MikroTik veya Ubuntu'ya çeşitli MikroTik tünel türlerinin kurulumu — özellikler, güvenlik ve hız

MikroTik ve Ubuntu arasında güvenli, hızlı ve istikrarlı bir tünel nasıl kurarım?

MikroTik veya Ubuntu'ya çeşitli MikroTik tünelleri kurmak yaygın bir ihtiyaçtır. Ağ yöneticileriDevOps ekipleri, yatırımcılar, oyuncular ve yapay zeka ekipleri de dahil olmak üzere birçok farklı kesimden insan için tasarlanmış bu kılavuz, yaygın uygulamaları ve pratikteki örnekleri ele alacaktır. WireGuard, IPsec (IKEv2), OpenVPN ve Katman 2 tünelleri gibi EoIP/GRE/VXLAN MikroTik RouterOS ve Ubuntu için yapılandırma örneklerini, güvenlik ipuçlarını ve gecikmeyi azaltıp bant genişliğini artırmak için optimizasyonları inceleyip sunacağız.

Tünel Türleri ve Doğru Olanı Seçmek — MikroTik veya Ubuntu'ya Farklı MikroTik Tünel Türleri Kurma

Tünel tipi seçimi amacınıza ve ihtiyaçlarınıza bağlıdır. İşte seçeneklerin ve kullanım durumlarının bir özeti:

• L2 ihtiyacı: EoIP (MikroTik), GRE, VXLAN — VLAN iletimi ve L2 köprüleme için uygundur.
• Güvenli, düşük gecikmeli L3'e duyulan ihtiyaçWireGuard, IPsec (IKEv2) — Alım satım, oyun ve bulut hizmetlerine bağlanmak için uygundur.
• Güvenlik duvarı/443 numaralı portun atlanması veya istemci bağlantısı: OpenVPN (TCP/UDP), SSTP.
• Ağ paylaşımı ve dahili BGP: L2 tüneli + tünel üzerinden BGP veya IPsec+BGP kombinasyonunu kullanın.

1) WireGuard — Hızlı, Basit ve Güvenli

WireGuard, modern şifreleme yöntemleriyle tasarlanmış, hafif bir uygulamadır. Düşük gecikme süresi Yapılandırma kolaylığı, alım satım, oyun ve bulut hizmetlerine bağlanma için uygundur.

MikroTik yapılandırma örneği (RouterOS 7+)

/interface/wireguard add name=wg-site mtu=1420
/interface/wireguard peers add interface=wg-site public-key="PEER_PUBLIC_KEY" allowed-address=10.10.10.2/32 endpoint-address=203.0.113.20 endpoint-port=51820 persistent-keepalive=25
/ip/address add address=10.10.10.1/24 interface=wg-site

Ubuntu yapılandırma örneği (wg-quick)

apt update && apt install wireguard -y

[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.10.10.2/24
ListenPort = 51820

[Peer]
PublicKey = MIKROTIK_PUBLIC_KEY
AllowedIPs = 10.10.10.1/32
Endpoint = 198.51.100.10:51820
PersistentKeepalive = 25

sysctl -w net.ipv4.ip_forward=1
systemctl enable --now wg-quick@wg0

Optimizasyon ipuçları:

• MTU genellikle şu şekilde ayarlanır: 1420 Veya 1380 Parçalanmayı önlemek için ayarlandı.
• Sunucudaki TCP verim hızı için BBR ayarlarını kullanın:

sysctl -w net.core.default_qdisc=fq
sysctl -w net.ipv4.tcp_congestion_control=bbr

2) IPsec (IKEv2) — Site-to-Site ve Mobil için sektör standardı

IKEv2 ile IPsec, donanım ve mobil cihazlarda standart, güvenilir ve desteklenen bir seçenektir. AES-GCM kullanımı iyi performans ve güvenlik sağlar.

