Bir muhasebe firmasının teknik altyapı yöneticisi geçtiğimiz ay bana danışmaya geldi. Şirkette 47 çalışan vardı, üç farklı katta yayılmış; ağ ekipmanı son on yıldır birikmiş bir karmaşa; aylık internet ve teknik destek maliyeti yaklaşık 9.200 TL. Üzerine ek olarak her ay 1-2 günlük arıza süresi yaşıyorlardı. Bu yazıda aynı senaryoyu MikroTik tabanlı bir mimari ile nasıl baştan tasarladığımızı, neyin ne kadara mal olduğunu ve bir KOBİ’nin bu süreçte hangi pratik kararları vermesi gerektiğini paylaşacağım. Bu, soyut bir teoriden çok yaşanmış bir saha rehberidir.

KOBİ Ağının Sahip Olması Gereken Beş Temel Özellik

Bir küçük ve orta ölçekli işletmenin ağ altyapısının olmazsa olmaz beş özelliği vardır. Bu liste benim yıllar içinde 70+ KOBİ projesinden çıkardığım ortak paydadır:

1. Güvenilir internet erişimi: Tek hat yetmez. Birincil fiber + yedek 4G veya farklı sağlayıcıdan ikinci fiber. Failover otomatik olmalı.

2. Bölümleme: Misafir, çalışan, sunucu ve yönetim trafikleri ayrı VLAN’lerde olmalı. Aynı düzlemde tutmak hem performans hem güvenlik açısından risklidir.

3. Uzaktan erişim: 2026 itibarıyla evden veya saha dışından çalışan personel olağan hale geldi. VPN kurulumu opsiyonel değil zorunlu bir özellik.

4. Loglama: 5651 kapsamı dışında olsanız bile, kim ne yaptı bilgisini tutmak hem güvenlik soruşturmaları hem performans analizi için kritiktir.

5. Yedek ve felaket kurtarma: Cihaz arızalanırsa son yapılandırma yedeğinden hızlıca yeni cihaz devreye alınabilmeli. Bunu garanti etmek için haftalık otomatik yedek alma çok değerlidir.

47 Kişilik Muhasebe Firması: Mevcut Durum

Geldiklerinde sahip oldukları ekipmanı şöyle özetleyebilirim:

• İki adet bağlanmış TP-Link Archer router (ana ve ikincil bina arasında)
• Beş katta dağılmış toplam yedi adet konsumer Wi-Fi ekstender
• Personel ve misafir aynı Wi-Fi’ye bağlanıyor; tek bir SSID, tek parola
• VPN için her dizüstüne ayrı ayrı yüklenmiş bir üçüncü parti uygulama, yıllık 850 dolar lisans
• Loglama yok
• Yedek internet hattı yok; ana hat düştüğünde tüm şirket duruyor

Bu yapıyı yeniden tasarlarken üç ana hedef belirledik: Maliyeti yıllık bazda %40 azaltmak, kesintisiz çalışmayı sağlamak ve veri güvenliği ile uyumluluğu kayıt altına almak.

Yeni Mimari: Donanım Seçimleri

Tasarladığımız yeni mimari aşağıdaki donanımlara dayanır:

Omurga: RB5009UPr+S+IN

RB5009UPr+S+IN bu büyüklükteki bir KOBİ için ideal omurgadır. Sekiz adet 2.5 Gbps PoE-out portu ve bir adet 10 Gbps SFP+ uplink portu sunar. PoE-out özelliği sayesinde access point’leri tek bir kabloyla hem güç hem veri ile besleyebiliyoruz; bu kablo karmaşasını ortadan kaldırır ve elektrikçi maliyetini sıfırlar.

RAM 1 GB, çift çekirdekli ARM 64-bit işlemci, RouterOS 7.x lisans seviyesi L5. Cihazın liste fiyatı yaklaşık 280 USD (2026 fiyatlarıyla yaklaşık 11.500 TL).

Wi-Fi: 5 adet cAP ax

Üç katı kapsayacak şekilde stratejik konumlara yerleştirilen 5 adet cAP ax. Her biri Wi-Fi 6 desteği, 2×2 MIMO ve 1.2 Gbps maksimum hız sunar. CAPsMAN ile RB5009 üzerinden merkezi olarak yönetilirler. Birim fiyatı yaklaşık 120 USD, toplamı 600 USD (24.000 TL).

