Зачем разделять сеть офиса на VLAN, если все и так работают?

Без VLAN зашифрованный гостевой ноутбук имеет доступ к серверу 1С, IP-камерам и принтерам. Один заражённый ноутбук — и вся сеть в опасности. VLAN ограничивает зону поражения и позволяет применять разные правила доступа к разным сегментам.

Какой Mikrotik выбрать для офиса 25 рабочих мест?

Для 25 рабочих мест с парой серверов и Wi-Fi беру Mikrotik RB5009 за 28 000 ₽ — производительный CPU, 7 портов Gigabit + 1 SFP+ 10G для сервера. Это закрывает потребности офиса до 50 человек с запасом на 5 лет.

Какой диапазон IP-адресов выбрать для офиса?

Беру 10.10.X.0/24 на каждый VLAN, не использую 192.168.0.0/24 и 192.168.1.0/24 — они конфликтуют с домашними сетями сотрудников при VPN. Например: 10.10.10.0/24 для офиса, 10.10.20.0/24 для серверов, 10.10.50.0/24 для гостей.

Нужен ли отдельный VLAN для гостевого Wi-Fi?

Обязательно. Гостевой Wi-Fi должен быть полностью изолирован от внутренней сети — никакого доступа к серверам, NAS, принтерам, рабочим станциям. Только интернет. Это защищает от заражённых устройств гостей и от утечек, если кто-то подсмотрел пароль Wi-Fi.

Сколько стоит спроектировать и настроить сеть в офисе на 30 рабочих мест?

Для офиса 30 РМ с нуля: проектирование — 12 000 ₽, оборудование (Mikrotik RB5009 + 2 коммутатора + 3 точки Wi-Fi) — 95 000 ₽, монтаж и настройка — 65 000 ₽, итого около 170 000 ₽ за 5-7 рабочих дней.

Сети 17 апреля 2026 · 14 мин чтения

Сеть в офисе на 10-50 рабочих мест: VLAN, гостевой Wi-Fi и IP-адресация

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш, 15 лет занимаюсь корпоративными сетями в Москве. За эти годы я перепланировал около 200 офисных сетей — и в 80 % случаев приходил к одной картине: сеть «как-то выросла», все устройства сидят в одной плоской подсети 192.168.1.0/24, гостевой Wi-Fi — это та же сеть, IP-адреса конфликтуют, а в случае проблемы никто не может найти, какая железка где стоит. В этой статье разберу, как сделать правильно, без переплат за корпоративные железки Cisco.

Почему «плоская» сеть — это всегда плохо

В 2024 году я приехал на аудит к клиенту — юридическая фирма, 22 рабочих места, всё работало 6 лет «нормально». В одной подсети 192.168.0.0/24 у них находились: 22 ПК сотрудников, сервер 1С, IP-АТС Asterisk, NAS Synology, 4 IP-камеры, цветной МФУ, телевизор в переговорной с YouTube, два смартфона уборщицы (она их подключала к Wi-Fi), и что особенно меня поразило — холодильник в кухне с поддержкой Wi-Fi.

Через две недели после моего ухода у клиента случился инцидент: рабочий ноутбук одного из юристов был заражён шифровальщиком. Шифровальщик нашёл и зашифровал общие сетевые папки на NAS, потому что они были смонтированы у юриста как сетевой диск. Восстановление из бэкапа заняло 6 часов простоя всего офиса, потеряли часть незабэкапленных за день документов. Если бы NAS находился в отдельном VLAN с правилами доступа только по нужным портам и с нужных учёток — заражение бы остановилось на ноутбуке.

Это типовая история. Плоская сеть удобна для лени и опасна для бизнеса. Любая железка может видеть любую другую — это значит, что любая дыра в любой железке распространяется на всю сеть.

Минимальная разумная сегментация для офиса

Я обычно делю сеть на 4–6 VLAN, в зависимости от размера офиса. Это минимум, ниже которого опускаться нельзя:

VLAN	Назначение	Подсеть	Кто туда ходит
10	Офисная LAN — рабочие ПК	10.10.10.0/24	Все сотрудники с проводных мест
20	Серверы (1С, NAS, AD)	10.10.20.0/24	Только сервисный трафик с офисной LAN
30	Wi-Fi корпоративный	10.10.30.0/24	Сотрудники с ноутбуков и смартфонов
40	VoIP — IP-телефоны и АТС	10.10.40.0/24	Только телефоны, изолировано
50	Wi-Fi гостевой	10.10.50.0/24	Гости — только в интернет, никакого доступа внутрь
60	IP-камеры и СКУД	10.10.60.0/24	Видеосервер и доступ к админке
99	Управление сетью	10.10.99.0/24	Только админ, доступ к Mikrotik и коммутаторам

Заметьте, я не использую 192.168.0.0/24 или 192.168.1.0/24. Эти подсети по умолчанию настроены на роутерах TP-Link, Keenetic, Asus в домашних сетях ваших сотрудников. Когда сотрудник работает удалённо через VPN — возникает конфликт подсетей, и его компьютер либо не видит офисные ресурсы, либо видит свои домашние, считая их офисными. Берите 10.X.X.0/24 — диапазон 10.0.0.0/8 предоставляет 16 миллионов адресов, в них точно никто из домашних сетей не залезает.

