WireGuard, OpenVPN ve IKEv2: VPN Protokolleri Karşılaştırması
WireGuard, OpenVPN ve IKEv2: Sade Bir Dille VPN Protokol Karşılaştırması
VPN'inizin kullandığı protokol; ne kadar hızlı olduğunu, bir metro tünelinden sağ çıkıp çıkamayacağını, bir sansür güvenlik duvarının onu fark edip engelleyip engelleyemeyeceğini ve bir güvenlik araştırmacısının ona güvenmeden önce ne kadar kod denetlemesi gerektiğini belirler. Çoğu uygulama bugün varsayılan olarak WireGuard kullanıyor ve çoğu kişinin hiç açmadığı bir ayar menüsünden değiştirmenize izin veriyor. Bu varsayılan çoğu zaman doğrudur ama her zaman değil.
Bu rehber, klişe artı-eksi tablolarını atlıyor. Bunun yerine gerçekte yaptığınız şeyden geriye doğru çalışıyor; Wi-Fi ile mobil veri arasında geçiş yapmak, kısıtlayıcı bir ağı aşmak, akış izlemek, oyun oynamak ya da eski bir yönlendiriciden bağlanmak gibi; ve belirli bir protokolün o işi neden kazandığını anlatıyor. Ayrıca sağlayıcıların ayarlarında sessizce gizlediği eski ve tescilli protokollerin adlarını da veriyor; böylece nelerden kaçınacağınızı ve markalı adların gerçekte ne anlama geldiğini bilirsiniz.
30 saniyelik karar ağacı
Başka hiçbir şey aklınızda kalmasın, ama görevden protokole şu eşleştirmeyi unutmayın:
Sürekli Wi-Fi ile mobil veri arasında geçiş yapan telefon → IKEv2/IPsec. MOBIKE uzantısı, ağ değişiklikleri boyunca tüneli görünür bir kopma olmadan ayakta tutar.
Sansür veya VPN'leri engelleyen bir ağ → TCP 443 portu üzerinden OpenVPN (ya da bir sağlayıcının gizleme/obfuscation modu). Sıradan HTTPS trafiği gibi görünecek şekilde ayarlanabilir.
Akış izleme, oyun, büyük indirmeler, günlük kullanım → WireGuard. Üçü arasında en düşük gecikme ve en yüksek aktarım hızına, üstelik modern kriptografiye sahip.
Eski bir yönlendiricide, NAS'ta veya tuhaf bir işletim sisteminde en geniş uyumluluk → OpenVPN. Neredeyse her yerde çalışır ve hemen hemen her platforma uyarlanmıştır.
Belirli bir ihtiyacınız yok → uygulamanın varsayılanında bırakın; bu neredeyse her zaman WireGuard ya da WireGuard tabanlı bir yapıdır.
Aşağıdaki her şey, bu seçimlerin ardındaki mantığı açıklıyor; böylece durumunuz gerektirdiğinde varsayılanı güvenle değiştirebilirsiniz.
Rakamlar: hız, ek yük ve denetlenebilirlik
Protokoller arasında gerçekten farklılaşan boyutlar bunlar. Aktarım hızı ve gecikme değerlerini yön gösterici olarak görün; gerçek hızınız protokolden çok daha fazla sunucu yüküne, mesafeye ve kendi bağlantınıza bağlıdır; ancak göreceli sıralama bağımsız testlerde ve WireGuard projesinin kendi kıyaslamalarında tutarlıdır.
Aktarım hızı (throughput): WireGuard üçünün en hızlısı. WireGuard projesinin yayımladığı kıyaslamada aynı donanımda OpenVPN için yaklaşık 258 Mbps'e karşılık kabaca 1.011 Mbps aktardı; IKEv2/IPsec genellikle ikisinin arasında bir yere oturur.
Gecikme / ek yük: WireGuard en az gidiş-dönüş gecikmesi ekler; çoğu zaman bir milisaniyenin altında işlem ek yükü; çünkü kriptografisi daha hafif ve çekirdek (kernel) içinde çalışıyor. Kullanıcı alanında, daha ağır bir TLS el sıkışmasıyla çalışan OpenVPN ise en fazlasını ekler.
