VPN Protokolleri: OpenVPN, WireGuard ve IPsec Karşılaştırması

VPN Protokolleri: OpenVPN, WireGuard ve IPsec Karşılaştırması

Bilgi: Bu yazı eğitim amaçlıdır ve genel WireGuard yapılandırmasını anlatır. Büyükweb VPN paketleri OpenVPN protokolünü (.ovpn config dosyası ile) kullanır; tüm platformlarda (Windows / macOS / Linux / iOS / Android / router) çalışır. WireGuard'ı kendi VDS sunucunuzda kurmak isterseniz Türkiye lokasyonlu VDS paketlerimizi kullanabilirsiniz.

VPN (Virtual Private Network), internet üzerinden güvenli, şifreli tünel oluşturur. Farklı protokoller farklı güvenlik, hız ve uyumluluk dengeleri sunar.

VPN Protokol Karşılaştırması

Protokol  | Hız    | Güvenlik | Kurulum | Port
----------|--------|----------|---------|----------
WireGuard | ★★★★★ | ★★★★★   | ★★★★★  | UDP 51820
OpenVPN   | ★★★★  | ★★★★★   | ★★★    | TCP/UDP 1194
IPsec/IKE | ★★★★  | ★★★★★   | ★★     | UDP 500, 4500
L2TP/IPsec| ★★★   | ★★★★    | ★★★    | UDP 1701
PPTP      | ★★★★★ | ★       | ★★★★★  | TCP 1723 (KULLANMA)

WireGuard: Modern ve Hızlı

# Ubuntu/Debian kurulum
sudo apt install wireguard

# Anahtar çifti oluştur
wg genkey | tee privatekey | wg pubkey > publickey

# Sunucu yapılandırması
sudo nano /etc/wireguard/wg0.conf

[Interface]
PrivateKey = <SUNUCU_PRIVATE_KEY>
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <ISTEMCI_PUBLIC_KEY>
AllowedIPs = 10.0.0.2/32

# WireGuard başlat
sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0

# Durum kontrol
sudo wg show

OpenVPN: Olgun ve Güvenilir

# Hızlı kurulum (openvpn-install scripti)
wget https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
sudo bash openvpn-install.sh

# Manuel kurulum
sudo apt install openvpn easy-rsa

# CA oluştur
mkdir ~/easy-rsa
ln -s /usr/share/easy-rsa/* ~/easy-rsa/
cd ~/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass

# Sunucu sertifikası
./easyrsa gen-req server nopass
./easyrsa sign-req server server

# DH parametreleri
./easyrsa gen-dh

# OpenVPN sunucu konfigürasyonu: /etc/openvpn/server.conf
# port 1194
# proto udp
# dev tun
# ca /etc/openvpn/ca.crt
# cert /etc/openvpn/server.crt
# key /etc/openvpn/server.key
# dh /etc/openvpn/dh.pem
# server 10.8.0.0 255.255.255.0
# push "redirect-gateway def1 bypass-dhcp"
# push "dhcp-option DNS 8.8.8.8"
# keepalive 10 120
# cipher AES-256-GCM
# user nobody
# group nogroup
# persist-key
# persist-tun

IPsec/IKEv2: Kurumsal Standart

# StrongSwan ile IKEv2 kurulum
sudo apt install strongswan strongswan-pki libcharon-extra-plugins

# PKI oluştur
ipsec pki --gen --type rsa --size 4096 --outform pem > ca.key.pem
ipsec pki --self --ca --lifetime 3650   --in ca.key.pem   --type rsa --dn "CN=VPN Root CA"   --outform pem > ca.cert.pem

# /etc/ipsec.conf
config setup
  charondebug="ike 1, knl 1, cfg 0"
  uniqueids=no

conn ikev2-vpn
  auto=add
  compress=no
  type=tunnel
  keyexchange=ikev2
  fragmentation=yes
  forceencaps=yes
  dpdaction=clear
  ike=chacha20poly1305-sha512-curve25519-prfsha512!
  esp=chacha20poly1305-sha512!
  left=%any
  [email protected]
  leftcert=server-cert.pem
  leftsendcert=always
  leftsubnet=0.0.0.0/0
  right=%any
  rightid=%any
  rightauth=eap-mschapv2
  rightsourceip=10.10.10.0/24
  rightdns=8.8.8.8,8.8.4.4
  rightsendcert=never
  eap_identity=%identity