Как считаются маски подсетей — короткий ликбез

Многие руководители путаются в этой арифметике, поэтому короткое объяснение без занудства. Запись /24 в конце адреса означает «первые 24 бита — это адрес сети, а оставшиеся 8 бит — адреса устройств». 8 бит даёт 2 в 8 степени = 256 адресов, минус 2 (адрес сети и широковещательный) = 254 устройства в подсети. Это закрывает любой офис до 200 рабочих мест с запасом.

Подсеть /29 даёт 8 адресов — 6 устройств. Подсеть /30 — 4 адреса, 2 устройства (используется для линков точка-точка между роутерами). Подсеть /16 — 65 534 устройства, для офиса избыточна, я её никогда не использую.

Для офисов до 50 рабочих мест я везде использую /24. Это просто, понятно, не нужно ничего считать на калькуляторе. Если вам предлагают сложные схемы с VLSM (переменной длиной маски), переменными подсетями и иерархиями — для вашего офиса это лишнее. Перерасход адресов в частном диапазоне 10.X — нулевая проблема.

Конфигурация Mikrotik для офиса с VLAN

Я обычно ставлю Mikrotik RB5009 как основной роутер плюс пару Mikrotik CSS610 как доступ-коммутаторов. Все VLAN бегают через RouterOS, маршрутизация и файрвол на нём же. Базовая конфигурация для разделения трёх VLAN (LAN, гости, серверы):

# Создаём VLAN-интерфейсы на основном bridge
/interface vlan
add interface=bridge name=vlan10-lan vlan-id=10
add interface=bridge name=vlan20-srv vlan-id=20
add interface=bridge name=vlan50-guest vlan-id=50

# Назначаем IP-адреса
/ip address
add address=10.10.10.1/24 interface=vlan10-lan
add address=10.10.20.1/24 interface=vlan20-srv
add address=10.10.50.1/24 interface=vlan50-guest

# DHCP-серверы для каждого VLAN
/ip pool
add name=pool-lan ranges=10.10.10.50-10.10.10.250
add name=pool-srv ranges=10.10.20.50-10.10.20.99
add name=pool-guest ranges=10.10.50.50-10.10.50.250

/ip dhcp-server
add address-pool=pool-lan interface=vlan10-lan name=dhcp-lan
add address-pool=pool-srv interface=vlan20-srv name=dhcp-srv
add address-pool=pool-guest interface=vlan50-guest name=dhcp-guest
add disabled=no name=*

# Настраиваем VLAN на портах bridge
/interface bridge port
add bridge=bridge interface=ether2 pvid=10
add bridge=bridge interface=ether3 pvid=10
add bridge=bridge interface=ether4 pvid=20  # порт для сервера
add bridge=bridge interface=sfp-sfpplus1 pvid=20  # 10G к серверу

/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether2,ether3 vlan-ids=10
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether4 vlan-ids=20
add bridge=bridge tagged=bridge,wlan1 vlan-ids=50

В моей практике на офис из 25 рабочих мест с тремя VLAN полная настройка с нуля занимает 4–5 часов работы инженера, включая раскидывание правил файрвола.

Правила файрвола между VLAN — что разрешать, что запрещать

Сама по себе сегментация без правил файрвола — это просто разные подсети. Маршрутизация между ними работает по умолчанию, и без явных запретов любой VLAN видит любой другой. Поэтому второй важный шаг — прописать правила inter-VLAN routing.