Kod tabanı büyüklüğü ve denetlenebilirlik: WireGuard'ın Linux uygulaması meşhur şekilde ~4.000 satır kodun altındadır. OpenVPN on binlerce satırdır ve ayrı bir kripto kütüphanesine (OpenSSL veya mbedTLS) dayanır; bu da gerçekçi olarak denetlenebilir yüzeyi yüz binlerce satıra çıkarır. Daha küçük bir kod tabanı, hataların saklanacağı daha az yer ve tek bir uzmanın gerçekten bitirebileceği bir inceleme demektir.
Yeniden bağlanma davranışı: WireGuard bağlantısızdır ve 'her zaman açık'tır; bağlantı koparsa ve geri gelirse, bir sonraki paketle basitçe kaldığı yerden devam eder. IKEv2 hızlı yeniden bağlanır ve MOBIKE ile ağlar arasında kopmadan göç eder. OpenVPN ise TLS oturumunu yeniden kurmak zorundadır, dolayısıyla yeniden bağlanmaları en yavaş ve en göze çarpan olanıdır.
Taşıma (transport): WireGuard yalnızca UDP kullanır. OpenVPN UDP veya TCP üzerinden çalışır. IKEv2/IPsec UDP kullanır (500 ve 4500 portları).
WireGuard, Mart 2020'de 5.6 sürümünde ana hat Linux çekirdeğine dahil edildi; bu da neden bu kadar iyi performans gösterdiğinin bir parçası: çekirdek alanında paket işleme, kullanıcı alanı protokollerinin ödediği bağlam değiştirme (context-switching) vergisinden kaçınır.
Bir öğleden sonra okuyabileceğiniz kabaca 4.000 satıra karşılık, denetlemek için bir ekip gerektirecek bir kripto yığını; işte bu tek gerçek, WireGuard'ın itibarının büyük kısmını açıklıyor.
WireGuard hız ve güvende neden kazanıyor
WireGuard'ın hızı pazarlama değil; tasarım tercihlerinin bir sonucu. OpenVPN'in pazarlık edilebilir şifre menüsü yerine sabit, modern bir kriptografik ilkel kümesi kullanır: kimlik doğrulamalı şifreleme için ChaCha20-Poly1305, anahtar değişimi için Curve25519, özetleme (hashing) için BLAKE2s, hepsi Noise protokol çerçevesi üzerine inşa edilmiştir. Pazarlık olmaması, yavaş el sıkışma gidiş-dönüşleri olmaması ve zayıf bir şifreye düşürülme (downgrade) riski olmaması demektir.
Küçücük kod tabanı ise güven hikâyesidir. Güvenlik, gözden geçirilebilen koddan gelir ve 4.000 satırlık bir modül, denetçilerin baştan sona gerçekten okuduğu bir şeydir. WireGuard ayrıca sessizce çalışır: iletilecek bir şey yokken hiç paket göndermez, dolayısıyla bir bağlantı uyku, askıya alma ve boşta kalma dönemlerini atlatır ve anında 'uyanır'. Ham hız, düşük gecikme ve gözden geçirilebilirliğin bu birleşimi, onu akış izleme, oyun, indirmeler ve sıradan tarama için doğru varsayılan yapan şeydir.
IKEv2/IPsec mobilde neden kazanıyor
Telefonlar için belirleyici özellik MOBIKE'dir; RFC 4555 olarak standartlaştırılmış IKEv2 Hareketlilik ve Çok-bağlantılılık Protokolü (Mobility and Multihoming Protocol). Evinizden çıkıp telefonunuz Wi-Fi'den LTE'ye geçtiğinde, cihazınızın IP adresi değişir. Çoğu protokolde bu, tünelin kopması ve yeniden kurulması gerektiği anlamına gelir. MOBIKE, mevcut IKEv2 güvenlik birliğinin (security association) tüneli yıkıp yeniden kurmadan yeni IP adresine taşınmasına izin verir; böylece VPN, geçiş boyunca görünür bir kesinti olmadan ayakta kalır.
IKEv2 ayrıca iOS, macOS ve Windows'ta yerel olarak desteklenir, dolayısıyla çalışması için üçüncü taraf bir uygulamaya ihtiyaç duymaz. Gerçek bir kopmanın ardından çok hızlı yeniden bağlanır, bu da onu kararsız mobil kapsama alanı için mükemmel kılar. Zayıf yanı sansür direncidir: kararlı bir güvenlik duvarının basitçe engelleyebileceği sabit UDP portlarına (500 ve 4500) dayanır ve OpenVPN'in aksine HTTPS içine kolayca gizlenemez. WireGuard da bağlantısız tasarımı sayesinde ağ gezintisini (roaming) iyi idare eder, ancak IKEv2'nin MOBIKE'i kusursuz, görünmez mobil ağ geçişi için hâlâ altın standart olmayı sürdürür.
