Geleneksel VPN modellerinin son üç-dört yılda yerine yenileri yükseliyor. ZeroTier ve Tailscale gibi peer-to-peer overlay ağlar, NAT arkasında çalışan cihazları sanki aynı yerel ağdaymış gibi birleştirebiliyor. Bu yazıda ZeroTier’in ne olduğunu, MikroTik 7.x üzerinde container desteği ile nasıl çalıştırılabileceğini ve Tailscale ile karşılaştırmasını ele alacağım. Modern mesh VPN dünyasına bir giriş yapacaksanız, doğru yerdesiniz.

ZeroTier Nedir, Hangi Probleme Çözümdür?

ZeroTier, 2015’te kurulan, dünya genelinde milyonlarca node taşıyan bir overlay ağ protokolüdür. Klasik VPN modelinden farkı şudur: bir merkez sunucusu üzerinden trafik akmaz; node’lar doğrudan birbirleriyle haberleşir, sadece keşif (discovery) için ZeroTier’in “root” sunucularını kullanır. Bu, hub-spoke yerine full-mesh topolojisi sağlar ve gecikme dramatik şekilde düşer.

ZeroTier’in çözmek istediği temel sorun: birbirinden farklı NAT’lar arkasındaki cihazları bir araya getirmek. Klasik IPsec/WireGuard ile her cihaza port forward gerekirken, ZeroTier UDP hole punching ile bu gereksinimi ortadan kaldırır. Üç farklı evdeki üç cihaz, kullanıcı hiçbir router ayarına dokunmadan birbirine bağlanabilir.

ZeroTier’in Temel Bileşenleri

ZeroTier mimarisinin anlaşılması için üç kavram önemli:

• Network ID: Her ZeroTier ağının 16 karakterlik benzersiz bir kimliği vardır. Bir node bu ID’yi girdiğinde ağa katılma talebi gönderir.
• Controller: Bir ağın yöneticisi, hangi node’ların ağa katılabileceğine karar verir. Varsayılan olarak ZeroTier’in kendi controller’ı kullanılır; ama “ZTNCUI” ile kendi controller’ınızı da kurabilirsiniz.
• Planet/Moon: Root sunucular keşif için kullanılır. Coğrafi olarak yakın olanlar otomatik seçilir; latency için kritik bir bileşen.

Bir cihaz ZeroTier ağına katıldığında, kendisine ağ içinde özel bir IP atanır (genelde 10.x.x.x veya kendi tanımladığınız subnet). Bu IP üzerinden ağdaki diğer node’lara erişim sağlar.

ZeroTier’in Tarihsel Konumu ve Önemi

ZeroTier 2015’te kurulduğunda, internet topluluğunda VPN modelini sorgulayan birkaç önemli proje vardı: Tinc, n2n, dn42 ağı. ZeroTier bunların ortak ilhamıyla doğdu ama daha ticari ve kullanıcı dostu bir yaklaşım benimsedi. Kurucusu Adam Ierymenko, BBS (Bulletin Board Systems) ve early-internet ruhunu modern Cloud çağına taşımayı hedeflediğini belirtmişti.

Bugün ZeroTier 5 milyondan fazla kayıtlı node’a sahip ve özellikle DevOps ekiplerinin, gaming topluluklarının ve uzaktan çalışan ekiplerin tercihi haline geldi. WireGuard’ın yükselişiyle birlikte mesh VPN dünyası rekabetçi bir hale geldi; bu durum tüm kullanıcılar için iyi bir gelişme — alternatifler çoğaldıkça inovasyon hızlandı, fiyatlar düştü, kullanıcı deneyimi iyileşti. Bugün 2026’da bir KOBİ’nin önünde modern, esnek, makul fiyatlı birden fazla seçenek var; bu birkaç yıl önce sahip olunmayan bir lükstü.

MikroTik 7.x ile Container Üzerinden ZeroTier

MikroTik resmi olarak ZeroTier paketi sunmaz. Ancak RouterOS 7’nin container desteği, ZeroTier’i Docker container olarak doğrudan router üzerinde çalıştırmanıza imkan verir. Bu, RB5009 gibi modern cihazlarda mükemmel çalışır.

