MikroTik VPN Kurulum — IKEv2/IPSec Rehberi

VPN konusunda üç yanlış var: “WinBox’tan uzaktan bağlansam olur”, “L2TP/IPSec’i bir daha kurmak istemiyorum” ve “sertifika işleri çok zor”. IKEv2, bu üçünü de çözer — native mobil destek, modern şifreleme ve makul konfigürasyon karmaşıklığı. Bu yazı RouterOS 7 üzerinde IKEv2/IPSec server kurulumunu ve client bağlantılarını adım adım gösteriyor.

VPN Protokolleri Karşılaştırması

Protokol	Hız	Güvenlik	Mobil	Kolaylık	RouterOS
IKEv2/IPSec	✅ İyi	✅ Güçlü	✅ Native iOS/Android	⚠️ Orta	✅ v6+
WireGuard	✅ Çok iyi	✅ Güçlü	⚠️ Uygulama gerekli	✅ Basit	✅ v7+
L2TP/IPSec	⚠️ Orta	⚠️ Zayıf	✅ Native	✅ Kolay	✅ v6+
SSTP	⚠️ Orta	✅ İyi	❌ Windows only	✅ Kolay	✅ v6+
OpenVPN	⚠️ Yavaş	✅ Güçlü	⚠️ Uygulama	⚠️ Karmaşık	✅ v6+

Neden IKEv2?

• iOS ve macOS’ta ek uygulama gerekmez — sistem ayarlarından kurulur
• MOBIKE desteği: WiFi → mobil geçişinde VPN bağlantısı kopmaz
• Modern şifreleme: AES-256-GCM, SHA-256+, ECC
• Sertifika tabanlı kimlik doğrulama — şifre çalmaya karşı dayanıklı

---

Senaryo

• MikroTik RB4011, sabit IP: 83.45.12.10
• Domain: vpn.sirket.com (A kaydı 83.45.12.10’a)
• Kullanıcılar: Windows, macOS, iOS, Android
• Yöntem: Sertifika + kullanıcı adı/şifre (EAP-MSCHAPv2)

---

Sertifika Oluşturma

Self-Signed (Hızlı Başlangıç)

# 1. Root CA oluştur
/certificate
add name=ca-root common-name="Sirket VPN CA" \
    key-size=4096 days-valid=3650 \
    key-usage=crl-sign,key-cert-sign \
    trusted=yes

sign ca-root ca=ca-root name=ca-root

# 2. Server sertifikası
add name=vpn-server common-name=vpn.sirket.com \
    key-size=2048 days-valid=730 \
    key-usage=tls-server,digital-signature,key-encipherment

sign vpn-server ca=ca-root name=vpn-server

# 3. Sertifika durumunu kontrol et
print detail where name=vpn-server
# "trusted: yes" olmalı

Let’s Encrypt ile (Güvenilir Sertifika)

# RouterOS 7.4+ gerekli
/certificate acme-client
add name=acme-vpn url=https://acme-v02.api.letsencrypt.org/directory \
    domain=vpn.sirket.com key-size=2048

/certificate acme-client issue acme-vpn
# DNS A kaydı mevcut olmalı ve port 80 açık olmalı

---

IPSec Konfigürasyonu

IKE Policy (IKEv2)

/ip ipsec policy group
add name=ike2-clients

/ip ipsec profile
add name=ike2-profile \
    enc-algorithm=aes-256-gcm,aes-256-cbc \
    dh-group=ecp384,ecp256,modp2048 \
    hash-algorithm=sha256,sha1 \
    lifetime=24h \
    nat-traversal=yes \
    dpd-interval=30s dpd-maximum-failures=3 \
    comment="IKEv2 Profile"

/ip ipsec proposal
add name=ike2-proposal \
    enc-algorithms=aes-256-gcm,aes-256-cbc \
    auth-algorithms=sha256,sha1 \
    pfs-group=modp2048 \
    lifetime=8h \
    comment="IKEv2 ESP Proposal"

Mode Config (IP Havuzu)

Remote access client’lara IP ver:

/ip pool
add name=vpn-pool ranges=10.88.88.2-10.88.88.254 \
    comment="VPN istemci IP havuzu"

/ip ipsec mode-config
add name=ike2-mode-config \
    address-pool=vpn-pool \
    address-prefix-length=24 \
    split-include=10.0.0.0/8 \
    system-dns=yes static-dns=8.8.8.8,1.1.1.1 \
    comment="IKEv2 Mode Config"

split-include: client tarafında sadece belirtilen ağa VPN üzerinden ulaşılır (split tunnel). Boş bırakılırsa full tunnel.

