B2B kancelarija 50 korisnika, 2 lokacije, site-to-site VPN

Profil klijenta

IT konsalting firma “Acme Solutions” (anonimizovan naziv) sa 50 zaposlenih distribuiranih na 2 lokacije — primarna kancelarija u Beogradu (Novi Beograd, 30 zaposlenih, 280 m²) i sekundarna u Novom Sadu (20 zaposlenih, 180 m²). Glavni biznis: razvoj softvera za bankarstvo i auto industriju. Reqirements:

• Dnevni file transfer između lokacija (Git repo, Docker images, dokumentacija) — bez upload/download brzine kao bottleneck.
• Centralni file server u Beogradu (NAS sa RAID-10, 32TB) sa pristupom za obe lokacije.
• VoIP poziv kvalitet jednak kao da su kolege u susednoj sobi (sub-30ms latency, jitter <5ms).
• Redundantni internet u svakoj lokaciji — primary 1 Gbps fiber + backup 4G LTE modem.
• WireGuard VPN za remote workers (12 zaposlenih radi povremeno from home).
• Centralni autentifikacioni sistem (RADIUS server) za WiFi + VPN.
• Compliance: SOC 2 audit u toku, treba network segmentation između dev/prod/QA okruženja na servere.

Klijent je već imao postojeći hardware u Beogradu (Cisco SG350-28-K9 switch, 8 godina star, EOL) i ad-hoc konfiguraciju u Novom Sadu (D-Link router, par TP-Link TL-WR841N AP-ova). Postojeća site-to-site veza bila je preko OpenVPN tunela na Linux VPS-u u DigitalOcean-u — radila, ali sa 80-150 ms RTT između Beograda i Novog Sada (preko Frankfurt-a) i bez redundancije.

Izazov

Klijent je tražio kompletan refresh sa fokusom na:

1. Site-to-site VPN performance — direktan tunel BG-NS sa <10ms latency, ne kroz EU node.
2. Redundantni internet sa automatic failover — primary fiber padne, BGP/OSPF preusmerava na 4G LTE u <30s.
3. VoIP QoS preko VPN-a — ne sme da padne kvalitet poziva tokom file transfer-a.
4. Network segmentation za SOC 2 — odvojeni VLAN-ovi za dev (10), QA (20), prod-management (30), corporate office (40), guest (50).
5. WireGuard VPN za remote — RADIUS authentication, multi-factor (Google Authenticator).
6. Budget 8.000-10.000 EUR ukupno za hardware + instalaciju + konfiguraciju za obe lokacije.

Trener kontekst: prethodni IT vendor je tražio 18.000 EUR za isti scope. Klijent je tražio second opinion.

Rešenje

Posle 2 sata audit razgovora odlučili smo se za MikroTik-bazirani stack zbog:

• VPN performance (WireGuard kernel module ima nativnu podršku u RouterOS 7.x)
• Cena/feature ratio (CCR2004 sa 4G LTE failover košta 35% UniFi Pro-Max alternative-a)
• Granularna QoS kontrola (HTB queue tree sa per-application classification)
• Multi-WAN load balancing nativan, bez ekstra licenci

Plus UniFi U6-Pro AP-ovi (tag-šuta najbolje WiFi 6 sa Wi-Fi 6E mogućnošću nadogradnje za <500 EUR), jer MikroTik wAP ax modeli trenutno (april 2026) imaju mismatched RF performance u poredjenju sa UniFi-em.

BoM (Bill of Materials)

Beograd lokacija (primary)

Stavka	Količina	Jedinična cena	Ukupno
MikroTik CCR2004-1G-12S+2XS (router/firewall)	1	1.080 EUR	1.080 EUR
MikroTik CRS354-48P-4S+2Q+ (48× G PoE + 4× SFP+ + 2× QSFP+)	1	880 EUR	880 EUR
MikroTik LtAP LR8 LTE6 kit (4G LTE backup router)	1	240 EUR	240 EUR
UniFi U6-Pro AP (Wi-Fi 6, 4×4 5GHz)	4	195 EUR	780 EUR
Synology DS1821+ (NAS, 8-bay)	1	1.150 EUR	1.150 EUR
WD Red Pro 4TB za RAID-10	8	145 EUR	1.160 EUR
Goobay UTP Cat6A 23AWG F/FTP (305m rola)	1	110 EUR	110 EUR
Patch panel 24-port + keystone-i	2	65 EUR	130 EUR
APC Smart-UPS 1500VA (rack-mount)	1	380 EUR	380 EUR
12U rack ormar	1	220 EUR	220 EUR
Patch kablovi i sitnice	1 set	100 EUR	100 EUR
Beograd ukupno hardware			6.230 EUR

