WireGuard vs OpenVPN 2026: Kurumsal VPN Mimari Karşılaştırma

WireGuard vs OpenVPN seçimi 2026’da kurumsal VPN mimarisinin en belirleyici teknik kararıdır. Kısa cevap: çoğu yeni site-to-site ve remote-access dağıtımında WireGuard kazanır — Linux 5.6 ile kernel’a dahil edilen protokol, ~4.000 satır kod tabanı ve ChaCha20-Poly1305 + Curve25519 cipher suite’i sayesinde OpenVPN’in ~600.000 satırlık kod tabanına göre saldırı yüzeyini dramatik şekilde küçültür. WireGuard testlerinde 1 Gbps hattı doyururken (yaklaşık 950 Mbps throughput), OpenVPN UDP modunda aynı donanımda 250-400 Mbps aralığında kalır ve handshake gecikmesi 7-10 kat daha düşüktür. Ancak OpenVPN’in 24 yıllık olgunluğu, TLS tabanlı kimlik doğrulama esnekliği, sertifika tabanlı PKI entegrasyonu ve katmanlı erişim politikaları hâlâ regüle endüstriler için meşru bir tercih gerekçesidir. Bu yazı, iki protokolün kriptografi, performans, operasyonel maliyet ve uyumluluk boyutlarını ölçülebilir veriyle karşılaştırarak kurumsal mimari kararını netleştirir.

Protokol Kimliği: Kod Tabanı ve Tasarım Felsefesi

WireGuard, Jason A. Donenfeld tarafından 2015-2016’da geliştirilmiş ve Linus Torvalds’ın “bir sanat eseri” olarak tanımladığı, kasıtlı olarak minimalist bir VPN protokolüdür. Linux kernel 5.6 (Mart 2020) ile mainline’a alınması, kernel-space işleme avantajıyla user-space VPN çözümlerine kıyasla kontekst değişimi maliyetini ortadan kaldırır. Toplam kod tabanı ~4.000 satır C — denetlenmesi tek bir güvenlik araştırmacısı için günler içinde mümkün. OpenVPN 2.6.x serisi ise yaklaşık 600.000 satır (OpenSSL bağımlılıkları dahil) ve user-space TUN/TAP üzerinden çalışır.

Tasarım felsefesi farkı opinionated vs configurable ayrımına dayanır. WireGuard tek bir cipher suite zorlar: ChaCha20-Poly1305 (simetrik), Curve25519 (anahtar değişimi), BLAKE2s (hash), HKDF (anahtar türetme), SipHash24 (hashtable indeksi). Müzakere yok, downgrade saldırısı yok. OpenVPN ise OpenSSL veya mbedTLS’i kütüphane olarak kullanır; AES-256-GCM, AES-128-GCM, ChaCha20-Poly1305 dahil çok sayıda cipher ve TLS 1.2/1.3 versiyon kombinasyonu destekler. Bu esneklik geriye uyumluluk sağlar, ama yanlış konfigürasyon riskini artırır.

Boyut	WireGuard	OpenVPN 2.6
Kod tabanı (LOC)	~4.000	~600.000 (OpenSSL dahil)
İlk stabil sürüm	2020 (kernel 5.6)	2002
Çalışma katmanı	Kernel-space (Linux), user-space (BSD/Windows)	User-space (tüm platformlar)
Cipher müzakeresi	Yok (sabit suite)	Var (TLS handshake)
Default cipher	ChaCha20-Poly1305	AES-256-GCM
Key exchange	Curve25519 (Noise IK pattern)	RSA/ECDSA + TLS 1.3
Transport	Sadece UDP	UDP veya TCP
Lisans	GPL v2 (kernel), MIT/BSD (user-space)	GPL v2 + ek istisnalar

Pratik sonuç: WireGuard, “cryptographically agile” değildir — gelecekte bir cipher kırılırsa protokol versiyonu komple yükseltilir (v1 → v2 gibi). Bu, post-quantum geçişte teorik bir risk olarak görülür; ancak Donenfeld’in açıklamasına göre v2’ye sorunsuz upgrade path planlanmıştır. OpenVPN ise OpenSSL 3.x ile birlikte CRYSTALS-Kyber gibi hybrid post-quantum cipher’ları daha hızlı entegre edebilir.

