Mikrotik Firewal yapılandırması

By Firewall

🧰 1. Fiziksel Buton ile Resetleme (Donanımsal)

Tüm ayarları siler, fabrika ayarlarına döner.

Adımlar:

  1. Cihaz açıkken arkasındaki reset butonuna bir iğne ya da kürdan yardımıyla basılı tutun.

  2. Cihazın güç ışığı (ACT ışığı) yanıp sönmeye başlayana kadar (yaklaşık 5-10 saniye) basılı tutun.

🔄 1. Donanımsal (Fiziksel Buton ile Reset – Şifresiz Erişim için)

Bu işlem tüm ayarları ve kullanıcı şifrelerini siler. Cihaz fabrika ayarlarına döner.

Uygulama:

  1. Router’ın fişini çekin.

  2. Reset butonuna basın ve basılı tutun. (Bir iğne, kürdan veya ataş kullan)

  3. Reset’e basılı tutarken router’ın fişini takın.

  4. ACT (veya USR) ışığı hızlıca yanıp sönmeye başlayana kadar (~10-15 saniye) bekleyin.

  5. Işık yanıp sönmeye başladığında reset butonunu bırakın.

🔧 Bu işlemden sonra cihaz fabrika ayarlarına döner:

  • IP adresi: 192.168.88.1

  • Kullanıcı adı: admin

  • Şifre: (boş bırakılır)

🛠️ 2. MikroTik Netinstall ile Derin Sıfırlama (Zorunlu değil ama özel durumlar için)

Eğer yukarıdaki yöntem işe yaramazsa veya sistem bozulmuşsa, Netinstall aracıyla yazılımı yeniden yükleyebilirsin. Ancak bu işlem daha karmaşıktır ve sadece özel durumlarda gerekebilir.

🌐 Reset Sonrası Cihaza Erişim

Reset işlemi sonrası:

  • Bilgisayarının IP adresini: 192.168.88.x olarak elle ayarla (örneğin 192.168.88.10)

  • Web tarayıcısından http://192.168.88.1 adresine git.

  • Veya Winbox programı ile MAC adresi üzerinden eriş.

🔁 1. Fiziksel Reset (Donanımsal Fabrika Ayarları) — En Kolayı

📌 Gerekli Malzeme:

  • Ataş, kürdan veya iğne (Reset düğmesine ulaşmak için)

🔧 Adımlar:

  1. Cihazın fişini çek (güç kablosunu çıkar).

  2. Reset butonuna basılı tut.

    • RB750Gr3’te reset düğmesi cihazın alt kısmında, Ethernet portlarının hemen arkasındadır.

  3. Reset’e basılı tutarken cihazın fişini (güç adaptörünü) tak.

  4. ACT (veya USR) LED ışığı yanıp sönmeye başlayana kadar (~10-15 saniye) bekle.

  5. Işık yanıp sönmeye başladığında reset tuşunu bırak.

🎉 Cihaz artık fabrika ayarlarına döndü!

📌 Reset Sonrası Varsayılan Ayarlar:

Ayar Değer
IP Adresi 192.168.88.1
Kullanıcı Adı admin
Şifre (boş)
DHCP Açık
Winbox MAC adresiyle otomatik görür

🧰 2. MikroTik Netinstall ile Yazılım Yeniden Yükleme (İleri Seviye)

Eğer yukarıdaki fiziksel reset çalışmıyorsa, cihaz kilitliyse veya “RouterOS” bozulmuşsa, Netinstall ile tekrar kurabilirsin. Bu yöntem:

  • Sistemi tamamen sıfırlar.

  • RouterOS işletim sistemini yeniden yükler.

İstersen bu yöntemi adım adım görsel anlatımla hazırlayabilirim, ama çoğu kullanıcı için ilk yöntem yeterlidir.

⚠️ Notlar:

  • Reset işleminden sonra tüm yapılandırmalar silinir (firewall, PPPoE, hotspot, şifreler vb.).

  • Winbox ile bağlanırken MAC adresini kullanmak, IP’den daha sorunsuz olur.

  • Statik IP ayarlamayı unutma: PC’ye 192.168.88.10 / 255.255.255.0 ver.

