IPv6 Geçişi: Dual-Stack Yapılandırma ve IPv6 Güvenliği — VDS Pratik Rehberi

IPv6 Geçişi: Dual-Stack Yapılandırma ve IPv6 Güvenliği — VDS Pratik Rehberi

IPv4 adresleri tükenmek bilmiyor mu? Bilmiyor — RIPE NCC 2019'da bölgesel havuzdaki son /22 IPv4 bloğunu dağıttı, o tarihten sonra yeni adres ya ikincil pazardan ya da bekleme listesinden alınıyor. APNIC, ARIN, AFRINIC ve LACNIC de aynı sınırlamaya çoktan ulaştı. NAT katmanları, CGNAT ve IPv4 transfer pazarı, bu tükenişin kıvrandırarak yönetilen hâlidir. Türkiye'de operatör tarafında IPv6 ilerlemesi var ama hosting/sunucu tarafında çoğu yönetici hâlâ IPv4-only çalışıyor. Bu rehber, Buyukweb VDS müşterilerinin "ben de IPv6 ekleyim" derken karşılaşacağı pratik kararları, dual-stack yapılandırmasını ve IPv6'ya özel güvenlik tuzaklarını saha deneyimiyle ele alıyor.

Buyukweb perspektifi: Buyukweb 17+ yıldır Bursa Tier 3 veri merkezinde VDS, hosting ve dedicated sunucu hizmeti veriyor. VDS paketlerimizde varsayılan 1 IPv4 ile birlikte IPv6 desteği mevcuttur — my.buyukweb.com müşteri panelinden veya destek hattı (0850 302 60 70) üzerinden talep ederek IPv6 tahsis edilebilir. cPanel hosting paketlerinde IPv6 talebi için iletişim hattını kullanın. Bu rehberdeki komutlar Buyukweb E5-V4 VDS (₺250/ay başlangıç) üzerinde doğrudan çalışır.

IPv4'ün Sınırı ve Neden IPv6?

IPv4, 32-bit adres alanıyla teorik tavanı yaklaşık 4,3 milyar olan bir adresleme sistemi. NAT, CGNAT ve özel adres alanları (RFC 1918) sayesinde bu tavan onlarca yıldır esnetildi. Fakat NAT işin çözümü değil; uçtan uca bağlantı prensibini bozar, oyun sunucu/peer-to-peer/video konferans gibi uygulamalarda port forwarding ve STUN/TURN gibi geçici çözümler doğurur.

IPv6 ise 128-bit adres alanına sahip — yaklaşık 3,4 × 10³⁸ adres. Tasarım hedefleri: NAT'a gerek kalmadan her cihaza public adres, SLAAC ile DHCP'siz otomatik konfigürasyon, sabit 40-byte header ve stack içinde IPSec implementasyonu (kullanım opsiyonel).

Türkiye'de mobil 5G tarafında 3GPP zorunluluğu nedeniyle IPv6 yaygın; sabit hatta CGNAT hâlâ baskın. Sunucu tarafında AAAA kaydı 2026'da modern operasyonun bir parçası, ama IPv4'ü kapatmak henüz mümkün değil — dual-stack pratik orta yol.

IPv4 ve IPv6 Karşılaştırma

Özellik	IPv4	IPv6
Adres	32-bit, ~4,3 milyar	128-bit, ~3,4 × 10³⁸
Notasyon	192.0.2.10	2001:db8:85a3::8a2e:370:7334
NAT zorunlu mu?	Evet (genelde)	Hayır
Otomatik konfigürasyon	DHCP	SLAAC + DHCPv6
Header	20-60 byte değişken	40 byte sabit
Broadcast	Var	Yok (multicast)
ICMP	Opsiyonel tanı	ICMPv6 — NDP/PMTUD için zorunlu

Notasyonda iki kural: ardışık sıfır oktetleri bir kez :: ile sıkıştırılır (2001:0db8:0000:0000:0000:0000:0000:0001 → 2001:db8::1); önündeki sıfırlar atılır. Aynı adreste iki ayrı :: ambiguous olduğu için yasak.

