VPN Kurulumu - Uzaktan Erişim Çözümleri
Güvenli, Hızlı ve Kolay Uzaktan Erişim
Hybrid çalışma modeli artık norm. Çalışanlarınız evden, kafeden, farklı şehirlerden şirket kaynaklarına güvenli erişim istiyor. VPN (Virtual Private Network) ile internet üzerinden şifreli, güvenli tünel oluşturarak sanki ofiste gibi çalışma imkanı sağlıyoruz.
Neden VPN?
Güvenlik Riskleri (VPN Olmadan):
- ☠️ Açık Wi-Fi kullanımı (havaalanı, kafe) → Veri dinleme riski
- ☠️ Public IP üzerinden doğrudan erişim → Saldırı hedefi
- ☠️ Şifresiz data transferi → Man-in-the-middle saldırıları
- ☠️ Coğrafi kısıtlamalar → Şube ağlarına erişim sorunu
VPN ile Kazançlar:
- ✓ End-to-end encryption (AES-256, 3072-bit RSA)
- ✓ Merkezi erişim kontrolü (kim, nereye, ne zaman)
- ✓ IP maskeleme (gerçek konum gizleniyor)
- ✓ Güvenli şube bağlantısı (site-to-site VPN)
- ✓ Compliance (GDPR, KVKK, SOC 2 uyumlu)
VPN Türleri
1. Remote Access VPN (Bireysel Kullanıcı)
Kullanım: Çalışanların ofis dışından şirket ağına erişimi
┌─────────────┐ ┌─────────────┐
│ Laptop │ VPN Tunnel (AES) │ Office │
│ (Ev/Kafe) │ ◄─────────────────► │ Network │
└─────────────┘ Public Internet └─────────────┘
- File Server
- CRM
- ERP
Özellikler:
- Client software (Windows, Mac, Linux, iOS, Android)
- Kullanıcı kimlik doğrulama (username/password, 2FA, certificate)
- Split tunneling (sadece ofis trafiği VPN’den)
- Always-on VPN (otomatik bağlanma)
Protokoller:
- SSL VPN (HTTPS): Web browser üzerinden, kolay
- IPSec VPN: Daha güvenli, native client
- OpenVPN: Open source, cross-platform
- WireGuard: Modern, hızlı, minimal
2. Site-to-Site VPN (Şubeler Arası)
Kullanım: Farklı ofislerin ağlarını birbirine bağlama
İstanbul Ofis Ankara Şube
┌─────────────┐ ┌─────────────┐
│ Router │ IPSec Tunnel │ Router │
│ 10.0.1.0/24│ ◄─────────────────► │ 10.0.2.0/24 │
└─────────────┘ └─────────────┘
│ │
├─ PC (10.0.1.10) ├─ PC (10.0.2.10)
├─ Server (10.0.1.50) ├─ Printer (10.0.2.20)
└─ NAS (10.0.1.100) └─ NAS (10.0.2.100)
İstanbul'daki PC, Ankara'daki printer'a sanki yerel ağdaymış gibi erişir.
