MikroTik VPN Kurulumu: L2TP ve IPsec Rehberi

MikroTik'te Güvenli Uzak Bağlantı: L2TP ve IPsec Yapılandırması

MikroTik router'lar, işletmelerin uzaktan erişim ihtiyaçlarını karşılamak için güçlü VPN çözümleri sunar. L2TP (Layer 2 Tunneling Protocol) ile IPsec kombinasyonu, güvenli ve standart tabanlı bir VPN bağlantısı oluşturmanın en yaygın yöntemlerinden biridir. Bu rehberde, MikroTik cihazlarınızda L2TP ve IPsec yapılandırmasını adım adım ele alacağız.

Yüksek trafikli e-ticaret altyapıları için güvenli uzaktan erişim kritik öneme sahiptir ve VPN yapılandırması bu güvenliğin temelini oluşturur.

L2TP ve IPsec Nedir?

L2TP (Layer 2 Tunneling Protocol)

L2TP, Microsoft ve Cisco tarafından geliştirilen bir tünel protokolüdür. Sadece başına bir güvenlik katmanı eklenmediğinde, şifreleme sağlamaz. Bu nedenle IPsec ile birlikte kullanılması zorunludur. L2TP, noktadan noktaya (point-to-point) bağlantılar oluşturur ve çoğu işletim sistemi tarafından yerel olarak desteklenir.

IPsec Nedir?

IPsec, ağ düzeyinde güvenlik sağlayan bir protokoldür. Veri bütünlüğü, kimlik doğrulama ve şifreleme işlevleri sunar. IPsec, L2TP tüneline uygulandığında, verilerin güvenli bir şekilde iletilmesini sağlar. Araştırmalara göre, VPN kullanıcılarının %67'si IPsec tabanlı çözümleri tercih etmektedir.

Neden L2TP ve IPsec Kullanmalısınız?

L2TP/IPsec kombinasyonunun tercih edilmesinin başlıca nedenleri şunlardır:

• Evrensel Uyumluluk: Windows, macOS, iOS, Android ve Linux dahil olmak üzere tüm major işletim sistemlerinde yerel olarak desteklenir.
• Çift Katmanlı Güvenlik: L2IP tünel oluşturur, IPsec şifreleme sağlar.
• Kolay Yapılandırma: Karmaşık sertifika altyapısı gerektirmez, PSK (Pre-Shared Key) ile çalışabilir.
• NAT Geçişi: NAT arkasındaki istemcilerden bağlantı kurabilir.

Sunucu güvenliği konusunda kapsamlı çözümler için blog sayfamızı ziyaret edin.

MikroTik L2TP ve IPsec Yapılandırma Adımları

1. Temel Ağ Ayarlarının Kontrolü

Yapılandırmaya başlamadan önce router'ınızın temel ayarlarını kontrol edin:

/ip address print
/ip route print
/interface print

WAN (Dış) arayüzünüzün doğru yapılandırıldığından emin olun. Genellikle bu arayüz "ether1" veya "wan" olarak adlandırılır.

2. IPsec Paketlerinin Aktif Edilmesi

Öncelikle IPsec özelliğini etkinleştirin:

/ip service set ipsec disabled=no

IPsec servisini Winbox veya webfig üzerinden de aktive edebilirsiniz.

3. IPsec Proposal Yapılandırması

Güvenlik algoritmalarını belirleyin:

/ip ipsec proposal add name="L2TP-Proposal" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc pfs-group=modp2048

Bu yapılandırma, güçlü şifreleme algoritmaları kullanarak veri güvenliğini sağlar. Sunucu şifreleme konusunda daha fazla bilgi edinebilirsiniz.

4. IPsec Policy Oluşturma

Trafik kurallarını tanımlayın:

/ip ipsec policy add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=0.0.0.0 sa-dst-address=0.0.0.0 proposal=L2TP-Proposal

5. L2TP Server Yapılandırması

L2TP sunucusunu etkinleştirin:

/interface l2tp-server server set enabled=yes default-profile=default-encryption use-ipsec=yes ipsec-secret=GUCLU_BIR_SIFRE authentication=chap,mschap1,mschap2

Önemli: "ipsec-secret" değerini güçlü ve karmaşık bir şifre ile değiştirin.

6. Kullanıcı Hesabı Oluşturma

Uzaktan bağlanacak kullanıcıları tanımlayın:

/ppp secret add name="kullanici_adi" password="sifreniz" service=l2tp profile=default-encryption remote-address=10.0.0.2 local-address=10.0.0.1

Bu komut, "kullanici_adi" adlı bir kullanıcı oluşturur ve bu kullanıcıya 10.0.0.2 IP adresini atar.

7. Firewall Kuralları

L2TP trafiğine izin veren firewall kuralları ekleyin:

/ip firewall filter add chain=input protocol=udp dst-port=500 action=accept
/ip firewall filter add chain=input protocol=udp dst-port=4500 action=accept
/ip firewall filter add chain=input protocol=ipsec-esp action=accept

Güvenlik duvarınızı sunucu güvenliği en iyi uygulamalarına göre yapılandırdığınızdan emin olun.