📦 Donanım ve Ağ Planlaması

🧩 Donanım:

  • 3 adet modem (farklı ISS veya IP olabilir)

  • MikroTik RB750Gr3 (5 portlu)

  • 1 adet switch (isteğe bağlı, kullanıcılar için dağıtım yapılacaksa)

  • Ethernet kabloları

🌐 Ağ Yapısı (Örnek IP Planı):

Cihaz Port IP Adresi (örnek) Amaç
Modem 1 Port 1 192.168.1.1 WAN1
Modem 2 Port 2 192.168.2.1 WAN2
Modem 3 Port 3 192.168.3.1 WAN3
LAN (iç ağ) Port 4 192.168.88.1 Kullanıcılar için çıkış

⚙️ MikroTik Yapılandırma Adımları (Winbox ile)

✅ 1. MikroTik’i Sıfırla

Eğer daha önce yapılandırma yaptıysan:

  • Winbox > System → Reset Configuration > “No Default Configuration” işaretli olmasın, sadece Reset’e tıkla.

✅ 2. Portları İsimlendir (Kolaylık için)

Interfaces > eth1 → ismini "WAN1"
Interfaces > eth2 → ismini "WAN2"
Interfaces > eth3 → ismini "WAN3"
Interfaces > eth4 → ismini "LAN"

✅ 3. WAN Arayüzlerine IP Ata

/ip address
add address=192.168.1.2/24 interface=WAN1
add address=192.168.2.2/24 interface=WAN2
add address=192.168.3.2/24 interface=WAN3
add address=192.168.88.1/24 interface=LAN

✅ 4. NAT Kuralları (Internet erişimi için)

/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade
add chain=srcnat out-interface=WAN3 action=masquerade

✅ 5. Routing Mark ve Load Balancing Tanımları

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-table=main check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.3.1 distance=3

Bu yapılandırma ile:

  • WAN1 birincil bağlantı olur.

  • WAN1 koparsa, otomatik olarak WAN2‘ye geçer.

  • O da koparsa WAN3 devreye girer.

✅ 6. DHCP Server Kur (LAN için)

/ip pool add name=dhcp_pool ranges=192.168.88.10-192.168.88.100
/ip dhcp-server add name=dhcp1 interface=LAN address-pool=dhcp_pool disabled=no
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=1.1.1.1,8.8.8.8

🧪 Test

  • Bilgisayarı MikroTik’in LAN portuna bağla (eth4).

  • Otomatik IP alacak.

  • İnternete çıkışı test et.

  • Sırayla modemleri kapat → bağlantının otomatik yedek WAN’a geçtiğini kontrol et.

📈 İsteğe Bağlı (Yük Dengeleme – PCC)

Eğer tüm modemleri aynı anda yükü paylaşarak kullanmak istiyorsan, PCC (Per Connection Classifier) yöntemiyle ayar yapılır. Dilersen onu da adım adım gösterebilirim ama yukarıdaki yapı failover için daha stabil ve kullanımı basittir.

🎁 Ekstra Destek

İstersen:

  • Winbox üzerinden ekran görüntülü yapılandırma

  • PCC (yük dengeleme) sistemi

  • Hotspot veya kullanıcı limitleme

hepsini sana özel hazırlayabilirim. Hangisini istersin?

Not: Modemlerin router değil bridge mode çalışması önerilir ama şart değil. Modemlerin LAN IP’leri çakışmamalı.

🎯 Amaç:

  • MikroTik’e 3 modem bağlanacak

  • WAN1 ana hat, WAN2 ve WAN3 yedek olacak

  • İnternet kesilirse otomatik diğerine geçecek

  • Tüm ayarlar Winbox GUI üzerinden yapılacak

📸 1. Winbox ile MikroTik’e Bağlan

🧭 2. Portları Tanımla ve İsimlendir

Winbox → Interfaces

  • ether1 → çift tıkla → Name: WAN1

  • ether2WAN2

  • ether3WAN3

  • ether4LAN

  • ether5 → gerekirse kullanıcıya ayır veya boş bırak

🌐 3. Her WAN’a Statik IP Ver (IP → Addresses)