Protokol Seçim Rehberi

WireGuard seçin:
✓ Maksimum hız gerekiyorsa
✓ Basit site-to-site VPN
✓ Linux/Android/iOS destek yeterli
✓ Yeni kurulum

OpenVPN seçin:
✓ Maksimum uyumluluk gerekiyorsa
✓ Firewall bypass gerekiyorsa (TCP 443)
✓ Çok platformlu destek
✓ Mevcut altyapıyla entegrasyon

IPsec/IKEv2 seçin:
✓ Kurumsal ortam
✓ Windows/iOS native destek
✓ Mevcut IPsec altyapısı

VPN seçimi kullanım senaryosuna bağlıdır. Kişisel kullanım ve yeni kurulumlar için WireGuard, kurumsal ortamlar için IKEv2/IPsec tercih edilir.

VPN Protokolu Seçim Kriterleri

VPN protokolu secerken hiz, güvenlik ve uyumluluk kriterlerini dikkate almalisiniz. WireGuard düşük gecikme süresi ve yüksek performans ile obe çıkar. OpenVPN ise geniş platform destegi ve esnek yapılandırma seçenekleri sunar. IPsec site-to-site bağlantilarda kurumsal standart olarak kabul gorur. Mobil cihazlarda IKEv2 protokolu bağlanti kopmalarina karşı dayaniklidir. Turkiye'de VPN kullanımi icin düşük ping süresi önemlidir. Buyukweb.com Turkiye lokasyonlu VDS sunucularda kendi VPN sunucunuzu kurarak yerel ag performansi elde edebilirsiniz.

---

Ilgili Büyükweb Hizmetleri:

• [VPN paketlerimizi inceleyin](
  MASK26)
• [Proxy paketlerimizi inceleyin](
  MASK27)
• [Tüm hosting ve sunucu paketlerimiz](
  MASK28)

Detaylı Protokol Karşılaştırma Tablosu

Özellik	OpenVPN	WireGuard	IKEv2/IPsec	L2TP/IPsec	SSTP
Yıl	2001	2016	2005	1999	2007
Kod boyutu	100K+ satır	~4K satır	30K+ satır	30K+	proprietary
Throughput	100-300 Mbps	400-700 Mbps	200-400 Mbps	100-200 Mbps	100-200
Latency overhead	yüksek (TCP varsa)	çok düşük	düşük	orta	orta
CPU kullanımı	yüksek (handshake/encryption)	düşük	orta	orta	orta
Battery (mobile)	orta	mükemmel	iyi	orta	orta
Roaming (3G→WiFi)	yavaş reconnect	anında	anında	yavaş	orta
Firewall bypass	TCP/443 ✓	UDP only (zor)	UDP/4500	UDP+ESP	TCP/443 ✓
MFA / TOTP	✓ (PAM)	manuel kurma	✓	✓	✓
Native Win/Mac/iOS	ek client	ek client	✓ (built-in)	✓ (built-in)	✓ Win
Kurumsal LDAP	✓	sınırlı	✓	✓	✓
Site-to-site	✓	✓	✓ (klasik)	✓	✗
Türkiye'de yaygın	çok yaygın	yükseliyor	kurumsal	azalan	nadir

Modern Şifreleme Algoritmaları

Algoritma	OpenVPN	WireGuard	IPsec
AES-256-GCM	✓ default	—	✓
ChaCha20-Poly1305	✓ (2.5+)	✓ tek seçenek	✓ (modern)
AES-128-GCM	✓	—	✓
Poly1305 MAC	—	✓	—
Curve25519 (key exchange)	—	✓	✓
RSA / EC	✓	—	✓

WireGuard sadeleştirme felsefesi: Tek ChaCha20-Poly1305 + Curve25519 + BLAKE2s — algoritma negotiate yok, downgrade attack imkansız.

