WireGuard, son beş yılın en hızlı yayılan VPN protokolü oldu. OpenVPN’in karmaşık kurulum sürecine ve IPsec’in ağır el sıkışmasına alışmış mühendisler için sade bir manifesto gibiydi: birkaç yüz satır kod, modern kriptografi (ChaCha20, Poly1305, Curve25519, BLAKE2s), düşük gecikme ve neredeyse hiç ayar gerektirmeyen istemci. MikroTik, RouterOS 7 ile birlikte WireGuard’ı çekirdek seviyesinde destekledi ve bu protokol KOBİ’den kurumsala uzanan uzak erişim senaryolarının yeni standardı haline geldi. MikroTikBox WireGuard VPN Kurulum Hizmeti, bu protokolü sahada gerçek bir iş yüküyle koşturmak için tasarlanmış uçtan uca bir paket sunar; konfigürasyondan kullanıcı dağıtımına, 2FA entegrasyonundan günlük operasyona kadar her detay paketin içindedir.

WireGuard’ı yalnızca açmak ile gerçek bir kurumsal uzak erişim katmanına çevirmek arasında ciddi bir mühendislik farkı vardır. Sahada karşılaştığımız vakaların çoğunda işletmeler ya RouterOS üzerinde tek bir peer açıp QR kod ile başlamış, ya da öğrendikleri YouTube videolarındaki örneklerle ip adresleme ve routing tabloları karmaşası içinde kaybolmuş oluyor. Bizim hizmetimiz, başlangıç tasarımıyla başlar: kaç kullanıcı, hangi alt ağlara erişecek, hangi cihazlardan, hangi yetki seviyesinde, hangi denetim olasılığıyla. Bu sorulara cevap verilmeden açılan her WireGuard kurulumu, üç ay içinde ya kullanılamaz hale gelir ya da güvenlik açığı yaratır.

Bu Hizmet Kime Uygun?

• Uzaktan veya hibrit çalışan ekipleri olan şirketler: ofise gelmeden ERP, dosya sunucusu, kamera sistemi veya dahili web uygulamalarına erişmesi gereken çalışanlar için.
• Çok şubeli işletmeler: şubeler arasında site-to-site VPN kurmak isteyen ve OpenVPN/IPsec performansından memnun olmayan ağlar için.
• Yazılım ve DevOps ekipleri: staging/production sunucularına SSH, Kubernetes API ve veritabanlarına güvenli erişim isteyen geliştirici takımları için.
• Saha mühendisleri: müşteri sahalarındaki MikroTik’lere veya kamera/Pos/IoT cihazlarına mobil cihazdan bağlanması gereken teknisyenler için.
• E-ticaret ve fintech şirketleri: ofis dışından ödeme paneline, log sunucusuna veya yönetim arayüzüne erişimi sertifika+2FA ile güvence altına almak isteyenler için.
• Eğitim kurumları: öğretim üyelerine ve idari personele kampüs içi sistemlere ofis dışından erişim sağlamak isteyen üniversite/lise yapıları için.
• MSP ve IT servis sağlayıcıları: müşterilerine yönetilen uzak erişim hizmeti sunmak isteyen şirketler için (peer envanteri, log ve denetim dahil).
• Mimar, mühendis ve hukuk büroları: dosya sunucusu (NAS) içeriklerine uzaktan güvenli erişim isteyen küçük ve orta ölçekli ofisler.

Eğer halihazırda OpenVPN ya da L2TP/IPsec kullanıyorsanız ve performansın düşüklüğünden ya da mobil cihazlardaki kararsızlıktan rahatsızsanız, WireGuard geçişiyle ortalama %30-60 daha hızlı bağlantı ve %90 daha az destek bileti görüyoruz.

Hizmet Kapsamı

WireGuard VPN Kurulum Hizmeti, bir tünelin sadece açılmasından çok daha fazlasını içerir. Operasyona uygun bir uzak erişim katmanı kurarız.

1) Tasarım ve Adresleme

• VPN için ayrı bir IP planı (örn. 10.20.0.0/16) ve subnet bölümlemesi.
• Kullanıcı kategorilerine göre rol bazlı subnet (admin, developer, sales, partner vb.).
• DNS planı: dahili çözüm için Pi-hole / AdGuard Home / Bind entegrasyonu.
• Routing tablosu tasarımı: hangi peer hangi LAN’a, hangi VLAN’a erişecek.

2) Sunucu Kurulumu

• MikroTik üzerinde WireGuard interface tanımı, listening port (51820 vb.), private/public key üretimi.
• Firewall kuralları: input chain’de yalnızca WG portunun açılması, forward chain’de subnet bazlı izolasyon.
• Bant genişliği yönetimi: kritik kullanıcılar için queue tree önceliklendirmesi.
• NAT istisnaları ve dahili LAN trafiğinin doğru routing’i.

