VPN protokolü seçimi neden fark yaratır
Bir VPN bağlantısının hızını, güvenliğini, mobil ağlar arasında geçişte ne kadar dayanıklı olduğunu ve kısıtlayıcı güvenlik duvarlarını aşıp aşamayacağını belirleyen şey sunucu değil, kullanılan protokoldür. Aynı VPN sağlayıcısı üzerinden bile WireGuard ile OpenVPN, ya da IKEv2 ile L2TP/IPsec arasında seçim yapmak; bağlantı hızında, mobil veri ile Wi-Fi arasında geçişte kopma yaşanıp yaşanmayacağında ve kurumsal ağ filtrelerinin trafiği engelleyip engellemeyeceğinde doğrudan fark yaratır. Doğru protokolü seçmek için her birinin mimarisini ve tasarım hedeflerini bilmek gerekir.
WireGuard: küçük kod tabanı, modern kriptografi
WireGuard, 2020 yılında Linux çekirdeğine dahil edilen en yeni VPN protokolüdür. Tasarım hedefi sadelik: kod tabanı, OpenVPN'in on binlerce satırına kıyasla yalnızca birkaç bin satırdan oluşur. Bu, hem denetlemeyi kolaylaştırır hem de protokolü hızlı yapar. WireGuard, ChaCha20 şifreleme ve Curve25519 anahtar değişimi gibi modern kriptografik ilkeler kullanır; minimal el sıkışma sayesinde bağlantı kurulumu neredeyse anlıktır. Linux çekirdeği 5.6 ve sonrasında yerleşik olarak bulunur ve çekirdek seviyesinde çalıştığı için kullanıcı alanı (userspace) protokollerine göre daha az işlemci yükü oluşturur. Tasarım gereği yalnızca UDP kullanır (varsayılan port UDP 51820) — bu hız için avantajdır ama yalnızca TCP 80/443'e izin veren kısıtlayıcı ağlarda kolayca engellenebilir.
OpenVPN: TLS tabanlı esneklik ve güvenlik duvarı aşma
OpenVPN, 20 yılı aşkın süredir kullanılan, kanıtlanmış bir protokoldür. TLS üzerine kurulu olması sayesinde şifreleme seçeneklerinde esneklik sunar. Öne çıkan gücü, TCP 443 (standart HTTPS portu) üzerinden çalışabilmesidir; bu da OpenVPN trafiğini sıradan web trafiğinden ayırt edilemez hale getirir. Bu özellik, kurumsal ağlarda veya kısıtlayıcı ülke düzeyinde filtrelerle karşılaşıldığında OpenVPN'in hâlâ tercih edilmesinin başlıca nedenidir. Varsayılan olarak UDP 1194 portunu kullanır, ancak TCP üzerinden de çalışabilir. TLS ve OpenSSL katmanları WireGuard'a kıyasla biraz daha fazla işlem yüküne yol açar; IP adresi değiştiğinde oturumun yeniden kurulması gerekir, bu da kesintisiz bir geçiş sağlamaz.
IKEv2/IPsec: mobil ağlarda kesintisiz roaming
IKEv2/IPsec'in ayırt edici özelliği MOBIKE (Mobility and Multihoming) uzantısıdır. Bu uzantı, cihaz Wi-Fi'den mobil veriye geçtiğinde VPN bağlantısının kopmadan devam etmesini sağlar. Bu yüzden IKEv2, iOS ve Android işletim sistemlerine yerleşik desteğiyle birlikte çoğu mobil VPN uygulamasının varsayılan protokolü olarak tercih edilir. Güvenlik açısından IPsec şifreleme standartlarına dayanan güçlü bir protokoldür. Anahtar değişimi için UDP 500, NAT arkasındaki bağlantılar için UDP 4500 portlarını kullanır; bu belirli portlar katı güvenlik duvarı politikalarında sıkça engellendiği için IKEv2'nin güvenlik duvarı aşma performansı zayıftır.
L2TP/IPsec: eski ama en geniş uyumluluk
L2TP tek başına şifreleme sağlamaz; bu nedenle her zaman IPsec ile birlikte kullanılır. Bu çift kapsülleme (L2TP içinde veri, IPsec ile şifreleme) ek yük getirir ve L2TP/IPsec'i hız açısından düşük-orta seviyede bırakır. Güvenliği yeterli ama daha eskidir: birçok tüketici kurulumunda önceden paylaşılan anahtarlara (pre-shared key) dayanır, bu da sertifika tabanlı IPsec yapılandırmalarına göre daha zayıf bir modeldir. Mobil roaming ve güvenlik duvarı aşma konusunda zayıftır. Buna karşılık, neredeyse her işletim sisteminde — çok eski cihazlar dahil — kutudan çıktığı gibi desteklenir. Bu da onu, modern protokollerin desteklenmediği durumlarda bir uyumluluk çözümü haline getirir.
