MikroTik'inizi WireGuard ile Yönetme Rehberi

Özet
Pratik WireGuard kılavuzu: VPS sunucu kurun, MikroTik istemcisi yapılandırın, alt ağ yollarını tanıtın ve güvenli uzak erişim için en iyi uygulamaları takip edin.

WireGuard ile Uzaktan MikroTik Yönetimi

WireGuard, performansı büyü gibi hissettiren modern ve minimalist bir VPN’dir.

Hafif. Hızlı. Güvenli.

Bir VPS ile MikroTik’i bağlamak veya internet üzerinden ağlar arasında köprü kurmak için idealdir.

Bu rehberde kopyala-yapıştır komutlar, örnek konfigürasyonlar ve deneyimle kazanılmış ipuçları yer alır.

WireGuard Nedir?

WireGuard, Jason Donenfeld tarafından geliştirilen hafif bir Katman-3 VPN protokolüdür.

Anahtar alışverişi için Curve25519 ve şifreleme için ChaCha20-Poly1305 gibi modern kriptolar kullanır.

Sertifika yok. Basit anahtar çiftleri. Küçük kod tabanı.

Bu sadelik, daha az sürpriz ve daha yüksek performans anlamına gelir.

WireGuard Nasıl Çalışır — Temel Bilgiler

Her eşin bir özel anahtarı ve ortak anahtarı vardır.

Eşler, ortak anahtarları izin verilen IP’lere ve uç noktalara (IP:port) haritalar.

Trafik UDP tabanlıdır ve eşler-arası doğası gereği merkezi sunucu zorunlu değildir — ancak VPS genellikle kararlı bir buluşma noktası olur.

Avantajlara Hızlı Bakış

Yüksek hız ve düşük CPU kullanımı.
Minimum, denetlenebilir kod yapısı.
Her eş için basit yapılandırma dosyaları.
NAT ve CGNAT ile uyumlu.
Çapraz platform: Linux, Windows, macOS, Android, iOS, MikroTik.

Sunucu: VPS’te WireGuard Kurulumu (Ubuntu)

Bu adımlar, eşlerin bağlanabileceği temel bir sunucu kurar.

1) WireGuard’ı Yükleyin

apt update && apt install -y wireguard

2) Sunucu Anahtarlarını Üretin

wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

3) `/etc/wireguard/wg0.conf` Dosyasını Oluşturun

[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <server_private_key>
SaveConfig = true

# örnek eş (MikroTik)
[Peer]
PublicKey = <mikrotik_public_key>
AllowedIPs = 10.8.0.2/32

4) Etkinleştirip Başlatın

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

5) Güvenlik Duvarı Ayarı

ufw allow 51820/udp
# veya uygun şekilde nftables/iptables kullanın

İpucu: Otomatik taramalardan kaçınmak için standart olmayan UDP portu kullanabilirsiniz.

MikroTik: WireGuard Eşi Olarak Yapılandırma

RouterOS, yerleşik WireGuard desteği sağlar (RouterOS 7.x+).

1) WireGuard Arayüzü Ekleme

/interface wireguard add name=wg-vps listen-port=51820 private-key="<mikrotik_private_key>"

2) Sunucuyu Eş Olarak Ekleme

/interface wireguard peers add interface=wg-vps public-key="<server_public_key>" endpoint-address=<VPS_IP> endpoint-port=51820 allowed-address=10.8.0.2/32 persistent-keepalive=25

/ip address add address=10.8.0.2/24 interface=wg-vps

3) Durumu Kontrol Edin

/interface/wireguard/print
/interface/wireguard/peers/print

Eş handshake aktivitesi gösterdiğinde ve latest-handshake yakınsa, tünel aktif demektir.

MikroTik Arkasındaki LAN Cihazlarını Yönlendirme ve Erişim

VPS’ten: MikroTik LAN’a Yönlendirme

Eğer VPS (veya diğer eşler) MikroTik’in arkasındaki 192.168.88.0/24 ağına erişmek istiyorsa:

VPS üzerinde bir rota ekleyin:

ip route add 192.168.88.0/24 via 10.8.0.2

MikroTik’te IP yönlendirmeyi etkinleştirin ve isterseniz basitlik için src‑NAT uygulayın:

/ip firewall nat add chain=srcnat src-address=192.168.88.0/24 out-interface=wg-vps action=masquerade

Artık router’ın LAN’ındaki servisler, VPS üzerinden WireGuard tüneliyle erişilebilir olur.

Uyarı: Sadece kontrol ettiğiniz ağları açın. Güvenlik duvarı kurallarıyla hangi hostların veya portların erişilebilir olduğunu sınırlandırın.

Güvenlik İçin En İyi Uygulamalar

Her cihaz için benzersiz anahtar çiftleri kullanın.
AllowedIPs alanını sadece gerekli olanla sınırlandırın.
WireGuard portunu güvenlik duvarıyla koruyun ve izleyin.
Kayıp cihazların eş kayıtlarını silerek erişimi iptal edin.
Handshake ve bağlantı durumunu düzenli kontrol edin.

İpucu: Persistent keepalive, tüketici bağlantılarında NAT eşlemelerini açık tutar.

Anahtar Yönetimi ve Otomasyon

Anahtarları periyodik olarak döndürün.

Birden fazla router yönetirken eş oluşturmayı scriptlerle otomatikleştirin.

Özel anahtarları güvenli şekilde saklayın — şifre gibi muamele görün.

Filolar için küçük bir kontrol merkezi veya anahtar dağıtım iş akışı düşünün.

Hızlı Karşılaştırma

Çözüm	Temel	Performans	Kolaylık	En İyi Kullanım Alanı
WireGuard	Kernel VPN	Çok yüksek	Basit	Modern, yüksek performanslı bağlantılar
OpenVPN	TLS/OpenSSL	Orta	Karmaşık	Eski cihazlar ve PKI ağırlıklı konfigürasyonlar
Tailscale	WireGuard + kontrol merkezi	Yüksek	Çok kolay	Takımlar, kimlik tabanlı erişim
ZeroTier	Özel mesh	Yüksek	Kolay	Esnek mesh ağları

Entegrasyonlar ve Kullanımlar

WireGuard, izleme (SNMP), TR‑069, TR‑369 ve orkestrasyon sistemleriyle uyumludur.

Uzak yönetim, servis sağlayıcı bağlantıları veya bulut hizmetlerine güvenli tüneller için kullanılır.

MKController’ın Yardımı

MKController NATCloud, manuel tünel kurulumunu ortadan kaldırır. Merkezi erişim, izleme ve kolay onboarding sunar — cihaz başına anahtar takibine son.

Sonuç

WireGuard, VPN karmaşıklığını azaltırken güvenliği korur.

Hızlı, taşınabilir ve MikroTik ile VPS eşleştirmeleri için idealdir.

Güvenilir uzak erişim, sağduyulu yönlendirme ve iyi pratiklerle güçlü altyapı kurun.

MKController Hakkında

Umarız yukarıdaki bilgiler MikroTik ve internet evreninizde biraz daha netlik sağlamıştır! 🚀
İster yapılandırmaların ince ayarı ile ilgilenin ister ağ karmaşasını düzenlemeye çalışın, MKController hayatınızı kolaylaştırmak için burada.

Merkezi bulut yönetimi, otomatik güvenlik güncellemeleri ve herkesin kolayca kullanabileceği bir kontrol paneliyle operasyonunuzu yükseltmeye hazırız.

👉 Ücretsiz 3 günlük denemenizi hemen başlatın — gerçek ağ kontrolünün ne demek olduğunu görün.