Avantajları:
- ✓ Her cihazda client yok, router seviyesinde
- ✓ Tüm network’ler birbiri ile konuşur
- ✓ Merkezi dosya paylaşımı
- ✓ Tek IP adresi ile tüm şube kaynaklarına erişim
3. Cloud VPN
Kullanım: Bulut kaynaklarına güvenli erişim (AWS, Azure, GCP)
┌─────────────┐ ┌─────────────┐
│ On-Premise │ VPN Gateway │ AWS VPC │
│ Network │ ◄─────────────────► │ 10.1.0.0/16│
│ 192.168.1.0 │ └─────────────┘
└─────────────┘ - EC2 Instances
- RDS Database
- S3 (private)
Protokol: IPSec veya Cloud-native (AWS VPN, Azure VPN Gateway)
VPN Protokolleri Karşılaştırması
IPSec (Internet Protocol Security)
Teknik:
- Network layer (Layer 3)
- Encryption: AES-128, AES-256
- Authentication: Pre-shared key, RSA certificates
- Modes: Tunnel mode, Transport mode
Avantajları:
- ✓ Endüstri standardı, geniş destek
- ✓ Çok güvenli (military-grade encryption)
- ✓ Router/firewall native desteği
- ✓ Site-to-site için ideal
Dezavantajları:
- ✗ Kurulum kompleks
- ✗ NAT traversal sorunları (UDP 500, 4500 portları)
- ✗ Strict firewall’larda bloklanabilir
Kullanım:
# Example: IPSec VPN config (Cisco ASA)
crypto ikev2 policy 10
encryption aes-256
integrity sha384
group 14
prf sha384
lifetime seconds 86400
crypto ikev2 enable outside
tunnel-group REMOTE-OFFICE type ipsec-l2l
tunnel-group REMOTE-OFFICE ipsec-attributes
ikev2 remote-authentication pre-shared-key SECRET_KEY_HERE
ikev2 local-authentication pre-shared-key SECRET_KEY_HERE
SSL VPN (Secure Sockets Layer VPN)
Teknik:
- Application layer (Layer 7)
- HTTPS (TCP 443) üzerinden
- Web portal veya thin client
Avantajları:
- ✓ Firewall-friendly (HTTPS, her zaman açık)
- ✓ Kurulum kolay (browser-based olabilir)
- ✓ Granular access control (uygulama bazında)
- ✓ NAT sorunları yok
Dezavantajları:
- ✗ Genelde sadece TCP (UDP tunnel zor)
- ✗ Bazı uygulamalar çalışmayabilir
- ✗ Performance overhead (TLS encryption)
Kullanım:
- Fortinet FortiClient SSL VPN
- Cisco AnyConnect
- Palo Alto GlobalProtect
OpenVPN
Teknik:
- Open source
- SSL/TLS protokolü
- UDP 1194 veya TCP 443
- Cross-platform (Linux, Windows, Mac, mobile)
Avantajları:
- ✓ Ücretsiz, açık kaynak
- ✓ Çok esnek konfigürasyon
- ✓ Güvenli (OpenSSL)
- ✓ Community support
Dezavantajları:
- ✗ Manuel kurulum gerekiyor
- ✗ Native client yok (3rd party)
- ✗ Performance WireGuard’dan düşük
Kurulum Örneği:
# Server kurulum (Ubuntu)
sudo apt update
sudo apt install openvpn easy-rsa
# Certificate authority oluştur
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
openvpn --genkey secret ta.key
# Server config
cat > /etc/openvpn/server.conf <<EOF
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
EOF
# Start service
sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server
Client Config:
client
dev tun
proto udp
remote vpn.example.com 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
WireGuard
Teknik:
- Modern, minimal codebase (4,000 LOC vs OpenVPN 100,000+)
- Kernel-level implementation (fast)
- UDP-based
- Curve25519, ChaCha20, Poly1305 encryption
Avantajları:
- ✓ Çok hızlı (IPSec ve OpenVPN’den 2-3x)
- ✓ Minimal kod → az bug riski
- ✓ Kolay konfigürasyon
- ✓ Battery-friendly (mobil için ideal)
- ✓ Roaming support (IP değişse bile bağlantı kopmaz)
Dezavantajları:
- ✗ Yeni (2020’de stable), enterprise adoption az
- ✗ Dynamic IP atama yok (static peer config)
- ✗ Kullanıcı yönetimi zayıf (3rd party tool gerekir)
Kurulum Örneği:
# Server (Ubuntu)
sudo apt install wireguard
# Key generation
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client_private.key | wg pubkey > client_public.key
# Server config: /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <server_private.key>
[Peer]
PublicKey = <client_public.key>
AllowedIPs = 10.0.0.2/32
# Start
sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0
Client Config:
[Interface]
Address = 10.0.0.2/24
PrivateKey = <client_private.key>
DNS = 8.8.8.8
[Peer]
PublicKey = <server_public.key>
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
Performance Benchmark:
100 Mbps bağlantıda throughput:
WireGuard: 95 Mbps
IPSec: 60 Mbps
OpenVPN: 40 Mbps
VPN Özellikleri
1. Split Tunneling vs Full Tunneling
Full Tunneling:
Tüm internet trafiği VPN'den geçer
User → VPN → Office → Internet
Avantaj: Maksimum güvenlik, tüm traffic monitör
Dezavantaj: VPN bandwidth tüketiyor, yavaş (YouTube, Netflix de VPN'den)
Split Tunneling:
Sadece ofis trafiği VPN'den, diğerleri direkt
User → Office resources → VPN → Office
→ Internet (Google, YouTube) → Direkt ISP
Avantaj: Hızlı, bandwidth tasarrufu
Dezavantaj: Kısmi güvenlik (public traffic VPN dışında)
Konfigürasyon (OpenVPN):
# Full tunnel
push "redirect-gateway def1"
# Split tunnel (sadece 192.168.1.0/24 ofis network'ü VPN'den)
push "route 192.168.1.0 255.255.255.0"
# Internet traffic direkt gider
2. Multi-Factor Authentication (MFA)
Tek şifre yeterli değil!
