VPN между двумя офисами в Москве: главный офис и склад в одну сеть

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет я объединил VPN-туннелями десятки пар офис-склад и офис-производство по всей Москве. Это типовая задача для торговых компаний, дистрибьюторов и интернет-магазинов: фронт сидит в офисе, оператор склада — в Подольске или на Каширке, а 1С должна работать у всех одинаково. Расскажу, как мы это делаем на практике, какое оборудование выбираем, сколько это стоит и какие подводные камни всплывают.

Типичная ситуация: 28 РМ в офисе и 5 на складе

В январе ко мне обратилась компания, торгующая электротоварами. Главный офис на 28 человек на Дубининской улице (рядом с Павелецким вокзалом), склад на 5 человек на территории логопарка в Котельниках за МКАД. До нашего прихода они работали так: 1С поднята на сервере в офисе, а оператор склада подключается через RDP по белому IP. Логин — warehouse, пароль — warehouse2023. Это, конечно, плохо.

Задачи, которые надо было решить:

• Безопасный канал офис-склад вместо открытого RDP в интернет
• Прозрачная работа 1С с обеих сторон без переключения учёток и пробросов
• Доступ к сетевым принтерам и сканерам штрих-кодов склада из офиса (для печати накладных)
• Видеонаблюдение склада — RTSP-поток камер должен идти на сервер регистратора в офисе
• Резервный канал на случай падения провайдера на складе (там простаивающие отгрузки = упущенные деньги)
• Никакой подписки вроде Zerotier за 7 $/пользователь/мес — компания хочет один раз заплатить и забыть

Бюджет — до 80 000 руб. за всё (оборудование + работа). Срок — две недели, потому что в конце месяца у них пик отгрузок и любые эксперименты с сетью запрещены.

Выбор оборудования: почему MikroTik

Для офиса до 50 РМ и склада до 10 РМ я почти всегда выбираю MikroTik. Объясню, почему именно эту платформу:

• Цена — RB4011iGS+ стоит 18 000 руб. в розницу, hAP ax3 (для склада) — 11 000 руб. Аналог на Cisco/FortiGate начинается от 90 000 руб. за пару.
• Полный набор VPN из коробки — IPsec, WireGuard, L2TP, OpenVPN, SSTP, GRE. Никаких отдельных лицензий.
• RouterOS 7.x — стабильная, документированная, с активным сообществом. 90 % проблем решается через гугл за 5 минут.
• Запас по производительности — RB4011 прокачивает 1.5 Гбит/с шифрованного IPsec, hAP ax3 — около 700 Мбит/с. Для офисных задач — десятикратный запас.

Для нашего кейса в главный офис поставили RB4011iGS+ (5 ГБ оперативки, 4 порта SFP+, 10 гигабитных портов), на склад — hAP ax3 (Wi-Fi 6, 4 гигабитных порта, USB для модема LTE как резерв). Итого по железу — 29 000 руб.

Адресный план: чтобы не было пересечений

Самая частая ошибка в site-to-site — две стороны имеют одинаковые подсети. Например, и главный офис, и склад арендованы у разных провайдеров, оба роутера по умолчанию выдают 192.168.88.0/24, маршрутизация ломается. Поэтому первое, что я делаю — переадресовываю обе стороны в непересекающиеся подсети:

VLAN-разметка нужна, чтобы Wi-Fi для гостей физически не мог достучаться до 1С, а камеры видеонаблюдения не висели в одной сети с бухгалтерией. Это база, без которой никакой VPN не спасёт от внутренней атаки.

Настройка IPsec: классика жанра для MikroTik

Для двух офисов с белыми IP я обычно беру IPsec — он работает на любых версиях RouterOS, легко мониторится и совместим с будущими расширениями (если позже добавится третий филиал, его также подключим в hub-and-spoke). Базовая конфигурация со стороны главного офиса выглядит так:

# IPsec proposal — что предлагаем партнёру по шифрованию
/ip ipsec proposal
add name=office-warehouse \
    auth-algorithms=sha256 \
    enc-algorithms=aes-256-cbc \
    pfs-group=modp2048

# Peer — с кем устанавливаем туннель
/ip ipsec peer
add name=warehouse address=203.0.113.45 \
    profile=default exchange-mode=ike2

