Сеть в офисе на 10-50 рабочих мест: VLAN, гостевой Wi-Fi и IP-адресация
Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. Уже 15 лет я занимаюсь корпоративными сетями в Москве. За эти годы мне довелось перепланировать около 200 офисных сетей, и знаете, в 80 % случаев картина была до боли знакомой: сеть «как-то выросла сама по себе», все устройства свалены в одну кучу в плоской подсети 192.168.1.0/24, гостевой Wi-Fi оказывается той же самой сетью, IP-адреса постоянно конфликтуют, а если что-то откажет, то никто и не вспомнит, что это за железка и где она вообще стоит. В этой статье я подробно расскажу, как правильно организовать сеть, сделать всё по уму и при этом не переплачивать за дорогое корпоративное оборудование от Cisco.
Почему «плоская» сеть — это всегда плохо
Вот свежий пример: в 2024-м году я приехал на аудит к одной юридической фирме, у них 22 рабочих места. Всё, как они сказали, «нормально работало» целых 6 лет. И что же я там обнаружил в одной-единственной подсети 192.168.0.0/24? Список впечатляет: 22 ПК сотрудников, сервер 1С, IP-АТС Asterisk, NAS Synology, 4 IP-камеры, цветной МФУ, телевизор в переговорной, который транслировал YouTube, два смартфона уборщицы (она их, кстати, сама подключала к Wi-Fi) и, что окончательно меня добило, холодильник на кухне с поддержкой Wi-Fi. Да-да, обычный холодильник!
Не прошло и двух недель после моего визита, как у них, что называется, «рвануло»: рабочий ноутбук одного из юристов поймал шифровальщик. А дальше всё пошло по накатанной: вирус добрался до общих сетевых папок на NAS. Почему? Да просто потому, что у юриста эти папки были смонтированы как обычный сетевой диск. Восстановление из бэкапа превратилось в настоящий кошмар: 6 часов простоя всего офиса, да ещё и часть документов потеряли — те, что за день не успели забэкапить. А ведь если бы NAS был в отдельном VLAN, с доступом только по нужным портам и исключительно с правильных учёток, заражение так и осталось бы на одном-единственном ноутбуке. Вот где был бы толк!
История типовая. Плоская сеть удобна для лени и опасна для бизнеса. Любая железка видит любую другую — а значит, дыра в одной железке мгновенно расползается на всю сеть.
Минимальная разумная сегментация для офиса
Обычно я делю сеть на 4–6 VLAN. Точное количество зависит, конечно, от размера офиса. Но это тот самый минимум, ниже которого, поверьте мне, опускаться просто нельзя:
| VLAN | Назначение | Подсеть | Кто туда ходит |
|---|---|---|---|
| 10 | Офисная LAN — рабочие ПК | 10.10.10.0/24 | Все сотрудники с проводных мест |
| 20 | Серверы (1С, NAS, AD) | 10.10.20.0/24 | Только сервисный трафик с офисной LAN |
| 30 | Wi-Fi корпоративный | 10.10.30.0/24 | Сотрудники с ноутбуков и смартфонов |
| 40 | VoIP — IP-телефоны и АТС | 10.10.40.0/24 | Только телефоны, изолировано |
| 50 | Wi-Fi гостевой | 10.10.50.0/24 | Гости — только в интернет, никакого доступа внутрь |
| 60 | IP-камеры и СКУД | 10.10.60.0/24 | Видеосервер и доступ к админке |
| 99 | Управление сетью | 10.10.99.0/24 | Только админ, доступ к Mikrotik и коммутаторам |
Хочу сразу обратить ваше внимание: я никогда не использую подсети 192.168.0.0/24 или 192.168.1.0/24. Почему? Да потому что эти подсети чаще всего прописаны по умолчанию на домашних роутерах ваших же сотрудников — на TP-Link, Keenetic, Asus. И представьте себе: человек работает удалённо через VPN, и тут же «привет!» — конфликт подсетей. Его компьютер либо наотрез отказывается видеть офисные ресурсы, либо принимает свои домашние за офисные. Мой совет: берите 10.X.X.0/24. Диапазон 10.0.0.0/8 даёт целых 16 миллионов адресов, и будьте уверены, ни одна домашняя сеть туда точно не залезет.
Как считаются маски подсетей — короткий ликбез
Я знаю, что такая «сетевая» арифметика многих руководителей может запутать, поэтому объясню коротко и без лишнего занудства. Если вы видите запись /24 в конце адреса, это значит, что первые 24 бита отвечают за адрес сети, а оставшиеся 8 бит — за адреса устройств. Так вот, 8 бит — это 2 в 8 степени, то есть 256 адресов. Отнимаем 2 (один адрес для самой сети, другой для широковещательного вещания) — и получаем 254 устройства в подсети. Этого количества с лихвой хватит на любой офис, где до 200 рабочих мест.