OpenVPN kısıtlayıcı ağlarda neden hâlâ kazanıyor
OpenVPN'in süper gücü kamuflajdır. 443 portu üzerinde TCP ile çalışabildiğinden; yani normal HTTPS web trafiğiyle aynı taşıma ve port; bir VPN bağlantısını, birinin yalnızca web sitelerini açmasından ayırt etmek çok zorlaştırılabilir. VPN'leri trafik imzalarından tespit ederek ya da UDP'yi tamamen engelleyerek bloklayan ağlarda, çoğu zaman geçen tek şey budur. WireGuard, standart dışı bir portta yalnızca UDP kullandığından, parmak izi çıkarmak (fingerprint) ve engellemek görece kolaydır; sağlayıcıların sansürlü bölgeler için onu ek gizleme katmanlarıyla sarmasının nedeni de budur.
OpenVPN aynı zamanda uyumluluk şampiyonudur. Neredeyse her işletim sistemine, yönlendirici donanım yazılımına (DD-WRT, OpenWrt, pfSense) ve NAS platformuna uyarlanmıştır; dolayısıyla başka hiçbir şey kurulmadığında genellikle OpenVPN kurulur. Bedeli hızdır: kullanıcı alanı mimarisi ve TLS ek yükü onu üçünün en yavaşı yapar ve TCP modu kendi cezasını ekler.
OpenVPN TCP ile UDP karşılaştırması, açıkça
OpenVPN'i seçtiğinizde aynı zamanda bir taşıma da seçersiniz ve bu seçim gerçek bir ödünleşmedir:
UDP daha hızlı, varsayılan seçimdir. Teslimatı ya da sıralamayı garanti etmez; bu da sorun değildir çünkü tünelinizin içindeki protokoller (TCP'nin kendisi gibi) bununla ilgilenir. Bağlanmadığı durumlar dışında her şey için UDP kullanın.
TCP, sıralı ve güvenilir teslimatı garanti eder ve, kritik olarak, yalnızca TCP'ye izin veren güvenlik duvarlarını ve proxy'leri, özellikle 443 portunda aşar. Bedeli ise TCP-üzerinde-TCP sorunudur (bazen 'TCP meltdown' yani TCP çöküşü de denir): tünelinizin TCP'si ve trafiğinizin TCP'si aynı anda kayıptan kurtulmaya çalıştığında, aktarım hızı çökebilir. TCP'ye yalnızca UDP engellendiğinde ya da kararsız olduğunda başvurun.
Sağlayıcıların gizlediği protokoller: PPTP, L2TP/IPsec ve tescilli yapılar
Bazı protokoller, eski sürümlerle uyumluluk nedeniyle hâlâ açılır menülerde duruyor. Hangilerinden kaçınacağınızı bilin.
PPTP — kullanmayın. Point-to-Point Tunneling Protocol 1990'lara dayanır ve MS-CHAPv2 kimlik doğrulaması on yılı aşkın süredir pratik olarak kırılabilir durumdadır. Hızlı olmasının tek nedeni sizi neredeyse hiç korumamasıdır. Onu modası geçmiş kabul edin; menülerde yalnızca çok eski uyumluluk için yaşıyor.
L2TP/IPsec — dikkatlice tartın. L2TP tek başına hiçbir şifreleme sağlamaz, bu yüzden her zaman IPsec ile eşlenir. Geniş çapta desteklenir ve iyi yapılandırıldığında kabul edilebilir, ancak modern seçeneklerden yavaştır, engellenmesi kolay sabit portlar kullanır ve IPsec'in zayıflatıldığına dair uzun süredir devam eden spekülasyonlar vardır. Onu IKEv2 (o da IPsec tabanlıdır) ya da WireGuard yerine seçmek için pek az neden vardır.
SSTP — niş. TLS/443 üzerinde çalışan (yani OpenVPN benzeri güvenlik duvarı aşma yeteneği olan) ama esasen yalnızca Windows'a özgü ve kapalı kaynaklı bir Microsoft protokolü. Windows'ta sıkışınca iş görür; ilk tercih değildir.
