Mreža za ordinaciju 12 PC + 3 IP kamere + WiFi za pacijente

Profil klijenta

Specijalistička ordinacija u Beogradu (Vračar) sa 12 zaposlenih (4 lekara, 4 medicinske sestre, 2 administracije, 2 prijem-recepcija) na 220 m² lokala. Prethodna mreža je bila ad-hoc — Cisco SG110D switch (15 EUR sa Limunda), TP-Link Archer C6 router u prijemu, jedan TP-Link AP iz 2018. zalepljen za plafon u čekaonici. Sve VLAN-ovi flat — pacijenti i interni desktopovi na istoj mreži, kamere takođe. Vlasnik je krenuo da radi sa GDPR-em zbog elektronskih pacijentovih kartona i shvatio da mu mreža ne može da prođe ni najlakšiji security audit.

Izazov

Klijentovi konkretni zahtevi posle prvog razgovora:

1. VLAN segmentacija — pacijentova WiFi mreža mora biti potpuno odvojena od interne LAN-a sa kartonskim sistemom. Pacijent NE SME da vidi PC-eve u prijemu.
2. GDPR compliance — medicinski podaci na kartonskom serveru moraju biti enkriptovani i izolovani. Pristup samo sa registrovanih MAC adresa.
3. 3 IP kamere u prijemu, čekaonici, hodniku — Hikvision dome kamere sa H.265+ kompresijom, 24/7 snimanje na lokalnom NVR-u.
4. WiFi za pacijente — captive portal sa “Slažem se sa uslovima korišćenja” stranom, bandwidth limit 10 Mbps po klijentu, automatski kick posle 3 sata.
5. VoIP od strane zaduženog operatera — 5 fiksnih telefona, treba QoS prioritet.
6. Budget 3.500-5.000 EUR sa instalacijom i kablovima — bez lažnog “enterprise” overengineering-a, ali isto i bez kompromisa na pouzdanost.
7. Svaka soba ima 2 PC-a (lekar + sestra) plus pristup štampaču.

Rešenje

Predložili smo UniFi-bazirani stack zbog 3 razloga:

• Single management UI (UniFi Network Application) za sve uređaje
• Switch profile konfiguracija olakšava bulk VLAN setup
• Cena/performance odnos je bolji od Cisco/Aruba u ovom segmentu

BoM (Bill of Materials)

Stavka	Količina	Jedinična cena	Ukupno
UniFi Dream Machine Pro (gateway/router/controller)	1	480 EUR	480 EUR
UniFi USW-Pro-24-PoE (24× G + 2× SFP+, 400W PoE budget)	1	720 EUR	720 EUR
UniFi U6-Pro AP (Wi-Fi 6, 4×4 5GHz, PoE+)	2	195 EUR	390 EUR
Hikvision DS-2CD2T87G2P-LSU/SL (8MP dome IP kamera)	3	165 EUR	495 EUR
Hikvision DS-7608NI-K2/8P (8-channel NVR sa PoE switch built-in)	1	280 EUR	280 EUR
WD Purple 4TB (surveillance HDD za NVR)	1	105 EUR	105 EUR
Goobay UTP Cat6 23AWG (305m rola)	1	50 EUR	50 EUR
Goobay RJ45 keystone Cat6 + patch panel 24-port	1 set	65 EUR	65 EUR
9U rack ormar zid montaža	1	95 EUR	95 EUR
APC Back-UPS Pro 1500VA	1	220 EUR	220 EUR
Patch kablovi Cat6 (mix dužina)	24	2.5 EUR	60 EUR
Strujne letvice + filter	2	35 EUR	70 EUR
Sitnica (vezice, etikete, stezaljke)	1	50 EUR	50 EUR
Ukupno hardware			3.080 EUR
Instalacija i kabling (3 dana, 2 tehničara)			1.200 EUR
Konfiguracija i dokumentacija (1 dan)			400 EUR
Ukupno projekat			4.680 EUR

Cena u sredini klijentovog raspona (3.500-5.000 EUR), uz 320 EUR rezerve za sitne nepredviđene troškove.

