WireGuard, modern VPN dünyasında devrim niteliğinde bir protokol. Linux çekirdeğine girdiğinden bu yana hızla yayıldı; MikroTik RouterOS 7’de native destek almasıyla birlikte ev kullanıcılarından kurumsal ağlara kadar geniş bir alanda standart hale geldi. Bu yazıda MikroTik üzerinde WireGuard sunucusunu adım adım kuracak, telefon ve laptop’tan QR kod ile bağlanacak ve karşılaşabileceğiniz tipik sorunları çözeceğiz. Hedefim, yazıyı takip eden bir okuyucunun yaklaşık 45 dakika içinde çalışan bir WireGuard tüneline sahip olmasıdır.

Başlamadan Önce Gerekenler

WireGuard kurulumuna başlamadan önce şu önkoşulları kontrol edin:

• RouterOS 7.x veya üzeri yüklü bir MikroTik cihazı
• Dış IP’si sabit veya MikroTik Cloud DDNS aktif
• Bağlantı kuracak istemcide WireGuard uygulaması (mobil için resmi uygulama, masaüstü için wireguard.com’dan indirilebilir)
• Telefondan bağlanacaksanız QR kod yakalama kabiliyeti

RouterOS 6.x kullanıcıları için WireGuard yoktur; öncelikle 7.x’e güncelleyin. Güncelleme süreci genellikle sorunsuz, ama yedek almayı unutmayın.

Senaryomuz

Bu yazıda kuracağımız yapı şöyle: ev/ofis ağında 192.168.88.0/24 subnet’i çalışıyor, MikroTik dış IP’si 95.x.x.10 (veya cloud DDNS adı). WireGuard sunucusu 10.99.99.1/24 alt ağında çalışacak, iki istemci (telefon ve laptop) sırasıyla 10.99.99.2 ve 10.99.99.3 IP’lerini alacak. İstemciler bağlandığında hem internete WireGuard üzerinden çıkacak (split-tunnel olmadan) hem de yerel ağdaki kaynaklara erişebilecek.

Adım 1: WireGuard Interface Oluşturmak

İlk işimiz MikroTik üzerinde bir WireGuard interface’i oluşturmak. Winbox üzerinden WireGuard > Interface > Add ya da terminalden:

/interface wireguard
add name=wg-server listen-port=51820 mtu=1420

Burada listen-port=51820 standart WireGuard portudur. İsterseniz farklı bir port (örneğin 13231) kullanabilirsiniz; bu, otomatik bot taramalarına karşı küçük bir gizleme sağlar.

Interface oluşturulduğunda, MikroTik otomatik olarak bir public/private key çifti üretir. Public key’i not edin; istemciler bu key’e ihtiyaç duyacak:

/interface wireguard print
# Output'tan "public-key" alanını kopyalayın

Adım 2: WireGuard’a IP Adresi Atamak

WireGuard interface’i şu ana kadar herhangi bir IP almamış. VPN subnet’i için bir IP atayalım:

/ip address
add address=10.99.99.1/24 interface=wg-server

Bu, WireGuard ağında MikroTik’in 10.99.99.1 olduğunu, peer’ların 10.99.99.2-254 aralığını kullanacağını belirler.

Adım 3: Firewall İzni Açmak

WireGuard portunun UDP 51820’ye dışarıdan erişimi kabul etmesi gerek. Firewall’da bu kuralı ekleyin:

/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 
  comment="Allow WireGuard" place-before=0

İstemcilerden gelen trafiğin LAN’a iletilmesine de izin vermek gerekiyor:

/ip firewall filter
add chain=forward in-interface=wg-server action=accept 
  comment="WireGuard to LAN"
add chain=forward out-interface=wg-server action=accept 
  comment="LAN to WireGuard"

NAT için de bir kural ekleyin (istemcilerin internete çıkabilmesi için):

/ip firewall nat
add chain=srcnat src-address=10.99.99.0/24 action=masquerade 
  comment="WireGuard NAT"

