format_list_bulletedBu İçerikte Bahsedilen Konular
- arrow_rightMikroTik RouterOS Nedir ve Neden Tercih Edilir?
- arrow_rightMikroTik'in Temel Özellikleri
- arrow_rightMikroTik'te Temel Ağ Yapılandırması
- arrow_rightIP Adresi Yapılandırması
- arrow_rightDHCP Sunucu Yapılandırması
- arrow_rightMikroTik Güvenlik Duvarı (Firewall) Yapılandırması
- arrow_rightTemel Güvenlik Kuralları
- arrow_rightÖrnek Güvenlik Kuralları
- arrow_rightConnection Tracking Ayarları
- arrow_rightMikroTik VPN Yapılandırması
- arrow_rightOpenVPN Kurulumu
- arrow_rightIPSec Tunelleri
- arrow_rightVPN Protokol Karşılaştırması
- arrow_rightMikroTik QoS (Quality of Service) Yapılandırması
- arrow_rightSimple Queue Yapılandırması
- arrow_rightHTB (Hierarchical Token Bucket) ile Gelişmiş QoS
- arrow_rightMikroTik Kablosuz Ağ Güvenliği
- arrow_rightWPA2/WPA3 Yapılandırması
- arrow_rightKablosuz İzolation
- arrow_rightMAC Filtreleme
- arrow_rightMikroTik Port Yönetimi ve Servis Kısıtlaması
- arrow_rightKullanılmayan Servislerin Kapatılması
- arrow_rightServis Erişim Kısıtlaması
- arrow_rightYaygın Kullanılan Portlar ve Güvenlik Durumu
- arrow_rightMikroTik Yedekleme ve Kurtarma
- arrow_rightYedekleme Komutları
- arrow_rightKonfigürasyon Export
- arrow_rightOtomatik Yedekleme Scripti
- arrow_rightMikroTik İzleme ve Performans Optimizasyonu
- arrow_rightTraffic Monitoring
- arrow_rightKaynak Kullanımı İzleme
- arrow_rightLog Yönetimi
MikroTik RouterOS Nedir ve Neden Tercih Edilir?
MikroTik, Letonya merkezli bir ağ ekipmanı üreticisidir ve RouterOS işletim sistemiyle dünya genelinde milyonlarca ağ yöneticisi tarafından kullanılmaktadır. 1997 yılında kurulan şirket, özellikle küçük ve orta ölçekli işletmeler için uçtan uca ağ çözümleri sunmaktadır. RouterOS, Linux çekirdeği üzerine inşa edilmiş olup, yönlendirme, güvenlik duvarı, VPN, QoS ve kablosuz yönetim gibi gelişmiş özellikler içerir.
2023 verilerine göre, MikroTik cihazları dünya genelinde 180'den fazla ülkede kullanılmakta ve tahminen 5 milyondan fazla aktif kurulum bulunmaktadır. Bu popülerlik, cihazların yüksek performans/fiyat oranı ve esnek yapılandırma seçeneklerinden kaynaklanmaktadır.
MikroTik'in Temel Özellikleri
- RouterOS: Tam özellikli ağ işletim sistemi
- Winbox: Grafiksel yönetim arayüzü
- CLI: Komut satırı ile ileri düzey yapılandırma
- Webfig: Tarayıcı tabanlı yönetim
- CAPsMAN: Merkezi kablosuz ağ yönetimi
MikroTik'te Temel Ağ Yapılandırması
MikroTik router'ınızı ilk kez yapılandırırken izlemeniz gereken adımlar kritik öneme sahiptir. Doğru yapılandırma, ağ performansınızı doğrudan etkiler ve güvenlik açıklarını önler.
IP Adresi Yapılandırması
Statik IP yapılandırması, ağınızın temel taşıdır. Aşağıdaki adımları izleyerek güvenli bir IP yapılandırması oluşturabilirsiniz:
/ip address add address=192.168.1.1/24 interface=ether1 network=192.168.1.0Bu yapılandırma, 192.168.1.0/24 ağında 192.168.1.1 IP adresini ether1 arayüzüne atar. Sunucu kaynak yönetimi açısından benzer prensipler MikroTik için de geçerlidir.
