Как понять, что Mikrotik в моём офисе скомпрометирован?

Косвенные признаки: интернет тормозит без понятной причины, провайдер присылал письма про спам или подозрительный трафик, в логах видны входы со странных IP, изменилась скорость скачивания. Точная диагностика — выгрузка конфига роутера и проверка специалистом. Стоит 3 000–5 000 руб. за устройство.

Подойдёт ли Mikrotik для офиса на 30 рабочих мест?

Да. Модели hAP ax3 или RB4011 справятся с офисом до 50 РМ, включая VPN для удалёнки и сегментацию сети на VLAN. Цена самого роутера 12 000–25 000 руб., настройка под ключ — от 15 000 руб.

Чем Mikrotik лучше Keenetic или TP-Link для бизнеса?

Профессиональный функционал: управляемые VLAN, IPsec/WireGuard VPN, продвинутый файрвол, скрипты автоматизации, SNMP-мониторинг, централизованное управление WiFi через CAPsMAN. Keenetic для дома, Mikrotik для офиса. TP-Link Omada — что-то среднее.

Сколько стоит обслуживание Mikrotik в офисе?

В рамках абонентского обслуживания АйТи Фреш — 1 200–2 500 руб. в месяц за один роутер. Это включает мониторинг, обновления RouterOS, ежемесячный аудит правил, бэкап конфигурации и реагирование на инциденты.

Можно ли удалённо управлять Mikrotik в нескольких офисах?

Да. Стандартное решение — поднять VPN-туннель между офисами, плюс развернуть мониторинг через The Dude или Zabbix. Один администратор управляет 10–15 точками без выезда. Изменения тиражируются через скрипты или централизованную конфигурацию.

Сети 17 апреля 2026 · 14 мин чтения

Mikrotik в офисе: что обязан знать IT-директор о безопасности своего роутера

Я Семёнов Евгений Сергеевич, директор АйТи Фреш, обслуживаю IT-инфраструктуры московских компаний с 2010 года. Через мои руки прошли сотни офисов, и почти в каждом стоит роутер Mikrotik — это де-факто стандарт для бизнеса. Беда в том, что в большинстве случаев его настраивали один раз при заезде в офис, и больше про него никто не вспоминает. А зря — Mikrotik очень любят хакеры, и у меня в практике десятки случаев, когда офисный роутер тихо работал на чужой ботнет годами. Эта статья — для руководителя, который хочет понять, что не так в его сети.

Почему именно Mikrotik — мишень номер один

Mikrotik — латвийская компания, которая делает очень функциональные роутеры за разумные деньги. Они стоят буквально в каждом втором московском офисе и в каждом первом провайдерском узле. Это идеальная цель для хакеров: устройств в мире миллионы, операционная система RouterOS у всех одинаковая, найди уязвимость — получи доступ к огромной армии устройств одним эксплойтом.

За последние семь лет в RouterOS нашли как минимум пять серьёзных уязвимостей, через которые можно было захватить роутер удалённо. Самая известная — CVE-2018-14847 (так называемая Winbox-уязвимость), через которую за один день в 2018 году ботнет VPNFilter заразил по всему миру более 200 тысяч устройств. В 2023 году была история с CVE-2023-30799, которая позволяла повысить привилегии до root через стандартный admin-аккаунт. И это только то, о чём знают публично.

Когда я первый раз приезжаю на аудит к новому клиенту с Mikrotik в офисе, я в первую очередь смотрю не настройки безопасности, а признаки уже произошедшей компрометации. Потому что вероятность того, что роутер уже взломан — около 30–40% для тех, кого никто не обслуживает регулярно.

Признаки того, что ваш роутер уже взломали

Проверьте сами или попросите подрядчика. Если хоть один пункт сработал — у вас проблема, и она требует срочного вмешательства.

Странные пользователи в системе. Кроме админа и одного-двух доверенных, ничего быть не должно. Имена типа «vpnservice», «system», «user1» — красные флаги.
Незнакомые скрипты в планировщике. Разработчики хакеров любят прятать свои инструменты в шедулере, чтобы они автозапускались. Если в списке задач есть что-то, чего ни вы, ни ваш админ не помнит — копать.
Включённые SOCKS или Web Proxy. Это режимы, которые в офисе обычно не нужны. Хакеры включают их, чтобы превратить ваш роутер в анонимайзер для своих дел.
Подозрительные DNS-серверы. Если вместо провайдерских или 8.8.8.8 в настройках DNS висят какие-то российские или зарубежные IP, которых вы не помните — через них перехватывают ваш трафик.
Странные правила NAT. Если есть правило, перенаправляющее порты с внешнего интерфейса на внутренние сервисы, которое вы не настраивали — это бэкдор.
Жалобы провайдера. Если провайдер хоть раз присылал письмо «обнаружена подозрительная активность с вашего IP» — это серьёзный сигнал.