Adım 1: Container Paketini Yüklemek

RouterOS 7 ile gelen container paketini etkinleştirin:

/system package update
/system package enable container

Yeniden başlatma sonrası container fonksiyonu aktif olur.

Adım 2: Bridge ve Network Hazırlığı

Container’lar için ayrı bir bridge ve subnet oluşturun:

/interface bridge add name=container-br
/ip address add address=172.17.0.1/24 interface=container-br

/interface veth add name=veth-zt address=172.17.0.2/24 gateway=172.17.0.1
/interface bridge port add bridge=container-br interface=veth-zt

Adım 3: ZeroTier Container’ı Çekmek

Container deposunu işaret edin ve image’i çekin:

/container config set registry-url=https://registry-1.docker.io
/container add remote-image=zerotier/zerotier:latest interface=veth-zt 
  root-dir=zt envlist=zt-env mounts=zt-data start-on-boot=yes

Volume ve env tanımlamaları:

/container mounts add name=zt-data src=/zt-data dst=/var/lib/zerotier-one
/container envs add name=zt-env key=ZEROTIER_NETWORK_ID value=YOUR_16_CHAR_ID

Adım 4: Container’ı Başlatmak

/container start [find tag~"zerotier"]

Birkaç saniye içinde container kalkar ve ZeroTier ağına katılma talebi gönderir. ZeroTier Central paneline (my.zerotier.com) gidip yeni katılan node’u onaylayın.

ZeroTier vs Tailscale Karşılaştırması

Tailscale, ZeroTier’in son yıllardaki en yakın rakibidir. WireGuard üzerine kurulu, daha modern bir alternatif. İkisinin karşılaştırmasını yapalım:

Mimari

• ZeroTier: Kendi protokolü, UDP 9993, kendi crypto stack’i
• Tailscale: WireGuard tabanlı, UDP 41641, modern kriptografi (ChaCha20-Poly1305)

Performans

• ZeroTier: Tek tünelde ~300-450 Mbps
• Tailscale (WireGuard): Tek tünelde ~800-1000 Mbps

Hosting

• ZeroTier: Self-host edilebilen ücretsiz controller (ZTNCUI)
• Tailscale: Headscale ile self-host mümkün

Fiyatlandırma

• ZeroTier: 25 node’a kadar ücretsiz, sonrası aylık 5 dolardan başlar
• Tailscale: 3 kullanıcı + 100 cihaza kadar ücretsiz

MikroTik Entegrasyonu

• ZeroTier: Container ile çalışır (RouterOS 7)
• Tailscale: Container ile çalışır (RouterOS 7) veya native WireGuard’a peer olarak eklenebilir

Saha tecrübemden konuşursam, sade ihtiyaçlar için Tailscale daha pratik, kompleks mesh senaryolar için ZeroTier daha esnek. İkisi arasında seçim yaparken kullanım hacmi ve self-host gereksinimi belirleyici olur.

Tipik ZeroTier Kullanım Senaryoları

Senaryo 1: Birden Fazla Evdeki Cihazların Tek Ağda Birleşmesi

Bir aile, ebeveynlerin evindeki NAS’a, çocukların evindeki Plex sunucusuna ve yazlık evdeki güvenlik kamerasına aynı ZeroTier ağından erişebilir. Hiçbir noktada port-forward gerekmez. Aile fertleri kendi cihazlarına ZeroTier istemcisi kurar, üç ev arasında özel bir VPN ağı oluşur.

Senaryo 2: Uzaktan Çalışan Geliştiriciler Arası Kod Test Ortamı

10 kişilik bir geliştirici ekibi her biri kendi laptop’una ZeroTier kurar. Tek bir ZeroTier ağında, takım arkadaşlarının lokal sunucularına IP üzerinden erişebilir. Bu, klasik VPN’in karmaşıklığına gerek bırakmaz.

Senaryo 3: KOBİ’lerde Şubeleri Birleştirme

5 şubeli bir işletme her şubedeki MikroTik üzerinde container olarak ZeroTier çalıştırır. Tüm şubeler tek bir mesh ağda birleşir. Şube ağları birbirinin LAN’ına erişebilir, dosya paylaşımı, ortak yazıcı kullanımı mümkün olur.