8. NAT Kuralı (Gerekirse)

Eğer VPN istemcilerinin internet erişimi için NAT kullanmasını istiyorsanız:

/ip firewall nat add chain=srcnat src-address=10.0.0.0/24 action=masquerade

İstemci Tarafı Yapılandırma

Windows'ta L2TP Bağlantısı

1. Ağ ve Paylaşım Merkezi'ne gidin
2. Yeni Bağlantı veya Ağ Kurulumu'nu seçin
3. İşyeri VPN bağlantısı'nı seçin
4. MikroTik router'ınızın WAN IP adresini girin
5. Kullanıcı adı ve şifrenizi girin
6. Özellikler > Güvenlik sekmesinde L2TP/IPsec'i seçin
7. Ayarlar > Gelişmiş ayarlar'dan "Önceden paylaşılan anahtar kullan"ı seçin ve IPsec Secret'ı girin

iOS'ta L2TP Yapılandırması

1. Ayarlar > VPN'e gidin
2. VPN Yapılandırması Ekle'yi seçin
3. Tür olarak L2TP'i seçin
4. Sunucu, Hesap ve Parola bilgilerini girin
5. Secret alanına IPsec Secret'ı girin
6. Tamam'a tıklayın

Android'de L2TP Bağlantısı

1. Ayarlar > Ağ ve İnternet > VPN'e gidin
2. VPN profili ekle'ye tıklayın
3. Ad, Sunucu, Kullanıcı adı ve Şifre girin
4. L2TP/IPSec PSK tipini seçin
5. IPSec önceden paylaşılan anahtar'a Secret'ı girin
6. Kaydedin ve bağlanın

Güvenlik En İyi Uygulamaları

Şifre Güvenliği

Özellik	Önerilen Değer
Şifre uzunluğu	En az 12 karakter
Karmaşıklık	Büyük harf, küçük harf, rakam, sembol
Şifreleme algoritması	AES-256-CBC
Kimlik doğrulama	SHA-256

Ek Güvenlik Önlemleri

1. IP Adresi Sınırlaması: VPN erişimini belirli IP adresleriyle sınırlayın.
2. Bağlantı Süresi Limitleri: Idle timeout ayarlayarak boşta kalan bağlantıları sonlandırın.
3. Log İzleme: VPN bağlantı loglarını düzenli olarak kontrol edin.
4. Firmware Güncelleme: MikroTik router yazılımını güncel tutun.
5. Fail2Ban: Başarısız giriş denemelerine karşı koruma uygulayın.

Sık Karşılaşılan Sorunlar ve Çözümleri

Bağlantı Kurulamıyor

Sebep: Firewall engeli veya yanlış yapılandırma

Çözüm: UDP port 500 ve 4500'un açık olduğunu doğrulayın. IPsec ESP (protocol 50) trafiğine izin verildiğinden emin olun.

Kimlik Doğrulama Hatası

Sebep: Yanlış kullanıcı adı veya şifre

Çözüm: PPP sekretlerini kontrol edin. Şifrenin doğru olduğundan emin olun.

IPsec Anlaşması Başarısız

Sebep: Proposal uyumsuzluğu

Çözüm: İstemci ve sunucu tarafındaki şifreleme algoritmalarının eşleştiğini doğrulayın. Her iki tarafta da aynı algoritmaları kullanın.

Bağlantı Koptuktan Sonra Tekrar Bağlanamıyor

Sebeb: SA (Security Association) zaman aşımı

Çözüm: IPsec SA lifetime değerlerini artırın veya bağlantıyı yeniden başlatın.

Otomasyon ve CI/CD süreçlerinizi geliştirmek için Docker kullanımını keşfedin.

Performans Optimizasyonu

VPN performansını artırmak için aşağıdaki ayarları yapabilirsiniz:

• MTU Değerini Ayarlayın: 1400-1450 arası MTU değeri genellikle en iyi performansı sağlar.
• Kompresyonu Kapatın: LZOP veya diğer sıkıştırma yöntemleri CPU yükünü artırabilir.
• Bandwidth Limiti: Gereksiz yere yüksek bant genişliği sınırlaması koymayın.
• HW Offloading: MikroTik cihazınız destekliyorsa IPsec hardware offloading'i etkinleştirin.

Alternatif VPN Çözümleri ile Karşılaştırma

Özellik	L2TP/IPsec	OpenVPN	WireGuard
Kurulum Kolaylığı	Kolay	Orta	Kolay
Şifreleme	AES-256	AES-256	ChaCha20
Performans	Orta	Orta	Yüksek
Platform Desteği	Evrensel	Geniş	Artan
NAT Geçişi	İyi	Orta	Mükemmel

Sonuç

MikroTik router'larınızda L2TP ve IPsec yapılandırması, güvenli ve güvenilir uzaktan erişim çözümleri sunar. Bu rehberde anlatılan adımları takip ederek, işletmeniz için profesyonel bir VPN altyapısı kurabilirsiniz.

L2TP/IPsec, kurulum kolaylığı ve geniş uyumluluğu nedeniyle çoğu senaryo için idealdir. Ancak, en yüksek performans gereksinimleriniz varsa WireGuard gibi modern çözümleri de değerlendirebilirsiniz.

Herhangi bir sorunla karşılaşırsanız, MikroTik forumları ve