Подсеть /29 даёт нам 8 адресов, то есть реальных 6 устройств. /30 — это 4 адреса, а значит, 2 устройства; её обычно используют для линков «точка-точка» между роутерами. Что касается /16 — это целых 65 534 устройства. Для офиса это, на мой взгляд, явный перебор, такую я не использую никогда.
Для офисов, где меньше 50 рабочих мест, я без раздумий использую /24 везде. Это просто, понятно, и не нужно ничего высчитывать на калькуляторе. Если вам вдруг предлагают какие-то навороченные схемы с VLSM (это переменная длина маски), плавающими подсетями и сложными иерархиями — для вашего офиса это, скорее всего, просто лишнее. Да и перерасход адресов в частном диапазоне 10.X — это вообще не повод для беспокойства.
Конфигурация Mikrotik для офиса с VLAN
Обычно я ставлю Mikrotik RB5009 в качестве основного роутера, а к нему добавляю пару Mikrotik CSS610, которые работают как коммутаторы доступа. Все VLANы «ходят» через RouterOS, и маршрутизация, и файрвол — всё это тоже на нём. Вот пример базовой конфигурации для разделения трёх VLAN (LAN, гости, серверы):
# Создаём VLAN-интерфейсы на основном bridge
/interface vlan
add interface=bridge name=vlan10-lan vlan-id=10
add interface=bridge name=vlan20-srv vlan-id=20
add interface=bridge name=vlan50-guest vlan-id=50
# Назначаем IP-адреса
/ip address
add address=10.10.10.1/24 interface=vlan10-lan
add address=10.10.20.1/24 interface=vlan20-srv
add address=10.10.50.1/24 interface=vlan50-guest
# DHCP-серверы для каждого VLAN
/ip pool
add name=pool-lan ranges=10.10.10.50-10.10.10.250
add name=pool-srv ranges=10.10.20.50-10.10.20.99
add name=pool-guest ranges=10.10.50.50-10.10.50.250
/ip dhcp-server
add address-pool=pool-lan interface=vlan10-lan name=dhcp-lan
add address-pool=pool-srv interface=vlan20-srv name=dhcp-srv
add address-pool=pool-guest interface=vlan50-guest name=dhcp-guest
add disabled=no name=*
# Настраиваем VLAN на портах bridge
/interface bridge port
add bridge=bridge interface=ether2 pvid=10
add bridge=bridge interface=ether3 pvid=10
add bridge=bridge interface=ether4 pvid=20 # порт для сервера
add bridge=bridge interface=sfp-sfpplus1 pvid=20 # 10G к серверу
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether2,ether3 vlan-ids=10
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether4 vlan-ids=20
add bridge=bridge tagged=bridge,wlan1 vlan-ids=50
В моей практике на офис из 25 рабочих мест с тремя VLAN полная настройка с нуля занимает 4–5 часов работы инженера, включая раскидывание правил файрвола.
Правила файрвола между VLAN — что разрешать, что запрещать
Важно понимать: сама по себе сегментация, если нет правил файрвола, — это всего лишь разные подсети, и ничего более. Маршрутизация между ними работает по умолчанию, а значит, без чётких запретов любой VLAN будет «видеть» любой другой. Поэтому второй и очень важный шаг — это прописать правила inter-VLAN routing.
# Разрешаем офисной LAN ходить к серверам по нужным портам
/ip firewall filter
# 1С — порты 1540, 1541, 1560-1591
add chain=forward action=accept src-address=10.10.10.0/24 \
dst-address=10.10.20.0/24 protocol=tcp dst-port=1540-1591 \
comment="LAN -> 1C servers"
# RDP к серверу 1С (только определённые ПК)
add chain=forward action=accept src-address=10.10.10.0/24 \
dst-address=10.10.20.10 protocol=tcp dst-port=3389 \
comment="LAN -> RDP 1C"
# Доступ к NAS — SMB и веб-морда
add chain=forward action=accept src-address=10.10.10.0/24 \
dst-address=10.10.20.20 protocol=tcp dst-port=445,5000,5001 \
comment="LAN -> NAS"
# Гости — ТОЛЬКО в интернет, никаких внутренних подсетей
add chain=forward action=drop src-address=10.10.50.0/24 \
dst-address=10.10.0.0/16 comment="Guests can't access internal"
# Запрет всего лишнего между VLAN
add chain=forward action=drop dst-address=10.10.0.0/16 \
src-address=10.10.0.0/16 comment="Drop inter-VLAN by default"
Принцип: по умолчанию запрещено всё, разрешаем только то, что реально нужно для работы. Это противоположность типичной «по умолчанию разрешено» — и именно она спасает от распространения шифровальщиков по сети.