IPv6 Adres Türleri

Aralık	Tür	IPv4 Karşılığı
2000::/3	Global Unicast (GUA)	Public IPv4
fe80::/10	Link-Local	169.254.0.0/16 (zeroconf)
fc00::/7	Unique Local (ULA)	RFC 1918
ff00::/8	Multicast	224/4
::1/128	Loopback	127.0.0.1
::ffff:0:0/96	IPv4-mapped	Dual-stack soket için

ip -6 addr show her arayüzde otomatik fe80::... link-local gösterir; public erişim için 2000::/3 aralığından GUA gerekir. ISP genelde /48 blok verir; LAN segmenti standart /64. Tek VDS'e tipik tahsis /64 veya tek /128 olabilir.

SLAAC: Otomatik Konfigürasyon

SLAAC (Stateless Address Autoconfiguration) IPv6'nın imza özelliklerinden biri. Cihaz açılır → link-local (fe80::) alır → Router Solicitation gönderir → yerel router Router Advertisement (RA) ile prefix bilgisini cevaplar → cihaz prefix + interface ID birleştirip public IPv6 üretir. Interface ID üretiminde EUI-64 (MAC bazlı, deterministik) veya Privacy Extensions (RFC 4941, rastgele/rotating) kullanılır; sunucularda statik adres tercih edilir. DHCPv6 ise SLAAC yerine veya yanında çalışan merkezi alternatif.

Dual-Stack: IPv4 ve IPv6 Birlikte

Geçiş döneminde altın standart dual-stack: sunucu hem IPv4 hem IPv6 üzerinden hizmet verir. İstemci hangisini destekliyorsa onu kullanır; modern istemciler RFC 6724 sıralamasıyla IPv6'yı önce dener, IPv6 başarısız olursa "Happy Eyeballs" (RFC 8305) ile hızlıca IPv4'e düşer. Dual-stack iki katmanda gerçekleşir: ağ katmanında sunucuda hem IPv4 hem IPv6 adres + iki ailenin firewall kuralları, uygulama katmanında web/mail/DNS sunucularının her iki adres ailesinden bağlantı kabul etmesi.

Diğer geçiş mekanizmaları (6in4 / 6to4 / Teredo, NAT64 / DNS64, 464XLAT, MAP-T/E) tarihte denendi. Hurricane Electric'in (tunnelbroker.net) ücretsiz 6in4 tüneli, ev ISP'sinde IPv6 yoksa öğrenme/test için klasik laboratuvar — üretimde dual-stack tercih edin, daha az hata yüzeyi.

Linux'ta IPv6 Yapılandırma

sysctl Ayarları

# /etc/sysctl.d/99-ipv6.conf

# IPv6 etkin tut (1 = devre dışı; 0 = etkin)
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0

# Router Advertisement kabul (sunucu kendisi router değilse 1; IP'yi sabit tutuyorsanız 0)
net.ipv6.conf.eth0.accept_ra = 1

# Sunucu router olacaksa forwarding aç
net.ipv6.conf.all.forwarding = 1

# Privacy Extensions (rastgele interface ID)
net.ipv6.conf.all.use_tempaddr = 2

# Uygula
sysctl -p /etc/sysctl.d/99-ipv6.conf

Kalıcı Adres — netplan (Ubuntu 20.04+)

# /etc/netplan/01-netcfg.yaml
network:
  version: 2
  ethernets:
    eth0:
      addresses:
        - 192.0.2.100/24
        - 2001:db8:1234:1::100/64
      gateway4: 192.0.2.1
      gateway6: 2001:db8:1234:1::1
      nameservers:
        addresses:
          - 1.1.1.1
          - 2606:4700:4700::1111

netplan apply
ip -6 addr show
ip -6 route show

Manuel ve systemd-networkd

# Geçici (yeniden başlatmada kaybolur)
ip -6 addr add 2001:db8:1::100/64 dev eth0
ip -6 route add default via 2001:db8:1::1

# Komşu tablosu (IPv4 ARP karşılığı)
ip -6 neigh show

systemd-networkd kullanıyorsanız /etc/systemd/network/10-eth0.network içinde Address= ve Gateway= direktifleri yeterli; IPv6AcceptRA=yes ile RA kabulü kontrol edilir.

Windows Server'da IPv6

Get-NetIPAddress -AddressFamily IPv6

New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress 2001:db8:1::100 -PrefixLength 64 `
  -DefaultGateway 2001:db8:1::1

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" `
  -ServerAddresses ("2606:4700:4700::1111","1.1.1.1")

netsh interface ipv6 add address klasik komutu da çalışır; Windows 7 ve sonrası IPv6 stack'i varsayılan etkindir.