MikroTik yapılandırma örneği (IPsec ile site-to-site bağlantısı)

# Phase1
/ip ipsec proposal add name=esp-aes262-prf1 auth-algorithms=sha256 enc-algorithms=aes256-cbc pfs-group=none
/ip ipsec peer add address=198.51.100.20/32 auth-method=pre-shared-key secret="PRESHARED" enc-algorithm=aes-256 exchange-mode=ike2
/ip ipsec policy add src-address=10.20.0.0/24 dst-address=10.30.0.0/24 sa-src-address=198.51.100.10 sa-dst-address=198.51.100.20 tunnel=yes proposal=esp-aes262-prf1

strongSwan ile örnek Ubuntu yapılandırması

apt update && apt install strongswan strongswan-pki -y

config setup
  uniqueids=never

conn site-to-site
  left=198.51.100.20
  leftsubnet=10.30.0.0/24
  right=198.51.100.10
  rightsubnet=10.20.0.0/24
  ike=aes256-sha256-modp2048
  esp=aes256-sha256
  keyexchange=ikev2
  authby=psk
  auto=add

198.51.100.20 198.51.100.10 : PSK "PRESHARED_SECRET"

3) OpenVPN — Yüksek uyumluluk ancak daha yüksek gecikme süresi

OpenVPN, çok çeşitli istemciler için uygundur, ancak genellikle WireGuard'dan daha yüksek gecikme süresine ve ek yüke sahiptir. Sıkı güvenlik duvarlarını aşmanız gerekiyorsa, TCP/443 kullanabilirsiniz.

apt install openvpn easy-rsa -y
make-cadir ~/openvpn-ca

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
cipher AES-256-GCM
auth SHA256
keepalive 10 120

İpuçları:

• En iyi performans için UDP Kullanmak.
• Kullanımı tls-kimlik doğrulama Veya tls-crypt Port taramasının önlenmesi önerilir.
• TCP/443 kullanıyorsanız, gecikme süresinde ve ek yükte artış yaşayabilirsiniz.

4) EoIP/GRE/VXLAN — Katman 2 Tünelleri ve Kullanım Alanları

Bu tüneller, siteler veya veri merkezleri arasında L2 iletimi için kullanılır. MikroTik'teki EoIP'nin ham haliyle şifrelenmediğini ve IPsec veya başka bir yöntemle şifrelenmesi gerektiğini unutmayın.

/interface eoip add name=eoip-tun remote-address=198.51.100.20 tunnel-id=10
/ip address add address=10.40.0.1/24 interface=eoip-tun
# then define IPsec policies for the L2 subnets

Veri merkezlerinde veya konteyner ortamlarında VXLAN için, güvenlik sağlamak amacıyla genellikle IPsec veya WireGuard ile birlikte kullanılır.

Güvenlik ve performans karşılaştırması — hangisini seçmeliyim?

• Hız / En Düşük Gecikme Süresi: WireGuard > IPsec (AES-GCM) > OpenVPN(UDP) > OpenVPN(TCP).
• NAT/Güvenlik Duvarı ağlarında istikrar: OpenVPN (TCP/443) ve WireGuard, keepalive ile iyi çalışır.
• Katman 2 Gereksinimleri: EoIP, GRE veya VXLAN'ı şifreleme ile kullanın.
• Donanım hızlandırması: Bazı MikroTik modelleri donanım hızlandırmayı ve hızlı yolu destekler; yüksek trafik için uygun modelleri kullanın.

Güvenliği ve hızı artırmak için pratik ipuçları

• MTU ve MSS sıkıştırması Parçalanmayı önlemek şarttır.
• Zayıf şifrelemeyi devre dışı bırakın ve AES-GCM veya ChaCha20'yi (destekleniyorsa) etkinleştirin.
• Güvenlik duvarında IP erişimini tünel portlarıyla sınırlandırın.
• Gecikmeyi ve paket kaybını kontrol etmek için SNMP/Prometheus/Netflow ile izleme ve uyarı sistemi.
• Tüneller üzerinden VRRP/Keepalived veya BGP ile Yüksek Erişilebilirlik ve Yük Devretme.
• Uç noktaları korumak için DDoS saldırılarına karşı koruma hizmetleri kullanın.

/ip firewall mangle add chain=forward protocol=tcp tcp-mss=0-1356 action=clamp-mss-to-pmtu

sysctl -w net.ipv4.tcp_congestion_control=bbr

BGP ve Çoklu Lokasyon Uygulaması — Kararlılık ve Düşük Gecikme Süresi için Tasarım

Büyük işletmeler veya çoklu bağlantı (multihoming) sistemleri için, lokasyonlar ve veri merkezleri arasında rotaları duyurmak amacıyla WireGuard/IPsec yerine BGP kullanmak daha iyidir.

