← Tüm yazılar

NetBird ile Sıfır Açık Port: WireGuard Tabanlı Zero Trust Ağ Kurulumu

NetBird ile Sıfır Açık Port: WireGuard Tabanlı Zero Trust Ağ Kurulumu

Birkaç yıl önce uzaktan erişim ihtiyacı için klasik IPSec VPN kurdum. Çalışıyordu ama sorunları vardı: merkezi bir gateway, o gateway'e gelen UDP 500 ve 4500 portları, ve her yeni kullanıcı için manuel yapılandırma. En kötüsü şuydu — gateway çöktüğünde hiç kimse hiçbir yere bağlanamıyordu.

NetBird'ü keşfettiğimde ilk düşüncem "bir VPN daha mı?" oldu. Ama değil. NetBird bir VPN değil, bir mesh ağ platformu. Fark çok daha büyük.

Geleneksel VPN ile NetBird Arasındaki Fark

Geleneksel VPN şöyle çalışır: tüm trafik merkezi bir gateway üzerinden geçer. Siz ofisteyken, uzaktaki bir sunucuya bağlanmak istediğinizde, trafik önce VPN sunucusuna, oradan hedefe gider. Gateway tek nokta arızasıdır, tüm trafiğin darboğazıdır.

NetBird şöyle çalışır: her cihaz diğer cihazlarla doğrudan WireGuard tüneli kurar. Sunucu A, sunucu B ile konuşmak istediğinde, araya başka bir makine girmez. Peer-to-peer, şifreli, doğrudan.

Buna ek olarak NetBird'de firewall kuralı veya açık port gerekmez. Cihazlar birbirini Management Server üzerinden bulur, tünel STUN/TURN protokolleriyle NAT arkasından bile kurulur.

Kurulum: Beklenenden Çok Daha Kolay

İlk kurulumu Docker Compose ile yaptım. Management Server, Signal Server ve Relay (TURN) bileşenleri tek bir compose dosyasıyla ayağa kalktı. DNS kaydını ekleyip SSL sertifikasını aldıktan sonra panel kullanıma hazırdı.

Agent kurulumu ise şaşırtıcı derecede basit: tek bir curl komutu. Linux, Windows, macOS, iOS, Android — hepsinde aynı şekilde kuruldu. Kurulum sonrası cihaz otomatik olarak Management Server'a kayıt oldu ve ağa dahil edildi.

Erişim Politikaları: Granüler Kontrol

NetBird'ün en güçlü özelliği erişim politikaları. Geleneksel VPN'de genellikle ya tam erişim ya da hiç erişim vardır. NetBird'de granüler kurallar tanımlayabilirsiniz.

KRK Holding altyapısında şu politikaları uyguladım:

Yönetici grubundaki cihazlar tüm sunuculara SSH ile bağlanabilir. Muhasebe grubundaki cihazlar yalnızca muhasebe sunucusuna, yalnızca belirli portlar üzerinden bağlanabilir. Geliştirici grubundaki cihazlar staging ortamına tam erişime sahipken production'a sadece salt okunur erişimi var. Uzak ofis cihazları kendi lokasyonlarındaki gateway üzerinden yerel ağa erişebiliyor.

Bu politikaları dashboard üzerinden, tek bir ekranda yönetiyorum. Yeni bir çalışan geldiğinde ilgili gruba ekliyorum — erişimleri otomatik olarak devreye giriyor.

Sıfır Açık Port: Nasıl Mümkün?

Bu soruyu çok aldım. NetBird hiç port açmıyor mu?

Evet, doğru. Cihazlar Management Server'a giden outbound bağlantı kuruyorlar. Inbound port gerekmez. NAT arkasındaki cihazlar bile birbirleriyle bağlantı kurabiliyor çünkü her iki taraf da dışarıya bağlantı başlatıyor ve STUN protokolü bu bağlantıları eşleştiriyor.

Ancak bazı kısıtlı ağ ortamlarında peer-to-peer bağlantı kurulamayabiliyor. Bu durumda TURN relay devreye giriyor — trafik relay üzerinden geçiyor ama hâlâ şifreli. Bu senaryoda bile sunucularda hiçbir inbound port açık değil; relay sunucusunda 3478 portu var, ama o da sizin kendi sunucunuz.

SSO ve MFA Entegrasyonu

NetBird, Identity Provider entegrasyonunu destekliyor. Microsoft Entra ID (eski adıyla Azure AD) ile entegre ettim. Artık çalışanlar kurumsal hesaplarıyla giriş yapıyorlar, MFA otomatik olarak devreye giriyor.

Birisi şirketten ayrıldığında tek yapılacak şey Entra ID'de hesabı devre dışı bırakmak. NetBird'e ayrıca müdahale etmeme gerek yok — kullanıcı bir sonraki token yenileme döngüsünde otomatik olarak ağdan çıkıyor.

Gerçek Hayat Testi: Güvenlik Denetimi

Geçen yıl altyapıya harici bir güvenlik denetimi yaptırdım. Denetçiler port tarama başlattıklarında tüm sunucularda sıfır açık inbound port gördüler. NetBird Management Server'ımızda 443 portu var, o kadar.

Denetim raporu bu noktayı özellikle belirtti: "Altyapıda sıfır gereksiz saldırı yüzeyi tespit edildi."

Ne Zaman NetBird, Ne Zaman Klasik VPN?

NetBird her senaryoya uygun değil. Bazı durumlar var ki klasik VPN daha mantıklı:

Eğer tüm trafiği merkezi bir noktadan izlemek ve filtrelemek istiyorsanız, NetBird'ün peer-to-peer yapısı bunu güçleştirir. Site-to-site bağlantı için network routing gerekiyorsa, NetBird bunu destekliyor ama daha fazla yapılandırma gerektiriyor.

Ama uzaktan erişim, cihazlar arası güvenli iletişim ve sıfır güven mimarisi için NetBird rakipsiz.

Sonuç

NetBird'ü KRK Holding altyapısında hayata geçirdikten bu yana şunlar değişti: VPN gateway bakımı sıfırlandı, güvenlik denetimlerinde port sorunu kalmadı, yeni kullanıcı ekleme süresi beş dakikaya indi ve uzaktan çalışan ekip üyeleri artık tam kurumsal ağa güvenli erişim sağlıyor.

Açık kaynak ve self-hosted olması da kritik — verileriniz kendi sunucunuzda, hiçbir üçüncü tarafa bağımlılık yok.

Kurulum veya yapılandırma konusunda sorularınız varsa iletişim forumundan ulaşın.

İK
İdris Koç
Linux Engineer · IT Manager @ KRK Holding · linux.ist Kurucusu