Yedek Hat: 4G modem + RBM33G

Ana fiber hattının dışında bir 4G modem (Huawei B535 veya benzer) ve onun WAN’ını taşıyan bir RBM33G. Toplamı yaklaşık 80 USD (3.300 TL).

Loglama Sunucusu

Mevcut Synology NAS’a Docker üzerinden rsyslog konteyneri kuruldu, ek bir donanım yatırımı yapılmadı. NAS zaten muhasebe yedeklemeleri için kullanılıyordu.

VLAN Yapısı: Trafiği Bölmek

Tüm misafir, personel ve sunucu trafiğini ayırmak için aşağıdaki VLAN yapısını kurduk:

• VLAN 10 — Yönetim: Sadece IT yöneticisi erişebilir. Switch, AP ve router yönetim arayüzleri burada.
• VLAN 20 — Personel: Çalışanların ofis bilgisayarları ve laptopları.
• VLAN 30 — Sunucular: Lokal muhasebe sunucusu, dosya sunucusu, NAS.
• VLAN 40 — Misafir: Hotspot ile internete sadece HTTPS portları üzerinden çıkış. Sunucu VLAN’ine erişim engellendi.
• VLAN 50 — VoIP: IP telefonlar için ayrı bir QoS sınıfı.

VLAN’ler arası trafiği firewall kuralları ile kontrol ettik. Misafir-Sunucu, Misafir-Personel, Personel-Yönetim erişimleri varsayılan olarak engellendi. Personel-Sunucu erişimi sadece belirli portlardan açıldı.

Failover ve Yük Dengeleme

İki internet hattını eş zamanlı kullanmak için netwatch ve recursive routing yapısını kurduk. Ana fiber hattı çalıştığı sürece tüm trafik buradan akar. Hat düştüğünde 4G hattı 5-7 saniye içinde devreye girer; hat geri geldiğinde 30 saniye sonra otomatik olarak ana hatta dönülür.

İlk 6 ay süresinde yapılan ölçümlerde sistemin %99.91 uptime’a ulaştığını gördük. Önceki yapıdaki aylık 1-2 gün kesinti süresi pratik olarak sıfırlandı.

Uzaktan Erişim: WireGuard ile Sıfır Maliyet

VPN için kullandıkları üçüncü parti uygulamayı tamamen kaldırdık. Yerine RB5009 üzerinde WireGuard sunucusu kurduk. Her çalışan için ayrı bir peer tanımladık; QR kodu ile telefonlarına ve laptoplarına tek tıkla bağlantı sağlandı. 850 dolarlık yıllık abonelik tamamen kalktı.

WireGuard’ın güzelliği şudur: handshake süresi ortalama 60 ms civarındadır; bu OpenVPN’in 3-4 katıdır. Çalışanlar VPN’in açık olduğunu unutacak kadar şeffaf bir deneyim yaşıyor. Üstelik MTU tuningi ile mobil ağlarda da sorunsuz çalışıyor.

Kurulum Süreci: Zaman Çizelgesi

Bu büyüklükte bir migrasyonun planlı yapılması işin %60’ıdır. Aşağıda kurulum sürecimizin gerçek takvimi:

1. Gün 1-2: Mevcut yapının dokümantasyonu, kablo etiketleme, ekipmanın test edilmesi.
2. Gün 3: Yeni cihazların offline yapılandırılması (RB5009 + APs). Bu sırada mevcut ağ çalışmaya devam etti.
3. Gün 4 (Cumartesi): Migrasyon günü. 06:00-12:00 arası kablolama ve VLAN aktarımı. 12:00-15:00 arası test ve doğrulama.
4. Gün 5 (Pazartesi): Personelin yeni Wi-Fi’a geçişi ve VPN profillerinin dağıtımı.
5. Gün 6-10: Gözlem ve mikro ayarlar.

Migrasyon süresi içinde işletme sadece 6 saat kesinti yaşadı, o da Cumartesi günü mesai dışıydı. Hafta içinde herhangi bir iş gücü kaybı oluşmadı.

Maliyet Karşılaştırması: Önce ve Sonra

Net maliyet farkını masaya koymak çoğu sahibinin gözünü açar.

