NetBird на WireGuard: VPN для удалённой команды без головной боли с маршрутами
Меня зовут Семёнов Евгений Сергеевич, IT-аутсорсингом для московских офисов я занимаюсь уже 15 лет. Расскажу про среднюю компанию, где 35 человек работают удалённо, и про то, как мы за один рабочий день перевели их с дряхлого OpenVPN-сервера на NetBird. На старом решении каждое утро прилетало 5–8 заявок «не подключается VPN», а после переезда за месяц — ровно одна. Заодно объясню, почему mesh-VPN на WireGuard в 2026 году стал новым стандартом для удалёнки.
Почему старый VPN перестал устраивать
Клиент — компания, которая занимается переводом и локализацией контента для маркетплейсов. 12 человек в офисе на Курской и 35 редакторов и переводчиков по всей России — от Калининграда до Владивостока. Когда я пришёл на аудит в феврале 2026, у них стоял OpenVPN на Debian 10 с конфигом, который лет десять назад собирал какой-то фрилансер.
Что не работало:
- Скорость. Сотрудник из Владивостока с гигабитным каналом получал через VPN 2–4 Мбит/с, потому что весь трафик шёл через сервер в Москве и упирался в шифрование одного процесса OpenVPN.
- Стабильность. При смене Wi-Fi (например, перешёл с домашней сети на мобильный интернет) OpenVPN отваливался и просил переподключения вручную. Каждый день — десяток жалоб.
- Управление. Чтобы добавить нового сотрудника, админ генерил конфиг-файл, отправлял в почту, объяснял на пальцах, как его импортировать. Полчаса на каждого нового переводчика.
- Безопасность. Все пользователи имели одинаковый доступ ко всей сети. Уволенный месяц назад редактор технически мог зайти на сервер 1С — никто не следил за блокировкой ключей.
- Удалёнщики из других стран. Двое сотрудников переехали — один в Грузию, другой в Сербию. У них VPN отваливался каждые 10–15 минут из-за нестабильного маршрута до Москвы.
Решение нужно было принимать быстро. На рынке сейчас четыре основных кандидата: WireGuard вручную, NetBird, Tailscale, ZeroTier. Tailscale в России работает плохо из-за привязки к Google-аккаунтам, ZeroTier староват и развивается вяло. Так что выбор свёлся к «голому» WireGuard (с ручным управлением ключами) и NetBird (где внутри тот же WireGuard, но сверху удобный кабинет).
Что такое NetBird и чем он отличается от обычного VPN
NetBird — это надстройка над протоколом WireGuard, которая закрывает три главные боли любого корпоративного VPN: управление пользователями, обмен ключами и обход NAT. Архитектурно у него два компонента:
- Management server. Веб-кабинет, где админ заводит пользователей, объединяет их в группы, пишет правила «кто куда может ходить». Это то, что мы хостим у себя на VPS.
- Клиент NetBird. Ставится на ноутбук, телефон, сервер. Подключается к management server, получает свои ключи WireGuard и список пиров. Дальше WireGuard работает сам по себе, и шифрованный трафик ходит напрямую между устройствами.
Главное отличие от обычного OpenVPN: трафик не идёт через центральный сервер. Когда редактор из Калининграда подключается к серверу 1С в московском офисе, NetBird строит прямой WireGuard-тоннель между его ноутбуком и сервером 1С. Скорость — почти как в обычной сети, потому что узкого горлышка попросту нет.
А ещё NetBird умеет «пробить» соединение через NAT с помощью STUN-серверов, а в крайнем случае — через TURN (relay). То есть даже если оба устройства сидят за «серым» IP оператора (как у большинства домашних провайдеров), они всё равно соединятся напрямую в 90 % случаев.
Как мы переехали за один рабочий день
План был такой: поднять NetBird параллельно со старым OpenVPN, перевести пилотную группу из 5 редакторов, а после успеха мигрировать всех остальных и выключить OpenVPN. Вышло так:
- 09:00 — заказали VPS у российского хостера (4 vCPU, 8 GB RAM, 80 GB SSD, 2 800 руб./мес). Долго не думали — взяли первый из проверенных.
- 10:00 — поставили NetBird Management server в Docker по официальной документации. С нуля до работающего веб-кабинета — 40 минут.
- 11:00 — настроили SSO через Keycloak, чтобы сотрудники логинились под корпоративной учёткой. Это важный шаг — без него управление паролями сразу превратится в хаос.
- 12:00 — собрали группы пользователей: «Все», «Редакторы», «Бухгалтерия», «Админы», «Серверы офиса». Прописали ACL: редакторы видят только сервер 1С и файловое хранилище, бухгалтерия — плюс ещё клиент-банк, админы — всё.
- 14:00 — после обеда установили NetBird-клиент на сервер 1С, файловый сервер, доменный контроллер. Они появились в кабинете как «маршрутизаторы» в офисную сеть.
- 15:00 — пилот: пять редакторов скачали клиент, залогинились, получили доступ. У всех заработало с первого раза, скорость — реальные 50–80 Мбит/с против прошлых 2–4.