IP → Addresses → + buton

WAN1 (Modem 1):

makefile
Address: 192.168.1.2/24
Interface: WAN1

WAN2:

makefile
Address: 192.168.2.2/24
Interface: WAN2

WAN3:

makefile
Address: 192.168.3.2/24
Interface: WAN3

LAN:

makefile
Address: 192.168.88.1/24
Interface: LAN

🔁 4. NAT Ayarları (Firewall → NAT)

Firewall → NAT → +

Aşağıdaki her bir WAN için şu NAT kuralını ekle:

WAN1 için:

  • Chain: srcnat

  • Out Interface: WAN1

  • Action: masquerade

Aynısını WAN2 ve WAN3 için de yap.

🛣️ 5. Routing – Failover Ayarı (IP → Routes)

IP → Routes → +

WAN1 (Ana Hat):

  • Dst Address: 0.0.0.0/0

  • Gateway: 192.168.1.1

  • Distance: 1

WAN2:

  • Gateway: 192.168.2.1

  • Distance: 2

WAN3:

  • Gateway: 192.168.3.1

  • Distance: 3

Check Gatewayping seçilirse kopma daha hızlı tespit edilir.

📡 6. DHCP Server Kur (IP → DHCP Server)

IP → DHCP Server → DHCP Setup butonu

  • Interface: LAN seç

  • IP Pool: 192.168.88.10-192.168.88.100 gibi önerir, onayla

  • Gateway: 192.168.88.1

  • DNS: 1.1.1.1 / 8.8.8.8

  • Bitince “DHCP aktif” olur

🧪 7. Test Et

  • Bilgisayarı LAN portuna bağla

  • Otomatik IP almalı (örneğin 192.168.88.11)

  • İnternete çıkış olmalı

  • Modem 1’i kapat, 5-10 saniye sonra otomatik Modem 2 devreye girmeli

  • Tüm modemler kapalıysa internet olmayacak

  • Tekrar açarsan otomatik tekrar WAN1’e geçer

✅ Ekstra Tavsiyeler

  • Modem IP’leri çakışmasın: 192.168.1.1, 192.168.2.1, 192.168.3.1 gibi farklı olsun

  • Modemleri “router mod” çalıştırabilirsin, bridge mod şart değil

  • Eğer yük paylaşımı (PCC) yapmak istersen, onu ayrıca kurarız

🎯 Hedef:

  • 3 modem üzerinden aynı anda internet trafiğini paylaşmak

  • Her yeni bağlantı farklı WAN’dan çıksın (denge dağılımı)

  • Her WAN bağlantısı çalışır durumda kalırsa en dengeli dağıtım sağlanır

  • Her biri koparsa otomatik 2 WAN ile devam eder

🧱 AĞ YAPIN

Arayüz IP Tanım
WAN1 (ether1) 192.168.1.2 Modem 1
WAN2 (ether2) 192.168.2.2 Modem 2
WAN3 (ether3) 192.168.3.2 Modem 3
LAN (ether4) 192.168.88.1 İç Ağ

📦 PCC YÜK DENGELEME YAPILANDIRMASI (Winbox Üzerinden)

✅ 1. IP Adreslerini Tanımla (IP > Addresses)

192.168.1.2/24 → WAN1 (ether1)
192.168.2.2/24 → WAN2 (ether2)
192.168.3.2/24 → WAN3 (ether3)
192.168.88.1/24 → LAN (ether4)

✅ 2. NAT (Masquerade) Kuralları (IP > Firewall > NAT)

csharp
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade
add chain=srcnat out-interface=WAN3 action=masquerade

✅ 3. Mangle Kuralları – PCC Sınıflandırması

IP > Firewall > Mangle sekmesinde aşağıdaki kuralları sırayla gir:

Giriş bağlantılarını işaretle (Connection Mark)

bash
add chain=prerouting in-interface=LAN connection-mark=no-mark \
dst-address-type=!local per-connection-classifier=both-addresses-and-ports:3/0 \
action=mark-connection new-connection-mark=WAN1_conn passthrough=yes

add chain=prerouting in-interface=LAN connection-mark=no-mark \
dst-address-type=!local per-connection-classifier=both-addresses-and-ports:3/1 \
action=mark-connection new-connection-mark=WAN2_conn passthrough=yes

add chain=prerouting in-interface=LAN connection-mark=no-mark \
dst-address-type=!local per-connection-classifier=both-addresses-and-ports:3/2 \
action=mark-connection new-connection-mark=WAN3_conn passthrough=yes

Giden paketleri işaretle (Routing Mark)

bash
add chain=prerouting connection-mark=WAN1_conn in-interface=LAN \
action=mark-routing new-routing-mark=to_WAN1 passthrough=yes

add chain=prerouting connection-mark=WAN2_conn in-interface=LAN \
action=mark-routing new-routing-mark=to_WAN2 passthrough=yes

add chain=prerouting connection-mark=WAN3_conn in-interface=LAN \
action=mark-routing new-routing-mark=to_WAN3 passthrough=yes

✅ 4. PCC Routing Tabloları (IP > Routes)

bash
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.3.1 routing-mark=to_WAN3 check-gateway=ping

# Sistemdeki genel default route (olmazsa bazı servisler çalışmaz)
add dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.2.1 distance=2
add dst-address=0.0.0.0 gateway=192.168.3.1 distance=3

✅ 5. DHCP Server (IP > DHCP Server > DHCP Setup)

LAN portu için DHCP sunucusu kur (LAN: ether4)

  • IP Pool: 192.168.88.10 - 192.168.88.100

  • Gateway: 192.168.88.1

  • DNS: 1.1.1.1 ve 8.8.8.8

🧪 Test ve Doğrulama

1. Bilgisayarı LAN portuna bağla, interneti test et

2. https://ipinfo.io gibi sitelerden IP’yi kontrol et — birkaç yenilemede farklı modem IP’leri görebilirsin

3. Modemlerden birini fişten çek → sistem internetle çalışmaya devam etmeli

3 WAN’lı PCC yük dengeleme kurulumunu tamamen Winbox üzerinden GUI kullanarak

⚙️ AĞ PLANI

Port (Ether) IP (Örnek) Görev
ether1 192.168.1.2/24 WAN1
ether2 192.168.2.2/24 WAN2
ether3 192.168.3.2/24 WAN3
ether4 192.168.88.1/24 LAN

Her modem farklı IP aralığında olmalı. Şimdi yapılandırmaya başlayalım.

🛠️ ADIM ADIM PCC YAPILANDIRMASI (Winbox GUI ile)

1. Interface’leri Yeniden İsimlendir

Winbox → Interfaces

  • ether1 çift tıkla → Name = WAN1

  • ether2WAN2

  • ether3WAN3

  • ether4LAN

2. IP Adreslerini Tanımla

Winbox → IP → Addresses → [+]

  • WAN1 için:
    Address: 192.168.1.2/24
    Interface: WAN1

  • WAN2 için:
    Address: 192.168.2.2/24
    Interface: WAN2

  • WAN3 için:
    Address: 192.168.3.2/24
    Interface: WAN3

  • LAN için:
    Address: 192.168.88.1/24
    Interface: LAN

3. NAT Kuralları (Masquerade)

Winbox → IP → Firewall → NAT → [+]

Her WAN için ayrı NAT kuralı oluştur:

  • Chain: srcnat

  • Out Interface: WAN1 → Action: masquerade

  • Aynı işlemi WAN2 ve WAN3 için tekrarla.