Eski Sistem (Yıllık)

• İnternet aboneliği (tek hat): 6.500 TL × 12 = 78.000 TL
• Teknik destek (aylık çağrı bazında): ~14.000 TL/yıl
• VPN lisansı: 850 USD ≈ 35.000 TL
• Kesinti kaynaklı verimsizlik tahmini: ~25.000 TL
• Toplam yıllık: 152.000 TL

Yeni Sistem (Yıllık)

• Donanım yatırımı (tek seferlik, amortismana yayılı): ~45.000 TL (3 yıllık amortismanla yıllık 15.000)
• İnternet (ana fiber): 5.800 TL × 12 = 69.600 TL
• Yedek 4G hattı: 280 TL × 12 = 3.360 TL
• Teknik destek (yıllık bakım sözleşmesi): 9.600 TL
• VPN lisansı: 0 TL
• Kesinti kaynaklı kayıp: ~2.000 TL
• Toplam yıllık: 99.560 TL

Yıllık tasarruf yaklaşık 52.000 TL, oran olarak %34 düşüş. Üstelik kesinti süresi neredeyse sıfırlandı, çalışan memnuniyeti arttı, KVKK uyumluluğu netleşti.

İki Yıllık Operasyonel Sonuç

Sistem 24 aydır çalışıyor. Bu süre içinde yaşanan olaylar:

• 3 kez yedek 4G hattına otomatik geçiş (toplamda 47 dakika)
• 1 adet AP arızası (PoE ile beslenen birim 6 saatte değiştirildi, hizmet kesintisiz)
• 2 kez RouterOS güncelleme (planlı, gece yarısı, kullanıcı etkilenmedi)
• 0 adet güvenlik ihlali bildirimi
• 0 adet 5651 ile ilgili sorun

Donanımlar üzerindeki CPU kullanımı RB5009 için ortalama %12-18 bandında; bu da gelecekte ekiplenin yaklaşık 100 kişiye kadar büyümesinin sorunsuz absorbe edilebileceğini gösteriyor.

KOBİ Sahibi İçin Karar Kılavuzu

Bu yazıyı KOBİ sahibi olarak okuyorsanız, kendinize sormanız gereken sorular şunlar:

• Mevcut altyapımda ayda kaç saat kesinti yaşıyorum? Bu kesintinin gerçek finansal etkisi nedir?
• Personelin VPN ihtiyacı var mı? Varsa ne tür bir çözüm kullanıyoruz?
• 5651 yükümlülüğüm var mı? Misafir Wi-Fi sunuyor muyum?
• Mevcut yapıyı bir kişi tek başına yönetebilir mi, yoksa her şey “o kişi” hastalandığında kilitlenir mi?
• Donanımlarımın yedek parça bulunabilirliği nasıl? Üreticileri hâlâ destek veriyor mu?

Bu sorulara dürüst cevap verdiğinizde, mevcut altyapınızın ne kadar sağlam olduğunu objektif olarak göreceksiniz.

Sektör Bazlı Farklılıklar: Senin İşletmen Hangi Kategoride?

Tüm KOBİ’lerin ihtiyaçları aynı değildir. Sektöre göre tasarımda öne çıkan unsurlar farklılaşır:

Muhasebe, Hukuk, Danışmanlık Ofisleri

Bu sektörde öne çıkan ihtiyaçlar: güvenli dosya paylaşımı, ön muhasebe yazılımına uzak erişim, hassas veri (KVKK) yönetimi. Personel sayısı genellikle 10-80 arasıdır. Sunucu trafiği ağırlıklı, video konferans yoğunluğu orta seviyededir. Önerim: RB5009 + 3-4 cAP + sunucu VLAN ayrımı + WireGuard VPN.

Üretim, Atölye, Lojistik

Burada IP kameralar, barkod okuyucuları, üretim panoları gibi çok sayıda IoT cihaz bulunur. Wi-Fi kapsama alanı genellikle geniştir; depo, ofis ve üretim alanı ayrı VLAN’ler ister. Önerim: RB5009 + 6-10 cAP ax/ac + PoE switch eklentisi + güçlü trafik şekillendirme.