VPN Login:
Username: john.doe
Password: ********
+ 2FA Code: 123456 (Google Authenticator, SMS, Yubikey)
Desteklenen MFA:
- TOTP: Google Authenticator, Authy
- SMS: Telefona kod gönderme (daha az güvenli)
- Push notification: Duo, Okta Verify
- Hardware token: YubiKey, RSA SecurID
- Biometric: Fingerprint, Face ID (mobil)
Örnek (OpenVPN + Google Authenticator):
# Server'da plugin
sudo apt install libpam-google-authenticator
# Her kullanıcı için:
google-authenticator
# QR code tarama, secret key kaydet
# OpenVPN config
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn
3. Always-On VPN
Auto-connect: Laptop açılır açılmaz VPN bağlanır
Faydası:
- Kullanıcı unutmuyor
- Compliance (her zaman güvenli bağlantı)
- Veri sızıntısı riski minimize
Kill Switch: VPN bağlantısı koptuğunda internet tamamen kesiliyor (data leak önleme)
VPN koptu → Kill switch aktif → İnternet yok
VPN tekrar bağlandı → İnternet açıldı
Konfigürasyon (WireGuard + UFW firewall):
# Sadece VPN interface üzerinden trafiğe izin ver
sudo ufw default deny outgoing
sudo ufw allow out on wg0
sudo ufw allow out on lo # Localhost
VPN Mimarisi ve Tasarımı
Küçük Ofis (10-50 Kullanıcı)
Internet
│
↓
┌──────────────────┐
│ Firewall/Router │
│ (VPN Server) │
│ - FortiGate 60F │
│ - pfSense │
└──────────────────┘
│
↓
┌──────────────────┐
│ Office Switch │
└──────────────────┘
│
┌─────────────┼─────────────┐
↓ ↓ ↓
Server PC (10) Printer
Remote Users (5-10):
├─ SSL VPN (browser-based)
└─ Mobile app (iOS, Android)
Çözüm: All-in-one firewall (FortiGate, SonicWall, pfSense)
Maliyet:
- Hardware: $800-2,000
- Lisans: $300-800/yıl
- Kurulum: $1,500-3,000
Orta Ölçek (50-200 Kullanıcı)
Internet
│
┌─────────────┴─────────────┐
↓ ↓
Primary Firewall Secondary Firewall
(VPN Concentrator) (Failover - HA)
↓ ↓
└─────────────┬─────────────┘
│
Core Switch (VLAN)
│
┌─────────────┼─────────────┐
↓ ↓ ↓
Servers Users Guest
VPN:
├─ Remote Access: 50-100 concurrent
├─ Site-to-Site: 3-5 branches
└─ Authentication: RADIUS, LDAP (Active Directory)
Özellikler:
- High Availability (HA) - Primary/secondary failover
- Load balancing (kullanıcılar 2 server’a dağıt)
- Centralized authentication (AD, RADIUS)
- VLAN segmentation (farklı departmanlar izole)
Çözüm: Enterprise firewall (Palo Alto, Fortinet, Cisco ASA)
Maliyet:
- Hardware: $5,000-15,000
- Lisans: $2,000-5,000/yıl
- Kurulum: $8,000-15,000
Enterprise (200+ Kullanıcı, Çoklu Lokasyon)
MPLS / Internet
│
┌────────────┼────────────┐
↓ ↓ ↓
HQ (İstanbul) Branch 1 Branch 2
┌─────────┐ ┌─────────┐ ┌─────────┐
│ ASA 5516│ │ ASA 5506│ │ ASA 5506│
└─────────┘ └─────────┘ └─────────┘
Site-to-Site VPN (Full Mesh or Hub-Spoke)
Remote Users: 200+
├─ VPN Pool: 10.200.0.0/16
├─ Bandwidth: 1 Gbps+
└─ Redundancy: Geo-redundant (multi-region)
Özellikler:
- Geo-redundancy (İstanbul + Ankara VPN gateway)
- Global load balancing (DNS-based, kullanıcı en yakın gateway’e)
- SD-WAN integration
- Advanced threat protection (IPS, malware scan on VPN traffic)
- SIEM integration (log aggregation, correlation)
Çözüm: Palo Alto PA-5000 series, Cisco ASA 5500-X, Fortinet FortiGate
Maliyet:
- Hardware: $25,000-100,000
- Lisans: $10,000-30,000/yıl
- Kurulum + Danışmanlık: $30,000-80,000
Güvenlik Best Practices
1. Güçlü Encryption
✓ AES-256 (symmetric)
✓ RSA 3072-bit veya üzeri (asymmetric)
✓ SHA-256 veya SHA-384 (hashing)
✗ DES, 3DES, MD5 (deprecated, kullanma!)