# Identity — общий ключ
/ip ipsec identity
add peer=warehouse \
    secret="VeryStrongPSKofAtLeast32Characters_2026"

# Policy — какой трафик загоняем в туннель
/ip ipsec policy
add src-address=10.10.10.0/24 dst-address=10.10.20.0/24 \
    tunnel=yes peer=warehouse proposal=office-warehouse

Со стороны склада — ровно то же самое, только меняются местами src-address и dst-address, и в peer указывается белый IP главного офиса. Если у склада серый IP — ничего страшного, делаем initiator-only туннель (склад инициирует, офис принимает).

Обязательно настраиваем NAT bypass, иначе пакеты в туннель не пойдут:

/ip firewall nat
add chain=srcnat src-address=10.10.10.0/24 \
    dst-address=10.10.20.0/24 action=accept place-before=0

На складской стороне — симметричное правило. После этого ping 10.10.20.10 с офисного компьютера должен ответить от складского сканера штрих-кодов.

Альтернатива на WireGuard: проще и быстрее

Если оба роутера — современные MikroTik с RouterOS 7.x, я всё чаще предлагаю WireGuard вместо IPsec. Конфигурация занимает в 3 раза меньше строк, скорость выше на 30–40 % при той же нагрузке на CPU, дебаг проще:

# Создаём интерфейс WireGuard
/interface wireguard
add name=wg-warehouse listen-port=51820 \
    private-key="MainOfficePrivateKeyBase64="

# Адрес внутри туннеля
/ip address
add address=10.10.99.1/30 interface=wg-warehouse

# Описываем удалённую сторону (склад)
/interface wireguard peers
add interface=wg-warehouse \
    public-key="WarehousePublicKeyBase64=" \
    allowed-address=10.10.99.2/32,10.10.20.0/24 \
    endpoint-address=203.0.113.45 endpoint-port=51820 \
    persistent-keepalive=25s

# Маршрут на склад через туннель
/ip route
add dst-address=10.10.20.0/24 gateway=10.10.99.2

Главный плюс WireGuard для офис-склад — почти моментальный реконнект при смене IP (например, мобильный LTE-резерв на складе). У IPsec на это уходит 20–40 секунд, у WireGuard — 1–2 секунды.

Резервный канал и автопереключение

На складе у логопарка единственный проводной провайдер — «МГТС» по оптике. Раз в квартал у них бывает 1–4 часа простоя, и каждый такой простой стоит компании оценочно 70 000 руб. упущенных отгрузок. Поэтому к складскому MikroTik мы подключили USB-модем «Билайн» с тарифом «Безлимит для роутера» (1 290 руб./мес).

Конфигурация netwatch + recursive routing работает так: основной маршрут по умолчанию идёт через ether1 (МГТС), резервный — через lte1 (Билайн) с большим distance. MikroTik пингует 1.1.1.1 через основной канал каждые 10 секунд. При трёх провалах подряд — переключает default route, поднимает WireGuard заново на новом IP. Простой клиента — около 60 секунд:

/tool netwatch
add host=1.1.1.1 src-address=10.10.20.1 interval=10s \
    timeout=2s \
    up-script=":log info \"ISP1 OK\"; /ip route disable [find comment=isp2-default]" \
    down-script=":log warning \"ISP1 DOWN — switching to LTE\"; /ip route enable [find comment=isp2-default]; /interface wireguard peers set [find name=wg-warehouse-peer1] endpoint-address=$lteIP"

Ещё одна тонкость — Telegram-уведомления о переключении. Я настраиваю их обязательно, потому что иначе через 3 недели никто не вспомнит, что резервный канал давно работает на основном (а основной всё ещё лежит).

Сколько это стоит и что входит в счёт

Конкретные цифры по нашему кейсу с офисом и складом — апрель 2026:

Уложились в бюджет 80 000 руб. с запасом. Добавили только мелочи — мини-UPS APC Back-UPS BX950MI на склад (4 500 руб.), чтобы при моргании света роутер и LTE-модем продолжали работать ещё 30 минут.