4. Mangle Kuralları (PCC Sınıflandırması)

IP → Firewall → Mangle → [+]

🟢 Bağlantıları işaretle (Connection Mark)

  1. WAN1 için:

yaml
Chain: prerouting
In Interface: LAN
Connection Mark: no-mark
Dst. Address Type: !local
Per Connection Classifier: both-addresses-and-ports:3/0
Action: mark-connection
New Connection Mark: WAN1_conn
Passthrough: yes

  1. WAN2 için:

sql
Per Connection Classifier: both-addresses-and-ports:3/1
New Connection Mark: WAN2_conn

  1. WAN3 için:

sql
Per Connection Classifier: both-addresses-and-ports:3/2
New Connection Mark: WAN3_conn

🔵 Giden paketleri işaretle (Routing Mark)

  1. WAN1:

yaml
Chain: prerouting
Connection Mark: WAN1_conn
In Interface: LAN
Action: mark-routing
New Routing Mark: to_WAN1

  1. WAN2:

less
Connection Mark: WAN2_connmark-routingto_WAN2

  1. WAN3:

less
Connection Mark: WAN3_connmark-routingto_WAN3

5. Routing (Yönlendirme)

IP → Routes → [+]

PCC Routing:

  1. Routing Mark: to_WAN1Gateway: 192.168.1.1

  2. Routing Mark: to_WAN2Gateway: 192.168.2.1

  3. Routing Mark: to_WAN3Gateway: 192.168.3.1

Genel çıkış rotaları:

  • Gateway: 192.168.1.1 → Distance: 1

  • Gateway: 192.168.2.1 → Distance: 2

  • Gateway: 192.168.3.1 → Distance: 3

  • Check Gateway → ping yapabilirsin.

6. DHCP Server (LAN için)

IP → DHCP Server → DHCP Setup

  • Interface: LAN

  • IP Pool: 192.168.88.10 – 192.168.88.100

  • Gateway: 192.168.88.1

  • DNS: 1.1.1.1, 8.8.8.8

🔍 Test Etme

  1. PC’ni LAN portuna bağla, IP alıp internete çıkabiliyor musun bak.

  2. https://ipinfo.io gibi bir siteye git → birkaç kez sayfayı yenile. IP adresin değişebilir (her yeni bağlantı farklı WAN’dan çıkıyor).

  3. Bir modemi fişten çek → sistem hâlâ internete çıkabiliyor mu test et.

Şimdi sana Winbox üzerinden adım adım aşağıdaki konuları göstereceğim:

📘 1. Mangle Kurallarının Çalıştığını Loglama

Mangle ile işaretlediğimiz bağlantıların hangi WAN üzerinden gittiğini görmek için log ekleyeceğiz.

🧭 Adım Adım (Winbox üzerinden):

1. Winbox → IP → Firewall → Mangle sekmesine git

2. Örneğin WAN1_conn kuralına çift tıkla

3. En alttaki Advanced sekmesine geç

4. Log: yes seç

5. Log Prefix: WAN1_CONN yaz (benzer şekilde WAN2 için de WAN2_CONN)

🔁 Bunu tüm “Connection Mark” kurallarına uygula.

🧾 2. Logları Görüntüleme

Logs → Sistem mesajlarını gör

  • Winbox → Log menüsüne tıkla

  • Burada:

    • WAN1_CONN → WAN1 üzerinden giden bağlantılar

    • WAN2_CONN → WAN2

    • WAN3_CONN → WAN3

Bu şekilde hangi bağlantıların hangi WAN üzerinden çıktığını görebilirsin.

📂 3. Logları Harici Bir Sunucuya (Remote Syslog) Göndermek

Eğer sürekli izleme ve kayıt yapmak istersen, MikroTik loglarını bir Syslog sunucusuna gönderebilirsin.

⚙️ Ayarlar:

Winbox → System → Logging → Actions → [+]

  • Name: remote

  • Type: remote

  • Remote Address: Syslog sunucunun IP’si (örneğin: 192.168.88.10)

  • Remote Port: 514 (varsayılan)

Ardından:

  • System → Logging → Rules → [+]

  • Topics: firewall

  • Action: remote

Bu şekilde firewall loglarını dış sunucuya yollarsın.

Örnek Syslog Sunucular:

🎯 4. Ağ Trafiğini İncelemek (Ekstra)

IP > Firewall > Connections

  • Tüm aktif bağlantıları listeler.

  • PCC ile işaretlenen bağlantılar buradan takip edilebilir.