В прошлом квартале я делал аудит для производственной компании в Подольске. Mikrotik у них стоял с 2019 года, прошлый подрядчик уволился, новый только пришёл. Открываю настройки — пять чужих скриптов в шедулере, два неизвестных пользователя с полным доступом, SOCKS-прокси работает на нестандартном порту, и за месяц через роутер пролетело 1.7 терабайта неизвестного трафика. Хакеры использовали офисный канал клиента для анонимизации своих атак как минимум полгода. К счастью, провайдер ещё не заблокировал — но мог бы.

Базовый чек-лист безопасности Mikrotik

Что должен сделать ваш подрядчик — это можно проверить даже если вы сам не разбираетесь в RouterOS. Просто запросите письменный отчёт.

Шаг	Что делает	Зачем
1. Смена пароля admin	Сложный пароль 16+ символов	Защита от подбора
2. Удаление лишних пользователей	Только нужные аккаунты	Меньше точек входа
3. Закрытие управления из интернета	WinBox/SSH только из локальной сети или VPN	99% атак отсекается
4. Отключение лишних сервисов	SOCKS, Web Proxy, UPnP, Bandwidth Server, Cloud DDNS	Меньше функций — меньше дыр
5. Обновление RouterOS	Последняя стабильная версия	Закрытие известных уязвимостей
6. Файрвол по принципу «запретить всё»	Открыты только нужные порты	Изоляция от интернета
7. Защита от сканирования портов	Автобан сканеров	Снижение фонового шума атак
8. Бэкап конфигурации	Ежедневная копия на отдельный сервер	Быстрое восстановление после взлома

Эти 8 шагов занимают у нашего инженера 1.5–2 часа на один роутер с нуля. Стоимость работ — от 12 000 рублей разово за один Mikrotik с подробным письменным отчётом и пояснением каждого шага.

Сегментация сети: почему это нужно даже маленькому офису

Распространённое заблуждение: «у нас всего 15 человек, зачем нам делить сеть». А затем, что у вас в этих 15 человек могут быть бухгалтер с 1С и кассой, директор с конфиденциальными договорами, гости в переговорной, IP-камеры безопасности и принтер. И если один из ноутбуков заразится через флешку — заражение перейдёт на всё остальное.

Правильная сегментация в офисе делается через VLAN — это виртуальные сети внутри одного физического кабеля. Минимальная разумная схема:

VLAN 10 «Офис» — рабочие компьютеры, принтеры, серверы. Изолировано от всего остального.
VLAN 20 «1С и финансы» — только бухгалтерия и сервер 1С. Доступ строго ограничен.
VLAN 30 «Гости» — гостевой WiFi, переговорные. Доступ только в интернет, не в офисную сеть.
VLAN 40 «IoT» — IP-камеры, умные розетки, термостаты. Изолировано — эти устройства часто уязвимы.

Mikrotik умеет делать всё это «из коробки», без дополнительных лицензий. Настройка занимает 1–2 часа. У одного клиента в Митино после нашей сегментации удалось локализовать заражение шифровальщиком: вирус через зараженную флешку попал на компьютер дизайнера, но дальше VLAN «Офис» не пошёл — бухгалтерия и 1С остались чистыми. Без сегментации у клиента шифровальщик прошёл бы по всей сети.

VPN для удалённой работы и филиалов

Если в вашей компании есть удалённые сотрудники или филиалы — VPN на Mikrotik закрывает 90% задач. Два рабочих варианта:

WireGuard — современный протокол, быстрый и простой, доступен на новых RouterOS 7.x. Подключение клиента — 2 минуты по QR-коду.
L2TP/IPsec — старый, но универсально совместимый со всеми Windows, Mac, телефонами без установки дополнительного клиента.

Стоимость поднятия VPN на Mikrotik с нуля — от 8 000 рублей за один сервер плюс 1 500 рублей за каждого подключенного пользователя. Альтернативные коммерческие решения (Cisco AnyConnect, Fortinet FortiClient) стоят от 50 000 рублей за лицензию плюс ежегодная подписка. Mikrotik в этом плане — самый разумный по цене вариант для офиса до 50 РМ.