Yönetim ve Bakım Rutini

ZeroTier’ın kurulumu kolaydır ama unutulması da kolaydır. Bir izleme rutini olmadan ağda yıllar içinde “ghost” node’lar birikir: artık kullanılmayan eski laptop’lar, ayrılan çalışanların telefonları, vb. Bu hem güvenlik hem yönetim açısından sorundur.

Önerdiğim bakım rutini şöyle: her ay ZeroTier Central’da “last activity” sütununa bakın. 60 günden uzun süredir aktif olmayan node’ları “deauthorize” edin. Bir çalışan ayrıldığında HR sürecine “ZT node remove” adımını ekleyin. IP atamalarını düzenli olarak gözden geçirin; rastgele bırakılmış IP’ler audit sırasında karışıklık yaratır. Yılda bir kez controller log’larını analiz edin: anormal sayıda yetkilendirme talebi gelmiş mi, beklenmedik IP’lerden bağlanan node’lar var mı?

Güvenlik Düşünceleri

ZeroTier varsayılan olarak end-to-end şifreli iletişim sunar, ancak bazı güvenlik konularına dikkat etmek gerekir.

İlk olarak, varsayılan controller ZeroTier şirketinin kendisindedir. Yani teknik olarak hangi node’ların hangi ağda olduğu bilgisi onlar tarafından görülebilir. Trafik içeriği şifrelidir, ancak metadata (kim kime bağlanıyor) controller görür. Hassas senaryolarda kendi controller’ınızı (ZTNCUI ile) host edin.

İkincisi, ağa yeni node’ların kabul edilmesi manuel onaylı olmalıdır. Auto-join açıksa, ZeroTier Network ID’sini öğrenen herkes ağınıza katılabilir. ZeroTier Central’da “Authorization” sekmesinden bunu manuel tutun.

Üçüncüsü, IP atamasını rastgele bırakmayın. Her node için sabit bir 10.x.x.x IP atayın; bu hem yönetim hem güvenlik audit için kolaylık sağlar.

Performans Optimizasyonu

ZeroTier MikroTik container içinde çalışırken bazı performans optimizasyonları yapılabilir.

• Container CPU limitlerini ayarlayın: cpu=2 ile iki çekirdek kullansın
• RAM limiti: memory=128M
• UDP MTU’yu 1280-1400 aralığında ayarlayın
• Mümkünse moon (private root) ekleyin; coğrafi yakınlık latency’yi düşürür

RB5009 üzerinde bu optimizasyonlarla ZeroTier tüneli sınırı yaklaşık 400-500 Mbps olur. Daha yüksek throughput için yine WireGuard tabanlı çözümler (örneğin Tailscale veya direkt WireGuard) tercih edilmelidir.

Daha Derin Bir Bakış: ZeroTier’in NAT Traversal Sihri

ZeroTier’in en etkileyici özelliği, hiçbir router yapılandırması gerektirmeden NAT arkasındaki cihazları birleştirmesidir. Bu, “UDP hole punching” olarak bilinen tekniği kullanır. Süreci açıklamaya çalışayım.

İki cihaz birbirine bağlanmak istediğinde, her ikisi de bir ZeroTier root sunucusuna paket gönderir. Root sunucu, her iki taraftan gelen paketin “kaynak IP:port” bilgisini diğer tarafa iletir. Sonra her iki taraf eş zamanlı olarak birbirine doğrudan UDP paket gönderir. NAT tabloları bu paketleri “izin verdiklerini hatırladığı dönüş trafiği” olarak görür ve doğrudan bağlantı kurulur. Bu noktadan sonra root sunucuya gerek kalmaz; iki cihaz doğrudan konuşur.

Bu mekanizmanın çalışmadığı durumlar da var: Symmetric NAT, Carrier-Grade NAT (CGNAT), ve katı kurumsal güvenlik duvarları. Bu senaryolarda ZeroTier “relay” moduna düşer ve trafik root sunucu üzerinden geçer; bu performansı önemli ölçüde düşürür. Türkiye’de mobil operatörler (özellikle Vodafone ve Türk Telekom mobil) CGNAT kullandığı için mobil bağlantılarda bu sorunla karşılaşılabilir.