IKEv2 Peer

/ip ipsec peer
add name=ike2-remote \
    address=0.0.0.0/0 \
    passive=yes \
    profile=ike2-profile \
    exchange-mode=ike2 \
    send-initial-contact=yes \
    comment="IKEv2 Remote Access"

EAP Kimlik Doğrulama (Kullanıcı Adı/Şifre)

/ip ipsec identity
add auth-method=eap \
    certificate=vpn-server \
    eap-methods=eap-mschapv2 \
    generate-policy=port-override \
    mode-config=ike2-mode-config \
    my-id=fqdn:vpn.sirket.com \
    passive=yes \
    policy-template-group=ike2-clients \
    comment="IKEv2 EAP Identity"

PPP Kullanıcıları (EAP için)

/ppp secret
add name=ahmet password=AhmetSifre2026 \
    service=any profile=default \
    comment="VPN kullanıcı: Ahmet"

add name=fatma password=FatmaSifre2026 \
    service=any profile=default \
    comment="VPN kullanıcı: Fatma"

Firewall Kuralları

/ip firewall filter
add chain=input action=accept protocol=udp dst-port=500,4500 \
    comment="IKEv2: UDP 500 (IKE) + 4500 (NAT-T)"
add chain=input action=accept protocol=ipsec-esp \
    comment="IKEv2: ESP"

/ip firewall nat
add chain=srcnat action=accept \
    src-address=10.88.88.0/24 dst-address=10.0.0.0/8 \
    comment="VPN — iç ağa gittiğinde NAT yapma"

add chain=srcnat action=masquerade \
    src-address=10.88.88.0/24 out-interface-list=WAN \
    comment="VPN — internet çıkışı"

---

Client Konfigürasyonu

Windows 10/11

1. Ağ Ayarları → VPN → VPN bağlantısı ekle
2. VPN sağlayıcısı: Windows (yerleşik)
3. Bağlantı adı: Sirket VPN
4. Sunucu adı veya adresi: vpn.sirket.com
5. VPN türü: IKEv2
6. Oturum açma bilgisi: Kullanıcı adı ve parola

Self-signed sertifika kullanıyorsan CA’yı Windows’a aktar:

# PowerShell (Admin)
Import-Certificate -FilePath "C:\ca-root.crt" -CertStoreLocation Cert:\LocalMachine\Root

macOS / iOS

1. Ayarlar → VPN → VPN Yapılandırması Ekle
2. Tür: IKEv2
3. Sunucu: vpn.sirket.com
4. Uzaktan ID: vpn.sirket.com
5. Yerel ID: (boş bırak)
6. Kimlik Doğrulama: Kullanıcı adı
7. Kullanıcı: ahmet / şifre

iOS’ta self-signed CA için: CA sertifikasını (.pem veya .der) e-posta veya AirDrop ile cihaza gönder, “Profil Yükle” ile aktar, Ayarlar → Hakkında → Güvenlik Sertifikası Güveni → etkinleştir.