Dual-Stack Web Sunucu

Nginx

server {
    # IPv4 dinle
    listen 80;
    listen 443 ssl http2;

    # IPv6 dinle
    listen [::]:80;
    listen [::]:443 ssl http2;

    server_name siteniz.com www.siteniz.com;

    ssl_certificate     /etc/letsencrypt/live/siteniz.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/siteniz.com/privkey.pem;

    # Hem IPv4 hem IPv6 istemciyi logla
    log_format dualstack '\$remote_addr [\$time_local] "\$request" \$status';
    access_log /var/log/nginx/access.log dualstack;
}

listen [::]:80; IPv6'da dinler. Bazı dağıtımlarda ipv6only=on parametresi de eklenir; default Linux davranışı IPv4-mapped IPv6 socket olduğu için bunu açıkça on belirtmek karışıklığı önler.

Apache

# /etc/apache2/ports.conf
Listen 80
Listen [::]:80
Listen 443
Listen [::]:443

<VirtualHost *:443 [::]:443>
    ServerName siteniz.com
    DocumentRoot /var/www/siteniz
    SSLEngine on
    SSLCertificateFile      /etc/letsencrypt/live/siteniz.com/fullchain.pem
    SSLCertificateKeyFile   /etc/letsencrypt/live/siteniz.com/privkey.pem
</VirtualHost>

<VirtualHost *:443 [::]:443> her iki adres ailesini kapsar.

Doğrulama

curl -4 -I https://siteniz.com
curl -6 -I https://siteniz.com
ss -tlnp | grep -E ':80|:443'   # 0.0.0.0:80 ve [::]:80 ikisi de görünmeli

DNS: AAAA Kayıtları

IPv6 dinleseniz bile DNS'te AAAA yoksa IPv6 istemci sitenizi bulamaz. Dual-stack için A + AAAA birlikte:

siteniz.com.   IN  A     192.0.2.100
siteniz.com.   IN  AAAA  2001:db8:1234:1::100

dig AAAA siteniz.com +short ile yayını kontrol edin. Reverse PTR (.ip6.arpa) opsiyonel ama mail sunucu için önerilir. AAAA detayları DNS kayıtları rehberinde; Cloudflare proxy'sinin IPv6 davranışı ise Cloudflare DNS rehberinde — Cloudflare edge IPv6'yı doğal destekler, origin IPv4-only olsa da dünyaya AAAA dağıtır.

IPv6 Firewall: ip6tables / nftables

IPv4 iptables kuralları IPv6 trafiğini kapsamaz. IPv6 için ayrı kural seti yazmanız şart. Aksi hâlde IPv6 üzerinden tüm sunucu açık kalır — saha kazaları en sık burada yaşanır.

ip6tables — Klasik

# Mevcutu temizle
ip6tables -F
ip6tables -X

# Varsayılan politika
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT

# Loopback
ip6tables -A INPUT -i lo -j ACCEPT

# Kurulu/ilgili bağlantı
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# ICMPv6 — kritik (kesmeyin!)
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT

# SSH
ip6tables -A INPUT -p tcp --dport 2222 -j ACCEPT

# Web
ip6tables -A INPUT -p tcp --dport 80  -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT

# Persistans
apt install iptables-persistent -y
ip6tables-save > /etc/iptables/rules.v6

nftables ve UFW

Modern nftables inet ailesiyle tek tabloda IPv4+IPv6 birlikte yönetilir; iptables/ip6tables ikilemesini ortadan kaldırır. UFW kullanıyorsanız /etc/default/ufw içinde IPV6=yes aktifken ufw allow 80/tcp her iki aileyi birden günceller — pratikte en az hata yapan yol.

ICMPv6'yı Sakın Kapatmayın

IPv4'te ICMP/ping blok yaygın alışkanlık; IPv6'da ölümcül hata. ICMPv6 üzerinde Neighbor Discovery (NDP, ARP karşılığı), Router Advertisement (SLAAC için), Path MTU Discovery (type 2 "Packet Too Big" — fragmentation kapalı olduğu için MTU sorunlarını sadece PMTUD çözer) ve Multicast Listener Discovery çalışır. Saha kuralı: -p ipv6-icmp -j ACCEPT ile hepsini geçirin; gerek yoksa RFC 4890 detayına girmeyin. NDP type'ları (133-137) ve type 1/2/3/4 her durumda açık olmalı.