Performans: Throughput, Latency, CPU Maliyeti

WireGuard’ın kernel-space ChaCha20-Poly1305 implementasyonu, AES-NI olmayan ARM cihazlarda ve mobilde belirgin avantaj sağlar. WireGuard projesinin yayımladığı benchmark’larda iki Linux endpoint arasında 1 Gbps hat üzerinde WireGuard ~960 Mbps, OpenVPN UDP ~258 Mbps, IPSec/IKEv2 ~881 Mbps throughput verir. Ping latency’de WireGuard tipik olarak 0.4 ms ek gecikme eklerken OpenVPN 1.9 ms, IPSec 1.4 ms ekler. Bu rakamlar 2018’den beri bağımsız test laboratuvarları (PCMag, ProtonVPN, Mullvad iç testleri) tarafından geniş ölçüde doğrulanmıştır.

CPU profili açısından WireGuard’ın paket başına ek maliyeti yaklaşık 1.5-2 µs (modern x86 üzerinde), OpenVPN UDP modunda 8-12 µs. Yüksek paket sayısı (small-packet, VoIP, oyun trafiği) senaryolarında bu fark daha da büyür çünkü her paket TLS handshake’ten bağımsız olarak ek kopyalama ve şifreleme katmanlarından geçer. Cloudflare’in kendi WARP (BoringTun, Rust-based WireGuard) deployment’ında milyarlarca eşzamanlı tüneli yönetebilmesi bu verimlilikten kaynaklanır.

Metrik	WireGuard	OpenVPN UDP	OpenVPN TCP	IPSec IKEv2
Throughput (1 Gbps hat)	~950-960 Mbps	~250-400 Mbps	~180-280 Mbps	~860-890 Mbps
Ek latency (RTT)	~0.4 ms	~1.9 ms	~2.6 ms	~1.4 ms
Handshake süresi	~1 RTT (Noise IK)	~6-8 RTT (TLS+OpenVPN)	~9-11 RTT	~3-4 RTT
CPU per packet	~1.5-2 µs	~8-12 µs	~10-15 µs	~3-5 µs
Battery drain (mobil)	Düşük	Yüksek	Çok yüksek	Orta
NAT traversal	Pasif (keepalive)	Aktif (mssfix)	Aktif (port 443)	NAT-T extension

Performans rakamları okurken iki uyarı: (1) OpenVPN’in --cipher AES-256-GCM + --data-ciphers-fallback ile AES-NI’lı modern CPU’larda farkı azaltmak mümkündür, ancak yine de WireGuard’ı geçemez. (2) WireGuard’ın UDP-only olması, port 443’ün açık olduğu kısıtlı ağlarda (otel Wi-Fi, kurumsal güvenlik duvarı) bağlantı sorununa yol açar. OpenVPN’in TCP/443 fallback’i bu senaryoda hâlâ pratik bir kurtarıcıdır.

Güvenlik Modeli ve Kriptografi Karşılaştırması

WireGuard’ın güvenlik modeli Trevor Perrin’in Noise Protocol Framework’üne (özellikle Noise IK pattern) dayanır. Her peer statik public key ile tanımlanır; SSH’a benzer şekilde AllowedIPs listesi peer’ın routing tablosunu da işlevini görür. Replay koruması 64-bit counter ile sağlanır. Önemli bir nokta: WireGuard, peer’ları IP adresi yerine kriptografik kimlikle tanımlar — bu, roaming senaryolarında (mobil cihaz Wi-Fi’dan 5G’ye geçer) tünel kopmadan otomatik adres güncellemesi sağlar. Resmî dokümantasyon için bkz. wireguard.com/protocol.

OpenVPN ise X.509 sertifika tabanlı bir PKI üzerine kurulur. CA (Certificate Authority), server cert, client cert, CRL (Certificate Revocation List), opsiyonel tls-auth/tls-crypt HMAC anahtarı gibi katmanlar geleneksel kurumsal kimlik yönetimine doğal entegrasyon sunar. Active Directory, RADIUS, LDAP, OAuth/OIDC entegrasyonları (özellikle OpenVPN Access Server’da) zengindir. Sertifika revoke etmek dakikalar içinde merkezi olarak yapılabilirken WireGuard’da bir peer’ı “iptal etmek”, server config’inden [Peer] bloğunu silip servisi reload etmek demektir — otomasyon olmadan ölçeklenmesi zordur.