Android

Android’de IKEv2 native desteği Android 11+ ile geldi. Eski sürümler için strongSwan uygulaması:

1. StrongSwan → Profil ekle
2. Server: vpn.sirket.com
3. VPN türü: IKEv2 EAP (Username/Password)
4. CA sertifikası: Dosyadan seç veya “Sunucudan al”
5. Kullanıcı adı / Şifre: Gir

---

Site-to-Site VPN

İki ofisi kalıcı tünel ile bağla:

[Ofis A — 192.168.10.0/24] ←→ [Ofis B — 192.168.20.0/24]
Router A: 83.45.12.10       Router B: 176.89.21.100

Router A (Ofis A):

/ip ipsec profile
add name=s2s-profile enc-algorithm=aes-256-cbc hash-algorithm=sha256 \
    dh-group=modp2048 lifetime=24h

/ip ipsec peer
add name=ofis-b address=176.89.21.100 \
    profile=s2s-profile exchange-mode=ike2

/ip ipsec identity
add auth-method=pre-shared-key secret="GuvenliSifre2026!" \
    peer=ofis-b

/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.20.0/24 \
    action=encrypt tunnel=yes sa-src-address=83.45.12.10 \
    sa-dst-address=176.89.21.100 \
    proposal=ike2-proposal

/ip route
add dst-address=192.168.20.0/24 gateway=176.89.21.100 \
    comment="Ofis B rotası"

Router B (Ofis B) — ayna konfigürasyon:

/ip ipsec peer
add name=ofis-a address=83.45.12.10 profile=s2s-profile exchange-mode=ike2

/ip ipsec identity
add auth-method=pre-shared-key secret="GuvenliSifre2026!" peer=ofis-a

/ip ipsec policy
add src-address=192.168.20.0/24 dst-address=192.168.10.0/24 \
    action=encrypt tunnel=yes sa-src-address=176.89.21.100 \
    sa-dst-address=83.45.12.10 proposal=ike2-proposal

---

Performans ve MTU

VPN tüneli overhead ekler. MTU ayarlanmamışsa büyük paketler parçalanır — yavaşlama veya bağlantı sorunları.

# IPSec overhead: ~60 byte
# Standart Ethernet MTU: 1500
# Önerilen VPN MTU: 1400-1420

/ip ipsec
set [find] xauth=no

# Windows'ta MTU testı
ping vpn.sirket.com -f -l 1400
# Paket iletilirse 1400 çalışıyor
# "Parçalanmış" mesajı gelirse küçült

---

Sorun Giderme

”Client bağlanamıyor"

# IPSec log seviyesini artır
/system logging add action=memory topics=ipsec
/log print where topics~"ipsec"

# SA durumunu kontrol et
/ip ipsec active-peers print
/ip ipsec installed-sa print

"Tünel kuruldu ama trafik geçmiyor"

# Policy eşleşiyor mu?
/ip ipsec policy print
# active=yes olmalı

# NAT bypass var mı?
/ip firewall nat print
# VPN trafiği masquerade'den önce accept edilmeli

"Bağlantı sık sık kopuyor”

DPD (Dead Peer Detection) ayarını kontrol et. Çok agresif ayar kararsız bağlantılarda oturumu erken sonlandırabilir:

/ip ipsec profile
set [find name=ike2-profile] dpd-interval=60s dpd-maximum-failures=5

---

WireGuard Alternatifi (Kısa)

RouterOS 7’de WireGuard native desteği var. Daha basit, daha hızlı:

/interface wireguard
add name=wg0 listen-port=51820

# Anahtar çifti otomatik oluşturulur
/interface wireguard print
# public-key değerini kopyala, client'a ver

/interface wireguard peers
add interface=wg0 \
    public-key="CLIENT_PUBLIC_KEY=" \
    allowed-address=10.88.0.2/32 \
    comment="Ahmet laptop"

/ip address
add address=10.88.0.1/24 interface=wg0

/ip firewall filter
add chain=input action=accept protocol=udp dst-port=51820 comment="WireGuard"

IKEv2 yerine WireGuard ne zaman?

• Teknik ekip cihazlarını yönetiyorsa (client uygulama kurulabiliyorsa)
• Yüksek performans gerekliyse (sunucu CPU tasarrufu)
• iOS/macOS native desteği şart değilse

Pratik ipucu: IKEv2’yi kurmadan önce sunucu sertifikasının domain adıyla eşleştiğini kontrol et. common-name ile bağlantı kurulacak hostname aynı olmalı. Bu hata, tüm client’ların “sertifika doğrulanamadı” hatası almasına yol açar ve sertifikayı yeniden oluşturmayı gerektirir.