| IKEv2 VPN Hub-and-Spoke Kurulum |
| Strato VPS, Proxmox LXC ve Windows 11 https://docs.google.com/document/d/18nPojFYLGJxNwQ1-CvjWnlZdBo6U_CsEqArihvWbEL0/edit?usp=sharing ############### Harika bir iş çıkarmışsın! Notlarını ve yapılandırmanı incelediğimde, kurduğun sistemin teknik karşılığı **IKEv2/IPsec tabanlı bir Hub-and-Spoke (Merkez ve Dal) VPN mimarisidir.** Senin senaryonda **Strato VPS Hub (Merkez)**, evdeki **Proxmox LXC ise Spoke (Dal)** görevini görüyor. Windows 11 ise bu merkeze dışarıdan bağlanan bir **Roadwarrior (Gezgin)** istemci. İşte kurduğun bu yapının temel özellikleri ve çalışma mantığı: --- ## 1. Mimarinin Mantığı: Hub-and-Spoke Normal VPN ler genellikle Noktadan Noktaya (Point-to-Point) kurulur. Senin yapında ise tüm yollar VPS e (Hub) çıkıyor: * **Merkez (Hub):** Strato VPS. Trafiği yöneten, kimlik doğrulayan ve Spoke ile Roadwarrior arasındaki köprüyü kuran ana dağıtıcı. * **Dal (Spoke):** Evdeki Proxmox LXC. Bu cihaz, ev internetindeki CGNAT veya dinamik IP engellerini aşarak VPS e sürekli açık bir tünel (Persistent Tunnel) kurar. * **Gezgin (Roadwarrior):** Senin Windows 11 bilgisayarın. Dünyanın herhangi bir yerinden merkeze bağlanır ve merkez üzerinden evdeki tünele geçiş yapar. --- ## 2. Neden IKEv2 ve swanctl/charon? Yapılandırmanda **IKEv2 (Internet Key Exchange v2)** protokolünü seçmişsin. Bu çok doğru bir tercih çünkü: * **Mobilite:** Bağlantı kopsa bile (örneğin Wi-Fi dan 4G ye geçince) çok hızlı bir şekilde tüneli yeniden kurar. * **Güvenlik:** Sertifika tabanlı (Let s Encrypt) doğrulama kullanarak Man-in-the-Middle saldırılarını engeller. * **Modernite:** `swanctl.conf` (modern) ve `ipsec.conf` (klasik) arasında gidip gelmişsin ancak notlarındaki `swanctl` yapısı AlmaLinux 9 gibi modern sistemler için en stabil olanıdır. --- ## 3. Trafik Nasıl Akıyor? (Routing) Windows bilgisayarından tarayıcıya `https://10.10.10.5:8006` yazdığında şu zincir gerçekleşiyor: 1. **Sanal IP Havuzu:** VPS, bağlanan her cihaza bir IP verir (LXC ye `10.10.10.5`, Windows a `10.10.10.100` gibi). 2. **VPS Yönlendirme:** Windows tan gelen istek VPS e ulaşır. VPS, `10.10.10.5` adresinin evdeki tünelde (LXC) olduğunu bilir ve paketi tünelin içine atar. 3. **LXC Port Yönlendirme (DNAT):** Paket LXC ye ulaştığında, senin yazdığın `iptables` kuralı devreye girer: * 8006 portuna gelen isteği, yerel ağdaki Proxmox ana makinesine (192.168.1.X) fırlat! * 4. **Masquerade (SNAT):** Dönüş trafiğinin kaybolmaması için LXC, paketi sanki kendi oluşturmuş gibi gösterir. --- ## 4. Kritik Eksik: Keep-Alive (Bağlantıyı Hayatta Tutma) Notlarında belirttiğin gibi, LXC (Spoke) tarafı tüneli başlatan taraftır. Eğer internet kesilirse veya tünel zaman aşımına uğrarsa bağlantı kopabilir. LXC içine basit bir ping scripti eklemek hayat kurtarır. **Öneri - Basit Keep-Alive Scripti:** LXC içinde bir dosya oluşturun: `nano /usr/local/bin/vpn-check.sh` ```bash #!/bin/bash # VPS in tünel içindeki IP sini veya vpn.narter.online ı pingleyin ping -c 1 10.10.10.1 > /dev/null 2>&1 if [ $? -ne 0 ]; then echo VPN bağlantısı koptu, yeniden başlatılıyor... ipsec restart fi ``` Bunu `crontab -e` ile her 5 dakikada bir çalışacak şekilde ayarlayabilirsiniz: `*/5 * * * * /usr/local/bin/vpn-check.sh` --- ## 5. Küçük Bir Düzeltme (Candan Bir Uyarı) Notlarında hem `ipsec.conf` hem de `swanctl.conf` yapılandırmaları karışık halde duruyor. AlmaLinux 9 üzerinde **StrongSwan 5.9+** sürümleri varsayılan olarak `swanctl` (vici interface) kullanır. Eğer `systemctl start strongswan` çalışıyorsa, ayarları `/etc/strongswan/swanctl/swanctl.conf` içinden yapman daha profesyonel ve sorunsuz olacaktır. Bu kurulumu tamamladığında, artık kendi özel Cloudflare Tunnel benzeri yapını hiçbir üçüncü parti servise (Tailscale vb.) güvenmek zorunda kalmadan kurmuş oldun. **Bir sonraki adımda, sertifika yenileme (Certbot) işlemlerini StrongSwan ile otomatik otomatiğe bağlamak ister misin?** |
| Edit Delete |