2. Certificate-Based Authentication
Şifre yerine sertifika:
User certificate + Private key → VPN Server
Server certificate verification ← Client
Avantaj:
- Brute-force imkansız
- Phishing riski yok (certificate çalınamazsa)
- Otomatik revoke (çalışan ayrılırsa sertifika iptal)
3. Network Segmentation
VPN kullanıcılarını izole et:
Office Network:
├─ Production VLAN (10.0.1.0/24) - Servers
├─ User VLAN (10.0.2.0/24) - Employee PCs
└─ VPN VLAN (10.0.100.0/24) - Remote users
VPN users:
- Can access: File server, CRM, Email
- Cannot access: Production servers, VLAN 1
Firewall rules:
Rule 1: VPN → File Server (445, 139) ALLOW
Rule 2: VPN → CRM (HTTPS) ALLOW
Rule 3: VPN → Production VLAN DENY
Rule 4: VPN → VPN (lateral movement) DENY
4. Logging ve Monitoring
Loglanması gerekenler:
- VPN bağlantı/kopma (kim, ne zaman, nereden)
- Authentication başarı/başarısız (brute-force detect)
- Data transfer (upload/download volume)
- Accessed resources (hangi servera bağlandı)
- Disconnection reason (kullanıcı mı, timeout mu, error mı)
SIEM entegrasyonu:
VPN logs → Syslog → SIEM (Splunk, ELK, QRadar)
Alert scenarios:
- 5 failed login in 10 min → Brute-force alert
- Login from unusual country → Geo-anomaly alert
- 10 GB download in 1 hour → Data exfiltration alert
5. Regular Patching
VPN software/firmware güvenlik açıkları sık bulunuyor!
Examples:
- CVE-2024-XXXXX: Fortinet SSL VPN pre-auth RCE
- CVE-2023-XXXXX: Cisco AnyConnect privilege escalation
Action:
→ Subscribe to vendor security advisories
→ Patch within 7 days (critical), 30 days (high)
→ Test in staging first
Fiyatlandırma
1. Küçük Ofis VPN (10-20 Kullanıcı)
Çözüm: pfSense / Mikrotik / Entry-level Firewall
Donanım:
- pfSense appliance veya custom PC: $500-1,200
- Mikrotik RB4011: $200
- FortiGate 40F: $800
Kurulum:
- Uzaktan setup + test: $800-1,500
- On-site kurulum: $1,500-2,500
Toplam (İlk Yıl): $1,300-3,700
Yıllık Bakım: $400-800 (lisans, destek)
2. Orta Ölçek VPN (50-100 Kullanıcı)
Çözüm: Fortinet FortiGate 100F, SonicWall TZ400
Donanım + Lisans:
- Firewall: $3,000-5,000
- VPN lisans (concurrent users): $1,500-3,000
- HA (secondary device): +$3,000-5,000
Kurulum:
- Design + implementation: $5,000-10,000
- Kullanıcı eğitimi: $1,000-2,000
- Dokümantasyon: $1,000
Toplam (İlk Yıl): $10,500-21,000
Yıllık Lisans Yenileme: $2,000-4,000
3. Enterprise VPN (200+ Kullanıcı, Multi-site)
Çözüm: Palo Alto, Cisco ASA, Fortinet high-end
Donanım + Lisans:
- Primary gateway: $15,000-40,000
- Secondary (HA): $15,000-40,000
- Advanced features (IPS, threat prevention): $8,000-15,000/yıl
- Branch appliances (3-5 sites): $5,000-15,000
Professional Services:
- Network design: $10,000-20,000