Bir de markalı protokoller var. Pazarlama adları daha basit bir gerçeği gizliyor ve bunu deşmek işe yarıyor:
NordLynx (NordVPN), WireGuard'ın gizlilik tuhaflığını gidermek için üzerine özel bir çift-NAT (double-NAT) sistemi eklenmiş WireGuard'dır (bir sonraki bölümde daha fazlası). Kaputun altında aslında WireGuard'dır.
Birçok sağlayıcının 'tescilli' hızlı protokolü sadece farklı bir etiket ve biraz gizleme eklenmiş WireGuard'dır; Mullvad, Surfshark ve diğerleri WireGuard'ı doğrudan ya da hafifçe sararak çalıştırır.
Lightway (ExpressVPN) gerçek istisnadır: bir WireGuard çatalı (fork) değil, wolfSSL kripto kütüphanesi üzerine sıfırdan inşa edilmiş açık kaynaklı, hafif bir protokoldür; ancak küçük, denetlenebilir bir kod tabanı ve hızlı yeniden bağlanma gibi WireGuard'ın tasarım felsefesini paylaşır.
Catapult Hydra (Hotspot Shield) kapalı, tescilli bir taşımadır. Kapalı protokoller, WireGuard ve OpenVPN'in olabildiği gibi bağımsız olarak denetlenemez; bu da anlamlı bir güven düşüşüdür.
WireGuard'ın gizlilik açığı ve sağlayıcılar bunu nasıl gideriyor
WireGuard'ın ticari VPN'ler için gerçek bir zayıflığı var ve bunu korkmak yerine anlamakta fayda var. Tasarımı gereği WireGuard, her kullanıcının açık anahtarını tünel içindeki statik bir dahili IP adresiyle eşler ve sunucu bu ilişkiyi oturum boyunca bellekte tutar. Gizlilik odaklı bir hizmette bu sıkıntılıdır: anahtarınıza bağlı sabit bir dahili IP, ayrıca WireGuard'ın sakladığı en-son-görülen uç nokta (endpoint), prensipte etkinliğinizi bir oturum boyunca ilişkilendirmek için kullanılabilir; bu da kayıt-tutmayan (no-logs) bir VPN'in vaat ettiğinin tam tersidir.
Saygın sağlayıcılar bunu saklamak yerine etrafından dolaşacak şekilde mühendislik yapar. NordLynx'in çift NAT'ı iyi belgelenmiş yaklaşımdır: ikinci bir ağ adresi çevirisi (network address translation) katmanı, sunucunun dahili adresleri dinamik olarak atamasına ve hesabınıza eşlenmiş tanımlanabilir herhangi bir statik IP'yi tutmaktan kaçınmasına izin verir. Diğerleri anahtarları sık sık döndürür ya da adresleri oturum başına atar. Çıkarılacak ders: WireGuard'ın kendisi mükemmeldir, ancak ticari bir hizmette sağlayıcının bunun etrafındaki uygulaması önemlidir; dolayısıyla bu, herhangi bir sağlayıcıya sorulması yerinde bir sorudur.
Pratik çıkarımlar: varsayılanı ne zaman geçersiz kılmalı
Günlük kullanım için otomatik modu açık bırakın; uygulamanız neredeyse kesinlikle varsayılan olarak WireGuard kullanıyor ve hız ve güvenlik açısından doğru tercih budur. Şu durumlarda protokol menüsünü açın ve bilinçli olarak değiştirin:
Yolda giderken tüneli sürekli düşüren bir telefondaysanız → MOBIKE'in kusursuz ağ geçişi için IKEv2'ye geçin.
VPN bir otel, kampüs, iş yeri ya da sansürlü ağda hiç bağlanmıyorsa → TCP 443 üzerinden OpenVPN'e geçin ya da uygulamanın gizleme/gizli (stealth) modunu etkinleştirin.
Bir yönlendiricide, NAS'ta ya da daha eski bir cihazda ihtiyacınız varsa → en geniş uyarlamaya sahip seçenek olan OpenVPN'i kullanın.
En çok en küçük denetlenebilir kod tabanını ve en düşük gecikmeyi önemsiyorsanız → WireGuard'da kalın.
Listede PPTP görürseniz → asla seçmeyin. Yalnızca PPTP ve L2TP sunuluyorsa L2TP/IPsec'i tercih edin, ama bunu daha donanımlı bir hizmet seçmeniz gerektiğinin işareti sayın.
