MikroTik'te Gelişmiş VPN Yapılandırması: Kapsamlı Rehber

MikroTik'te Gelişmiş VPN Yapılandırması: Kapsamlı Rehber

MikroTik router'ları, işletmelerin ağ altyapısında güvenli ve esnek VPN çözümleri sunmak için en yaygın tercih edilen cihazlardan biridir. 2024 yılı itibarıyla küresel ağ güvenliği pazarının %35'inin VPN tabanlı çözümlerden oluştuğu ve bu oranın her yıl %12 büyüme gösterdiği tahmin edilmektedir. MikroTik'in RouterOS işletim sistemi, IKEv2, OpenVPN, PPTP ve L2TP/IPSec gibi çoklu VPN protokollerini destekleyerek farklı kullanım senaryolarına uygun çözümler sunar. Bu rehberde, MikroTik cihazlarınızda profesyonel düzeyde VPN yapılandırması oluşturmayı detaylı olarak ele alacağız.

MikroTik VPN Türleri ve Kullanım Alanları

MikroTik, farklı ağ gereksinimlerine uygun çeşitli VPN türlerini destekler. Her VPN türünün kendine özgü avantajları ve kullanım senaryoları vardır. Doğru VPN türünü seçmek, ağ performansı ve güvenliği açısından kritik öneme sahiptir.

VPN Türü	Protokol	Güvenlik Seviyesi	Performans	Önerilen Kullanım
IKEv2/IPSec	UDP 500, 4500	Çok Yüksek	Yüksek	Uzaktan erişim, mobil cihazlar
OpenVPN	TCP/UDP	Çok Yüksek	Orta	Platform bağımsız, maximum güvenlik
L2TP/IPSec	UDP 1701	Yüksek	Yüksek	Windows istemciler, basit kurulum
PPTP	TCP 1723	Düşük	Çok Yüksek	Eski sistemler, geçici çözümler
WireGuard	UDP	Çok Yüksek	Çok Yüksek	Modern ağlar, yüksek hız gereksinimi

IKEv2 VPN Yapılandırması

IKEv2 (Internet Key Exchange version 2), MikroTik VPN yapılandırmalarında en çok tercih edilen protokollerden biridir. Microsoft ve Apple cihazlarında native olarak desteklenmesi, kurumsal ortamlarda yaygın kullanımını sağlar. Aşağıda adım adım IKEv2 yapılandırmasını bulabilirsiniz.

Öncelikle IP Pool tanımlaması yaparak VPN istemcilerine atanacak IP aralığını belirlemeniz gerekir. Bu adım, web hosting hizmetlerinizdeki ağ planlamasıyla benzer bir mantıkla çalışır.

IP Pool Oluşturma

/ip pool add name="vpn-pool" ranges=10.10.10.10-10.10.10.100

Bu komut, 10.10.10.10 ile 10.10.10.100 arasında 91 adet IP adresi tanımlar. Her VPN bağlantısı için bu havuzdan bir IP atanır.

Phase 1 (IKE SA) Yapılandırması

/ip ipsec proposal add name="ikev2-proposal" auth-algorithms=sha256,sha512 enc-algorithms=aes-256-cbc,aes-256-gcm lifetime=1h pfs-group=modp2048

Bu yapılandırma, SHA256 ve SHA512 hash algoritmaları ile AES-256 şifreleme kullanarak yüksek güvenlikli bir tünel oluşturur. ModP2048 grubu, mükemmel ileri gizlilik (PFS) sağlar.

Phase 2 (Child SA) Yapılandırması

/ip ipsec policy add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 proposal="ikev2-proposal" tunnel=yes action=encrypt

Tüm trafiğin VPN tnelinden geçmesi için bu kuralı uygulamanız önerilir. Bu sayede istemci, internet erişimi için de güvenli隧道 kullanır.