DHCP Sunucu Yapılandırması
DHCP (Dynamic Host Configuration Protocol), ağınızdaki cihazlara otomatik IP dağıtımı sağlar. MikroTik'te DHCP sunucu kurulumu şu şekilde yapılır:
/ip pool add name=dhcp-pool ranges=192.168.1.10-192.168.1.100
/ip dhcp-server add name=dhcp1 interface=ether1 address-pool=dhcp-poolBu yapılandırma, 192.168.1.10 ile 192.168.1.100 arasında IP adresleri dağıtır.
MikroTik Güvenlik Duvarı (Firewall) Yapılandırması
Güvenlik duvarı, ağınızı dış tehditlerden koruyan ilk savunma hattıdır. MikroTik'in gelişmiş firewall özellikleri, saldırıları engellemek ve ağ trafiğini filtrelemek için kapsamlı seçenekler sunar.
Temel Güvenlik Kuralları
Aşağıdaki temel güvenlik kurallarını mutlaka uygulamalısınız:
- INPUT zincirinde varsayılan red politikası: Bilinmeyen bağlantıları engelleyin
- Bağlantı durumu kontrolü: Established ve related bağlantılara izin verin
- Servis kısıtlamaları: Yalnızca gerekli portlara erişime izin verin
- ICMP filtreleme: Ping flood saldırılarını önleyin
Örnek Güvenlik Kuralları
/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_whitelist action=accept
add chain=input protocol=tcp dst-port=22 connection-limit=10,32 action=dropBu kurallar, geçerli bağlantılara izin verir, geçersiz bağlantıları düşürür, SSH için beyaz liste uygular ve SSH brute-force saldırılarını 10 bağlantı limitiyle önler.
Connection Tracking Ayarları
Bağlantı izleme, firewall'ın durum bilgili kararlar vermesini sağlar. Performans için doğru ayarlar kritiktir:
/ip firewall connection tracking set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5sMikroTik VPN Yapılandırması
VPN (Virtual Private Network), uzaktan güvenli erişim ve şube bağlantıları için vazgeçilmezdir. MikroTik, OpenVPN, PPTP, L2TP ve IPSec gibi birçok VPN protokolünü destekler.
OpenVPN Kurulumu
OpenVPN, en güvenli ve esnek VPN çözümlerinden biridir. Kurulum adımları:
/interface ovpn-server server set enabled=yes auth=sha1 cipher=aes256Bu ayar, AES-256 şifreleme ve SHA1 kimlik doğrulama ile OpenVPN sunucusunu etkinleştirir.
IPSec Tunelleri
Şube bağlantıları için IPSec en ideal çözümdür. Aşağıdaki yapılandırma iki router arasında güvenli bir tünel oluşturur:
/ip ipsec proposal set [find default=yes] enc-algorithms=aes-256-cbc auth-algorithms=sha256
/ip ipsec peer add address=203.0.113.2 secret=guvenli_sifre
/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 tunnel=yesVPN Protokol Karşılaştırması
| Protokol | Güvenlik | Hız | Kullanım Alanı |
|---|---|---|---|
| OpenVPN | Yüksek (AES-256) | Orta | Uzaktan erişim |
| IPSec | Çok Yüksek | Yüksek | Şube bağlantıları |
| L2TP/IPSec | Yüksek | Orta | Genel kullanım |
| PPTP | Düşük | Çok Yüksek | Eski sistemler |
Önerimiz, güvenlik açısından OpenVPN veya IPSec kullanmanızdır. PPTP artık güvenli kabul edilmemektedir ve kullanılmaması önerilir.
MikroTik QoS (Quality of Service) Yapılandırması
QoS, ağ trafiğini önceliklendirerek kritik uygulamaların kesintisiz çalışmasını sağlar. Büyük ağlarda ve internet bağlantısı paylaşımlarında vazgeçilmezdir.
Simple Queue Yapılandırması
Basit kuyruk yapılandırması ile bant genişliği kontrolü sağlanabilir:
/queue simple add name=priority-traffic target=192.168.1.50 max-limit=100M/100M priority=1/1
/queue simple add name=general-traffic target=192.168.1.0/24 max-limit=50M/50M priority=8/8Bu yapılandırma, 192.168.1.50 IP'li cihaza en yüksek önceliği (priority 1) verirken, diğer cihazlar için maximum 50Mbps limiti uygular.