Topologija

                        [ISP Modem - bridge mode]
                                  |
                        [UniFi Dream Machine Pro]
                          (router + controller)
                          WAN: 10.0.0.1 (ISP)
                          LAN: 10.10.10.0/24 (default)
                                  |
                                  | (10G SFP+ uplink)
                                  |
                        [UniFi USW-Pro-24-PoE]
                          (rack-mounted, 9U ormar u prijem)
                                  |
              +-------+----------+----+--------------+
              |       |          |    |              |
       [PC ports]  [AP port] [AP port] [Camera port] [VoIP ports]
       (port 1-12)  (13)     (14)      (15-17)        (18-22)
       VLAN 10     VLAN 20    VLAN 20  VLAN 40         VLAN 30
                   tagged    tagged
                   guest     guest

3 fizičke kamere su na portovima 15-17 sa PoE+ napajanjem, NVR na portu 18 (povezan na VLAN 40 kao “CCTV recorder”).

VLAN konfiguracija

VLAN ID	Naziv	Subnet	DHCP range	Namena
10	INT-LAN	10.10.10.0/24	.50-.200	PC-evi, štampač, server
20	GUEST-WIFI	10.10.20.0/24	.50-.250	Pacijenti
30	VOIP	10.10.30.0/24	.50-.100	VoIP telefoni (5x)
40	CCTV	10.10.40.0/24	.50-.100	Kamere + NVR
999	NATIVE-DEAD	n/a	n/a	Native VLAN za trunk-ove

Firewall pravila između VLAN-ova:

• VLAN 10 → VLAN 20: BLOCK (interno ne sme videti goste)
• VLAN 20 → VLAN 10: BLOCK (gosti ne smeju videti interno)
• VLAN 20 → INTERNET: ALLOW (samo internet)
• VLAN 30 → VLAN 10: ALLOW (telefon mora videti server za PBX)
• VLAN 40 → VLAN 10: ALLOW (admin može videti kamere kroz NVR)
• VLAN 40 → INTERNET: ALLOW samo do firmware update IP-eva (whitelist)

Sve uradjeno kroz UDM-Pro firewall pravila u Network Application UI.

WiFi konfiguracija

SSID 1: AVM-Ordinacija-Internal

• VLAN: 10 (INT-LAN)
• WPA2-PSK (mogli WPA3, ali preferira backwards compat za Win10)
• 5 GHz prefer, 2.4 GHz fallback
• MAC filter: only registered devices (one-time per sviju)
• Hidden SSID: Yes

SSID 2: AVM-Ordinacija-Pacijenti

• VLAN: 20 (GUEST-WIFI)
• Captive portal: “Slažem se sa uslovima — vidim ‘check-box’ i kontakt”
• Bandwidth: 10 Mbps download / 5 Mbps upload per klijentu
• Idle timeout: 30 minuta
• Session timeout: 3 sata (auto-disconnect)
• Client isolation: Yes (pacijenti ne mogu da pingam jedni druge)
• WPA2-PSK sa public lozinkom (nedeljno menja prijemna sestra)

CCTV konfiguracija

3 Hikvision kamere snimaju 24/7 na NVR-u (DS-7608NI-K2/8P) sa H.265+ kompresijom:

• Resolution: 3840×2160 (8MP)
• Bitrate: variable, max 8 Mbps
• WDR (Wide Dynamic Range) on (čekaonica ima jako svetlo iz prozora)
• Audio recording: OFF (GDPR compliance — bez explicit consent-a od svake osobe u prostoru)
• Retention: 30 dana, posle toga overwrite

Bandwidth kalkulacija: 3 × 8 Mbps = 24 Mbps unutar VLAN 40, NVR snima lokalno (ne ide u WAN). Storage: 24 Mbps × 86400 s × 30 dana / 8 / 1024 / 1024 = ~7.4 TB. Single 4TB Purple HDD nije dovoljan za 30 dana — preporučili smo proširenje na 8TB ili smanjenje retention-a na 15 dana. Vlasnik izabrao 15 dana retention za bolji budget.

Implementacija

Timeline

Dan 1 (subota): kabling. 2 tehničara su povukli 18 Cat6 kablova kroz spuštene plafone (12× sobe, 2× APs, 3× kamere, 1× rezerva). Terminisani Goobay keystone-i u patch panel. Fluke DTX-1800 certification svakog runa — sva 18 prošla na <2.5dB attenuation @ 250 MHz.