Adım 4: İstemci Peer’ları Tanımlamak

Şimdi istemciler için peer ekleyelim. Önce telefon için:

/interface wireguard peers
add interface=wg-server name=telefon 
  allowed-address=10.99.99.2/32 
  preshared-key="GERCEK_BIR_PRESHARED_KEY_KULLANIN"

Burada preshared-key opsiyonel ama önerilir; post-quantum güvenlik için ek bir katmandır. Bir PSK üretmek için:

wg genpsk
# Veya: openssl rand -base64 32

İstemci public key’ini de eklemeniz gerekiyor. Bu key’i istemci tarafında oluşturup MikroTik’e gireceksiniz. Şimdilik peer’i boş public-key ile bırakıp istemci tarafına geçelim.

Adım 5: Telefon İstemcisi Yapılandırması

Telefona resmi WireGuard uygulamasını yükleyin. Açtığınızda + butonuyla yeni bir tünel oluşturun. “Sıfırdan oluştur” diyerek manuel ayar yapacağız.

WireGuard uygulaması telefon için bir key çifti oluşturur. Yeni tünel ekranında şu alanlar olur:

• İsim: Şirket-VPN
• Private key: Otomatik oluşturulur
• Public key: Otomatik oluşturulur (bunu MikroTik’e gireceksiniz)
• Adresler: 10.99.99.2/24
• Listen port: Boş bırakın
• DNS sunucuları: 10.99.99.1 veya 1.1.1.1
• MTU: 1380

Peer ekleyin:

• Public key: MikroTik’in public key’i (Adım 1’de not aldığınız)
• Preshared key: MikroTik’te tanımladığınız PSK
• Endpoint: 95.x.x.10:51820 (veya cloud DDNS:port)
• Allowed IPs: 0.0.0.0/0 (tüm trafik) veya sadece şirket subnet’i (split-tunnel)
• Persistent keepalive: 25

Şimdi telefon konfigürasyonunu kaydedin ve uygulama içinde “QR Kod” özelliğiyle görüntüleyin.

Adım 6: MikroTik’e Telefon Public Key’i Eklemek

Telefon uygulamasında oluşan public key’i kopyalayın. MikroTik’teki peer kaydını güncelleyin:

/interface wireguard peers
set [find name="telefon"] public-key="TELEFON_PUBLIC_KEY"

Şimdi telefon WireGuard uygulamasında bağlantıyı aktifleştirin. Birkaç saniye içinde bağlantı kurulmalı. Doğrulayın:

/interface wireguard peers print stats
# "last-handshake" değeri son birkaç saniye içinde olmalı

Adım 7: Laptop İstemcisi (Windows/Mac/Linux)

Laptop için aynı adımları yineleyin. wireguard.com’dan masaüstü uygulamasını indirip kurun. “Add tunnel from clipboard” yerine “Add empty tunnel” seçin.

Aynı yapılandırmaya benzer, tek fark: laptop için 10.99.99.3/24 IP’sini kullanın. MikroTik tarafında yeni bir peer eklemeyi unutmayın:

/interface wireguard peers
add interface=wg-server name=laptop-mert 
  allowed-address=10.99.99.3/32 
  public-key="LAPTOP_PUBLIC_KEY" 
  preshared-key="FARKLI_BIR_PSK"

Her peer için ayrı PSK kullanmak en iyi pratiktir. Bir kullanıcı PSK’sı sızdırılırsa diğerleri etkilenmez.

Adım 8: Bağlantı Test Etmek

Tüm istemciler kurulduktan sonra testler yapın:

1. İstemcilerden MikroTik’e ping atın: ping 10.99.99.1
2. İstemciden LAN’daki bir kaynağa ping atın: ping 192.168.88.10
3. İstemciden internete bakın: ping 1.1.1.1
4. İstemciden DNS testi: nslookup google.com

Hepsi başarılıysa kurulum tamamlandı.

Karşılaşabileceğiniz Tipik Sorunlar

Sorun 1: Handshake gerçekleşmiyor. Çözüm: Firewall’da UDP 51820’nin dış arabirimden geldiği görünmüyor olabilir. /ip firewall connection print where dst-port=51820 ile kontrol edin.