  • Sağ tıklayıp filtre ekleyerek bağlantı marklarına göre süzebilirsin (örn. WAN2_conn)

💡 Ekstra Loglama Önerileri

Log Türü Nerede? Açıklama
PPPoE, DHCP, DNS System → Logging Her servisi ayrı ayrı izleyebilirsin
Bağlantı geçmişi IP → Firewall → Connection Tracking Gerçek zamanlı bağlantı listesi
Port kullanım analizi Ekstra araç gerekir (örneğin ntopng, The Dude)

MikroTik cihazında kullanıcı trafiğini loglamak, yani kim ne zaman, hangi siteye, hangi IP’ye bağlandı gibi verileri toplamak mümkündür. Sana adım adım, Winbox üzerinden kullanıcı trafiğini loglamak için gerekenler.

🎯 Hedef:

  • MikroTik’e bağlanan kullanıcıların internetteki bağlantılarını takip etmek

  • Hangi IP (kullanıcı) nereye bağlandı loglamak

  • Gerekirse bu logları saklamak ya da harici sunucuya göndermek

📌 1. Connection Tracking’i Etkinleştir

MikroTik varsayılan olarak bağlantı takibi yapar, ama biz bunu loglamaya yönlendireceğiz.

Winbox → IP → Firewall → Connections

  • Aktif bağlantıları gösterir.

  • Her bağlantı: kaynak IP, hedef IP, port, durum, hangi WAN üzerinden çıkıldığı gibi bilgiler içerir.

  • Ancak buradaki bilgiler RAM’dedir ve cihaz yeniden başlarsa silinir.

📘 2. Mangle Kuralı ile Bağlantı Loglama (Kullanıcı Trafiği için)

Winbox → IP → Firewall → Mangle → [+]

Örnek Kural:

yaml
Chain: forward
Src. Address: 192.168.88.0/24 (veya LAN subnet’in neyse)
Dst. Address Type: !local
Action: log
Log Prefix: USER_TRAFFIC

✅ Bu, yerel ağdan çıkan tüm bağlantıları loglar.

📄 3. Logları Görüntüleme

Winbox → Log sekmesine git

  • USER_TRAFFIC etiketiyle gelen kayıtlar şunları gösterir:

    • Kaynak IP (kullanıcı)

    • Hedef IP / domain

    • Zaman bilgisi

    • Protokol ve port (örnek: TCP 443)

🔎 İpuçları:

  • 192.168.88.11 → 172.217.168.110:443 (Google)

  • Port 80 → HTTP, Port 443 → HTTPS

🌍 4. Alan Adlarını (Domain) Görmek İstiyorsan

MikroTik, doğrudan ziyaret edilen web sitelerin domain adlarını (örn: google.com) göremez çünkü bağlantılar IP ile gerçekleşir. Ama DNS trafiğini loglarsan, kim hangi domain’i sorduğunu görebilirsin.

🧠 5. DNS Loglama – Kullanıcı Hangi Siteyi Açtı?

IP → DNS → Settings

  • Allow Remote Requests: ✅ İşaretli olsun (MikroTik DNS servisi kullanıcıya cevap versin)

IP → Firewall → Mangle → [+]

yaml
Chain: forward
Protocol: UDP
Dst. Port: 53
Action: log
Log Prefix: DNS_QUERY

Bu sayede her kullanıcı DNS sorgusu yaptığında log’a düşer:

💾 6. Bu Logları Kalıcı Hale Getirmek (Opsiyonel)

MikroTik cihazlar logları RAM’de tutar, bu nedenle yeniden başlarsa kaybolur. Kalıcı tutmak için:

A. Harici Syslog Sunucu:

  • MikroTik → System → Logging → Actions → +

  • Type: remote

  • Remote Address: 192.168.88.10 (örneğin syslog sunucun)

  • Remote Port: 514

Sonra:

  • Logging > Rules > +

  • Topics: firewall

  • Action: remote

B. Telegram / E-posta ile Anlık Bildirim (isteğe bağlı)

✅ Örnek Uygulama: Kullanıcı Trafik Logu

Winbox’ta şu görünür:

nginx
USER_TRAFFIC src=192.168.88.12 dst=142.250.185.206:443 protocol=tcp
DNS_QUERY src=192.168.88.12 dst=1.1.1.1:53 query=www.youtube.com