Novi Sad lokacija (secondary)

Stavka	Količina	Jedinična cena	Ukupno
MikroTik CCR2004-1G-12S+2XS (router za VPN endpoint + firewall)	1	1.080 EUR	1.080 EUR
MikroTik CRS328-24P-4S+ (24× G PoE + 4× SFP+)	1	480 EUR	480 EUR
MikroTik LtAP LR8 LTE6 kit (backup)	1	240 EUR	240 EUR
UniFi U6-Pro AP	3	195 EUR	585 EUR
Goobay UTP Cat6A 23AWG F/FTP (rola)	1	110 EUR	110 EUR
APC Smart-UPS 1000VA	1	280 EUR	280 EUR
9U rack ormar	1	95 EUR	95 EUR
Patch kablovi i sitnice	1 set	80 EUR	80 EUR
Novi Sad ukupno hardware			2.950 EUR

Instalacija i konfiguracija

Stavka	Cena
Beograd kabling + rack instalacija (3 dana, 2 tehničara)	800 EUR
Novi Sad kabling + rack instalacija (2 dana)	500 EUR
Konfiguracija (VPN, VLAN, QoS, RADIUS) — 3 dana senior	1.200 EUR
Dokumentacija + obuka administratora	300 EUR
Instalacija ukupno	2.800 EUR

Grand total: 6.230 + 2.950 + 2.800 = 11.980 EUR — preko klijentovog budget-a 8.000-10.000.

Pregovori: skinuli smo Synology DS1821+ + 8× HDD (klijent imao postojeći NAS koji je u dobrom stanju i može se preinstalirati) — ušteda 2.310 EUR. Final cost: 9.670 EUR, u sredini klijentovog raspona.

Topologija

=== BEOGRAD ===                          === NOVI SAD ===

[ISP Fiber 1Gbps]    [4G LTE backup]      [ISP Fiber 1Gbps]    [4G LTE backup]
       |                    |                    |                    |
       +--------+-----------+                    +--------+-----------+
                |                                          |
       [MikroTik CCR2004]                          [MikroTik CCR2004]
       (router/firewall/VPN)                       (router/firewall/VPN)
                |                                          |
            10G uplink                                  1G uplink
                |                                          |
       [MikroTik CRS354-48P-4S+2Q+]                [MikroTik CRS328-24P-4S+]
            (48-port PoE switch)                       (24-port PoE switch)
        |   |   |   |   |   |   |                    |   |   |   |
       PCs APs Server NAS Cams VoIP                 PCs APs Cams VoIP
       
                                ==WireGuard tunel==
                            (between CCR2004 BG ↔ NS,
                             over native ISP IPs,
                             redundant fallback over LTE)

VLAN konfiguracija (identično u obe lokacije)

VLAN ID	Naziv	Subnet (BG)	Subnet (NS)	Namena
10	DEV	10.10.10.0/24	10.20.10.0/24	Razvojni tim, dev workstations
20	QA	10.10.20.0/24	10.20.20.0/24	QA tim, test environment
30	PROD-MGMT	10.10.30.0/24	10.20.30.0/24	Pristup produkciji, restricted
40	OFFICE	10.10.40.0/24	10.20.40.0/24	Corporate (HR, sales, mgmt)
50	GUEST	10.10.50.0/24	10.20.50.0/24	Posetioci, klijenti
60	VOIP	10.10.60.0/24	10.20.60.0/24	VoIP telefoni (15× ukupno)
70	INFRASTRUKTURA	10.10.70.0/24	10.20.70.0/24	Switch, AP, NAS, infrastruktura
999	NATIVE-DEAD	n/a	n/a	Native VLAN za trunk-ove

Site-to-site routing: sve VLAN-ove iz BG (10.10.x.x) i NS (10.20.x.x) idu kroz WireGuard tunel. Static routes konfigurisani na oba CCR2004:

# Beograd CCR2004
/ip route add dst-address=10.20.0.0/16 gateway=wg-ns-tunnel
# Sve 10.20.x.x prema Novom Sadu kroz tunel