Pratik Saha Vakası: 6 Konumlu Mimarlık Ofisi

Geçen yıl danışmanlık verdiğim bir mimarlık firması, 4 farklı il + 2 şantiye sahasında çalışan 14 kişilik ekibe sahipti. Klasik IPsec ile site-to-site kurmak için her şantiyede sabit IP ve RB cihaz gerekiyordu; maliyet yüksek, esneklik düşüktü.

ZeroTier ile çözüm: her çalışanın laptop’una ZeroTier kurduk, ana ofise (İstanbul) yerleştirilen RB5009’a container olarak ZeroTier’i yerleştirdik. Dosya sunucusuna 14 çalışan kendi laptop’undan, hangi şehirde veya şantiyede olursa olsun, tek bir IP üzerinden erişiyor. Sistem 8 ayda %99.7 uptime sağladı, kullanıcı bazlı şikayet sıfırdı.

Bu vakanın güzel yanı şuydu: hiçbir noktada router yapılandırması, port forward veya statik IP gereksinimi olmadı. Modern overlay ağların gücü tam olarak bu basitlikte yatıyor.

ZeroTier Trafiğini İzlemek

ZeroTier kurulduktan sonra trafik akışını izlemek isteyeceksiniz. ZeroTier kendi içinde sınırlı istatistik sunar; kapsamlı izleme için iki yöntem var.

İlki ZeroTier Central panelinden. my.zerotier.com’a giriş yaptığınızda her node için son aktivite, IP atamaları, bağlantı sayısı görülebilir. Bu, hangi cihazın aktif olduğunu ve hangilerinin haftalardır bağlanmadığını anlamak için yeterlidir.

İkincisi container’ın kendi içindeki log dosyalarına bakmak. /container shell [find tag~"zerotier"] ile container içine girip zerotier-cli listpeers komutuyla aktif peer’leri görebilirsiniz. zerotier-cli info komutu node’un durumunu ve bağlandığı root’ları gösterir.

Daha detaylı izleme için Prometheus exporter mevcuttur. Bunu ek bir container olarak çalıştırıp Grafana’da görselleştirebilirsiniz. Bu seviye disiplin tipik olarak büyük kurulumlarda (50+ node) gereklidir.

Sınırlamalar ve Dikkat Edilmesi Gerekenler

ZeroTier her senaryoda doğru cevap değildir. Aşağıdaki durumlarda alternatif düşünün:

• Yüksek bant genişliği gereken senaryolar (1 Gbps+): WireGuard veya IPsec daha uygun
• Çok katı uyumluluk gerektiren senaryolar (PCI-DSS, HIPAA): Self-hosted controller şart; varsayılan ZeroTier bulutu kullanılamaz
• Düşük güçlü cihazlar (RB951 vb): Container desteği yok, alternatif gerek
• Multicast/broadcast yoğun protokoller: ZeroTier multicast destekler ama bazı IoT cihazları sorun çıkarabilir

Sıkça Sorulan Sorular

ZeroTier ile WireGuard arasındaki fark nedir?

ZeroTier overlay ağ, WireGuard ise tünel protokolüdür. ZeroTier mesh topoloji ve discovery sunar, WireGuard nokta-nokta tünel. Kullanım amacınıza göre seçim yapılır.

ZeroTier ücretsiz versiyonu KOBİ için yeterli mi?

25 node’a kadar yeterlidir. Daha fazla node varsa Business plan (aylık 5 USD/cihaz) gerekir; bu da yıllık olarak çoğu KOBİ için kabul edilebilir bir maliyettir.

Kendi ZeroTier controller’ımı kurabilir miyim?

Evet. ZTNCUI (ZeroTier Network Controller UI) açık kaynak bir araçtır; bir VPS üzerinde Docker ile kurabilirsiniz. Bu durumda hiçbir node bilgisi üçüncü tarafa gitmez.

ZeroTier Türkiye’den hızlı çalışır mı?

Avrupa’da birden çok root sunucu olduğu için Türkiye’den latency tipik olarak 30-50 ms civarındadır. Eğer Türkiye veya yakın bir lokasyona kendi moon’unuzu yerleştirirseniz bu rakam 5-15 ms’ye düşer.

MikroTik container kullanmadan ZeroTier kullanabilir miyim?

