuk oyuncağıdır; ama on şubeyi mesh topolojide bağlamak ya da hub-and-spoke modelde, redundancy ile birlikte tasarlamak ciddi bir mimari iştir. “Hangi şube hangi şubeye doğrudan bağlanacak, hangi trafik hangi tünelden geçecek, BGP mi statik routing mi kullanacağız” gibi soruları planlama aşamasında cevaplamak; sonradan günlerce hata ayıklamaktan kurtarır.

Mimari kararlar verirken üç temel topolojiyi düşünmelisiniz: hub-and-spoke (tüm şubeler merkeze bağlanır), full mesh (her şube her şubeyle doğrudan bağlantı), ve hub-and-spoke ile dynamic mesh karması (DMVPN benzeri yapı). Her birinin maliyet, bakım kolaylığı ve performans profili farklıdır. Hangi topoloji size uygun, hangi protokol o topolojinin altına yatar, routing politikaları nasıl yazılır gibi sorulara cevap için site-to-site VPN: mimari, protokol ve topoloji tasarımı yazımızı inceleyin. Mimarın bakış açısıyla yazılmış bu metin, sadece “konfig” değil, “tasarım” odaklı bir kaynaktır.

Çoklu Şubeli VPN Mesh ve Otomasyon

10-50 şubeli bir kurum için her şubeye tek tek SSH ile bağlanıp WireGuard veya IPsec yapılandırması girmek hem zaman alıcı hem de hata-meyilli bir iştir. Burada konuya otomasyon gözüyle bakmak gerekir. Ansible playbook’ları, RouterOS API’si üzerinden Python script’leri veya cloud-init benzeri ilk açılış otomasyonu ile şubelerin self-provisioning’i sağlanabilir. Anahtar çiftleri merkezi olarak üretilir, her şube için bir conf üretilir, push edilir ve şubeler birbirini otomatik tanır.

Bu konunun derinine inmek isteyen sistem mühendisleri için çoklu şubeli MikroTik site-to-site VPN mesh: otomasyon yazısını şiddetle öneriyoruz. Orada gerçek bir 12 şubeli kurumun nasıl Ansible + Git + RouterOS scripting üçlüsüyle otomatize edildiğini, anahtar rotasyon süreçlerini ve troubleshooting akışını detaylı şekilde paylaştık. Bu yazı, otomasyona ilk kez geçecek bir IT ekibi için bir başlangıç rampasıdır.

ZeroTier: SDN Tabanlı Bir Alternatif

Klasik VPN dünyasının dışında, son yıllarda “SDN tabanlı overlay network” olarak bilinen çözümler yükselişe geçti. ZeroTier bu kategorinin öne çıkan oyuncusudur. Geleneksel VPN’lerden temel farkı şudur: ZeroTier’da tünel ucundaki public IP’leri ve port forwarding’i siz yönetmezsiniz; ZeroTier’ın kontrol düzlemi (planet/moon sunucuları) bunu sizin için yapar. NAT arkasındaki cihazlar bile birbirini bulup direct P2P bağlantı kurabilir.

Bunun anlamı şudur: dinamik IP’li home-office ile sabit IP’li ofis arasında, hiç bir public IP veya VPN konsantratörüne ihtiyaç duymadan, layer 2 mesh kurabilirsiniz. RouterOS 7.1’den itibaren ZeroTier MikroTik üzerinde yerleşik olarak desteklenmektedir. Adım adım kurulum, network ID alma, member yetkilendirme, MikroTik’i bir gateway olarak konuşlandırma ve performans analizini içeren ZeroTier ile MikroTik VPN mesh yazısı bu konuyu uçtan uca ele alır. Özellikle “sertifika, public IP, port forwarding istemiyorum, sadece çalışsın” diyen okur için ZeroTier biçilmiş kaftandır.

Sadece VPN mi? Uzak Erişimin Diğer Yöntemleri

Uzaktan ofise erişim demek her zaman VPN demek değildir. Bazen tek bir cihaza, tek bir port üzerinden, kontrollü ve loglanabilir biçimde erişmek isteyebilirsiniz: bir IP kamerasına RTSP üzerinden, bir NAS’a SMB üzerinden ya da bir web tabanlı admin paneline HTTPS üzerinden. Bu senaryolarda VPN’in yerine port forwarding + güçlü kimlik doğrulama, MikroTik Cloud (IP DDNS) servisi, reverse SSH tüneli veya Cloudflare Tunnel benzeri çözümler düşünülebilir.