• Forward secrecy: WireGuard her ~2 dakikada bir yeni session key türetir (Curve25519 ephemeral). OpenVPN TLS 1.3 ile ECDHE üzerinden FS sağlar, ancak rekey aralığı default 3600 saniyedir (--reneg-sec ile değiştirilebilir).
• DoS koruması: WireGuard’ın cookie reply mekanizması (Noise’dan miras) yüksek yük altında handshake spam’ini etkili biçimde absorbe eder.
• Side-channel direnci: ChaCha20-Poly1305 timing-attack’a karşı doğal olarak dirençlidir (constant-time implementasyon kolay).
• Audit: WireGuard 2018’de bağımsız formal verification (Tamarin Prover) ile doğrulandı. OpenVPN 2017 OSTIF + QuarksLab denetimi (kritik bug yok).
• Identity binding: WireGuard sadece public key; OpenVPN cert + opsiyonel kullanıcı adı/şifre + MFA (TOTP, push).

Kurumsal kontekstte bu fark önemlidir: WireGuard “her peer’ı kim onayladı?” sorusunu kendisi cevaplayamaz — bir konfigürasyon yönetim katmanı (Tailscale, Netbird, Headscale, ya da kendi orchestrator’unuz) gerektirir. OpenVPN PKI ise out-of-the-box audit log, sertifika geçerlilik süresi, kademeli yetkilendirme zinciri sunar. Zero Trust Mimari dağıtımlarında bu kimlik katmanı kritiktir.

Operasyonel Karmaşıklık ve Konfigürasyon

WireGuard konfigürasyonu basitliği ile ünlüdür. Minimal bir server wg0.conf:

[Interface]
PrivateKey = 
Address = 10.0.0.1/24
ListenPort = 51820
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = 
AllowedIPs = 10.0.0.2/32

Karşılaştırılabilir bir OpenVPN server konfigürasyonu 40-80 satır arasıdır ve ayrıca CA, server cert, DH parametreleri, tls-crypt anahtarı, CRL yönetimi gerektirir. Bu basitlik bir bedelle gelir: WireGuard kullanıcı/peer ekleme süreci yerleşik bir CLI sunmaz, manuel veya orchestrator gerektirir. 100+ peer ölçeğinde Ansible/Terraform veya Tailscale gibi bir yönetim katmanı zorunlu hale gelir.

Operasyonel boyut	WireGuard	OpenVPN
Server config satır sayısı (minimal)	8-12	40-80
Sertifika yönetimi	Yok (sadece key pair)	CA + server + per-client cert + CRL
Kullanıcı revocation	Manuel config edit + reload	CA-side revoke (anında)
Logging	Minimal (kernel msg, syslog)	Detaylı (–status, –verb 4)
MFA / 2FA	Dış katman gerekir	Yerleşik (auth-user-pass + plugin)
Web yönetim paneli	Tailscale, Netbird, wg-easy (üçüncü taraf)	OpenVPN Access Server, Pritunl
Audit zorluğu	Düşük (4K LOC)	Yüksek (600K LOC)
Ölçekleme stratejisi	Mesh / hub-and-spoke + orchestrator	Multi-server load balancing + shared PKI

Pratikte WireGuard üzerine inşa edilen orchestrator katmanları (Tailscale, Cloudflare WARP/Zero Trust, Netbird, Headscale, Twingate) operasyonel boşluğu doldurur. Tailscale 2026 itibarıyla 5M+ ücretsiz kullanıcıyı yönetir ve coordination server üzerinden NAT traversal, ACL, SSO entegrasyonu sağlar — alt katmanda WireGuard protokolünü kullanır. Bu “managed WireGuard” yaklaşımı, çoğu KOBİ ve orta ölçekli kurumun ihtiyacını OpenVPN’den daha düşük TCO ile karşılar.