Sorun 2: Bağlantı kuruldu ama internete çıkamıyorum. Çözüm: NAT masquerade kuralı eksik. /ip firewall nat print ile kontrol edin.

Sorun 3: Bağlandım, LAN’a erişiyorum ama yavaş. Çözüm: MTU sorunu olabilir. İstemcide MTU’yu 1380’e düşürün.

Sorun 4: Bağlantı kısa süre sonra kopuyor. Çözüm: “Persistent keepalive” 25 saniye olarak ayarlandığından emin olun. NAT timeout problemini önler.

Sorun 5: Tüm trafik VPN’den geçiyor, çok yavaş. Çözüm: Split-tunnel için istemci yapılandırmasında “Allowed IPs”i sadece şirket subnet’ine sınırlayın (örneğin 192.168.88.0/24).

QR Kod ile Otomatik Yapılandırma

Mobil cihazlar için yapılandırmayı manuel girmek yerine QR kod ile transfer etmek çok daha pratik. MikroTik’in WebFig arayüzünde WireGuard peer ekleme ekranında “Get QR Code” düğmesi bulunur.

Bu özellik şu anda RouterOS 7.10+ sürümlerinde mevcuttur. Eski sürümlerde manuel olarak QR oluşturmak için bir Linux makine üzerinde qrencode aracı kullanılır:

cat client.conf | qrencode -t ansiutf8

Bu komutla terminalde QR kod görüntülenir; telefonun kamerasıyla taratarak tek tıkla yapılandırma alabilirsiniz.

WireGuard’ın İçinden: Protokolün Kısa Anatomisi

WireGuard’ın bu kadar hızlı ve güvenli olmasının altında yatan tasarım kararları var. Anlamak, kurulumlarınızda daha bilinçli kararlar vermenizi sağlar.

İlk fark protokolün “silent unless authenticated” davranışı. WireGuard, sadece doğrulanmış paketlere cevap verir. Yetkisiz bir tarama paketi geldiğinde hiçbir yanıt vermez; bu, port taramalarına karşı doğal bir görünmezlik kalkanı oluşturur.

İkinci özellik crypto-routing. Klasik VPN’lerde rotalama ve şifreleme ayrı katmanlardır; WireGuard’da her peer’in public key’i ile allowed-IPs listesi doğrudan rotalama tablosunu oluşturur. Bu, hem performansı artırır hem de kod karmaşıklığını ciddi şekilde azaltır.

Üçüncüsü az kod tabanı. WireGuard yaklaşık 4.000 satır koddur; OpenVPN’in 100.000+ satırına karşı. Daha az kod, daha az güvenlik açığı yüzeyi demektir. Güvenlik denetimleri çok daha hızlı yapılabilir.

Dördüncüsü stateless tasarım. WireGuard “kuruldu/koptu” durumu tutmaz; her paket aslında bağımsız bir handshake’in sonucudur. Bu, IP değişimi (örneğin Wi-Fi’dan mobil veriye geçiş) durumunda bağlantı kopması yaşatmaz.

Çoklu Kullanıcı Yönetimi İçin Otomasyon

5-10 kullanıcıya kadar peer’leri manuel eklemek mümkündür. Daha fazla kullanıcıda otomasyona geçmek gerekir. Bunun için bir bash script veya RouterOS script kullanılabilir:

:foreach user in={"alice","bob","carol"} do={
  :local privkey ([:exec "wg genkey"])
  :local pubkey ([:exec "echo $privkey | wg pubkey"])
  /interface wireguard peers add interface=wg-server name=$user 
    public-key=$pubkey allowed-address="10.99.99.X/32"
}

50+ kullanıcılı senaryolarda Ansible veya Terraform ile WireGuard yönetimi yapılır. Bu seviyede manuel yapılandırma sürdürülemez.