• Konumlar arasında rotaları duyurmak için WireGuard/IPsec üzerinden BGP çalıştırmak.
• İçerik dağıtımı veya CDN için geniş bir lokasyon ağı kullanın.
• Alım satım yapanlar ve oyuncular için, hedef sunucuya yakın bir konum seçmek ve DDoS saldırılarına karşı korumalı bir VPS kullanmak çok önemlidir.

Belirli uygulamalar için pratik ipuçları

Tüccarlar için

• Exchange'e yakın bir konumda bulunan sunucuyla WireGuard veya IPsec kullanın.
• Özel kaynaklara, düşük ping süresine ve DDoS korumasına sahip bir işlem VPS'si önerilir.
• Gecikme ve titreşim izleme ayarlarının yapılması.

Oyuncular için

• WireGuard veya SSTP (güçlü güvenlik duvarı durumunda); tercihen UDP kullanın.
• BGP ağına sahip ve oyun sunucusuna yakın konumda bulunan oyun VPS'si faydalıdır.
• Destekleniyorsa, dahili veri merkezi ağlarında MTU Jumbo çerçevelerini kullanın.

Yapay zeka ve görüntü işleme (GPU) için

• Veri aktarımı veya kümelere bağlantı için grafik sunucusu (GPU) ve güvenli tünel kullanın.
• WireGuard veya AES-GCM ve donanım hızlandırmalı IPsec gibi yüksek veri aktarım hızı ve düşük gecikme süresini destekleyen yapılandırmaları kullanın.

Pratik lansman öncesi kontrol listesi

• Hedefleri belirleyin: L2 veya L3, ortak sayısı, bant genişliği miktarı ve gerekli SLA.
• İhtiyaçlarınıza göre tünel tipini seçin ve güvenlik/hız açısından karşılaştırma yapın.
• MTU'yu kontrol edin ve mss-clamp'i ayarlayın.
• ip_forward'ı etkinleştirin ve uygun sysctl ayarlarını yapın.
• Güvenlik duvarını yapılandırın (yalnızca gerekli portları açın).
• Güçlü şifreleme ve anahtar değiştirme.
• İzleme, kayıt tutma ve uyarı verme.
• Veri aktarım hızı ve gecikmeyi ölçmek için iperf3, ping ve tracepath ile testler yapılıyor.

iperf3 -s
iperf3 -c 198.51.100.20 -p 5201 -R

MikroTik ve Ubuntu Uygulama İpuçları — Teknik Özet

• MikroTik: WireGuard desteği için RouterOS 7+ kullanın; desteklenen modellerde HW-offload ve fastpath özelliklerini etkinleştirin; EoIP'yi yalnızca L2 gerektiğinde ve her zaman IPsec ile birlikte çalıştırın.
• Ubuntu: WireGuard için wg-quick, IPsec için strongSwan kullanın; veri aktarım hızını artırmak için sysctl ve BBR ayarlarını yapın.
• Hassas trafiği (veritabanı, işleme, işlemler) şifrelenmiş tünellere yerleştirin ve genel hizmetler için NAT ve ters proxy kullanın.

Şirket hizmetleri ve ilgili teklifler

Şirketimiz, güvenli ve düşük gecikmeli tünellerin uygulanmasıyla ilgili hizmetler sunmaktadır. Hizmetler şunları içermektedir:

• Exchange'lerinize, oyun sunucunuza veya kullanıcılarınıza en yakın merkezi seçmek için 85'ten fazla küresel konum.
• BGP ve CDN ağlarını seçme seçeneği sunan yüksek performanslı bulut sunucuları.
• Düşük ping ve DDoS saldırılarına karşı koruma sağlayan, alım satım işlemleri için VPS.
• Yapay zeka ve görüntü oluşturma için grafik sunucusu (GPU).
• Bağlantı istikrarını sağlamak için DDoS saldırılarına karşı koruma sağlayan sunucular ve ağ çözümleri.
• WireGuard/IPsec/OpenVPN uygulaması ve BGP ile yüksek kullanılabilirlik (HA) ağ tasarımı konusunda destek.

Planları görüntülemek veya daha fazla bilgi edinmek için ilgili bölüme gidebilirsiniz: İletişim/Planları Görüntüle

Sıkça Sorulan Sorular