# Разрешаем офисной LAN ходить к серверам по нужным портам
/ip firewall filter
# 1С — порты 1540, 1541, 1560-1591
add chain=forward action=accept src-address=10.10.10.0/24 \
    dst-address=10.10.20.0/24 protocol=tcp dst-port=1540-1591 \
    comment="LAN -> 1C servers"

# RDP к серверу 1С (только определённые ПК)
add chain=forward action=accept src-address=10.10.10.0/24 \
    dst-address=10.10.20.10 protocol=tcp dst-port=3389 \
    comment="LAN -> RDP 1C"

# Доступ к NAS — SMB и веб-морда
add chain=forward action=accept src-address=10.10.10.0/24 \
    dst-address=10.10.20.20 protocol=tcp dst-port=445,5000,5001 \
    comment="LAN -> NAS"

# Гости — ТОЛЬКО в интернет, никаких внутренних подсетей
add chain=forward action=drop src-address=10.10.50.0/24 \
    dst-address=10.10.0.0/16 comment="Guests can't access internal"

# Запрет всего лишнего между VLAN
add chain=forward action=drop dst-address=10.10.0.0/16 \
    src-address=10.10.0.0/16 comment="Drop inter-VLAN by default"

Принцип: по умолчанию запрещено всё, разрешаем только то, что реально нужно для работы. Это противоположность типичной «по умолчанию разрешено» — и именно она спасает от распространения шифровальщиков по сети.

Гостевой Wi-Fi: отдельная история

Гостевой Wi-Fi — это не «такой же Wi-Fi, только с отдельным паролем». Это полностью изолированная сеть с собственным VLAN, собственным DHCP, и единственным разрешением — выход в интернет. Вот что должно быть включено:

Изоляция клиентов между собой. Два смартфона гостей не должны видеть друг друга. На точке доступа Mikrotik это галка default-forwarding=no в security profile
Запрет доступа во внутренние сети. Правило файрвола, которое я показал выше
Ограничение скорости. Чтобы один гость со стримингом не положил Wi-Fi для всех. Обычно 5 Мбит/с на клиента
Отдельный SSID. Например, «Office-Guest» с простым паролем, который вы меняете раз в 3 месяца
Captive portal с приветствием — необязательно, но добавляет правильное впечатление и фиксирует согласие на условия
Логирование DHCP-запросов — на случай, если потребуется доказать, что в такое-то время через ваш Wi-Fi гость скачал что-то нелегальное

Кстати про последний пункт — по 374-ФЗ компании, которые предоставляют доступ к интернету, обязаны хранить логи доступа в течение года. Для гостевого Wi-Fi это значит — DHCP-логи и NAT-таблица должны где-то писаться. У меня это автоматизировано через rsyslog на тот же Wazuh.

Wi-Fi для сотрудников: WPA2-Enterprise или WPA3

Корпоративный Wi-Fi для сотрудников должен быть отдельным от гостевого, иметь отдельный SSID и работать по WPA3-Enterprise (или хотя бы WPA2-Enterprise с RADIUS-сервером). В чём разница с обычным «Wi-Fi с паролем»: каждый сотрудник логинится под своими доменными учётками AD, а не общим паролем.

Преимущества:

При увольнении сотрудника достаточно отключить его учётку в AD — Wi-Fi для него перестаёт работать. Не нужно менять пароль и переподключать всех 30 человек
Логирование: видно, кто и когда подключался к Wi-Fi с каких устройств
Возможность давать разные права разным группам сотрудников

Самый простой способ это поднять — Mikrotik User Manager (бесплатно, входит в RouterOS) или связка с Microsoft NPS (если у вас уже есть Windows Server с AD). Настройка занимает 4–6 часов на инженера, потом раздача профилей пользователям через GPO — ещё 1 час.

IP-адресация принтеров, IP-камер и принт-серверов

Отдельный пункт, который часто игнорируют — фиксированные IP для оборудования, которое не должно «плавать». Принтеры, МФУ, IP-камеры, СКУД, терминал сбора данных на складе — всё это должно иметь постоянные адреса, чтобы драйверы и софт всегда знали, куда подключаться.

Я выделяю в каждом VLAN зоны:

.1 — шлюз (роутер Mikrotik)
.2 — .9 — сетевое оборудование (коммутаторы, точки Wi-Fi)
.10 — .49 — серверы и инфраструктура
.50 — .250 — DHCP-пул для динамических устройств
.251 — .254 — резерв

Принтеры и МФУ закрепляю по MAC-адресу через DHCP static lease — это удобнее, чем настраивать статический IP на самом принтере. Если потом надо будет переместить принтер в другой VLAN — меняется в одном месте на роутере.

Документация: NetBox или Excel

Самая важная и самая нелюбимая часть работы — документация сети. Без неё через год даже сам админ не помнит, что куда воткнуто. Я обязательно делаю клиенту документ с тремя элементами:

Схема сети в формате Visio или draw.io: что куда воткнуто физически, какие порты заняты, какие VLAN на каких портах
Таблица IP-адресов: какой адрес у какой железки, MAC, кто отвечает, физическое расположение
Список VLAN с подсетями, шлюзами и описанием назначения

Для офисов до 50 рабочих мест Excel-таблица с 4 листами решает проблему документации полностью — не нужно ставить специализированные системы вроде NetBox или phpIPAM. Документ хранится в Confluence или просто в общей папке на NAS, обновляется при любом изменении.