Tek bir 'en iyi VPN protokolü' yoktur; önünüzdeki iş için en iyi protokol vardır. Hız ve güven için WireGuard, mobil için IKEv2, gizlilik ve uyumluluk için OpenVPN ve modası geçmiş seçenekler için hiçbir şey. Hangisinin hangisi olduğunu bilmek, sessizce çalışan bir VPN ile tam ihtiyacınız olduğu anda çöken bir VPN arasındaki farktır.
Sıkça Sorulan Sorular
WireGuard mı OpenVPN mi daha iyi?
Hız, gecikme ve küçük, denetlenebilir bir kod tabanı açısından WireGuard kazanır; daha hızlıdır ve incelenmesi çok daha basittir. OpenVPN ise kısıtlayıcı bir ağda trafiği HTTPS gibi gizlemeniz (TCP 443 üzerinden) ya da yönlendirici ve NAS kutuları gibi sıra dışı cihazlarda çalıştırmanız gerektiğinde daha iyidir. Günlük bağlantılarda çoğu kişi için WireGuard daha iyi bir varsayılandır.
IKEv2 mobil için WireGuard'dan daha mı iyi?
Kusursuz mobil ağ geçişinde IKEv2 öndedir; bunun nedeni MOBIKE (RFC 4555), yani telefonunuz Wi-Fi'den mobil veriye geçtiğinde aktif bir tüneli kopmadan yeni bir IP adresine taşımasıdır. WireGuard da bağlantısız tasarımı sayesinde ağ gezintisini iyi yapar, ancak IKEv2'nin MOBIKE'i görünmez ağ değişimi için hâlâ altın standarttır ve iOS, macOS ve Windows'a yerleşiktir.
Genel olarak en iyi VPN protokolü hangisi?
Tek bir en iyi protokol yoktur; göreve bağlıdır. Hız ve güvenlik için WireGuard, sık sık ağ değiştiren mobil cihazlar için IKEv2 ve sansürlü ya da VPN engelleyen ağlar için TCP 443 üzerinden OpenVPN kullanın. Belirli bir ihtiyacınız yoksa, uygulamanızın varsayılanı (genellikle WireGuard) doğru seçimdir.
OpenVPN'i TCP üzerinden mi yoksa UDP üzerinden mi kullanmalıyım?
Varsayılan olarak UDP kullanın; daha hızlıdır ve tünelinizin içindeki protokoller güvenilirliği kendileri halleder. TCP'ye, özellikle 443 portunda, yalnızca UDP engellendiğinde ya da kararsız olduğunda geçin; çünkü TCP katı güvenlik duvarlarını aşar ama paket kaybında aktarım hızını çökerten 'TCP-üzerinde-TCP' çöküşünü yaşayabilir.
PPTP'yi 2026'da kullanmak güvenli mi?
Hayır. PPTP'nin MS-CHAPv2 kimlik doğrulaması on yılı aşkın süredir pratik olarak kırılabilir durumda, dolayısıyla hızlı olmasına rağmen gerçek anlamda pek az koruma sunar. Uygulama menülerinde yalnızca eski uyumluluk için kalır. Bunun yerine WireGuard, IKEv2 ya da OpenVPN kullanın ve PPTP'yi asla seçmeyin.
NordLynx sadece WireGuard mı?
Evet; NordLynx, üzerine özel bir çift-NAT katmanı eklenmiş WireGuard'dır. Çift NAT, WireGuard'ın her kullanıcının anahtarını statik bir dahili IP ile eşleme gizlilik tuhaflığını çözer; sunucunun adresleri dinamik olarak atamasını sağlayarak tanımlanabilir hiçbir şeyin saklanmamasını mümkün kılar. Birçok diğer 'tescilli' hızlı protokol de aynı şekilde bir marka adı altındaki WireGuard'dır.
WireGuard'ın bir gizlilik sorunu var mı?
Tasarımı gereği WireGuard, her kullanıcıya açık anahtarına bağlı statik bir dahili IP atar ve sunucu bu eşlemeyi oturum boyunca tutar; bu da ticari bir VPN'de etkinliği ilişkilendirebilir. Saygın sağlayıcılar bunu dinamik çift-NAT, sık anahtar döndürme ya da oturum başına adresleme ile hafifletir; dolayısıyla sağlayıcı dikkatlice uyguladığı sürece protokol mükemmeldir.