Типичные ошибки при настройке VPN между офисами

За 15 лет я насмотрелся на самые разные варианты «как делать не надо». Список самых частых:

• PSK из 8 символов вроде password123. Подбирается за час на современной видеокарте. Минимум 32 символа случайных букв-цифр-знаков.
• Allow-all в политиках firewall. Если в туннель пускается «вся локалка с обеих сторон», любая заражённая машина на складе может атаковать сервер 1С в офисе. Делайте allowlist по конкретным сервисам.
• Один общий PSK для всех туннелей и всех узлов. Если когда-то добавите третий филиал — у вас будет общий ключ на трёх роутерах, и компрометация одного даст доступ ко всем.
• Без мониторинга. Туннель упал, никто не заметил, через неделю выяснилось, что склад работал «через белый IP в обход». Я ставлю Uptime Kuma на офисный сервер, который пингует обе стороны и шлёт алерт в Telegram при разрыве.
• Прошивки на роутерах двухлетней давности. У MikroTik в 2023 был громкий CVE с обходом авторизации. Обновлять прошивку — раз в квартал, обязательно.
• Wi-Fi гостевой сети в одной VLAN с офисом. Любой курьер или клиент с заражённым телефоном получает доступ к 1С. Делайте отдельный VLAN с доступом только в интернет.

Когда двух офисов мало: расширение в hub-and-spoke

Бывает, что компания после успешного пилота на двух точках открывает третий офис, склад или магазин. Менять архитектуру не надо — IPsec и WireGuard на MikroTik отлично работают в схеме hub-and-spoke: главный офис становится hub, новые точки — spoke, подключаются туннелями к нему. Для прямой связи между складом и магазином можно либо пускать трафик через hub (просто, но добавляет 5–10 мс задержки), либо настраивать прямой spoke-to-spoke туннель (быстрее, но больше конфигурации).

В одном из моих кейсов компания за два года расширилась с 2 до 7 объектов в Москве и МО — два магазина в ТЦ, склад в Сходне, шоурум на Цветном бульваре, ремонтная мастерская в Балашихе. Архитектура осталась прежней, добавили только три RB4011 и пять часов на каждую новую точку. Это и есть масштабируемость — не надо ничего ломать, чтобы расти.

FAQ — частые вопросы по VPN между офисами

Что лучше для VPN между офисами в Москве — IPsec или WireGuard?

Для двух офисов на оборудовании MikroTik проще всего использовать IPsec в режиме site-to-site — он есть из коробки во всех версиях RouterOS и совместим с любым корпоративным железом. WireGuard даёт прирост производительности на 30–40 % и ниже задержку, но требует RouterOS 7.x. Если оборудование одинаковое — берите WireGuard, если зоопарк — IPsec.

Сколько стоит настройка VPN между двумя офисами в Москве?

Если оборудование (MikroTik hAP ax3 или RB4011) уже есть — наша работа стоит 18 000–28 000 руб. за оба офиса с учётом тестирования. Если нужно купить роутеры — добавьте 22 000–48 000 руб. за пару. Прокладка СКС между серверной офиса и узлом провайдера тарифицируется отдельно.

Будет ли работать 1С между офисом и складом через VPN?

Да, прекрасно работает при условии, что у обеих сторон каналы от 50 Мбит/с и пинг между офисами меньше 15 мс (для Москвы это норма). Для тяжёлых документов (большие реализации, ОСВ за год) рекомендую опубликовать 1С через веб-сервер или RDP — так трафик идёт только в виде картинки и работает в разы быстрее.

Как сделать резервный канал между офисами?

Простейший вариант — два провайдера в каждом офисе с автопереключением на MikroTik (recursive routing + netwatch). При падении основного канала VPN-туннель пересобирается на резервном за 30–60 секунд. Для критичных сервисов (склад с грузоотправками) делаем активный туннель на основном ISP и горячий standby на резервном — переключение мгновенное.

Безопасно ли отдавать удалённый доступ к складу через VPN?

Безопаснее, чем любая альтернатива. Главное — настроить site-to-site VPN с PSK длиной от 32 символов или сертификатами, разрешить трафик только между нужными подсетями (а не «весь LAN — в весь LAN»), отключить неиспользуемые сервисы на роутерах и обновлять прошивку MikroTik раз в квартал. Никакого RDP в интернет.