3) Çok Kullanıcılı Peer Yönetimi

• Her kullanıcı için ayrı peer + ayrı public/private key çifti.
• QR kod üretimi (mobil cihazlarda iOS / Android WireGuard uygulaması için).
• Excel veya Google Sheets bazlı peer envanteri: ad, departman, rol, oluşturma tarihi, son aktiflik.
• Peer revocation prosedürü: bir çalışan ayrıldığında 5 dakikada erişimi nasıl kapatırsınız.

4) 2FA Entegrasyonu

• WireGuard tek başına anahtar tabanlıdır; 2FA için ek katman tasarlıyoruz.
• WireGuard üzerinden gelen kullanıcının iç servislere ulaşmadan önce Authelia / Keycloak / Cloudflare Access ile TOTP/WebAuthn doğrulaması yapması.
• Authentik veya Pomerium gibi modern kimlik yöneticileriyle entegrasyon.
• SSO entegrasyonu (Google Workspace, Microsoft 365, Okta) opsiyonel.

5) Saha Erişimi (Site-to-Site)

• Şubeler arası mesh ya da hub-and-spoke topolojisi.
• Failover senaryosu: birincil tünel düşerse ikincil çıkışa otomatik dönüş.
• Yedek tünel olarak farklı ISP üzerinden ikinci WireGuard bağlantısı.
• Monitoring ve uptime takibi (UptimeRobot, Zabbix, Gatus).

6) Eğitim ve Devir

• Yöneticiye 1 saatlik uzaktan eğitim: peer ekleme, çıkarma, log inceleme.
• Son kullanıcıya yazılı kurulum kılavuzu (mobil + masaüstü için ayrı).
• İlk 30 gün ücretsiz peer talebi (ekstra 5 kullanıcı kadar).

Hizmet Süreci

Saha Vakalarımızdan Örnekler

WireGuard mı OpenVPN mi?

Bu sorunun cevabı çoğu durum için artık nettir: WireGuard. Sebepleri şunlardır:

• Performans: WireGuard çekirdek seviyesinde çalışır, OpenVPN userspace’tedir. Aynı donanımda 2-4x daha hızlı throughput.
• Mobil pil tüketimi: WireGuard handshake’i çok daha az enerji harcar; mobil cihazlarda ekran kapalıyken bile dakikalar içinde değil saniyelerde uyanır.
• Kod kalitesi: ~4.000 satır vs OpenVPN’in ~70.000 satırı. Daha az kod, daha az açık.
• Modern kriptografi: ChaCha20-Poly1305, Curve25519 — AES-CBC ya da SHA-1 gibi eskiyen seçenekler yok.
• Konfigürasyon: Tek bir conf dosyası, sadece public key alışverişi. Sertifika otoritesi ya da CRL yönetimine gerek yok.

OpenVPN’in hâlâ tercih edildiği iki senaryo vardır: ağda çok agresif DPI ya da Iran/Çin gibi VPN bloklamalarına karşı obfuscation gerekiyorsa (xray, shadowsocks, obfsproxy katmanı eklemek gerekebilir) ve mevcut bir RADIUS+sertifika altyapısı varsa. Geri kalan tüm durumlar için WireGuard daha modern, daha hızlı, daha bakımı kolaydır.

Diğer Hizmetlerle Birlikte Çalışma

Uzman Ekibimiz

WireGuard kurulumlarını yürüten ekibin teknik profili:

• MTCNA / MTCRE: MikroTik routing ve RouterOS 7 üzerinde uzmanlaşmış ağ mühendisleri.
• MTCSE: Firewall, NAT, routing güvenliği konularında sertifikalı uzman.
• CEH: Penetration test ve kimlik doğrulama bypass denemeleri için saldırı simülasyonu uzmanı.
• Linux ve DevOps deneyimi: Authelia, Keycloak, Cloudflare Access, Tailscale, Nebula gibi modern erişim katmanlarında 5+ yıl saha deneyimi.
• Site-to-site VPN deneyimi: 100+ şubelik dağıtık ağlarda WireGuard ve IPsec yapıları kurmuş ekip.

Ekibin başında MikroTikBox kurucu eğitmeni Deniz Aydın bulunur. Sahada 200+ WireGuard kurulumu, 50+ site-to-site VPN devreye alımı bulunan ve düzenli olarak MikroTik VPN eğitimleri veren bir isimdir.