Гостевой Wi-Fi: отдельная история
Гостевой Wi-Fi — это не просто «тот же Wi-Fi, но с другим паролем». Это должна быть полностью изолированная сеть: свой отдельный VLAN, свой DHCP и единственное, что ему разрешено, — это выход в интернет. Вот что обязательно должно быть настроено:
- Изоляция клиентов между собой. Два смартфона гостей не должны видеть друг друга. На точке доступа Mikrotik это галка
default-forwarding=noв security profile - Запрет доступа во внутренние сети. Правило файрвола, которое я показал выше
- Ограничение скорости. Чтобы один гость со стримингом не положил Wi-Fi для всех. Обычно 5 Мбит/с на клиента
- Отдельный SSID. Например, «Office-Guest» с простым паролем, который вы меняете раз в 3 месяца
- Captive portal с приветствием — необязательно, но добавляет правильное впечатление и фиксирует согласие на условия
- Логирование DHCP-запросов — на случай, если потребуется доказать, что в такое-то время через ваш Wi-Fi гость скачал что-то нелегальное
Кстати, раз уж затронули последний пункт, хочу напомнить: по 374-ФЗ компании, которые предоставляют доступ в интернет, обязаны хранить логи доступа в течение года. Для гостевого Wi-Fi это означает, что DHCP-логи и NAT-таблица должны куда-то записываться. У меня это всё автоматически уходит через rsyslog на тот же самый Wazuh. Так что всё под контролем.
Wi-Fi для сотрудников: WPA2-Enterprise или WPA3
Корпоративный Wi-Fi для сотрудников должен быть строго отделён от гостевого. У него должен быть свой SSID и, конечно, работа по WPA3-Enterprise (ну, или хотя бы WPA2-Enterprise с RADIUS-сервером). Чем это отличается от обычного «Wi-Fi с паролем»? Всё просто: каждый сотрудник заходит под своими уникальными доменными учётками AD, а не под одним общим паролем, который знают все.
Что это даёт:
- При увольнении сотрудника достаточно отключить его учётку в AD — Wi-Fi для него перестаёт работать. Не нужно менять пароль и переподключать всех 30 человек
- Логирование: видно, кто и когда подключался к Wi-Fi с каких устройств
- Возможность давать разные права разным группам сотрудников
Настроить это всё проще всего через Mikrotik User Manager (он, кстати, бесплатный и входит в RouterOS) или, если у вас уже есть Windows Server с AD, то в связке с Microsoft NPS. Настройка займёт у инженера 4–6 часов, плюс ещё час понадобится, чтобы раздать профили пользователям через GPO.
IP-адресация принтеров, IP-камер и принт-серверов
Есть ещё один важный момент, о котором почему-то часто забывают, — это фиксированные IP-адреса для оборудования, которое ни в коем случае не должно «плавать». Речь идёт о принтерах, МФУ, IP-камерах, системах СКУД, терминалах сбора данных на складе — у всего этого должны быть постоянные адреса. Тогда драйверы и софт всегда будут точно знать, куда им стучаться.
В каждом VLAN я выделяю зоны:
.1— шлюз (роутер Mikrotik).2 — .9— сетевое оборудование (коммутаторы, точки Wi-Fi).10 — .49— серверы и инфраструктура.50 — .250— DHCP-пул для динамических устройств.251 — .254— резерв
Я обычно закрепляю принтеры и МФУ по MAC-адресу через DHCP static lease. Это, на мой взгляд, куда удобнее, чем городить статический IP прямо на самом принтере. Если потом понадобится перекинуть принтер в другой VLAN, это правится всего в одном месте — на роутере. Красота!
Документация: NetBox или Excel
А вот и самая важная, но, признаюсь честно, наименее любимая часть работы — документация сети. Без неё уже через год даже сам админ не вспомнит, что куда подключено. Поэтому я всегда обязательно передаю клиенту документ, который состоит из трёх частей:
- Схема сети в формате Visio или draw.io: что куда воткнуто физически, какие порты заняты, какие VLAN на каких портах
- Таблица IP-адресов: какой адрес у какой железки, MAC, кто отвечает, физическое расположение
- Список VLAN с подсетями, шлюзами и описанием назначения
Для офисов, где до 50 рабочих мест, обычная Excel-таблица на 4 листа полностью закрывает все вопросы по документации. Никакие NetBox или phpIPAM ставить не нужно, это лишнее. Документ обычно хранится в Confluence или просто в общей папке на NAS и, конечно, обновляется при любом, даже самом незначительном изменении.