NDP / RA Güvenliği ve Tunnel Yüzeyi

IPv6'nın taşıdığı tipik güvenlik konularından biri rogue Router Advertisement: aynı L2 segmentindeki herhangi bir cihaz sahte RA göndererek istemcilerin default gateway'ini değiştirip MITM yapabilir — ARP spoofing'in IPv6 muadili. Korunma katmanları:

1. Switch tarafı RA Guard: Yönetilebilir switch'lerde sadece uplink portundan gelen RA'lar kabul edilir; çoğu modern switch destekler.
2. Linux tarafı: Sabit IP'li sunucularda /proc/sys/net/ipv6/conf/eth0/accept_ra=0.
3. Monitoring: ndppd (NDP proxy) veya ndpmon ile anomali izleme.

Privacy Extensions istemci tarafında rotating interface ID'ler üretir; sunucuda kapalı, statik adres tercih edilir. Saha pratiği: fail2ban, rate limit ve WAF kurallarında IPv6 için /64 prefix bazlı block düşünün, çünkü istemci adresleri rotate olabilir.

Eski geçiş tünelleri (6to4 2002::/16, Teredo 2001::/32) saldırı yüzeyi yaratır; gereksizse modüllerini kapatın:

echo "blacklist sit" >> /etc/modprobe.d/blacklist-ipv6.conf

Test ve Doğrulama Araçları

ping -6 2606:4700:4700::1111      # Cloudflare DNS IPv6
traceroute -6 siteniz.com
dig AAAA siteniz.com
curl -6 -v https://siteniz.com
ss -6tlnp                          # IPv6 dinleyen socket'ler

Tarayıcı tarafında test-ipv6.com ve ipv6-test.com 0/10 - 10/10 puanlama ile dual-stack hazırlığını saniyeler içinde gösterir. AAAA propagasyonunu global görmek için Hurricane Electric BGP looking glass (bgp.he.net) bedava ve pratik bir araç.

Cloudflare Üzerinden IPv6 Görünürlüğü

Sunucunuz IPv4-only olsa bile Cloudflare proxy'si dünyaya AAAA kaydı çıkarır; istemci IPv6 üzerinden edge'e gelir, edge → origin yolu IPv4'te devam eder. "Tam dual-stack altyapı kurmadan IPv6 görünürlüğü kazanma" yolu olarak çoğu küçük site için yeterli ilk adım. Cloudflare dashboard → Network → IPv6 Compatibility varsayılan açıktır.

MTU ve Fragmentation Tuzakları

IPv6 ağ katmanında fragmentation yapmaz; bu yetki kaynak host'tadır. Path MTU Discovery (PMTUD) ICMPv6 type 2 "Packet Too Big" mesajıyla çalışır — type 2'yi blokladıysanız bağlantı kurulur ama büyük paketlerde "stall" olur ve HTTPS sessizce başarısız olur, oysa curl -4 ile aynı site IPv4 üzerinde çalışır. Çözüm: ICMPv6 type 2'yi her zaman geçirin. VPN tüneli arkasında IPv6 minimum MTU 1280 byte; tipik VDS arabirimi 1500 MTU çalışır, sorun başlarsa ip link set eth0 mtu 1480 ile küçültmek hızlı bir denek.

Güvenlik Kontrol Listesi

• IPv6 firewall (ip6tables/nftables) şart; IPv4 kuralları IPv6'yı korumaz
• ICMPv6'yı tamamen kapatmayın; type 1/2/3/4 ve NDP (133-137) açık olsun
• Sabit IP'li sunucularda accept_ra=0
• Switch tarafında RA Guard (mümkünse), 6to4/Teredo modülleri gereksizse kapalı
• AAAA kaydını sadece sunucu IPv6 üzerinde test edildiyse ekleyin (kırık AAAA, "site bazen açılmıyor" şikayetinin tipik kaynağıdır)
• fail2ban/WAF kurallarında /64 prefix bazlı block düşün
• mail sunucu çalıştırıyorsanız reverse PTR ayarlayın
• Privacy extensions sunucuda kapalı, istemcide açık

Buyukweb Hizmetleri ile Eşleştirme

İhtiyaç	Önerilen Paket
Tek site, AAAA + temel IPv6	cPanel hosting (IPv6 talebi destek hattından)
Tam kontrol, dual-stack lab	E5-V4 VDS (₺250/ay başlangıç)
Çoklu IPv6 prefix, custom NS	E5-V4 VDS orta-üst paket
Dedicated donanım + IPv6	Fiziksel Dedicated
Test/öğrenme tüneli	HE.net 6in4 (öğrenme amaçlı)

Sıkça Sorulan Sorular

IPv6'ya geçiş zorunlu mu?