OpenVPN — Pratik Production Setup

# Kurulum + auto-config (modern script)
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh

# Modern öneri:
# - UDP/1194 (default), TCP/443 (firewall bypass)
# - DNS: AdGuard / Cloudflare / Google
# - AES-128-GCM (yeterli; AES-256 overhead'i mobile'da)
# - Compression KAPALI (VORACLE attack)
# - tls-crypt (HMAC + encryption — DPI bypass)

# /etc/openvpn/server.conf — production-grade
port 1194
proto udp4

dev tun
topology subnet
server 10.8.0.0 255.255.255.0

# Modern crypto
data-ciphers AES-256-GCM:CHACHA20-POLY1305:AES-128-GCM
auth SHA256
tls-version-min 1.2
tls-crypt-v2 /etc/openvpn/server/tls-crypt-v2.key

# Performance
sndbuf 524288
rcvbuf 524288
push "sndbuf 524288"
push "rcvbuf 524288"

# Routing
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"

# Keepalive ve restart
keepalive 10 60
explicit-exit-notify 1
persist-key
persist-tun

# Logging
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3

# Client cert oluştur
cd /etc/openvpn/easy-rsa
./easyrsa build-client-full username nopass

# .ovpn dosyası üret (inline cert)
cat > username.ovpn <<EOF
client
dev tun
proto udp
remote vpn.example.com 1194
resolv-retry infinite
nobind
remote-cert-tls server
data-ciphers AES-256-GCM:CHACHA20-POLY1305
verb 3
<ca>
$(cat /etc/openvpn/easy-rsa/pki/ca.crt)
</ca>
<cert>
$(cat /etc/openvpn/easy-rsa/pki/issued/username.crt)
</cert>
<key>
$(cat /etc/openvpn/easy-rsa/pki/private/username.key)
</key>
<tls-crypt-v2>
$(cat /etc/openvpn/server/tls-crypt-v2.key)
</tls-crypt-v2>
EOF

WireGuard — Pratik Setup

# Kurulum (Linux native — kernel module 5.6+)
apt install wireguard wireguard-tools

# Server keys
wg genkey | tee server.key | wg pubkey > server.pub
wg genkey | tee client.key | wg pubkey > client.pub

# /etc/wireguard/wg0.conf — server
[Interface]
PrivateKey = SERVER_PRIVATE_KEY
Address = 10.0.0.1/24
ListenPort = 51820
SaveConfig = true
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

# /etc/wireguard/wg0.conf — client
[Interface]
PrivateKey = CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

# Başlat
wg-quick up wg0

# Boot'ta otomatik
systemctl enable wg-quick@wg0

# Status
wg show

WireGuard'ın mucizesi: ~20 satır config + 2 saniyede ayağa kalkar. OpenVPN'in 100 satırlık config'iyle kıyaslanmaz.

DPI / Censorship Bypass

Bazı ülkelerde Deep Packet Inspection VPN protokollerini tespit edip engeller. Bypass yöntemleri:

Method	Hız Etkisi	Tespit Zorluğu
OpenVPN over TCP/443	%30 yavaş	orta
OpenVPN tls-crypt-v2	minimal	iyi
Stunnel (TLS wrapping)	%20 yavaş	mükemmel — HTTPS gibi görünür
Cloak / V2Ray	%15-25 yavaş	mükemmel — obfuscation pluggable
WireGuard direkt	en hızlı	DPI tarafından kolay tespit
Trojan-go (TLS)	minimal	mükemmel — modern, aktif

# Stunnel kurulumu — OpenVPN'i HTTPS gibi sun
apt install stunnel4

# /etc/stunnel/openvpn.conf
[openvpn-stunnel]
client = no
accept = 443
connect = 127.0.0.1:1194
cert = /etc/stunnel/server.pem

# Client tarafında ters: client=yes, accept=local, connect=server:443

Site-to-Site VPN

İki veya daha fazla ofis ağını birleştirme:

Ofis A (10.1.0.0/24) ──► VPN tünel ──► Ofis B (10.2.0.0/24)
                            │
                            └► Bursa Veri Merkezi (10.3.0.0/24)

Strongswan / IPsec kurumsal standart:

# /etc/ipsec.conf
conn ofis-a-to-b
  left=185.x.x.x          # Ofis A external IP
  leftsubnet=10.1.0.0/24
  right=185.y.y.y         # Ofis B external IP
  rightsubnet=10.2.0.0/24
  ike=aes256-sha2_256-modp2048
  esp=aes256-sha2_256-modp2048
  authby=secret
  auto=start

WireGuard site-to-site (daha basit):

# Ofis A
[Interface]
PrivateKey = ...
Address = 192.168.99.1/24

[Peer]
PublicKey = OFIS_B_PUBKEY
Endpoint = ofis-b-public-ip:51820
AllowedIPs = 10.2.0.0/24, 192.168.99.2/32
PersistentKeepalive = 25

