İçeriğe geç
Blog

Mikrotik'inizi OpenVPN ile Yönetme Rehberi

Özet
MikroTik ve VPS ile OpenVPN kullanımı için pratik rehber: OpenVPN nasıl çalışır, Ubuntu’da sunucu kurulumu, MikroTik istemci yapılandırması, erişim yöntemleri, modern çözümlerle karşılaştırma ve güvenlik en iyi uygulamaları.

OpenVPN ile Uzaktan MikroTik Yönetimi

OpenVPN, yönlendiricilere ve cihazlara uzaktan erişmek için sağlam, kanıtlanmış bir yöntem olmaya devam ediyor.

WireGuard ve Tailscale’den önce gelmesine rağmen esnekliği ve uyumluluğu itibarıyla günümüzde hâlâ tercih ediliyor.

Bu yazıda, nasıl ve neden kullanılacağını adım adım anlatıyor ve VPS sunucu ile MikroTik istemcisi için kopyala-yapıştır komutları sunuyoruz.

OpenVPN Nedir?

OpenVPN, 2001’den beri var olan açık kaynaklı bir VPN uygulamasıdır ve TCP ya da UDP üzerinden şifreli tüneller oluşturur.

Şifreleme için OpenSSL ve TLS tabanlı kimlik doğrulama kullanır.

Önemli noktalar:

  • Güçlü şifreleme (AES-256, SHA256, TLS).
  • IPv4 ve IPv6 ile uyumlu.
  • Yönlendirmeli (TUN) ve köprülenmiş (TAP) modları destekler.
  • RouterOS dahil geniş işletim sistemi ve cihaz uyumluluğu.

Not: OpenVPN’in ekosistemi ve araçları, sertifika kontrolünün net olduğu ve eski cihaz desteğinin gerektiği ortamlar için mükemmel bir seçimdir.

OpenVPN Nasıl Çalışır? (Kısa Özet)

OpenVPN, genellikle genel VPS üzerinde olan bir sunucu ile bir veya daha fazla istemci (MikroTik yönlendiriciler, dizüstü bilgisayarlar vb.) arasında şifreli bir tünel oluşturur.

Kimlik doğrulama; CA, sertifikalar ve isteğe bağlı TLS auth (ta.key) ile sağlanır.

Yaygın modlar:

  • TUN (yönlendirmeli): Ağlar arası IP yönlendirmesi (en yaygın).
  • TAP (köprülenmiş): Katman 2 köprüleme — yayın yapan uygulamalar için faydalı ama daha kaynak tüketir.

Artılar ve Eksiler

Avantajlar

  • Kanıtlanmış güvenlik modeli (TLS + OpenSSL).
  • Son derece yapılandırılabilir (TCP/UDP, portlar, rotalar, iletilen ayarlar).
  • Karma araç ortamları için geniş uyumluluk.
  • RouterOS’te sınırlı ama doğal destek.

Dezavantajlar

  • Kısıtlı donanımlarda WireGuard’dan daha ağırdır.
  • Kurulum PKI (CA, sertifikalar) ve bazı manuel adımlar gerektirir.
  • MikroTik RouterOS sadece TCP üzerinden OpenVPN istemcisini destekler (sunucu tarafı genelde UDP kullanır).

Ubuntu Üzerinde OpenVPN Sunucusu Oluşturma (VPS)

Aşağıda, ortamınıza göre isimleri, IP’leri ve DNS’i düzenleyebileceğiniz kompakt, pratik bir kurulum var.

1) Paketleri yükleyin

Terminal window
apt update && apt install -y openvpn easy-rsa

2) PKI ve sunucu anahtarlarını oluşturun

Terminal window
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
source vars
./clean-all
./build-ca            # CA oluştur
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

İpucu: CA’yı gizli tutun ve yedekleyin. CA anahtarlarını üretim sırları gibi koruyun.

3) Sunucu yapılandırması (/etc/openvpn/server.conf)

Dosyayı aşağıdaki minimum içerikle oluşturun:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

4) Servisi etkinleştirin ve başlatın

Terminal window
systemctl enable openvpn@server
systemctl start openvpn@server

5) Güvenlik duvarında portu açın

Terminal window
ufw allow 1194/udp

Uyarı: Port 1194’ü genel internete açarsanız, sunucuyu güvenli hale getirin (fail2ban, sıkı SSH anahtarları, mümkünse kaynak IP sınırlamaları).

İstemci sertifikaları ve yapılandırmaları oluşturma

easy-rsa komutlarıyla istemci sertifikası oluşturun (örnek: build-key client1).

İstemciye şu dosyaları hazırlayın:

  • ca.crt
  • client1.crt
  • client1.key
  • ta.key (kullanılıyorsa)
  • client.ovpn (yapılandırma dosyası)

Minimal client.ovpn örneği (sunucu IP’nizi VPS IP’nizle değiştirin):

client
dev tun
proto udp
remote YOUR.VPS.IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
verb 3

MikroTik’i OpenVPN istemcisi olarak yapılandırma

RouterOS OpenVPN istemcisi bağlantılarını destekler, ancak bazı RouterOS’a özgü kısıtlamalar vardır.