2026 itibarıyla zorunlu değil ama önerilen. IPv6 olmayan VDS hâlâ tüm istemcilere ulaşabilir; ancak mobil 5G şebekeleri ve Google/Meta/Cloudflare gibi büyük platformlar IPv6 önceliği veriyor; AAAA olmayan sitelerin uzun vadede küçük performans/görünürlük dezavantajı olabilir.

Dual-stack mi tunnel mi?

Üretim için dual-stack. Tüneller (6in4, 6to4, Teredo) test/öğrenme/geçici amaç için; kalıcı dual-stack daha az hata yüzeyi ve daha tutarlı performans sağlar.

ip6tables kurallarımı IPv4'ten kopyalayabilir miyim?

Çoğu kural sözdizimi aynı; iki istisna: ICMP yerine ipv6-icmp kullanın, adres bloklarını IPv6 sözdizimine çevirin. -A INPUT -p tcp --dport 22 -j ACCEPT iki ailede de aynı.

MTU 1500 IPv6'da yeterli mi?

Çoğu durumda evet. IPv6 minimum MTU 1280 byte (RFC 8200). VPN tüneli içindeyseniz 1480-1492 daha güvenli; ICMPv6 type 2 açık olduğu sürece PMTUD otomatik bulur.

AAAA kaydı eklemek zorunda mıyım?

Sunucu IPv6'da gerçekten dinliyor ve test edildi ise ekleyin. Kırık AAAA kaydı (örn. nginx listen [::]:443 yok ama AAAA var) bazı istemcilerde timeout'a neden olur — "site bazen yavaş açılıyor" şikayetinin klasik sebebi.

Cloudflare arkasındaysam kendim IPv6 kurmama gerek var mı?

Çoğu küçük site için hayır. Cloudflare edge dual-stack; istemci IPv6 üzerinden gelir, edge → origin IPv4'te devam eder. Origin IPv4-only kalsa da AAAA dünyaya çıkar. Kontrol/loglama gerekiyorsa origin'de de IPv6 kurun.

Buyukweb VDS'imde IPv6 nasıl alırım?

Buyukweb VDS paketlerinde varsayılan 1 IPv4 ile birlikte IPv6 desteği mevcut. my.buyukweb.com panelinden ya da iletişim / 0850 302 60 70 üzerinden IPv6 talebi açın; gerekçe (mail/web/lab) belirtmek talebi hızlandırır.

IPv6 üzerinde fail2ban çalışır mı?

Evet. fail2ban v0.10+ IPv6 ban'larını yerel destekler. Pratik nüans: tek-IP yerine /64 prefix bazlı ban düşünün, çünkü istemci rotating adresler kullanabilir.

Sonuç

IPv6 geçişi tek seferde yapılan migrasyon değil; kademeli dual-stack süreçtir: (1) IPv6 adres tahsisi, (2) sysctl + netplan ile kalıcı yapılandırma, (3) Nginx/Apache listen [::]:443, (4) ip6tables/nftables — ICMPv6 bloklamayın, (5) curl -6 ile uçtan uca test, (6) DNS'e AAAA, (7) test-ipv6.com puanı 10/10 olunca canlıya al.

Buyukweb VDS paketleri (E5-V4 ₺250/ay başlangıç) bu altyapıyı kurmak için tam yetki ve IPv6 desteği sağlar. Sorularınız ve IPv6 talepleri için Buyukweb 7/24 Türkçe destek hattı: 0850 302 60 70.

---

İlgili Büyükweb Hizmetleri

Ağ altyapısı, IPv6 dual-stack ve sunucu yönetimi ihtiyaçlarınız için Türkiye lokasyonlu Büyükweb hizmetleri:

• E5-V4 VDS (Linux/Windows, root) — IPv4+IPv6 dual-stack, KVM, anında teslim
• VDS Sunucu Karşılaştırma — tüm VDS paketleri tek sayfada
• cPanel Web Hosting — IPv6 talebi destek hattından
• Fiziksel Dedicated Sunucu — IPMI, tam donanım
• OpenVPN Paketleri (.ovpn) — güvenli uzaktan erişim
• Tüm Paket Karşılaştırma

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.