Kill Switch ve Split Tunnel

Kill Switch: VPN düşerse tüm trafik durur (sızıntı önlenir):

# iptables ile manuel kill switch
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -o eth0 -d VPN_SERVER_IP -j ACCEPT
iptables -A OUTPUT -o eth0 -j DROP

Split Tunnel: Sadece belirli trafik VPN'den; geri kalan direkt internet:

# WireGuard split tunnel — sadece şirket subnet
[Peer]
AllowedIPs = 10.0.0.0/8, 192.168.0.0/16    # Sadece iç network
# Internet trafiği direkt ISP'den

# OpenVPN split tunnel
push "route 10.0.0.0 255.0.0.0"
push "route 192.168.0.0 255.255.0.0"
# Default redirect-gateway YOK

VPN Kullanım Senaryoları

Senaryo	Önerilen Protokol
Mobil personel uzaktan ofise	IKEv2 (native iOS/Win) veya OpenVPN
Kişisel privacy / coğrafi bypass	OpenVPN veya WireGuard
Site-to-site (2 ofis)	IKEv2 veya WireGuard
Yüksek throughput (100+ Mbps)	WireGuard
Kısıtlamalı ülkelerden	OpenVPN over Stunnel veya V2Ray
Mobile battery sensitive	WireGuard veya IKEv2
Win/Mac/iOS native client	IKEv2
Eski cihaz uyumluluğu	OpenVPN
Compliance + ücretli destek	OpenVPN Enterprise / Pulse Secure

Türkiye'de VPN Kullanımı — Hukuki

Türkiye'de VPN kullanımı yasal (KVKK + 5651 sayılı kanun kapsamında). Kısıtlamalar:

• VPN ile yasaklı içerik erişimi yasal değil
• Şirketler için veri yurt içinde tutma zorunluluğu (KVKK)
• BTK + 5651: belirli VPN servisleri zaman zaman erişim kısıtı görür

Büyükweb VPN paketleri Türkiye lokasyonlu — yerel yasalara uyumlu, kurumsal kullanım için ideal. Detay: Türkiye'de VPN Yasal Mı.

VPN Performans Optimizasyonu

# 1. MTU optimizasyonu
ip link set mtu 1420 dev tun0    # WireGuard önerilen
# OpenVPN: tun-mtu 1500 + mssfix 1450

# 2. UDP buffer artır
sysctl -w net.core.rmem_max=26214400
sysctl -w net.core.wmem_max=26214400

# 3. CPU offload (büyük sunucularda)
ethtool -K eth0 rx on tx on
ethtool -K eth0 gso on tso on

# 4. Multi-threading (OpenVPN'de eskiden yoktu, 2.6+ var)
# WireGuard kernel-level multi-threaded

Mobil Cihaz Battery + Performans

Mobile için WireGuard veya IKEv2 ideal — OpenVPN battery yer:

Protokol	Battery (Galaxy S22, 8 saat)
WireGuard	%12 azalma
IKEv2 native	%15 azalma
OpenVPN	%25 azalma
L2TP/IPsec	%22 azalma

Roaming (3G→WiFi geçiş):

• WireGuard: 0 saniye (stateless protocol)
• IKEv2: <1 saniye (MOBIKE)
• OpenVPN: 5-30 saniye (full reconnect)

VPN Audit ve Logging

# OpenVPN connection log
tail -f /var/log/openvpn/openvpn.log

# WireGuard handshake durumu
wg show wg0 latest-handshakes

# Aktif kullanıcılar
cat /var/log/openvpn/openvpn-status.log
wg show all dump

KVKK uyum: Connection log retention 6-12 ay. Privacy-first VPN servisleri "no-log policy" iddia eder; gerçek kontrol için 3rd party audit (PwC, Cure53) raporu bakılır.

Sıkça Sorulan Sorular

WireGuard yerine OpenVPN tercih edilen durumlar?

1. Eski Android/iOS uyumluluğu (5+ yıllık cihazlar) 2) Firewall TCP/443 bypass gerekiyorsa 3) Kullanıcı/şifre auth (PAM/LDAP) 4) DPI bypass için Stunnel ile sarılma 5) Mevcut kurumsal certificate authority altyapısı.

WireGuard güvenli mi (gerçekten)?