Platform Desteği ve Ekosistem Olgunluğu

OpenVPN’in 24 yıllık geçmişi ekosistem zenginliği avantajına dönüşür. Hemen hemen her güvenlik duvarı (pfSense, OPNsense, FortiGate, Palo Alto, SonicWall), her router firmware’i (OpenWrt, DD-WRT, ASUSWRT-Merlin), her büyük cloud sağlayıcısı (AWS Client VPN OpenVPN-compatible mode, Azure Point-to-Site) ve her platform için resmî istemci mevcuttur. WireGuard ise 2020’den sonra hızla yayıldı — Linux 5.6, Windows 10/11 native, macOS App Store, iOS, Android, FreeBSD, OpenBSD, OPNsense plugin desteği var.

• Mobil deneyim: WireGuard iOS/Android client’ları battery-friendly; cihaz uyandığında handshake 1 RTT’de tamamlanır. OpenVPN mobil client’ları (özellikle TCP modunda) bataryayı 2-3x daha hızlı tüketir.
• Cloud-native: AWS Site-to-Site VPN IPSec’i tercih eder; WireGuard kullanmak isteyenler self-managed EC2 + Cloudflare Tunnel veya Tailscale Subnet Router gibi katmanlar kullanır.
• Enterprise client management: OpenVPN Connect, MDM (Intune, Jamf) ile profile push, certificate auto-renewal, kill switch politikalarını merkezden uygular. WireGuard MDM desteği son 2 yılda artmış olsa da hâlâ OpenVPN seviyesinde değildir.
• Avantaj (OpenVPN): Legacy donanım, sertifika tabanlı SSO/PKI, dinamik DNS/routing senaryoları.
• Ne zaman seç (WireGuard): Yeni greenfield deployment, performans-kritik trafik (video, VoIP, gaming, replication), mobil iş gücü.

Türkiye pazarında pratik bir gözlem: ISP-level NAT (özellikle mobil operatörlerde CGNAT) ve agresif DPI (Deep Packet Inspection) bazı WireGuard tünellerini bozar. OpenVPN’in TCP/443 + tls-crypt obfuscation kombinasyonu, kısıtlı ağlarda hâlâ daha güvenilirdir. WireGuard tarafında bu sorun için wireguard-go + shadowsocks veya cloudflare warp obfuscation katmanları kullanılır.

Kurumsal Kullanım Senaryoları: Hangi Protokol Nerede

Karar çerçevesini ölçülebilir kriterlere indirgemek gerekirse: bağlantı sayısı, uyumluluk yükümlülüğü, mevcut PKI yatırımı, performans gereksinimi, operasyonel olgunluk. Aşağıdaki matris yaygın kurumsal senaryoları haritalandırır.

Senaryo	Önerilen	Gerekçe
50 kişilik yazılım şirketi, remote-first	WireGuard (Tailscale/Netbird)	SSO entegrasyonu, mesh routing, düşük operasyonel yük
500+ kullanıcı, mevcut OpenVPN PKI	OpenVPN (devam) veya hybrid migration	Sertifika revocation, audit gereksinimi, sunk cost
Çoklu lokasyon site-to-site (5+ şube)	WireGuard + BGP/FRR	Düşük latency, basit mesh topolojisi
Finans / sağlık (HIPAA, KVKK, ISO 27001)	OpenVPN veya IPSec	FIPS 140-3 onaylı cipher gereksinimi, denetim deneyimi
Geliştirici staging ortamı erişimi	WireGuard (Cloudflare Tunnel/Tailscale)	Hızlı onboarding, kısa-ömürlü tüneller
IoT cihaz filosu (sensor, kiosk)	WireGuard	Düşük RAM/CPU footprint, kernel desteği
Yüksek paranoia, post-quantum hazırlık	OpenVPN + OQS-provider (hybrid PQ)	OpenSSL 3.x üzerinden Kyber/Dilithium denemesi
Kısıtlı ağ (otel, kafe, kurumsal LAN)	OpenVPN TCP/443	DPI bypass, port-friendly

Kurumsal mimari ekiplerinin DevSecOps Shift-Left ve Secret Management Vault pratikleriyle birlikte VPN protokol seçimini sertifika ve anahtar rotasyonu otomasyonuna bağlaması gerekir. Aksi takdirde protokol ne olursa olsun, statik anahtarlar uzun ömürlü saldırı vektörüne dönüşür.