Operasyonel Detaylar: Sahada Neye Dikkat Ediyoruz

Kurulumun yalnızca açılması yetmez; uzun vadeli sağlığı için aşağıdaki operasyonel kalemleri en başından planlıyoruz:

• Anahtar yönetimi: private key’ler asla e-posta veya WhatsApp ile gönderilmez. Bitwarden, 1Password veya HashiCorp Vault üzerinden paylaşılır; her kullanıcı kendi private key’ini cihazına yükler.
• MTU ayarı: Türkiye’deki tipik PPPoE bağlantılarında MTU 1420 değeri yerine 1380-1400 aralığı daha kararlı çalışıyor. Sahada ölçüp ayarlıyoruz.
• Persistent keepalive: NAT arkasındaki peer’lar için 25 saniyelik keepalive ayarı, mobil cihazlarda bağlantı kopuşunu önemli ölçüde azaltıyor.
• IPv6 hazırlığı: WireGuard IPv6’yı doğrudan destekliyor; çift yığın (dual-stack) yapı isteyen kuruluşlar için interface ve routing buna göre kurguluyoruz.
• Loglama: Hangi peer ne zaman handshake yaptı, hangi IP’den bağlandı, ne kadar trafik aktardı — bu metrikler Prometheus + Grafana panele yansıtılarak operasyon ekibinin görüş alanına sokuluyor.
• Sürüm güncelleme: RouterOS 7 long-term sürümlerini takip ediyor, kritik güvenlik yamalarında planlı bakım pencerelerinde güncelleme yapıyoruz; yönetilen plan müşterilerinde bu adım otomatiktir.
• Yedekleme: WireGuard konfigürasyonu, peer envanteri ve anahtar metadatası şifreli olarak ayrı bir lokasyona yedeklenir; cihaz arızasında 20 dakikada eski hale dönüş mümkündür.

Bütün bu operasyonel detaylar, kurulum bittiğinde size devredilen dokümantasyon klasörünün içinde adım adım yazılı olarak yer alır. Yani sadece bir tünel açmıyoruz; bir yıl sonra başka biri sahaya geldiğinde nereyi nasıl bulacağını da bırakıyoruz.

Sıkça Sorulan Sorular

WireGuard mobil cihazlarda nasıl çalışıyor?

iOS ve Android için resmi WireGuard uygulamaları var. QR kod ile peer eklendiği için kurulum 30 saniye. Pil tüketimi diğer VPN protokollerinden çok daha düşük çünkü protokol uyku modunda neredeyse hiç işlem yapmıyor.

2FA, WireGuard üzerinde nasıl çalışır?

WireGuard tek başına anahtar tabanlıdır; 2FA için ek katman gerekir. Genellikle WireGuard tüneli kullanıcıyı iç ağa sokar, ancak iç servislere (panel, ERP, GitLab) erişmek için Authelia ya da Keycloak üzerinden TOTP/WebAuthn doğrulaması istenir. Bu mimari hem hızlı hem güvenlidir.

Bir çalışan ayrıldığında erişim nasıl kapatılır?

İlgili kullanıcının peer satırı MikroTik üzerinden silinir veya disabled hale getirilir. Peer envanteri tutuyorsanız bu işlem 1 dakikadan az sürer. 2FA katmanı varsa SSO/IDP üzerinden de kullanıcı disable edilir; iç servisler için zaten erişim kapanır.

Site-to-site mi yoksa hub-and-spoke mi?

3 şubeye kadar mesh (full-mesh) mantıklı, daha fazlasında hub-and-spoke daha yönetilebilir olur çünkü merkezde tek bir kontrol noktası kalır. Failover senaryosu önemliyse merkez VPS üzerinde Hetzner/DigitalOcean tercih ediyoruz.

Mevcut OpenVPN’den geçiş zor mu?

Hayır, paralel kurulumla yapılır. Önce WireGuard kurulur, kullanıcıların yarısı taşınır, 1-2 hafta gözlemlenir, sonra kalan kullanıcılar taşınır ve OpenVPN devre dışı bırakılır. Tipik geçiş süresi 2-4 haftadır.

WireGuard hangi MikroTik modellerinde çalışıyor?

RouterOS 7.0 ve üzeri olan tüm cihazlarda. Pratikte hAP ac², hAP ax², RB4011, RB5009, CCR1009/2004/2116 modellerinde sahada yoğun olarak kullanıyoruz. Düşük end (hAP lite, mAP) cihazlar için 20 peer’ın üzerine çıkmaktan kaçınmak gerekir.

Kurulum ne kadar sürer?

Basit bir 10 peer kurulumu 1 iş günü. 2FA ve site-to-site dahil orta ölçek 3-5 iş günü. 100+ peer ve çoklu şube içeren kurumsal kurulum 2-3 hafta.