- Implementation: $20,000-40,000
- Migration (eski VPN’den yeniye): $10,000-25,000
- Training (IT team): $3,000-5,000
Toplam (İlk Yıl): $86,000-200,000
Yıllık Lisans + Destek: $15,000-35,000
4. Cloud VPN (AWS, Azure)
AWS VPN:
- VPN Connection: $0.05/saat = ~$36/ay
- Data transfer: $0.09/GB (outbound)
Örnek:
2 VPN connection (HA): $72/ay
500 GB transfer: $45/ay
Total: $117/ay = $1,404/yıl
Azure VPN Gateway:
- Basic: $27/ay
- VpnGw1 (100 Mbps): $140/ay
- VpnGw2 (500 Mbps): $360/ay
+ Data transfer: $0.087/GB
Avantaj: No hardware, cloud-managed, scalable
Başarı Hikayeleri
Vaka 1: IT Şirketi - Remote Team VPN
Durum:
- Şirket: Yazılım geliştirme, 45 çalışan
- Problem: COVID sonrası %100 remote, herkes evden
- Risk: Public IP üzerinden GitHub, AWS erişimi (güvensiz)
Öncesi:
Developers → Home network → Public internet → AWS/GitHub
Riskler:
- ISP logging (kodlar plaintext)
- Public IP blacklist riski
- Access control yok (kim, ne zaman?)
- Compliance issue (ISO 27001)
Çözüm:
VPN Kurulumu:
- Platform: WireGuard (hızlı, developer-friendly)
- Authentication: SSH key-based (her developer unique key)
- Server: AWS EC2 (t3.small, $15/ay)
- Split tunneling: Sadece AWS resources VPN’den
Konfigürasyon:
# WireGuard server (AWS)
# 45 peer (her developer)
# IP pool: 10.100.0.0/24
# Developer access:
10.100.0.2 → John (john.pub key)
10.100.0.3 → Sarah (sarah.pub key)
...
# Routing:
push route: 10.200.0.0/16 (AWS VPC)
push route: 192.168.50.0/24 (Office network)
# Internet traffic: Direct (split tunnel)
Sonuçlar:
Security:
- Tüm AWS/GitHub erişim encrypted
- IP whitelisting (AWS firewall sadece VPN IP allow)
- Access logs (kim, ne zaman bağlandı)
Performance:
- WireGuard overhead: < %5
- Developer feedback: "Fark etmiyorum, hızlı"
Compliance:
- ISO 27001 audit passed
- Access control documented
Cost:
- EC2: $15/ay
- Data transfer: ~$20/ay
Total: $35/ay ($420/yıl) - Çok düşük!
ROI: Tek bir security incident $10K+ maliyet → VPN 20+ yıl geri ödeme :)
Vaka 2: Perakende Zinciri - Site-to-Site VPN
Durum:
- Şirket: 18 mağaza, merkez ofis
- Problem: Her mağaza POS sistemi, stok merkezi DB’ye erişmeli
- Eski çözüm: Public internet, VPN yok (!) → Güvensiz
Öncesi:
Mağaza POS → Public IP (port forward) → Merkez DB
Sorunlar:
- Şifresiz bağlantı (SQL trafiği plaintext)
- Port scanning (3306 MySQL port açık, saldırı riski)
- Merkezi yönetim yok
- Her mağaza farklı router config (kaotik)
Çözüm:
Site-to-Site IPSec VPN:
Merkez (İstanbul):
├─ FortiGate 200F (VPN concentrator)
├─ Network: 10.0.0.0/16
└─ DB Server: 10.0.1.100
Mağazalar (18 lokasyon):
├─ FortiGate 60F (her mağazada)
├─ Network: 10.1.0.0/16 (Mağaza 1), 10.2.0.0/16 (Mağaza 2), ...