- 17:00 — разослали инструкцию остальным 30 сотрудникам с дедлайном «до конца недели». К пятнице 33 из 35 успешно перешли. Двух «оставшихся» — техдиректор и одна редактор — настраивали по Zoom лично, ушло по 15 минут на каждого.
- Понедельник следующей недели — выключили старый OpenVPN. Никто не пожаловался.
Что мы получили в итоге
Через месяц после переезда я снял метрики — и вот что получилось:
| Параметр | Было (OpenVPN) | Стало (NetBird) |
|---|---|---|
| Заявок «не подключается» в день | 5–8 | 0–1 |
| Скорость до сервера 1С (из регионов) | 2–4 Мбит/с | 40–80 Мбит/с |
| Время заведения нового сотрудника | 30 минут | 3 минуты |
| Стоимость инфраструктуры в месяц | 4 200 ₽ (старый VPS + лицензии) | 2 800 ₽ (один VPS под NetBird) |
| Возможность аудита «кто куда заходил» | Сложно, по логам OpenVPN | В кабинете в один клик |
| Удобство для пользователя | Конфиг-файл, импорт, переподключение | Установил, залогинился — работает |
Но самое приятное — как изменилось поведение сотрудников. Раньше многие предпочитали VPN не включать, а файлы гонять через личную почту или мессенджер — «потому что VPN тормозит». После переезда VPN стал прозрачным: ноутбук проснулся, NetBird за 2 секунды сам подключился, и все офисные ресурсы доступны без раздумий. Безопасность данных от этого выросла прилично.
Архитектура self-hosted NetBird для среднего офиса
Покажу схему, которая работает у наших клиентов с 30–80 пользователями. Она принципиально проста:
- VPS в России — 4 vCPU, 8 GB RAM, 80 GB SSD, статический IP. Здесь крутится NetBird Management, Signal-сервер и Keycloak в трёх Docker-контейнерах.
- Coturn-сервер — TURN-сервер для передачи трафика, когда NAT не позволяет соединиться напрямую. Тоже в Docker на той же VPS.
- NetBird-клиент на ключевых серверах в офисе: сервер 1С, доменный контроллер, файловый сервер, NVR видеонаблюдения. Они выступают как «маршрутизаторы» в офисную локалку.
- NetBird-клиент на ноутбуках сотрудников: Windows, macOS, Linux, Android, iOS — всё поддерживается из коробки.
- Резервный VPS в другом дата-центре — со спящей копией Management server и регулярным бэкапом базы. Если основной упадёт, переключение занимает 15 минут вручную.
Подводные камни, которые я обнаружил по ходу
Чтобы вы не наступили на те же грабли, перечислю четыре проблемы, с которыми мы столкнулись:
- MTU. На некоторых корпоративных провайдерах с PPPoE стандартный MTU 1500 не пролезал в WireGuard-тоннель, и часть пакетов терялась. Лечится установкой MTU 1380 в настройках клиента — становится как из пушки.
- Корпоративный антивирус. Kaspersky Endpoint Security иногда блокировал сетевой драйвер NetBird. Лечится добавлением исключения в политику KSE для папки
C:\Program Files\NetBirdи одного процесса. - Маршрут к 1С через NetBird-клиент на сервере. Когда мы поставили NetBird-клиент на Windows Server 2022 с 1С, нужно было аккуратно прописать маршрут «весь трафик к подсети 1С через этого клиента». Иначе сотрудники получали доступ только к самому 1С-серверу, но не к файловому серверу через него.
- Бэкап Management server. Если потеряете базу management — все ключи WireGuard инвалидируются и нужно будет переподключать всю команду. Делаем ежедневный
pg_dumpбазы на S3-совместимое хранилище. Восстановление с нуля занимает 30 минут, а не три дня.
Сколько это стоит и кому окупается
Считаем экономику для офиса на 30 удалёнщиков. За сам NetBird вы не платите ничего — он open source. Платите только за VPS и за работу инженера на внедрение и сопровождение. Вот реальные цифры АйТи Фреш на 2026 год:
| Этап работ | Срок | Стоимость |
|---|---|---|
| Аудит существующего VPN, инвентаризация | 0.5 дня | 8 000 ₽ |
| Заказ и настройка VPS, разворачивание Docker | 0.5 дня | 10 000 ₽ |
| Установка NetBird, Keycloak, Coturn, SSL | 1 день | 20 000 ₽ |
| Настройка SSO, групп, ACL-правил | 0.5 дня | 10 000 ₽ |
| Установка клиентов на офисные серверы | 0.5 дня | 10 000 ₽ |
| Миграция пользователей, поддержка первой недели | 1 день | 15 000 ₽ |
| Документация и обучение администратора | 0.5 дня | 7 000 ₽ |
| Итого разовый проект | 4–5 рабочих дней | 80 000 ₽ |
| VPS под NetBird | ежемесячно | 2 800 ₽/мес |
Когда это окупается? У клиента из примера выше:
- Снижение заявок на хелпдеск с 6 в день до 0–1: экономия времени админа ~10 часов в неделю = 70 000 руб. в месяц по ставке аутсорсинга.