# Novi Sad CCR2004
/ip route add dst-address=10.10.0.0/16 gateway=wg-bg-tunnel

WireGuard VPN konfiguracija

# Beograd CCR2004 (kao server)
/interface wireguard add name=wg-ns-tunnel listen-port=51820 \
  private-key="<bg-private-key>"

/interface wireguard peers add interface=wg-ns-tunnel \
  public-key="<ns-public-key>" allowed-address=10.20.0.0/16,10.99.0.2/32 \
  endpoint-address=<ns-public-ip> endpoint-port=51820 \
  persistent-keepalive=20s

/ip address add address=10.99.0.1/30 interface=wg-ns-tunnel

# Novi Sad CCR2004 (peer)
/interface wireguard add name=wg-bg-tunnel listen-port=51820 \
  private-key="<ns-private-key>"

/interface wireguard peers add interface=wg-bg-tunnel \
  public-key="<bg-public-key>" allowed-address=10.10.0.0/16,10.99.0.1/32 \
  endpoint-address=<bg-public-ip> endpoint-port=51820 \
  persistent-keepalive=20s

/ip address add address=10.99.0.2/30 interface=wg-bg-tunnel

WireGuard performance: WireGuard je kernel-level i koristi modernu kriptografiju (ChaCha20 + Poly1305). Throughput na CCR2004: ~750 Mbps simetrični (limit je CPU enkripcije, ne network). Na 1 Gbps fiber-u, oba kraja drže ~700 Mbps stable preko VPN-a.

Latency BG-NS: 7-9 ms RTT (direktan put kroz Telekom backbone), 80% manje od starog OpenVPN preko Frankfurt-a.

QoS (HTB queue tree na WAN interfejsu)

# Definiši queue tree
/queue tree
add name=root parent=ether1-wan max-limit=1G

# VoIP — najviši prioritet, garantovani bandwidth
add name=voip parent=root limit-at=20M max-limit=50M priority=1 \
  packet-mark=voip-traffic

# Inter-site (WireGuard) — high priority
add name=wireguard parent=root limit-at=200M max-limit=900M priority=2 \
  packet-mark=wg-traffic

# Standard office traffic
add name=office parent=root limit-at=100M max-limit=900M priority=4 \
  packet-mark=office-traffic

# Guest WiFi — niski prioritet, capped
add name=guest parent=root limit-at=10M max-limit=100M priority=8 \
  packet-mark=guest-traffic

Mangle pravila (klasifikacija packet-a):

/ip firewall mangle
add chain=prerouting protocol=udp dst-port=5060,5061,16384-32768 \
  action=mark-packet new-packet-mark=voip-traffic passthrough=yes \
  comment="VoIP SIP+RTP"

add chain=prerouting in-interface=wg-ns-tunnel \
  action=mark-packet new-packet-mark=wg-traffic passthrough=yes

add chain=prerouting src-address-list=guest-vlan \
  action=mark-packet new-packet-mark=guest-traffic passthrough=yes

Multi-WAN failover (Beograd primary fiber + 4G LTE backup)

# Tracking script — proverava da li primary fiber radi
/system script add name="check-primary-wan" source={
  :if ([/ping 8.8.8.8 interface=ether1-wan count=3 timeout=2s] = 0) do={
    /ip route set [find comment="primary"] disabled=yes
    /ip route set [find comment="backup-lte"] disabled=no
    :log warning "Primary WAN down, switched to LTE"
  } else={
    /ip route set [find comment="primary"] disabled=no
    /ip route set [find comment="backup-lte"] disabled=yes
  }
}

/system scheduler add name="wan-failover-check" \
  interval=15s on-event="/system script run check-primary-wan"

Failover time: ~30s worst case (15s scheduler + 15s ping timeout). Sub-15s je moguće sa BFD (Bidirectional Forwarding Detection), ali ISP-ovi u Srbiji ne podržavaju BFD.

RADIUS server za WiFi + VPN authentication

Synology DS1821+ pokreće FreeRADIUS docker container. WiFi controller (UniFi) i CCR2004 oba šalju autentifikaciju zahteva ka 10.10.70.10:1812. Korisnici se autentifikuju Active Directory password-ima (LDAP backend) plus Google Authenticator TOTP.

[Klijent na WiFi-ju] → [UniFi U6-Pro] → [UniFi Network App] → [RADIUS server]
                                                                   |
                                                               [LDAP - AD] + [TOTP check]
                                                                   |
                                                                Approved → access

Implementacija

Timeline

Nedelja 1: procurement (hardware nabavka, 5 dana lead time za Goobay role i Synology HDD-ove).