Dan 2 (nedelja): rack instalacija, switch i UDM podizanje, VLAN konfiguracija, WiFi setup. Captive portal stranica (custom HTML sa “Ordinacija logo + dr. Petrović” header-om).

Dan 3 (ponedeljak, posle radnog vremena): kamera instalacija (montaža na zidove, podešavanje fokusa), NVR setup, firmware update svih uređaja, MAC adresa registracija svih PC-eva za INT-LAN whitelist.

Day 4 (utorak): dokumentacija, predaja klijentu, obuka 2 zaposlena za osnovnu administraciju (kako reset router, kako proveriti zauzeti port, kako da promene captive portal lozinku).

Sitne korekcije tokom rada

• Kamera 2 imala je sub-optimal pixel density zbog ugla — premestili je 30 cm levo, refocus.
• Kabel za AP u sali za sastanke prošao previše blizu fluo-svetlu — install monitor pokazuje 5% packet loss u poredjenju sa drugim AP-om. Promenili rutu kabla na drugu stranu plafona — packet loss <0.1%.
• Pacijent koji je bio “regular customer” se žalio da je internet “spor” — proverili — bandwidth limit je radio. Vlasnik odlučio da limit ostane (10/5 Mbps je dovoljno za browsing i video stream).

Rezultati

Posle 3 meseca u produkciji:

Metrika	Pre	Posle
Inter-VLAN ping latency (PC ↔ NVR)	n/a (flat LAN)	0.7ms avg
WiFi pokrivenost (ordinacija površina)	60% (1 AP, slabo u back sobama)	100% (2 AP-a, signal -45dBm svuda)
Failed login attempts na server (logged)	200+ dnevno	0 (firewall blokira VLAN 20→10)
GDPR audit pass	Nije položio	Položio
Mesečni broj IT support poziva	~8	1 (firmware update planning)
Ukupna efektivna brzina interneta (klijenti)	50 Mbps download	100/40 Mbps stable, sa QoS

GDPR audit je posebno pohvalio:

• Network segmentation između medicinskih podataka i gostujuće mreže
• MAC filtering na internom WiFi-ju (only known devices)
• 30-dana log retention u UDM-Pro za sigurnosne incidente
• Captive portal koji se evidentira ko se kad konektovao

Lessons learned

1. UDM-Pro je dovoljan za firewall + controller za 12 korisnika — ne treba ti enterprise router. UDM-Pro pokriva 99% feature-a za pola cene.
2. 2× U6-Pro je dovoljno za 220m² + 25 istovremenih klijenata — RF planning sa UniFi heatmap-om je ključan. Treba pažljiv mounting (centar ne plafonu, ne zid).
3. Hikvision NVR sa PoE switch-em built-in skida potrebu za eksternim PoE switch-em za kamere — ali NVR PoE budget je 25W per port (PoE+), što ide samo do PTZ-a Class 4. Za noviji kamera-modeli sa Class 5/6 trebaš dedicated PoE++ switch.
4. Goobay Cat6 23AWG je premium-quality za price-point — Fluke je svaki run prošao bez ijednog warning-a. 50 EUR rola je 4× bolja value od kineskih bezbrandnih kablova koje vidite po sajtovima.
5. Captive portal lozinka mora da se menja minimum nedeljno — pacijent koji je ostao u zoni signala nakon ordinacije vremena nastavio da koristi WiFi sa starom lozinkom. Captive portal session timeout 3h je solid mitigation.
6. MAC filter listu treba dokumentovati van mreže — kad se zameni laptop/PC, neko treba da pamti gde se updejtuje lista. Mi koristimo Notion bazu sa MAC + employee + device tip.

Šta dalje?

Tražiš sličan setup za svoju ordinaciju, kancelariju ili B2B firmu? Pošalji nam projekat → sa osnovnim podacima (broj PC-eva, broj soba, da li imaš kamere) i mi ti vratimo detaljan BoM + cenu u 24h.

Korisni alati:

• PoE Budget kalkulator — koliko snage ti treba
• WiFi planer — koliko AP-a za tvoju površinu
• VLAN planer — predlog VLAN strukture za tvoj scenario

Povezani članci

• VLAN inter-switch trunk konfiguracija →
• Planiranje LAN-a za stan/kuću →
• UniFi Dream Machine Pro — vodič →
• WiFi mesh vs PoE AP →
• Goobay UTP test sa Fluke →