Güvenlik İpuçları

WireGuard kurulumunuzu güçlü tutmak için:

• Her peer için ayrı PSK kullanın
• Default listen port (51820) yerine farklı bir port seçin
• Allowed-Address’i sıkı tutun (sadece o peer’in alabileceği tek IP, /32)
• Peer’leri düzenli gözden geçirin, kullanılmayanları kaldırın
• WireGuard interface’ini düzenli izleyin (log + active peers)
• Cloud DDNS kullanıyorsanız DNS adının tahmin edilmesini engellemek için karmaşık bir isim seçin

WireGuard’ı RouterOS 7’de Verimli Kullanmak için İpuçları

WireGuard kurulumunuzu sahaya aldıktan sonra performans ve sürdürülebilirlik açısından şu ipuçlarını uygulayın.

İlki peer açıklamaları ekleyin. Her peer için “comment” alanına anlamlı açıklama yazın: set [find name=telefon] comment="Mert telefon - eklendi 2026-05-01". Bir yıl sonra peer’lara baktığınızda kimin hangi cihazı olduğunu anlamak kolay olur.

İkincisi peer endpoint’ini sabit tutun. Eğer istemcinin sabit bir dış IP’si varsa peer kaydında endpoint-address belirleyin. Bu, dynamic peer’a göre daha hızlı bağlantı kurar; ama çoğu mobil/laptop senaryosunda boş bırakılır (istemci her seferinde dinamik IP’den bağlanır).

Üçüncüsü WireGuard log seviyesini düşürün. Default olarak WireGuard çok az log üretir ama bazen detaylı debug için /system logging menüsünde topic “wireguard” eklenebilir. Üretim ortamında bunu kapalı tutun; gereksiz disk yazma yaratır.

Dördüncüsü bağlantı kalitesini izleyin. /interface wireguard peers print stats komutu son handshake, transferred bytes gibi metrikleri verir. Bir scheduler ile bu metrikleri günde bir kez log dosyasına yazıp ay sonunda analiz edebilirsiniz.

Saha Vakası: 22 Kişilik Bir Yazılım Şirketi

Geçen yıl danışmanlık verdiğim bir yazılım şirketi tüm çalışanlarını WireGuard’a geçirdi. Önceki yapı OpenVPN ile çalışıyordu, performans şikayetleri sürekliydi. Geçişten sonra:

• Ortalama tünel bağlanma süresi 15 saniyeden 2 saniyeye düştü
• İstemci pil tüketimi mobil cihazlarda yarıya indi
• Bant genişliği 130 Mbps’ten 850 Mbps’e çıktı
• Kullanıcı destek talepleri %75 azaldı

Bu rakamlar tek bir vakanın sonuçları, ancak benzer geçişlerde gözlemlediğim örüntüleri yansıtıyor. WireGuard’ın sahaya getirdiği iyileşme abartılı bir pazarlama söylemi değil, ölçülebilir bir gerçek.

Sıkça Sorulan Sorular

WireGuard’ın UDP 51820 portunu değiştirsem güvenlik artar mı?

Hayır, gerçek güvenlik kriptografiden gelir. Ancak otomatik bot taramalarına karşı küçük bir gizleme sağlar; “security through obscurity” katmanı olarak kullanılabilir.

Aynı MikroTik üzerinde hem IKEv2 hem WireGuard çalıştırabilir miyim?

Evet, farklı port’lar ve farklı interface’ler kullanırlar; çakışma olmaz. Migrasyon dönemlerinde yaygın bir yaklaşımdır.

WireGuard’da kullanıcı adı/şifre bazlı kimlik mümkün mü?

Hayır, WireGuard’ın felsefesi public/private key tabanlıdır. Kullanıcı adı/şifre istiyorsanız önüne bir auth layer (örneğin OAuth proxy) eklemeniz gerekir.

Telefonum kapalıyken pil tüketimi olur mu?

WireGuard idle iken sıfıra yakın trafik üretir. Sadece keepalive paketleri (her 25 saniyede ~70 byte) gönderir. Pil tüketimi pratikte ölçülebilir değildir.

İki MikroTik arasında WireGuard kurabilir miyim?