Nedelja 2:

• Dan 1-2: Beograd kabling (povučeno 65 Cat6A runs preko 280 m²).
• Dan 3: Beograd rack montaža + initial config (CCR2004, CRS354, NAS).
• Dan 4: WireGuard VPN setup (testiraj sa lokalnog laptopa pre live).
• Dan 5: Beograd VLAN + AP setup, captive portal za guest, RADIUS test.

Nedelja 3:

• Dan 1-2: Novi Sad kabling (45 runs preko 180 m²).
• Dan 3: NS rack montaža + config (CCR2004, CRS328).
• Dan 4: Site-to-site VPN test (BG-NS), latency merenja, throughput tests.
• Dan 5: SOC 2 dokumentacija, network diagram update u CMDB.

Total: 3 nedelje od početka do produkcije.

Rezultati

Posle 6 meseci u produkciji:

Metrika	Pre	Posle
Inter-site latency (BG-NS)	80-150 ms (kroz EU)	7-9 ms (direkt Telekom backbone)
Inter-site throughput	~50 Mbps	700 Mbps (preko WireGuard)
VoIP MOS score	3.2 (poor)	4.4 (excellent)
Internet failover time	n/a (no backup)	30s automatic
File transfer BG → NS (1 GB git push)	4 minuta	18 sekundi
WiFi roaming (kretanje između AP-ova)	3-5 s glitch	<500ms (sa 802.11r)
SOC 2 audit pass	n/a	Položio sa zero findings na network

SOC 2 auditor je posebno cenio:

• Network segmentation između dev/QA/prod-mgmt VLAN-ova (firewall pravila eksplicitno block-uju cross-VLAN traffic)
• Centralized authentication (RADIUS + LDAP + TOTP)
• Audit log retention 90 dana u central syslog server
• WireGuard sa modern crypto (ChaCha20-Poly1305) umesto starog IPsec

Lessons learned

1. MikroTik je za cca 50% jeftiniji od UniFi-a za isti capability na router/firewall sloju. UniFi UDM-Pro Max je 1.450 EUR, CCR2004 je 1.080 EUR sa boljim throughput-om i WireGuard performance-om. Trade-off: MikroTik nema dolepiv UI kao UniFi.
2. WireGuard je drastično bolji od OpenVPN-a za site-to-site. OpenVPN preko Frankfurt-a je davao 80ms, WireGuard direkt BG-NS daje 8ms. Razlika: 10x u latencije, 5x u throughput-u.
3. CCR2004 + 4G LTE backup je sweet spot za multi-WAN. Ne treba ti dual fiber — 4G failover je dovoljan za 24h emergency koristeći pre-paid SIM kartu. Cena 4G failover modema je 240 EUR vs ~50 EUR/mesec za drugi fiber connection.
4. HTB queue tree je esencijalan za VoIP preko VPN-a. Bez QoS-a, pri file transfer-u VoIP MOS pada sa 4.4 na 3.0. Sa QoS-om, ostaje 4.4 čak i tokom 1GB file transfer-a.
5. Cat6A F/FTP je vredan investicije za multi-tenant okruženja. SOC 2 audit je pohvalio shielded kabling kao plus za EMI compliance. Cost premium ~25% nad Cat6 je trivijalno za 50-osobni biznis.
6. Fortinet/Palo Alto NOT NEEDED za 50-čovek B2B firmu. Mnogi vendori predlažu enterprise-grade firewall za $20k+. Klijent je dobio identičan security outcome za $1k MikroTik + RADIUS server. Don’t over-engineer.
7. Centralni syslog server (Synology + Graylog container) štedi ogromno vreme za debug. Sve switch + router logs idu u Graylog, search po klijent IP-u za 5 sekundi.

Šta dalje?

Imaš slichan multi-site projekat? Pošalji nam projekat → — opišite vaše lokacije, broj korisnika, postojeći hardware, i mi vam vraćamo detaljan BoM + rad u 24-48h.

Korisni alati:

• VLAN planer — predlaže VLAN strukturu za multi-site
• PoE Budget kalkulator
• WiFi planer

Povezani članci

• MikroTik za 50 korisnika — top 5 modela →
• MikroTik RouterOS fast forwarding vs IP routing →
• VRRP/HSRP/MikroTik VRRP — gateway redundancy →
• VLAN inter-switch trunk konfiguracija →
• 10G uplink dilema: SFP+ DAC vs Twinax vs optika OM3/OM4 →