Maliyet, Lisanslama ve TCO Analizi

Her iki protokol de açık kaynaktır ve ücretsiz kullanılabilir. Gerçek maliyet üç kalemde toplanır: (1) commercial support / managed service, (2) operasyonel insan saati, (3) ek ekosistem ürünleri (orchestrator, MFA, izleme). 100 kullanıcılı tipik bir kurumsal senaryo için tahmini yıllık maliyet aşağıdaki gibi modellenebilir.

Maliyet kalemi (100 kullanıcı/yıl)	Self-managed WireGuard	Tailscale Business	OpenVPN Access Server	Cloudflare Zero Trust
Lisans / abonelik	$0	~$18/kullanıcı/ay → ~$21.600	~$15/eşzamanlı bağlantı/yıl → ~$1.500	~$7/kullanıcı/ay → ~$8.400
Sunucu maliyeti (1 VPS)	~$240	$0 (coordinator dahil)	~$240	$0 (edge’de)
SysAdmin saati (yıllık)	~80 saat × $50 = $4.000	~15 saat = $750	~40 saat = $2.000	~20 saat = $1.000
MFA / SSO ek maliyeti	Okta/Auth0 ~$2/kullanıcı/ay = $2.400	Dahil	~$1.200 (RADIUS plugin)	Dahil
Tahmini toplam	~$6.640	~$22.350	~$4.940	~$9.400

Bu rakamlar referans amaçlıdır; gerçek fiyatlama vendor sayfasındaki güncel tarifeye göre değişir. Görünen şu ki self-managed WireGuard en düşük lisans maliyetini sunar, ancak insan saati toplamda OpenVPN AS’a yaklaşır. Managed çözümler (Tailscale, Cloudflare) operasyonel yükü azaltırken kullanıcı başına abonelik maliyeti getirir — büyüdükçe doğrusal artar. Doğru seçim genellikle “10-50 kullanıcıya kadar managed, 50+ kullanıcıda hybrid (self-managed + IdP entegrasyonu)” şeklinde olur.

Uyumluluk, Regülasyon ve FIPS Sertifikasyonu

Düzenlenmiş sektörler için cipher sertifikasyonu kritiktir. FIPS 140-3 onayı, ABD federal kurumları ve birçok finans/sağlık müşterisi için zorunluluktur. OpenVPN, FIPS-validated OpenSSL FIPS Provider ile çalıştırılabilir ve NIST CMVP üzerinden sertifika numarası ile referanslanır. WireGuard’ın ChaCha20-Poly1305 ve Curve25519 cipher’ları FIPS 140-3 onaylı algoritma listesinde olmasına rağmen, WireGuard implementasyonunun tamamı için FIPS-validated module şu an mevcut değildir.

• KVKK / GDPR: Her iki protokol de uygun şifreleme sağladığı sürece veri aktarımı için yeterlidir; teknik düzeyde fark yok, log retention ve veri konumlandırma stratejisi belirleyicidir.
• ISO 27001: Denetim kontrolleri (A.10.1, A.13.1) için cipher minimumu yerine değişiklik yönetimi ve anahtar yönetimi süreçleri test edilir; her iki protokol de geçer.
• PCI DSS 4.0: Kart sahibi verisi taşıyan tünellerde TLS 1.2+ veya güçlü VPN gerekir; iki protokol de uygun.
• HIPAA: ePHI taşıyan ağlarda FIPS-validated cipher önerilir → OpenVPN avantaj.
• BDDK / SPK rehberleri (TR): Spesifik protokol zorunluluğu yok; “güçlü şifreleme” tanımına her ikisi de uyar.

ENISA’nın 2024 “Crypto Guidelines” raporu (enisa.europa.eu) hem AES-256-GCM hem ChaCha20-Poly1305’i AEAD cipher kategorisinde “recommended” olarak listeler — yani protokol seçimi uyumluluğun ötesinde mimari ve operasyonel kriterlere bırakılır. NIST’in post-quantum geçiş takvimi (CRYSTALS-Kyber FIPS 203 standardı, Ağustos 2024) ile birlikte iki protokolün de 2027-2030 aralığında hybrid PQ cipher desteği kazanması beklenir. Bu konuyu derinlemesine ele almak isteyenler API Güvenliği OWASP Top 10 yazısındaki transport-layer bölümünü incelemelidir.