Doğrudan MikroTik’te native değil. Alternatif: bir Raspberry Pi veya Linux sunucuya ZeroTier kurup, MikroTik’i o sunucu üzerinden ZeroTier ağına bağlayabilirsiniz (route + NAT ile).

Sonuç

ZeroTier, modern overlay VPN dünyasının önemli oyuncularından biri. MikroTik 7.x container desteği ile birlikte, eskiden karmaşık olan multi-site mesh kurulumları artık birkaç komutla gerçekleşebiliyor. Klasik IPsec’in karmaşıklığından bunalan KOBİ’ler için ciddi bir alternatif. Tabii her aracın olduğu gibi sınırlamaları da var: yüksek throughput senaryolarında WireGuard daha iyi, sıkı uyumluluk gerektiren senaryolarda self-hosted controller şart. Doğru aracın doğru senaryoda kullanılması, profesyonel bir ağ tasarımının temelidir. ZeroTier’i deneyimlemek istiyorsanız, en basit yöntem 2-3 cihaz arasında ücretsiz hesapla bir test ortamı kurmaktır; yarım gün içinde yapabilirsiniz ve modern mesh VPN’in sunduğu deneyimi ilk elden görmüş olursunuz.

Bir son tavsiye olarak, ZeroTier veya Tailscale gibi modern mesh çözümlere geçerken eski VPN yapınızı hemen söküp atmayın. Paralel çalıştırın, en az 30 gün boyunca her iki yapı da aktif olsun. Bu süre içinde yeni çözümün sahada nasıl davrandığını gözlemleyin: latency yeterli mi? bağlantı kesilmeleri ne sıklıkla oluyor? kullanıcı şikayetleri var mı? Bu test döneminden geçtikten sonra eski yapıyı güvenle kaldırabilirsiniz. Acele bir geçiş, sahadaki kullanıcı deneyimini olumsuz etkiler; iki sistemi paralel tutmanın küçük bir bedeli vardır ama uzun vadede yaratacağı güven değerlidir. Saha tecrübemde yeni teknolojiye atlamak için aceleyle eski sistemleri söken ekiplerin yüzleştiği en yaygın sorun bu olmuştur; geri dönüşü olmayan kararlar her zaman riskli, paralel test ise her zaman akıllıdır. Bu küçük disiplin, modern mesh VPN’e geçişinizi sahanın gerçek deneyimi ışığında, paniksiz bir şekilde tamamlamanızı sağlar. Bir kurulumun değeri, onu sahaya alış biçiminizdeki sabırla doğru orantılıdır; teknolojinin kalitesi kadar geçişin yönetimi de profesyonel ağ yöneticiliğinin alameti farikasıdır. Hangi modern mesh çözümünü tercih ederseniz edin, yaklaşım disiplini sonucu belirleyen tek faktör olacaktır. Bu yüzden teknoloji kararını verirken zaman ayırın, alternatifleri sahada test edin, ekibinizin yetkinlik düzeyine göre sürdürülebilir bir seçim yapın. Sahip olduğunuz teknolojinin sahip olduğunuz disiplinden daha iyi olmadığını her zaman hatırlayın; en iyi araç dahi, doğru kullanılmadığında en sade çözüm kadar bile değer üretemez. Bu felsefeyi her ağ projesinin başlangıcında bir mantra gibi tekrarlamak, ekiplerinizi hatalardan koruyan en güçlü pratik haline gelir.

Bu Yazıyla Birlikte Önerilenler

Aşağıdaki içerikler, bu yazıdaki konuların farklı yönlerini ele alıyor:

1. MikroTik Cloud Hosted Router (CHR): VMware, Proxmox, AWS ve Hetzner Üzerinde Dağıtım
2. WireGuard Protokolünün İçi: Kriptografi, Crypto-Routing ve Linux Çekirdeği Desteği
3. MikroTik VPN Türleri Karşılaştırması: PPTP, L2TP, SSTP, OpenVPN, IKEv2, WireGuard

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• WireGuard Resmi Sitesi
• IETF IKEv2 RFC 7296
• NIST VPN Guideline (SP 800-77)
• Wikipedia: Network Address Translation
• Wikipedia: OSI Model