Evet, site-to-site senaryosunda WireGuard mükemmel iş çıkarır. Her iki tarafta da bir WireGuard interface, karşılıklı public key ekleme, allowed-address olarak karşı tarafın LAN subnet’i.

Sonuç

WireGuard kurulumu, modern bir VPN altyapısının temelidir. Bu yazıdaki adımları takip ederek 30-45 dakika içinde çalışan bir kurulum yapabilirsiniz. İlk peer kurulduktan sonra ek peer eklemek dakikalar sürer. Saha tecrübemden vurgulamak isterim ki, WireGuard’ın sade yapısı paradoksal olarak en büyük avantajıdır: az hareketli parça, az hata, az bakım. Yeni başlayanların korktuğu şey genelde “yapılandırma karmaşıklığı”dır; oysa WireGuard tam tersi bir yaklaşım sunar. Bir kez kurun, izleyin, yıllar boyu çalışmasına izin verin. Eğer kurulumda takıldığınız bir nokta olursa MikroTikBox topluluk forumlarında veya iletişim sayfasından bize ulaşabilirsiniz; ücretsiz ön değerlendirmeye her zaman açığız.

Kapanış olarak, kurulumdan sonra muhakkak bir test rutini oluşturun. Haftada bir kez WireGuard tüneliyle önemli kaynaklarınıza bağlanıp kontrol edin: bant genişliği, latency, paket kaybı. Bu küçük disiplin, gerçek bir kriz anında sistemin nasıl davranacağını size önceden gösterir. Bir kez kurulup unutulan VPN altyapıları, ihtiyaç anında hayal kırıklığı yaşatma riski taşır; düzenli sınama bu riski tamamen ortadan kaldırır.

Son bir pratik öneri olarak, WireGuard kurulumunuzun bir kopyasını eski donanım üzerinde “soğuk yedek” olarak hazırlayın. Mevcut MikroTik arızalandığında, yapılandırma yedeğini ikinci cihaza geri yükleyip dakikalar içinde devreye alabilirsiniz. Tek bir cihaza bağlı kalmak operasyonel risk yaratır; özellikle uzaktan çalışan ekipleriniz varsa, VPN’in kapalı kaldığı her saat doğrudan iş gücü kaybıdır. Bu yedek planını ihmal etmeyin. Daha da iyisi, soğuk yedeğinizi senede bir kez gerçek bir kullanım testine tabi tutun: birincil cihazı kapatın, yedek cihazı devreye alın, ekibin VPN ile bağlanmasını gözleyin. Bu canlı sınama, “yedek var ama hiç kullanılmadı” hissinden kurtulup gerçek bir operasyonel güven inşa etmenizi sağlar. WireGuard’ın sade tasarımı bu tür yedeklilik testlerini kolaylaştırır; geçişler çoğunlukla dakikalar içinde tamamlanır ve kullanıcı tarafında hissedilmez. Profesyonel ağ yönetiminin son aşaması bu seviye disiplin ile başlar; tek bir cihaza güvenmenin ötesine geçip operasyonel sürekliği sistematik olarak garanti altına almaya geçince, kurduğunuz altyapı gerçek bir kurumsal seviyeye ulaşır.

Bu Yazıyla Birlikte Önerilenler

Bu konuyla doğrudan ilişkili pratik rehberlerimiz:

1. MikroTik ile Uzak Erişim: VPN, Port Forward ve Cloud Yöntemleri Hangi Senaryoda?
2. ZeroTier ile MikroTik VPN Mesh: Container Üzerinden Multi-Site Köprüleme
3. WireGuard Protokolünün İçi: Kriptografi, Crypto-Routing ve Linux Çekirdeği Desteği
4. MikroTik Site-to-Site IPsec/IKEv2 VPN Kurulumu: İki Şube Arasında Sıfırdan Tünel

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• WireGuard Resmi Sitesi
• IETF IKEv2 RFC 7296
• NIST VPN Guideline (SP 800-77)
• MikroTik Resmi Dökümantasyon (RouterOS Wiki)
• MikroTik Resmi Forumu