- Уменьшение стоимости инфраструктуры с 4 200 до 2 800 руб./мес = 1 400 руб. экономии.
- Возросшая скорость удалёнщиков означает, что они реально работают, а не «ждут пока загрузится».
То есть проект на 80 000 руб. отбился за полтора месяца только на хелпдеске. Дальше — уже чистый плюс.
Что мы делаем по обслуживанию NetBird на абонентке
После запуска инфраструктура требует регулярного обслуживания — и тут у нас в АйТи Фреш всё устроено стандартно. Для клиентов на абонентке в тариф входит:
- Заведение и блокировка учёток по заявкам HR (4–8 операций в месяц для среднего офиса).
- Мониторинг работоспособности Management server, Signal и TURN через Zabbix с уведомлениями в Telegram.
- Ежемесячный аудит активных подключений: кто давно не заходил, у кого подозрительные сессии.
- Обновление NetBird и Keycloak при выходе security-патчей (примерно раз в 1–2 месяца).
- Бэкап PostgreSQL Management в две независимые локации с тестом восстановления раз в квартал.
- Решение инцидентов с подключением: помощь сотрудникам, которые не могут подключиться (среднее время реакции — 30 минут).
За эти работы клиент отдельно не платит — они входят в стандартную абонентку. Мы получаем спокойного клиента и постоянно работающий VPN, а клиент — экспертизу команды из 14 человек по цене одного штатного админа.
Альтернативы, которые я рассматривал
Чтобы не казалось, будто я монопольно проталкиваю NetBird, — вот честная сравнительная таблица того, что есть на рынке для российского SMB в 2026 году:
| Решение | Плюсы | Минусы |
|---|---|---|
| OpenVPN классический | Бесплатный, проверенный временем | Медленный, сложное управление, плохо переносит смену сети |
| WireGuard вручную | Очень быстрый, простой протокол | Никакого управления — все ключи руками, без кабинета |
| NetBird self-hosted | WireGuard + кабинет + SSO + ACL, всё бесплатно | Нужен VPS и компетенция на установку |
| Tailscale | Простой, быстрый | Закрытый код Management, привязка к Google/Microsoft, плохо в РФ |
| ZeroTier | Старый, проверенный | Развивается медленно, скорость хуже WireGuard |
| Cloudflare Zero Trust | Очень удобный кабинет | Платный, заблокирован местами в РФ |
В 8 из 10 проектов для российского SMB с удалённой командой от 15 человек оптимальный выбор — NetBird self-hosted. Когда людей меньше 5 — голый WireGuard. Когда инфраструктура целиком в облаке западных провайдеров и санкционных рисков нет — Tailscale. Всё остальное — компромиссы.
Закажите бесплатный аудит вашей удалёнки
На аудит к новым клиентам я выезжаю лично — по Москве и в радиусе 50 км от МКАД. Посмотрю, как устроен у вас VPN для удалёнщиков, посчитаю реальные потери времени на тормозах и заявках, дам письменное заключение со сметой на переезд на NetBird или альтернативу. Аудит бесплатный, без обязательств.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы про NetBird и корпоративный VPN
- Чем NetBird отличается от обычного OpenVPN или WireGuard?
- Обычный VPN — это тоннель «клиент-сервер»: трафик идёт через одну точку, и при её падении все встают. NetBird строит mesh-сеть: устройства соединяются друг с другом напрямую через WireGuard, а центральный сервер только координирует. Плюс — есть готовый веб-кабинет для управления пользователями и правилами доступа.
- Сколько стоит NetBird для команды из 30 человек?
- Облачная версия NetBird бесплатна до 5 пользователей. Дальше — от $3 за пользователя в месяц. Но есть self-hosted вариант — полностью бесплатный, ставится на свой VPS за 600–1200 руб./мес. Для 30 человек self-hosted экономит около 90 000 руб. в год.
- Будет ли NetBird работать в России без VPN?
- Self-hosted — да, потому что вы поднимаете свой сервер на VPS у российского хостера. Облачная версия (api.netbird.io) тоже доступна, но мы рекомендуем самостоятельный хостинг — это снижает риски с блокировками и даёт полный контроль над данными пользователей.
- Подойдёт ли NetBird для доступа к серверу 1С из дома?
- Идеально подойдёт. Сотрудник ставит клиент NetBird, входит со своей корпоративной учёткой, получает виртуальный IP в сети офиса и подключается к серверу 1С RDP-клиентом так, как будто сидит за рабочим столом. Скорость WireGuard — почти как у обычной сети.
- Сколько стоит внедрение NetBird в АйТи Фреш?
- Базовый проект для офиса до 30 пользователей: подъём self-hosted сервера на VPS, настройка SSO через Keycloak, заведение групп и ACL, установка клиентов на ноутбуки, обучение администратора — 80 000 руб. с гарантией 30 дней.