OpenVPN Kurulumu ve Yapılandırması

OpenVPN, açık kaynak kodlu yapısı ve platform bağımsız desteği sayesinde en esnek VPN çözümlerinden biridir. MikroTik üzerinde OpenVPN sunucu yapılandırması birkaç adımda tamamlanabilir. Öncelikle sertifika altyapısını oluşturmanız gerekir.

MikroTik cihazınızda sertifika yetkilisi (CA) oluşturmak için aşağıdaki adımları izleyin:

/certificate add name=ca-template common-name="MikroTik CA" days-valid=3650 key-size=2048 sign ca-template

Ardından sunucu sertifikası oluşturun:

/certificate add name=server-template common-name="vpn-server" key-size=2048 sign server-template

Son olarak OpenVPN sunucu profilini etkinleştirin:

/interface ovpn-server server set enabled=yes auth=sha256,md5 cipher=aes256,3des default-profile=default compression=lzo

MikroTik Güvenlik Duvarı (Firewall) Temel Yapılandırması

Güvenlik duvarı, ağ güvenliğinin temel taşıdır. MikroTik RouterOS, gelişmiş firewall özellikleri sunarak ağınızı çeşitli tehditlere karşı korur. Araştırmalara göre, yapılandırılmamış firewall kullanan ağlarda siber saldırı riski %67 oranında artmaktadır.

MikroTik firewall yapılandırması üç temel adımda gerçekleştirilir: input, forward ve output zincirleri. Her zincir, farklı trafik türlerini yönetir.

Temel Firewall Kuralları

İlk olarak, varsayılan politikaları belirleyin. Tüm gelen bağlantıları varsayılan olarak reddetmek güvenlik açısından en iyi uygulamadır.

/ip firewall filter add chain=input action=drop comment="Drop all incoming connections"

Ardından, güvenilir IP adreslerinden gelen bağlantılara izin verin:

/ip firewall filter add chain=input src-address=192.168.1.0/24 action=accept comment="Allow LAN network"

VPN trafiğine özel kurallar eklemek, uzaktan erişim güvenliğini artırır. nginx yapılandırma rehberi benzeri teknik içeriklerde olduğu gibi, doğru kural sıralaması performansı doğrudan etkiler.

Gelişmiş Güvenlik Duvarı Kuralları ve Senaryoları

Brute Force Saldırı Koruması

SSH, Winbox ve FTP gibi yönetim arayüzlerine yönelik brute force saldırılarını önlemek için özel kurallar oluşturmanız önerilir. Aşağıdaki yapılandırma, 10 dakika içinde 5'ten fazla bağlantı denemesi yapan IP'leri otomatik olarak engeller:

/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="Block brute force SSH"

/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10m comment="Add to blacklist"

Bu tür koruma mekanizmaları, sunucu donanım yedekliliği kadar kritik öneme sahiptir çünkü saldırılar sisteminizi hizmet dışı bırakabilir.

Port Knocking Uygulaması

Port knocking, güvenlik katmanınızı artıran gelişmiş bir tekniktir. Bu yöntemde, yönetim portları yalnızca önceden belirlenmiş bir dizi ping'den sonra açılır.

/ip firewall filter add chain=input protocol=icmp src-address=10.0.0.50 action=accept comment="Allow ping from trusted IP"

/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=knock_established action=accept comment="Allow Winbox after knock"

GeoIP Tabanlı Engelleme

Bilinen saldırı kaynaklarından gelen trafiği engellemek için GeoIP kuralları kullanabilirsiniz. MikroTik, CARRIER-GRADE NAT veya Layer7 protokol analizi ile bu filtrelemeyi destekler.