└─ POS: 10.X.0.10-20
VPN Topology: Hub-spoke
- Hub: Merkez
- Spoke: 18 mağaza
- Her mağaza merkeze bağlanır (mağazalar arası direkt yok)
Konfigürasyon (Her Mağaza):
Tunnel config:
- Protocol: IPSec (IKEv2)
- Encryption: AES-256-GCM
- Authentication: Pre-shared key (unique per mağaza)
- Dead Peer Detection: Enabled (30 sec)
Phase 1:
- Encryption: AES-256
- Authentication: SHA-256
- DH Group: 14
- Lifetime: 28800 sec
Phase 2:
- Encryption: AES-256-GCM
- PFS: Group 14
- Lifetime: 3600 sec
Routing:
- Static route: 10.0.0.0/16 → VPN tunnel
- Default: Internet
Merkezi Yönetim:
FortiManager (cloud):
- Tüm 18 firewall merkezi yönetim
- Config push (tek yerden 18 cihaza)
- Monitoring (VPN up/down alarm)
- Firmware update (remote, scheduled)
Sonuçlar (6 ay sonra):
Güvenlik:
- SQL traffic encrypted (AES-256)
- Public port kapalı (port scan yok)
- Centralized firewall rules
Stability:
- VPN uptime: %99.8
- Auto-reconnect (internet koptu, geri geldi, VPN otomatik)
Management:
- Config change: 5 dakika (tüm mağazalara push)
- Eskiden: Her mağazaya tek tek girmek (1 gün)
Performance:
- POS response time: 50ms → 48ms (encryption overhead minimal)
- Throughput: 100 Mbps (her mağaza 5-10 Mbps kullanıyor)
Cost:
- Hardware: 18 × $800 = $14,400
- Merkez: $5,000
- Kurulum: $12,000
- Yıllık lisans: $4,500
Total ilk yıl: $35,900
Tasarruf:
- Security breach prevention: $50,000+ (tek incident)
- IT man-hour (remote management): $15,000/yıl
- Compliance (GDPR, PCI-DSS): Priceless
ROI: 1 yıl altında geri ödeme
Sık Sorulan Sorular
Genel
S: VPN ile Proxy arasındaki fark nedir?
C:
-
VPN: Tüm network trafiği şifreli tünel (Layer 3)
- Avantaj: Full encryption, tüm uygulamalar
- Kullanım: Remote access, güvenlik
-
Proxy: Sadece web trafiği (HTTP/HTTPS), şifreli değil (Layer 7)
- Avantaj: Hızlı, cache
- Kullanım: Web filtering, anonymous browsing
VPN daha güvenli ve kapsamlı.
S: VPN kullanmak yavaşlatır mı?
C: Minimal overhead:
- WireGuard: %5-10 yavaşlama
- OpenVPN: %15-30 yavaşlama
- IPSec: %10-20 yavaşlama
Faktörler:
- Encryption overhead (CPU)
- VPN server location (latency)
- Bandwidth (bottleneck VPN server ise)
Modern hardware’de fark edilmez (özellikle WireGuard).
S: Ücretsiz VPN kullanabilir miyiz?
C: İş kullanımı için hayır!
Free VPN risks:
- ☠️ Veri satabilir (privacy yok)
- ☠️ Malware injection
- ☠️ Yavaş (bandwidth limit)
- ☠️ Güvenlik zayıf
- ☠️ Uptime garanti yok
Corporate kullanım için: Self-hosted (OpenVPN, WireGuard) veya enterprise solution.
Teknik
S: VPN bağlantısı sık kopuyor, ne yapmalı?
C: Troubleshooting:
- Internet stability check:
ping -c 100 8.8.8.8
# Packet loss var mı?
- MTU problemi:
# VPN MTU genellikle 1400-1420 (encryption overhead)
# Test:
ping -M do -s 1400 VPN_SERVER_IP
# Çalışıyorsa MTU 1400 set et
ip link set dev wg0 mtu 1400
- Keepalive:
# WireGuard
PersistentKeepalive = 25 # 25 saniyede bir ping
# OpenVPN
keepalive 10 60 # 10 saniye ping, 60 saniye timeout
- ISP throttling:
- Bazı ISP’ler VPN trafiği yavaşlatıyor
- Çözüm: Port değiştir (1194 → 443), protocol değiştir (UDP → TCP)
S: Split tunneling nasıl yapılandırılır?