У одного клиента я нашёл документ от прежнего админа: 17 столбцов в Excel, 380 строк, актуальность — на 2018 год, в реальности 80 % уже не соответствовало. Это хуже, чем отсутствие документации, потому что вводит в заблуждение. Поэтому мой принцип — лучше короткий, но актуальный, чем длинный и устаревший.

Сколько стоит правильно сделать сеть в офисе

Конкретные цифры для офисов разного размера, по моей практике в Москве и Подмосковье на апрель 2026:

Офис	Оборудование	Работы	Срок
10 рабочих мест, 1 Wi-Fi	45 000 ₽ (Mikrotik hAP ax3 + 1 точка Wi-Fi)	32 000 ₽	2-3 дня
25 рабочих мест, 2 Wi-Fi, сервер 1С	78 000 ₽ (RB5009 + CSS610 + 2 точки)	52 000 ₽	4-5 дней
50 рабочих мест, 4 Wi-Fi, 2 сервера	158 000 ₽ (RB5009 + 2 коммутатора + 4 точки)	78 000 ₽	7-8 дней

В работы входит: планирование сети с клиентом, разводка кабелей (если нужно), монтаж оборудования, настройка VLAN, файрвола, гостевого Wi-Fi, документация. Если сеть нужно переделать в работающем офисе — добавляю +30 % за работы в нерабочее время и поэтапную миграцию без простоев.

Чего я не делаю в малых офисах

За 15 лет я оставил в стороне многие «модные» решения, которые для офиса до 50 человек — это пушка по воробьям:

Не ставлю Cisco Catalyst в офис на 30 человек — Mikrotik в 8–10 раз дешевле и решает те же задачи
Не использую SDN и VXLAN — это технологии для дата-центров, в офисе они избыточны
Не делаю отдельные VLAN на каждый отдел — обычно достаточно сегментации по типу устройств (LAN/Wi-Fi/гости/серверы), а не по людям
Не использую AAA с TACACS+ в офисах — RADIUS через User Manager на Mikrotik закрывает 100 % задач малого бизнеса
Не предлагаю двойные подключения к интернету, если нет прямой потребности. Failover между двумя провайдерами усложняет инфраструктуру в 2 раза, для большинства офисов 99.5 % SLA от одного провайдера достаточно

Получите бесплатный аудит инфраструктуры

Я лично выезжаю на аудит к каждому новому клиенту в Москве и в радиусе 50 км от МКАД. За 2–3 рабочих дня вы получите письменный отчёт со схемой текущей сети, найденными проблемами (открытые порты, конфликты IP, отсутствие сегментации) и сметой на её приведение в порядок. Без обязательств.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по офисной сети

Зачем разделять сеть офиса на VLAN, если все и так работают?: Без VLAN зашифрованный гостевой ноутбук имеет доступ к серверу 1С, IP-камерам и принтерам. Один заражённый ноутбук — и вся сеть в опасности. VLAN ограничивает зону поражения и позволяет применять разные правила доступа к разным сегментам.
Какой Mikrotik выбрать для офиса 25 рабочих мест?: Для 25 рабочих мест с парой серверов и Wi-Fi беру Mikrotik RB5009 за 28 000 ₽ — производительный CPU, 7 портов Gigabit + 1 SFP+ 10G для сервера. Это закрывает потребности офиса до 50 человек с запасом на 5 лет.
Какой диапазон IP-адресов выбрать для офиса?: Беру 10.10.X.0/24 на каждый VLAN, не использую 192.168.0.0/24 и 192.168.1.0/24 — они конфликтуют с домашними сетями сотрудников при VPN. Например: 10.10.10.0/24 для офиса, 10.10.20.0/24 для серверов, 10.10.50.0/24 для гостей.
Нужен ли отдельный VLAN для гостевого Wi-Fi?: Обязательно. Гостевой Wi-Fi должен быть полностью изолирован от внутренней сети — никакого доступа к серверам, NAS, принтерам, рабочим станциям. Только интернет. Это защищает от заражённых устройств гостей и от утечек, если кто-то подсмотрел пароль Wi-Fi.
Сколько стоит спроектировать и настроить сеть в офисе на 30 рабочих мест?: Для офиса 30 РМ с нуля: проектирование — 12 000 ₽, оборудование (Mikrotik RB5009 + 2 коммутатора + 3 точки Wi-Fi) — 95 000 ₽, монтаж и настройка — 65 000 ₽, итого около 170 000 ₽ за 5-7 рабочих дней.