  1. İstemci anahtar ve sertifika dosyalarını (ca.crt, client.crt, client.key) MikroTik’e yükleyin.

  2. Bir OVPN istemci profili oluşturun ve bağlantıyı başlatın.

/interface ovpn-client add name=ovpn-out1 \
    connect-to=YOUR.VPS.IP port=1194 \
    user=vpnuser password="yourpassword" \
    profile=default-encryption add-default-route=no


/interface ovpn-client print

Beklenen durum örneği:

status: connected
uptime: 00:01:03
remote-address: 10.8.0.1
local-address: 10.8.0.6

Not: RouterOS bazı sürümlerde OpenVPN’i sadece TCP ile sınırlar — RouterOS sürüm notlarını kontrol edin. Router tarafında UDP gerekiyorsa, arada Linux gibi başka bir host kullanın veya yakın bir cihazda yazılım istemcisi kullanın.

Tünel üzerinden iç cihaz erişimi

İç ağdaki bir cihaza (örnek: IP kamera 192.168.88.100) tünel üzerinden ulaşmak için MikroTik üzerinde NAT kullanarak yerel bir portu açabilirsiniz.

  1. MikroTik’e dst-nat kuralı ekleyin:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80
  1. Sunucu veya başka bir istemciden bu IP ve porta bağlanın:
http://10.8.0.6:8081

Trafik OpenVPN tünelinden geçer ve iç cihaza ulaşır.

Güvenlik ve en iyi uygulamalar

  • Her istemci için benzersiz sertifika kullanın.
  • Gerekirse çift faktör benzeri kontrol için TLS sertifikalarını kullanıcı/şifre ile birleştirin.
  • Anahtarlar ve sertifikaları düzenli olarak yenileyin.
  • VPS güvenlik duvarında kaynak IP kısıtlaması yapın.
  • Performans için tercih UDP, ancak RouterOS uyumluluğunu teyit edin.
  • Bağlantı sağlığı ve logları izleyin (syslog, openvpn-status.log).

İpucu: Çok sayıda cihazda sertifika otomatik üretimi için betikler kullanın, CA’yı mümkün olduğunda çevrimdışında tutun.

Modern alternatiflerle kısa karşılaştırma

ÇözümGüçlü YanlarıNe Zaman Seçilir
OpenVPNUyumluluk, ayrıntılı sertifika kontrolüKarma/Eski cihaz ortamları; ISP kurulumları; kurumsal cihazlar
WireGuardHız, basitlikModern cihazlar, küçük boyutlu yönlendiriciler
Tailscale/ZeroTierMesh, kimlik, kolay kurulumDizüstü bilgisayarlar, sunucular, ekip işbirliği

OpenVPN ne zaman tercih edilmeli?

  • İnce ayrıntılı sertifika kontrolüne ihtiyaç varsa.
  • Filonuzda eski cihazlar ya da ajan desteği olmayan aygıtlar varsa.
  • Mevcut güvenlik duvarı kuralları ve kurumsal PKI ile entegrasyon gerekiyorsa.

En düşük ek yük ve modern şifreleme istiyorsanız WireGuard (veya kullanıcı dostu kontrol için Tailscale) iyidir — ancak OpenVPN evrensel uyumlulukta hala önde.

MKController nasıl yardımcı olur: Manuel tünelleme ve sertifika karmaşasından kaçınmak isterseniz, MKController’ın uzaktan araçları (NATCloud) NAT/CGNAT arkasındaki cihazlara merkezi yönetim, izleme ve otomatik bağlanma sunar — cihaz başına PKI yönetimi gerektirmez.

Sonuç

OpenVPN eski bir teknoloji değil.

Uyumluluk ve kimlik doğrulama ile yönlendirme üzerinde net kontrol gerektiğinde güvenilir bir çözümdür.

Bir VPS ile MikroTik istemciyi eşleştirirseniz, kameralar, yönlendiriciler ve iç servisler için sağlam, denetlenebilir bir uzaktan erişim yolu sağlarsınız.

MKController Hakkında

Yukarıdaki bilgiler MikroTik ve internet ağınızı daha iyi yönetmenize yardımcı olmuştur umarız! 🚀
Konfigürasyonları optimize ediyor ya da ağ karmaşasını düzenlemeye çalışıyorsanız, MKController işinizi kolaylaştırmak için burada.

Merkezi bulut yönetimi, otomatik güvenlik güncellemeleri ve herkesin kullanabileceği bir panel ile operasyonunuzu yükseltmek için gereken her şeye sahibiz.

👉 Ücretsiz 3 günlük denemenizi başlatın — gerçek ağ kontrolünün nasıl olduğunu görün.