HTB (Hierarchical Token Bucket) ile Gelişmiş QoS
Karmaşık ağlar için HTB yapısı kullanılmalıdır:
/queue tree add parent=global name=download packet-mark=down-mark
/queue tree add parent=download name=bulk max-limit=10M priority=8
/queue tree add parent=download name=voice max-limit=20M priority=1MikroTik Kablosuz Ağ Güvenliği
Kablosuz ağlar, fiziksel ağlardan farklı güvenlik zorlukları içerir. MikroTik, gelişmiş kablosuz güvenlik özellikleri sunar.
WPA2/WPA3 Yapılandırması
/interface wireless security-profiles add name=wpa2-profile mode=dynamic-keys wpa2-pre-shared-key=guvenli_sifre123 \
authentication-types=wpa2-psk encryption=aes-ccmWPA3, WPA2'ye göre daha güvenlidir ve brute-force saldırılarına karşı koruma sağlar. Mümkünse WPA3 kullanılmalıdır.
Kablosuz İzolation
Kullanıcıların birbirlerini görmesini engellemek için wireless isolation etkinleştirilmelidir:
/interface wireless set [find name=wlan1] isolate-forwarding=yesMAC Filtreleme
Bilinen cihazlara izin vermek için MAC filtreleme kullanılabilir:
/interface wireless access-list add mac-address=XX:XX:XX:XX:XX:XX action=accept comment="Izinli Cihaz"MAC filtreleme tek başına yeterli güvenlik sağlamaz, WPA2/WPA3 şifreleme ile birlikte kullanılmalıdır.
MikroTik Port Yönetimi ve Servis Kısıtlaması
MikroTik router'lar varsayılan olarak birçok servisi çalıştırır. Bu servisler, güvenlik açısından kısıtlanmalıdır.
Kullanılmayan Servislerin Kapatılması
/ip service disable telnet,ftp,wwwBu komut, telnet, ftp ve web arayüzü servislerini kapatır. Yalnızca gerekli servisler (Winbox, SSH) açık kalmalıdır.
Servis Erişim Kısıtlaması
/ip service set ssh address=192.168.1.0/24
/ip service set winbox address=192.168.1.0/24Bu ayar, SSH ve Winbox erişimini yalnızca yerel ağla sınırlar.
Yaygın Kullanılan Portlar ve Güvenlik Durumu
| Servis | Port | Güvenlik Önerisi |
|---|---|---|
| SSH | 22 | Varsayılan portu değiştirin, key tabanlı auth kullanın |
| Winbox | 8291 | IP whitelist uygulayın |
| HTTP | 80 | HTTPS'e yönlendirin veya kapatın |
| HTTPS | 443 | TLS 1.3 kullanın |
| DNS | 53 | Yalnızca dahili ağa izin verin |
MikroTik Yedekleme ve Kurtarma
Ağ kesintisi durumunda hızlı kurtarma için düzenli yedekleme kritiktir. MikroTik, otomatik yedekleme ve export özellikleri sunar.
Yedekleme Komutları
/system backup save name=backup-2024Bu komut, binary formatında tam yedek oluşturur.
Konfigürasyon Export
/export file=config-2024Export, okunabilir script formatında yapılandırmayı kaydeder. Bu, yapılandırmayı inceleme ve versiyon kontrolü için idealdir.
Otomatik Yedekleme Scripti
/system scheduler add name=auto-backup interval=1d on-event="/system backup save name=backup-$\/system clock get date"Bu script, her gün otomatik yedek alır.
MikroTik İzleme ve Performans Optimizasyonu
Ağ performansını izlemek ve sorunları erken tespit etmek için izleme araçlarını kullanmalısınız.
Traffic Monitoring
/tool traffic-monitor add interface=ether1 traffic=received threshold=10MBu ayar, ether1 aracılığıyla 10Mbps'nin üzerinde trafik olduğunda uyarı oluşturur.
Kaynak Kullanımı İzleme
/system resource printBu komut, CPU, bellek ve disk kullanımını gösterir. Aşırı kaynak kullanımı, ağ performansını olumsuz etkiler.
Log Yönetimi
/system logging add topics=info
/system logging add topics=error
/system logging add topics=criticalLoglar, ağ sorunlarını teşhis etmek için kritik öneme sahiptir. Düzenli olarak logları inc