Как-то раз у одного клиента я наткнулся на документ от прежнего админа: 17 столбцов в Excel, 380 строк, а актуальность датировалась 2018 годом. В реальности же 80 % информации уже не соответствовало действительности. Это, я вам скажу, хуже, чем вообще ничего не иметь, — такая документация только вводит в заблуждение. Отсюда мой принцип: лучше пусть будет коротко, но всегда актуально, чем длинно и протухло.
Сколько стоит правильно сделать сеть в офисе
А теперь поговорим о конкретных цифрах для офисов разного размера — это мой опыт работы в Москве и Подмосковье, актуальный на апрель 2026 года:
| Офис | Оборудование | Работы | Срок |
|---|---|---|---|
| 10 рабочих мест, 1 Wi-Fi | 45 000 ₽ (Mikrotik hAP ax3 + 1 точка Wi-Fi) | 32 000 ₽ | 2-3 дня |
| 25 рабочих мест, 2 Wi-Fi, сервер 1С | 78 000 ₽ (RB5009 + CSS610 + 2 точки) | 52 000 ₽ | 4-5 дней |
| 50 рабочих мест, 4 Wi-Fi, 2 сервера | 158 000 ₽ (RB5009 + 2 коммутатора + 4 точки) | 78 000 ₽ | 7-8 дней |
В эти работы, как правило, входит: совместное с клиентом планирование сети, разводка кабелей (если есть такая необходимость), монтаж оборудования, настройка VLAN, файрвола, гостевого Wi-Fi и, конечно же, полная документация. Если же сеть нужно переделывать в уже работающем офисе, я добавляю +30 % к стоимости за работы в нерабочее время и поэтапную миграцию, чтобы не было никаких простоев.
Чего я не делаю в малых офисах
За мои 15 лет практики я отложил в сторону немало «модных» решений. Для офиса до 50 человек это, как говорится, «пушка по воробьям»:
- Не ставлю Cisco Catalyst в офис на 30 человек — Mikrotik в 8–10 раз дешевле и решает те же задачи
- Не использую SDN и VXLAN — это технологии для дата-центров, в офисе они избыточны
- Не делаю отдельные VLAN на каждый отдел — обычно достаточно сегментации по типу устройств (LAN/Wi-Fi/гости/серверы), а не по людям
- Не использую AAA с TACACS+ в офисах — RADIUS через User Manager на Mikrotik закрывает 100 % задач малого бизнеса
- Не предлагаю двойные подключения к интернету, если нет прямой потребности. Failover между двумя провайдерами усложняет инфраструктуру в 2 раза, для большинства офисов 99.5 % SLA от одного провайдера достаточно
Получите бесплатный аудит инфраструктуры
На аудит к каждому новому клиенту в Москве и в радиусе 50 км от МКАД я выезжаю лично. Будьте уверены, за 2–3 рабочих дня вы получите от меня подробный письменный отчёт: схему вашей текущей сети, все найденные проблемы (будь то открытые порты, конфликты IP-адресов или полное отсутствие сегментации) и, конечно, смету на то, чтобы привести всё в полный порядок.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по офисной сети
- Зачем разделять сеть офиса на VLAN, если все и так работают?
- Без VLAN зашифрованный гостевой ноутбук имеет доступ к серверу 1С, IP-камерам и принтерам. Один заражённый ноутбук — и вся сеть в опасности. VLAN ограничивает зону поражения и позволяет применять разные правила доступа к разным сегментам.
- Какой Mikrotik выбрать для офиса 25 рабочих мест?
- Для 25 рабочих мест с парой серверов и Wi-Fi беру Mikrotik RB5009 за 28 000 ₽ — производительный CPU, 7 портов Gigabit + 1 SFP+ 10G для сервера. Это закрывает потребности офиса до 50 человек с запасом на 5 лет.
- Какой диапазон IP-адресов выбрать для офиса?
- Беру 10.10.X.0/24 на каждый VLAN, не использую 192.168.0.0/24 и 192.168.1.0/24 — они конфликтуют с домашними сетями сотрудников при VPN. Например: 10.10.10.0/24 для офиса, 10.10.20.0/24 для серверов, 10.10.50.0/24 для гостей.
- Нужен ли отдельный VLAN для гостевого Wi-Fi?
- Обязательно. Гостевой Wi-Fi должен быть полностью изолирован от внутренней сети — никакого доступа к серверам, NAS, принтерам, рабочим станциям. Только интернет. Это защищает от заражённых устройств гостей и от утечек, если кто-то подсмотрел пароль Wi-Fi.
- Сколько стоит спроектировать и настроить сеть в офисе на 30 рабочих мест?
- Для офиса 30 РМ с нуля: проектирование — 12 000 ₽, оборудование (Mikrotik RB5009 + 2 коммутатора + 3 точки Wi-Fi) — 95 000 ₽, монтаж и настройка — 65 000 ₽, итого около 170 000 ₽ за 5-7 рабочих дней.