Her yöntemin kendi güvenlik profili, kolaylığı ve riski vardır. Hangi senaryoda hangisini tercih etmeli sorusuna karar matrisi sunan MikroTik ile uzak erişim: VPN, port forward, cloud yöntemleri yazısı, sadece protokol seçimi değil; politika seçimi açısından da yol gösterir. Özellikle KOBİ sahiplerinin “VPN mi yoksa port forward mı” ikileminde kararsız kaldığı durumlar için somut tavsiyeler sunar.

Sık Sorulan Sorular (SSS)

WireGuard mı IPsec mi tercih etmeliyim?

Cevap senaryonuza bağlıdır. Mobil cihazlardan native bağlantıya, kurumsal PKI altyapısına ihtiyacınız varsa veya ISP’niz UDP’yi engelliyorsa IPsec/IKEv2 tercih edilebilir. Performans, basitlik ve modern kriptografi öncelikliyse WireGuard tartışmasız galiptir. Tipik bir KOBİ için WireGuard’ı varsayılan tercih olarak öneriyoruz.

L2TP/IPsec hâlâ kullanılabilir mi?

Teknik olarak çalışır ve Windows/macOS’ta yerleşik destek bulur; ama 2022’den sonra Apple cihazlar üzerinde bazı sürtüşmeler ortaya çıktı. Yeni kurulumlar için IKEv2 veya WireGuard önermekteyiz. Mevcut L2TP altyapınız varsa migration plan yapmaya başlamak iyi olur.

VPN trafiği QoS’a tabi tutulabilir mi?

Evet. RouterOS’ta mangle kuralları ile VPN tüneline mark koyup queue uygulayabilirsiniz. Özellikle ses (VoIP) ve video trafiğini önceliklendirmek için bu yapılandırma kritiktir. WireGuard’da DSCP işaretlerini de tünel boyunca koruyabilirsiniz.

5651 sayılı kanun VPN trafiğini etkiler mi?

Site-to-site VPN trafiği genellikle kurum içi sayılır ve 5651 kapsamında değildir. Ancak hotspot kullanıcılarının trafiği için 5651 yükümlülükleriniz bağımsız olarak devam eder. Bu konuyu MikroTik hotspot ve yasal uyumluluk (5651) rehberi pillar sayfamızda ele aldık.

Bir şubede dinamik IP varsa VPN kurabilir miyim?

Evet. Dinamik DNS hizmetleri (MikroTik IP Cloud, no-ip, DuckDNS) veya STUN/UPnP teknikleriyle dinamik IP arkasındaki şubeyi bile bir merkeze bağlamak mümkündür. ZeroTier ise dinamik IP problemini neredeyse görmezden gelmenize olanak verir.

Sonuç ve Sonraki Adımlar

VPN ve uzak erişim, modern ağların temel yapı taşlarından biridir. MikroTik ekosistemi sunduğu protokol çeşitliliği ve esneklik sayesinde küçük bir kafenin tek şube ihtiyacından çoklu şubeli bir kurumun mesh ağına kadar her senaryoyu karşılayacak donanıma sahiptir. Bu pillar sayfa size bir harita sundu; gerçek değer ise alt yazılardaki adım adım uygulamalardadır. Hangi senaryoda olduğunuza karar verin, ilgili yazıdan başlayın ve adım adım kurun.

İşletmenizin yasal uyumluluk gerektiren bir tarafı varsa (kafe, otel, restoran, AVM) MikroTik hotspot ve yasal uyumluluk (5651) rehberi pillar sayfamızı da incelemenizi öneririz. Orada misafir Wi-Fi sunarken nasıl 5651 uyumlu loglama mimarisi kurabileceğinizi anlatıyoruz; bu, VPN konusunun tamamlayıcısıdır.

Son olarak şunu hatırlatalım: VPN her derde deva değildir. Doğru seçilmiş VPN, doğru tasarlanmış topoloji ve doğru otomatize edilmiş yönetim üçlüsü bir araya geldiğinde uzak erişim sıkıntısı çözülür. Bu üçlüden birini eksik bıraktığınızda ise sorun ertelenir, kaybolmaz. Pillar üzerindeki diğer yazıları okuyun, kendi mimarinizi kafanızda netleştirin, ondan sonra kuruluma başlayın. Acele etmeyin; çünkü VPN altyapısı yıllarca kullanılacak bir omurgadır.