C:
OpenVPN:
# Sadece 192.168.1.0/24 ofis network VPN'den
push "route 192.168.1.0 255.255.255.0"
# Default gateway değiştirme (internet direkt)
# push "redirect-gateway def1" satırını KALDIR
WireGuard:
# Client config
[Peer]
AllowedIPs = 192.168.1.0/24 # Sadece ofis
# AllowedIPs = 0.0.0.0/0 # Full tunnel (bunu kullanma)
S: Multi-site VPN’de routing nasıl olmalı?
C: İki seçenek:
1. Static routing (basit, küçük ölçek):
Her site'da diğer sitelere static route
Site A (10.1.0.0/24):
ip route add 10.2.0.0/24 via VPN_tunnel_B
ip route add 10.3.0.0/24 via VPN_tunnel_C
Site B (10.2.0.0/24):
ip route add 10.1.0.0/24 via VPN_tunnel_A
ip route add 10.3.0.0/24 via VPN_tunnel_C
2. Dynamic routing (ölçeklenebilir):
OSPF veya BGP over VPN
Avantaj:
- Otomatik route discovery
- Failover (bir link koptu, alternatif route)
- Ölçeklenebilir (10+ site için ideal)
Örnek: OSPF
- Area 0 (backbone)
- Her site OSPF neighbor
- Route exchange automatic
Güvenlik
S: VPN kullanırken ek güvenlik önlemleri?
C:
- 2FA/MFA: Her zaman aktif
- Certificate pinning: Client, sadece belirli server cert kabul eder
- IP whitelisting: VPN server sadece bilinen IP’lerden bağlantı kabul
- Geo-blocking: Türkiye dışı bağlantı blok (gerekirse)
- DDoS protection: Cloudflare, AWS Shield
- Rate limiting: 5 failed login → IP ban 1 saat
- SIEM integration: Log analysis, anomaly detection
S: VPN log tutulmalı mı?
C: Evet, compliance için gerekli.
Log tutulan:
- Bağlantı metadata (kim, ne zaman, nereden, ne kadar)
- Authentication events
- Accessed resources
Log tutulmayan:
- Actual traffic content (privacy)
- DNS queries (opsiyonel)
Retention: 90-180 gün (GDPR compliance)
S: VPN server’ı ne kadar güvenli?
C: Hardening checklist:
✓ OS patching (automated, weekly)
✓ Firewall (sadece VPN port açık: 1194, 443, 51820)
✓ Disable unnecessary services (SSH sadece management subnet)
✓ Strong auth (key-based, no password)
✓ Intrusion detection (fail2ban, OSSEC)
✓ Monitoring (uptime, resource, anomaly)
✓ Backup config (weekly, offsite)
✓ Disaster recovery plan
Hemen Başlayın
Adım 1: İhtiyaç Analizi
Ücretsiz 30 dakika danışmanlık:
- Kaç kullanıcı? (remote, site-to-site)
- Ne tür erişim? (full network, specific apps)
- Mevcut altyapı? (firewall, bandwidth)
- Bütçe?
Çıktı:
- VPN türü önerisi (Remote access, site-to-site, hybrid)
- Protokol seçimi (IPSec, SSL, WireGuard)
- Platform önerisi (FortiGate, OpenVPN, WireGuard)
- Tahmini maliyet
Adım 2: Pilot Deployment
2-4 hafta pilot:
- 5-10 kullanıcı test
- Single-site kurulum
- Monitoring + feedback
- Security testing
Deliverables:
- Working VPN
- Client setup guide
- Admin documentation
Adım 3: Production Rollout
Pilot başarılıysa:
- Tüm kullanıcılara rollout
- Multi-site expansion
- HA implementation
- 7/24 monitoring
İlgili Çözümler:
Popüler Aramalar: vpn kurulumu, uzaktan erişim, site-to-site vpn, openvpn, wireguard, ipsec vpn, ssl vpn, güvenli bağlantı, remote access vpn
Bu çözüm işletmeniz için uygun mu?
Uzman ekibimizle görüşün, size özel bir teklif hazırlayalım.