Migration Stratejisi: OpenVPN’den WireGuard’a Geçiş

Mevcut OpenVPN deployment’ından WireGuard’a geçmek isteyen ekipler için aşamalı plan, big-bang cutover’dan çok daha düşük risk taşır. Tipik 90 günlük migration roadmap’i şu adımlardan oluşur:

1. Discovery (1-2 hafta): Mevcut peer sayısı, kullanılan istemci platformları (Win/Mac/Linux/iOS/Android), routing tablosu, ACL, MFA gereksinimleri envanteri. openvpn-status.log ve show vpn-statistics çıktılarını topla.
2. Pilot (2-3 hafta): 5-10 gönüllü kullanıcı için paralel WireGuard endpoint (farklı subnet, ör. 10.100.0.0/24). Telemetri topla: handshake başarısı, throughput, support ticket sayısı.
3. Wave migration (4-8 hafta): Departman bazlı (geliştiriciler → DevOps → satış → muhasebe) kademeli geçiş. Her wave sonunda 1 hafta gözlem.
4. OpenVPN sunset (2 hafta): Kalan kullanıcıları zorla migrate et, OpenVPN endpoint’i read-only moda al, 30 gün sonra kapat.
5. Post-migration audit: Sertifika imha, log arşivleme, IAM rol temizliği, dokümantasyon güncelleme.

Migration sırasında en sık karşılaşılan sorun: kullanıcı eğitimi. OpenVPN client’ı “Connect” düğmesine alışmış kullanıcılar, WireGuard’ın “tunnel import” akışında takılır. QR-code based onboarding (özellikle mobilde) bu sürtünmeyi belirgin biçimde azaltır. Ömer Önal olarak verdiğimiz danışmanlıklarda 200+ kullanıcılı dağıtımlarda QR onboarding ile support ticket sayısının %60-70 azaldığını gözlemledik. Kurumsal IAM entegrasyonu için OAuth 2.1 OpenID Connect standartlarını VPN onboarding flow’una bağlamak modern best-practice olarak öne çıkar.

Migration sonrası monitoring tarafında Prometheus wireguard_exporter + Grafana dashboard kombinasyonu, peer başına handshake yaşı, byte sayacı, endpoint değişikliği gibi metrikleri toplar. OpenVPN tarafında ise openvpn_exporter benzer telemetriyi sağlar. Bağımsız audit araçları için github.com/WireGuard resmî repolarını ve github.com/OpenVPN/openvpn upstream kaynak ağacını referans alın.

Sık Sorulan Sorular

Sonuç

WireGuard vs OpenVPN tartışmasının 2026 cevabı tek bir kazanan değil, net bir karar çerçevesidir. Yeni greenfield deployment, performans-kritik trafik, mobil iş gücü ve düşük operasyonel yük arayan ekipler için WireGuard (tercihen Tailscale/Netbird gibi bir orchestrator ile) baskın seçimdir. Mevcut PKI yatırımı, FIPS uyumluluk gereksinimi, geniş istemci uyumluluğu veya DPI’lı kısıtlı ağ senaryoları için OpenVPN hâlâ rasyoneldir. Hybrid mimari — WireGuard yeni kullanıcı/lokasyon için, OpenVPN legacy entegrasyonlar için — büyük kurumlar için pragmatik bir orta yoldur.

Karar verirken protokol benchmark’ından çok organizasyonun olgunluk seviyesini ölçün: IdP entegrasyonunuz var mı? Sertifika rotasyonu otomatik mi? Peer envanterini kim tutuyor? Monitoring stack hazır mı? Bu sorulara cevabınız “kısmen” ise managed bir çözüm (Tailscale Business, Cloudflare Zero Trust) düşük TCO ile başlamanızı sağlar. “Tam kontrol istiyoruz” diyorsanız self-managed WireGuard + Vault ile anahtar rotasyonu + Prometheus monitoring kombinasyonu kurumsal kaliteyi sağlar.

VPN protokol seçimini bir izole karar olarak değil, Zero Trust mimarisinin bir bileşeni olarak konumlandırın. Mimari değerlendirme ve geçiş planlaması için omeronal.com/iletisim üzerinden iletişime geçebilirsiniz; mevcut altyapınızın envanteri ve hedef topolojinize göre özelleştirilmiş bir migration roadmap çıkarmak mümkündür.