Sağlık (Klinik, Diş Hekimi, Görüntüleme Merkezleri)

Hasta verisi (KVKK kritik), tıbbi cihaz ağ entegrasyonu, hasta misafir Wi-Fi’sı, randevu yazılımı performansı. Kesinti toleransı çok düşüktür. Önerim: çift omurga (master-slave VRRP), 4G yedek, ayrı misafir VLAN’i ve hasta verisi VLAN’i izolasyonu.

Otel, Pansiyon, Konaklama

Burada öne çıkan unsur misafir Wi-Fi kapasitesi ve kapsam alanıdır. 50 odalı bir otelde aynı anda 100+ cihaz olabilir. CAPsMAN ile merkezi yönetim, oda numarasıyla otomatik kupon üretimi, 5651 uyumlu loglama temel taşlardır.

Perakende, Mağaza Zincirleri

Çoklu şube mimarisi en kritik konudur. Her şube hAP ac3, merkez ofiste CCR omurga, SD-WAN benzeri IPsec/WireGuard ile birleştirilmiş mesh yapı. POS cihazlarının güvenliği için ayrı VLAN şarttır.

İlk 90 Günlük Performans Takip Çerçevesi

Migrasyondan sonraki ilk 90 günlük gözlem sürecini bir disiplin haline getirin. Bu süre içinde aşağıdaki metrikleri haftalık olarak kayıt altına alın:

• Ortalama günlük kesinti süresi (saniye cinsinden)
• WAN bant genişliği kullanım oranı (peak ve average)
• CPU ve RAM ortalama doluluk oranı
• Hotspot yeni oturum sayısı (varsa)
• VPN bağlantı sayısı ve ortalama oturum süresi
• Firewall’da düşürülen paket sayısı
• Loglama sunucusu disk doluluk yüzdesi

90 günün sonunda bu metrikleri özetleyen kısa bir rapor hazırlayıp işletme sahibine sunun. Bu rapor, yatırımın geri dönüşünü somut sayılarla ortaya koyar ve gelecek yıl için bütçe planlamasına temel olur.

Kurulum Sonrası Belgelendirme Disiplini

Bir KOBİ kurulumunun en sık ihmal edilen ama belki de en kıymetli parçası belgelendirmedir. Cihazlar yıllar içinde değişir, IT yöneticisi de değişebilir. Yeni gelen kişinin “burada ne yapılmış?” sorusuna cevap verebilen tek şey iyi yazılmış bir doküman dosyasıdır. Asgari olarak şu belgeleri hazırlayın: ağ topoloji şeması, VLAN tablosu, statik IP dağılımı, port-cihaz eşleştirme tablosu, firewall kural listesi, VPN kullanıcı listesi, yedek alma rutini ve geri yükleme prosedürü. Bu dokümanları cihaz yapılandırma yedeklerinin yanında, hem on-prem hem cloud bir konumda saklayın. İlk versiyonun hazırlanması bir gün sürer ama ileride çıkacak bir IT acil durumunda saatlerce zaman kazandırır.

Üç Yaygın Yanlış İnanış

KOBİ sahipleriyle konuşurken sıkça duyduğum üç yanlış inanışa değinmek isterim.

“MikroTik karmaşık, biz yapamayız.” — Doğrusu: Kullanım karmaşık değil, ilk kurulum karmaşıktır. Bir uzman tarafından yapılandırıldıktan sonra günlük operasyon basittir. Çoğu işletme yılda 4-5 kez ufak müdahaleler yapar, gerisi unutulur.

“Ucuza çıkıyor ama kalitesi düşük.” — Doğrusu: MikroTik aynı sınıfa karşı %50-70 daha ucuzdur ama özellik seti açısından Cisco SMB serisi ile başa baş gider. Üstelik üretici tek bir RouterOS lisansını tüm donanımlarda yeni kullanabilir, bu yazılım sürekliği büyük bir avantajdır.

“Türkiye’de yeterli teknik destek yok.” — Doğrusu: Türkiye’de aktif olarak MikroTik konusunda çalışan onlarca sertifikalı uzman ve birkaç distribütör mevcuttur. Forum, YouTube ve özel Discord toplulukları aktif şekilde sorulara cevap veriyor.

Sıkça Sorulan Sorular

Bu kurulum bizim 20 kişilik işletmemiz için aşırı mı kalıyor?