Реальные цены на работы и обслуживание

Чтобы вы понимали порядок цифр на московском рынке в 2026 году:

Работа	Цена	Срок
Аудит Mikrotik с письменным отчётом	3 500 ₽	1 рабочий день
Базовый hardening (8 шагов)	12 000 ₽	1 рабочий день
Hardening + VLAN-сегментация	18 000 ₽	1–2 рабочих дня
Hardening + VLAN + VPN (5 пользователей)	26 000 ₽	2–3 рабочих дня
Очистка после компрометации	от 22 000 ₽	1–2 рабочих дня
Ежемесячное обслуживание (1 роутер)	1 500 ₽/мес	—
Подключение нового филиала по VPN	от 9 000 ₽	1 рабочий день

В абонентское обслуживание входит мониторинг доступности 24/7, ежедневный бэкап конфигурации, ежемесячный аудит правил файрвола, обновления RouterOS, реагирование на инциденты. Если что-то случилось ночью или в выходные — алерт прилетает мне в Telegram, и инженер начинает разбираться без вашего звонка.

Когда стоит менять модель Mikrotik

Часто вижу ситуацию: офис вырос с 10 до 30 человек, добавились IP-телефоны и удалённые сотрудники, а на роутере стоит RB750 за 4 000 рублей, купленный «на временно» 6 лет назад. Он уже не справляется — VPN тормозит, файрвол еле успевает, обновления RouterOS не ставятся из-за нехватки памяти. Замена назрела.

Ориентир по моделям на 2026 год:

До 10 РМ, без VPN — hEX (RB750Gr3), 6 500 руб.
До 20 РМ, лёгкий VPN — hAP ax² (C52iG), 9 000 руб.
До 30 РМ, активный VPN, WiFi 6 — hAP ax³, 13 500 руб.
До 50 РМ, тяжёлый VPN, VLAN — RB4011iGS+, 22 000 руб.
50+ РМ, серьёзная нагрузка — CCR2004-1G-12S+2XS, от 65 000 руб.

Не покупайте «с запасом в 10 раз» — переплатите за функции, которые не используете. И не экономьте 5 000 рублей на роутере, через который проходит весь ваш бизнес-трафик. Разумный выбор — модель «впритык + 30% запас».

Бесплатная диагностика вашего Mikrotik

Я лично за 1 рабочий день проведу полный аудит вашего офисного роутера и пришлю письменный отчёт: список найденных уязвимостей, признаки компрометации (если есть), рекомендации по исправлению с расценками. Без обязательств. Если нужна срочная очистка — выезд в течение 24 часов по Москве и 50 км от МКАД.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы про Mikrotik в офисе

Как понять, что Mikrotik в моём офисе скомпрометирован?: Косвенные признаки: интернет тормозит без понятной причины, провайдер присылал письма про спам или подозрительный трафик, в логах видны входы со странных IP, изменилась скорость скачивания. Точная диагностика — выгрузка конфига роутера и проверка специалистом. Стоит 3 000–5 000 руб. за устройство.
Подойдёт ли Mikrotik для офиса на 30 рабочих мест?: Да. Модели hAP ax3 или RB4011 справятся с офисом до 50 РМ, включая VPN для удалёнки и сегментацию сети на VLAN. Цена самого роутера 12 000–25 000 руб., настройка под ключ — от 15 000 руб.
Чем Mikrotik лучше Keenetic или TP-Link для бизнеса?: Профессиональный функционал: управляемые VLAN, IPsec/WireGuard VPN, продвинутый файрвол, скрипты автоматизации, SNMP-мониторинг, централизованное управление WiFi через CAPsMAN. Keenetic для дома, Mikrotik для офиса. TP-Link Omada — что-то среднее.
Сколько стоит обслуживание Mikrotik в офисе?: В рамках абонентского обслуживания АйТи Фреш — 1 200–2 500 руб. в месяц за один роутер. Это включает мониторинг, обновления RouterOS, ежемесячный аудит правил, бэкап конфигурации и реагирование на инциденты.
Можно ли удалённо управлять Mikrotik в нескольких офисах?: Да. Стандартное решение — поднять VPN-туннель между офисами, плюс развернуть мониторинг через The Dude или Zabbix. Один администратор управляет 10–15 точками без выезда. Изменения тиражируются через скрипты или централизованную конфигурацию.