Evet — Jason Dönenfeld tarafından yazıldı, akademik review'lardan geçti. ChaCha20-Poly1305 + Curve25519 modern + post-quantum çalışmalarda mevcut. 4K satır kod = audit edilmesi kolay. Güvenlik açığı bulunmadı.

"WireGuard logsuz, IP saklanıyor" doğru mu?

WireGuard kendisi static IP atar (peer'a fixed IP); bu server'ın hard-disk'inde saklanır. "No-log" iddiası server config'i nasıl kullanıldığına bağlı. Privacy için: server'da log_level=0, sürekli IP rotation, ephemeral keys.

IKEv2 native iOS/Windows desteği avantajı ne?

Üçüncü-parti uygulama (OpenVPN Connect, WireGuard) gerekmez. Settings → Network → VPN ile kurulur. Kurumsal MDM (Mobile Device Management) ile otomatik dağıtım kolay. Apple/Microsoft ekosistemi tarafından test edilmiş.

VPN throughput neden gelen bağlantımdan yavaş?

Encryption overhead %5-15. CPU yetersizse %50+ kayıp. WireGuard kernel-level → en az kayıp. OpenVPN userspace → daha çok overhead. Hosted servis ise sunucu CPU paylaşılı olabilir.

"Kendi VPN sunucumu kurmak vs hazır servis"?

Kendi sunucu: Tam kontrol, log özgürlüğü, tek IP. Maliyet ~$5-20/ay (VPS). Setup zaman + bakım. Hazır servis: Hızlı + multi-location + multi-IP. $5-15/ay. Kurumsal: Büyükweb VPN paketleri Türkiye lokasyonlu, OpenVPN .ovpn dosyası — orta yol.

"VPN üzerinden VPN" double-VPN değer mi?

Latency 2x artar; throughput yarılar. Anonimlik istiyorsa Tor alternatifi var (latency ile yaşarsanız). VPN→VPN sadece edge case (gazeteci, aktivist). Çoğu kullanıcı için tek VPN yeterli.

IKEv2 vs IPsec — fark?

IPsec protokol suite; IKEv2 onun key exchange kısmı. Pratikte "IKEv2/IPsec" denir — birbirine bağlı. L2TP/IPsec eski; IKEv2/IPsec modern.

Şirketteki kullanıcılarımı VPN'e nasıl bağlarım?

1. Kurumsal CA + cert generation 2) MDM ile profil dağıtımı (.ovpn / .mobileconfig) 3) MFA (Google Authenticator + PAM) 4) LDAP/AD entegrasyonu 5) Audit log + retention. Veya turnkey çözüm: Tailscale / Twingate / NetBird — modern zero-trust VPN.

"VPN sıralamamı düşürür mü" SEO?

Sunucu lokasyonu önemli — kullanıcı Türkiye'den, sunucu Türkiye'de = en iyi TTFB. VPN ile fiziksel mesafe artarsa TTFB yükselir → SEO etki. Çözüm: Türkiye lokasyonlu VPN tercih.

Büyükweb VPN ve Network

Büyükweb OpenVPN paketleri Türkiye Bursa Tier 3 veri merkezinde:

• OpenVPN .ovpn config — Windows/macOS/Linux/iOS/Android/router uyumlu
• AES-256-GCM şifreleme (modern)
• Sabit IP veya pool seçeneği
• 7/24 destek Türkçe

VDS sunucu ile kendi WireGuard/OpenVPN/IKEv2 sunucunuzu kurabilirsiniz — root erişim + custom port + sınırsız kullanıcı.

Site-to-site VPN için fiziksel dedicated sunucu + IPsec/Strongswan kurulumu.

Yapılandırma desteği için 0850 302 60 70.

İlgili Rehberler

• Windows OpenVPN .ovpn Kurulum Rehberi
• WireGuard VPN Sunucu Kurulum
• Türkiye'de VPN Kullanmak Yasal Mı 2026
• Proxy Nedir Türleri ve Kullanım Alanları 2026
• Oyun VPN .ovpn

İlgili Büyükweb Hizmetleri

Ağ altyapısı, VPN ve proxy ihtiyaçlarınız için Türkiye lokasyonlu Büyükweb hizmetleri:

• VDS Sunucu (Linux/Windows)
• OpenVPN Paketleri (.ovpn)
• Datacenter Proxy IP
• Dedicated Sunucu
• Sunucu Barındırma

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.