Protokollerin karşılaştırması
| Protokol | Hız | Güvenlik | Mobil Roaming | Güvenlik Duvarı Aşma | Uyumluluk |
|---|---|---|---|---|---|
| WireGuard | Çok yüksek (UDP, minimal el sıkışma, çekirdek düzeyi) | Modern (ChaCha20, Curve25519), küçük kod tabanı | İyi (durumsuz tasarım IP değişimlerini sorunsuz karşılar) | Sınırlı (yalnızca UDP, TCP 80/443 dışı engellenebilir) | İyi ama daha yeni (Linux 5.6+, geniş istemci desteği) |
| OpenVPN | İyi (TLS + OpenSSL nedeniyle biraz daha fazla yük) | Kanıtlanmış, TLS tabanlı, esnek cipher seçenekleri | Orta (IP değişiminde oturum yeniden kurulur) | Mükemmel (TCP 443 üzerinden HTTPS gibi görünür) | En geniş (20+ yıllık, hemen her yerde desteklenir) |
| IKEv2/IPsec | İyi | Güçlü, IPsec şifreleme standartlarına dayanır | Mükemmel (MOBIKE uzantısı) | Zayıf (UDP 500/4500, sık engellenir) | İyi, mobil işletim sistemlerinde yerleşik |
| L2TP/IPsec | Düşük-orta (çift kapsülleme yükü) | Yeterli ama eski (çoğu kurulumda pre-shared key) | Zayıf | Zayıf | Çok geniş, eski cihazlarda bile |
Hangi senaryoda hangi protokol seçilmeli
Teorik karşılaştırma tek başına yeterli değildir; kararı asıl belirleyen kullanım senaryosudur. İki veri merkezi arasında sürekli açık kalan bir site-to-site bağlantıda hız ve düşük gecikme öncelikliyse, WireGuard'ın küçük kod tabanı ve minimal el sıkışması avantaj sağlar. Kurumsal bir ofisten, yalnızca 80/443 portlarına izin veren katı bir güvenlik duvarı arkasından bağlanan uzak çalışanlar için OpenVPN'in TCP 443 üzerinde çalışabilmesi, bağlantının hiç kesilmemesini sağlayan belirleyici özelliktir. Sahada sürekli hareket eden, telefonla Wi-Fi ile mobil veri arasında geçiş yapan kullanıcılar için IKEv2/IPsec'in MOBIKE uzantısı, bağlantının koptuğunu fark bile etmeden devam etmesini sağlar. L2TP/IPsec ise yalnızca modern protokolleri desteklemeyen eski bir yönlendirici veya işletim sistemiyle uyumluluk gerektiğinde tercih edilmelidir; güvenlik açısından hassas veri için ilk seçim olmamalıdır.
Sık yapılan hatalar
- L2TP/IPsec'i güvenlik açısından kritik trafik için kullanmak: pre-shared key tabanlı yapılandırma sertifika tabanlı IPsec'ten daha zayıftır ve L2TP'nin kendisi hiçbir şifreleme sağlamaz.
- WireGuard'ın yalnızca UDP kullandığını göz ardı edip, yalnızca TCP 80/443'e izin veren bir ağ arkasında bağlantı sorunları yaşandığında nedenini anlayamamak.
- IKEv2/IPsec'in UDP 500 ve 4500 portlarının engellendiği bir ağda IKEv2 seçmek ve bağlantının hiç kurulamamasına şaşırmak.
- NAT arkasındaki IKEv2/IPsec bağlantılarında NAT-T (NAT Traversal) için gereken UDP 4500 portunu yönlendirmeyi unutup yalnızca UDP 500'ü açmak; bu durumda anahtar değişimi başlar ama gerçek veri trafiği hiç akmaz.
- Tünel protokolünün eklediği başlık (overhead) yükünü hesaba katmadan varsayılan MTU değerini korumak; bu, büyük paketlerin parçalanması veya sessizce düşmesiyle sonuçlanan bağlantı sorunlarına yol açar.
Protokol seçimi, önceliklere göre değişen bir mühendislik kararıdır: hız mı, mobil kesintisizlik mi, güvenlik duvarı aşma mı, yoksa geniş cihaz uyumluluğu mu ön planda? Bu önceliklerinizi işaretleyip size uygun protokolü görmek için aşağıdaki karşılaştırma aracını kullanabilirsiniz.
Önceliklerinizi seçin (hız, mobil roaming, güvenlik duvarı aşma, uyumluluk), size uygun VPN protokolünü ve gerekçesini görün.