Eğer 20 kişiyseniz RB5009 yerine hAP ax3 + 2-3 cAP ax yeterli olur. Mimari aynı kalır, sadece donanım küçülür. Toplam yatırım 12-15 bin TL aralığına düşer.

Şu anki Cisco SMB cihazlarımı tamamen değiştirmek zorunda mıyım?

Hayır. Kademeli geçiş yapılabilir. Önce omurgayı MikroTik’e taşıyıp Cisco switch’leri sadece L2 olarak kullanmaya devam edebilirsiniz. Zamanla cihazlar arızalandıkça MikroTik eşdeğerleriyle değiştirilir.

Bir IT personelimiz yok, dış servis kullanıyoruz. MikroTik’e geçince bu nasıl etkilenir?

Türkiye’de MikroTik konusunda saatlik ücretli danışmanlık veren çok sayıda uzman var. Aylık 2-3 saatlik bir bakım sözleşmesi tipik bir KOBİ’nin ihtiyacını karşılar. Maliyeti 800-1500 TL/ay civarındadır.

Kurulum sırasında işimiz duracak mı?

İyi planlama ile mesai dışı saatlerde tüm kurulum yapılabilir. Bizim örneğimizde Cumartesi günü 6 saatte tüm geçiş tamamlandı. Pazartesi sabahı çalışanlar yeni sisteme oturdu.

Donanım garantisi ne kadar?

MikroTik resmi distribütöründen alındığında 24 ay üretici garantisi sağlanır. Bu süre içinde tüm donanım arızaları ücretsiz değişim ile karşılanır.

Kapanış Düşünceleri

Bir KOBİ’nin ağ altyapısı görünmez bir varlıktır; iyi çalışırken kimse fark etmez, sorun çıktığında ise tüm işin durmasına neden olabilir. Bu yüzden bu yatırım, “yapılacaklar listesinde sürekli ertelenen kalem” yerine, işletmenin omurgasını oluşturan stratejik bir karar olarak ele alınmalı.

Yazıda anlattığım 47 kişilik firma örneği, sahada her gün karşılaştığım onlarca benzer hikayeden sadece bir tanesi. Sizin işletmenizin koşulları farklı olabilir; ancak ortak prensipler hep aynı kalır: ölçeklenebilir donanım seç, trafiği bölme, yedek hat planla, loglama altyapısını ihmal etme. Bu dört prensibe sadık kaldığınız sürece, hangi vendor’u seçerseniz seçin, ayakta kalan bir yapı kurarsınız. Ben MikroTik’i tercih ediyorum çünkü maliyet-esneklik dengesinde benzer bir alternatif henüz görmedim.

Son bir not: Tasarımın güzelliği, sürdürülebilirliğindedir. İlk gün her şey çalışıyor olabilir, ancak gerçek test üç yıl sonra ortaya çıkar. Donanım hâlâ yedek parçalı satılıyor mu? Yazılım hâlâ güncelleniyor mu? Belge eksikse topluluk hâlâ aktif mi? Tüm bu kriterleri uzun yıllar dayanan markalardan birini seçerek karşılayabilirsiniz, ve sahip olduğunuz yatırımın değeri yıllar geçtikçe değil artar, azalmaz. MikroTik bu açıdan kanıtlanmış bir markadır, ve KOBİ’leri yıllar boyu beraber yürüyecek bir teknolojik partner olarak kabullenmek size her yıl daha fazla geri dönüş sağlayacaktır.

Devamı İçin Okumanızı Öneririz

Konuyu daha geniş ele almak için aşağıdaki yazılarımıza da göz atabilirsiniz:

• 5651 Sayılı Kanun Uyumlu Loglama: KOBİ'ler İçin MikroTik Tabanlı Tam Çözüm — 5651 sayılı kanun kapsamında KOBİ’ler için MikroTik hotspot + syslog + hash imzalı arşivle
• MikroTik vs Cisco: KOBİ İçin 5 Yıllık TCO Karar Rehberi — MikroTik mi Cisco mu KOBİ tartışmasının net cevabı: 5 yıllık TCO tablosu, personel yetkinl

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• MikroTik Resmi Dökümantasyon (RouterOS Wiki)
• MikroTik Resmi Forumu
• MikroTik Resmi Sitesi
• Wikipedia: Network Address Translation
• Wikipedia: OSI Model