/ip firewall address-list add list=blocked_countries address=CN comment="China"

/ip firewall address-list add list=blocked_countries address=RU comment="Russia"

/ip firewall filter add chain=input src-address-list=blocked_countries action=drop comment="Block traffic from blocked countries"

VPN ve Firewall Entegrasyonu

VPN tüneli oluşturduktan sonra, bu tünel üzerinden gelen ve giden trafiği uygun firewall kurallarıyla korumanız gerekir. Aşağıdaki yapılandırma, VPN istemcilerinin LAN kaynaklarına erişimini yönetir:

/ip firewall filter add chain=forward in-interface=ovpn-out action=accept comment="Allow VPN to LAN"

/ip firewall filter add chain=forward out-interface=ovpn-in action=accept comment="Allow LAN to VPN"

VPN kullanıcılarının internet erişimini sınırlandırmak veya tamamen engellemek için proxy hizmetleri ile entegre çalışan kurallar oluşturabilirsiniz.

MikroTik IPSec Site-to-Site VPN Yapılandırması

Şube ofisler arasında güvenli bağlantı kurmak için IPSec site-to-site VPN en ideal çözümdür. Bu yapılandırma, iki MikroTik cihazı arasında şifreli bir tünel oluşturur.

Local Endpoint Yapılandırması

/ip ipsec peer add address=203.0.113.2/32 auth-method=pre-shared-key secret="GüçlüParola123!" exchange-mode=main local-address=0.0.0.0

Bu komut, uzak MikroTik cihazının dış IP adresini ve paylaşılan anahtarı tanımlar. Güçlü bir parola kullanmak güvenlik için kritiktir.

IPSec Policy Tanımlama

/ip ipsec policy add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 proposal=default action=encrypt tunnel=yes

Bu kural, 192.168.10.0/24 ağından 192.168.20.0/24 ağına giden tüm trafiği şifreler. Her iki tarafta da benzer bir kural oluşturmanız gerekir.

Monitor ve Loglama

Güvenlik yapılandırmanın etkinliğini izlemek için düzenli log analizi yapmanız önerilir. MikroTik, yerleşik loglama sistemi ile tüm bağlantı girişimlerini ve firewall kararlarını kaydeder.

/log print where topic="firewall"

Bu komut, firewall ile ilgili tüm log kayıtlarını görüntüler. Kritik olayları izlemek için sistem durumu sayfalarını kullanabilirsiniz; sistem durumu paneli anlık performans verileri sunar.

Yüksek Erişilebilirlik ve Yedeklilik

VPN hizmetlerinin kesintisiz çalışması için yedeklilik mekanizmaları oluşturmanız kritik öneme sahiptir. MikroTik, VRRP (Virtual Router Redundancy Protocol) desteği ile yedek router yapılandırmasına olanak tanır.

/interface vrrp add interface=ether1 vrid=1 priority=200 authentication=ah

Bu yapılandırma, birincil router arızasında otomatik olarak yedek cihaza geçiş sağlar. Veri merkezi ortamlarında IPv4 kiralama hizmetlerinde olduğu gibi, yedeklilik SLA güvencesi için essizontür.

Performans Optimizasyonu

VPN ve firewall kurallarının ağ performansını olumsuz etkilememesi için bazı optimizasyon teknikleri uygulamanız önerilir:

1. Kural Sıralaması: En sık eşleşen kuralları listenin en üstüne yerleştirin
2. Address List Kullanımı: Tekrar eden IP adresleri için address list kullanın
3. FastPath Etkinleştirme: Donanım hızlandırma için fastpath'i aktif edin
4. Connection Tracking: Bağlantı izleme tablolarını düzenli temizleyin

/ip settings set tcp-syncookies=yes allow-fast-path=yes

Bu ayarlar, yüksek trafikli ortamlarda performans iyileştirmesi sağlar. L3 cache performans konusunda olduğu gibi, ağ katmanı optimizasyonları sistem verimliliğini artırır.

Sonuç ve Öneriler

MikroTik'te gelişmiş VPN ve güvenlik duvarı yapılandırması, ağ güvenliğinin temel taşlarından birini oluşturur. Doğru protokol seçimi (IKEv2, OpenVPN veya IPSec), güçlü firewall kuralları ve düzenli izleme ile kurumsal ağınızı profesyonel düzeyde koruyabilirsin