· 14 мин чтения

VPN между двумя офисами в Москве: главный офис и склад в одну сеть

VPN между двумя офисами в Москве: главный офис и склад в одну сеть

Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор компании АйТи Фреш. За 15 лет своей работы мне удалось объединить VPN-туннелями десятки пар офис-склад и офис-производство по всей Москве. Знаете, это очень частая задача для торговых компаний, дистрибьюторов и интернет-магазинов: фронт сидит себе в офисе, оператор склада может находиться где-нибудь в Подольске или на Каширке, а вот 1С должна работать у всех одинаково, без проблем. Сегодня я поделюсь, как мы подходим к этой задаче на практике, какое железо обычно выбираем, сколько это стоит и какие неожиданные подводные камни иногда всплывают.

Типичная ситуация: 28 РМ в офисе и 5 на складе

В январе ко мне обратилась одна компания, которая торгует электротоварами. Главный офис у них находится на Дубининской улице, рядом с Павелецким вокзалом, там 28 человек. Склад на 5 человек расположен на территории логопарка в Котельниках, за МКАД. До того, как мы пришли, они работали так: 1С была поднята на сервере прямо в офисе, а оператор склада подключался через RDP по белому IP. Логин был warehouse, пароль — warehouse2023. Честно говоря, это совсем никуда не годилось.

Что нужно было решить:

Бюджет у них был строго до 80 000 руб. на всё, включая оборудование и нашу работу. Срок тоже был сжатый — всего две недели, потому что в конце месяца у них традиционно пик отгрузок, и любые эксперименты с сетью были строго под запретом.

Выбор оборудования: почему MikroTik

Для офисов до 50 РМ и складов до 10 РМ я почти всегда выбираю MikroTik. И сейчас я объясню, почему мой выбор почти всегда падает именно на эту платформу:

В нашем случае, для главного офиса мы поставили RB4011iGS+ (у него 5 ГБ оперативки, 4 порта SFP+, 10 гигабитных портов), а на склад отправился hAP ax3 (с Wi-Fi 6, 4 гигабитными портами и USB для LTE-модема в качестве резерва). В итоге, само железо обошлось в 29 000 руб.

Адресный план: чтобы не было пересечений

Знаете, самая распространённая ошибка, которую я встречаю в site-to-site подключениях, — это одинаковые подсети у двух сторон. Представьте, и главный офис, и склад арендованы у разных провайдеров, оба роутера по умолчанию выдают 192.168.88.0/24 — и тут маршрутизация просто рушится. Поэтому первым делом я всегда развожу обе стороны в непересекающиеся подсети:

ОбъектLAN-подсетьШлюзVLAN-сегментация
Главный офис (Дубининская)10.10.10.0/2410.10.10.1VLAN 10 — офис, VLAN 20 — гости, VLAN 30 — IP-телефония
Склад (Котельники)10.10.20.0/2410.10.20.1VLAN 40 — склад, VLAN 50 — видеонаблюдение, VLAN 60 — гости
Туннель10.10.99.0/30P2P между роутерами

VLAN-разметка, на мой взгляд, просто необходима. Она нужна, чтобы гостевой Wi-Fi физически не мог достучаться до 1С, а камеры видеонаблюдения не болтались в одной сети с бухгалтерией. Это, по сути, фундамент, без которого никакой VPN не спасёт вас от внутренней атаки.

Настройка IPsec: классика жанра для MikroTik

Для пары офисов с белыми IP мой выбор обычно падает на IPsec — он прекрасно работает на любых версиях RouterOS, его легко мониторить, и он полностью совместим с будущими расширениями. Добавится у вас третий филиал — мы так же подключим его в hub-and-spoke. Базовая конфигурация со стороны главного офиса выглядит вот так:

# IPsec proposal — что предлагаем партнёру по шифрованию
/ip ipsec proposal
add name=office-warehouse \
    auth-algorithms=sha256 \
    enc-algorithms=aes-256-cbc \
    pfs-group=modp2048

# Peer — с кем устанавливаем туннель
/ip ipsec peer
add name=warehouse address=203.0.113.45 \
    profile=default exchange-mode=ike2

# Identity — общий ключ
/ip ipsec identity
add peer=warehouse \
    secret="VeryStrongPSKofAtLeast32Characters_2026"

# Policy — какой трафик загоняем в туннель
/ip ipsec policy
add src-address=10.10.10.0/24 dst-address=10.10.20.0/24 \
    tunnel=yes peer=warehouse proposal=office-warehouse

Со стороны склада — ровно то же самое, только меняются местами src-address и dst-address, и в peer указывается белый IP главного офиса. Если у склада серый IP — ничего страшного, делаем initiator-only туннель (склад инициирует, офис принимает).

Обязательно настраиваем NAT bypass, иначе пакеты в туннель просто не пойдут:

/ip firewall nat
add chain=srcnat src-address=10.10.10.0/24 \
    dst-address=10.10.20.0/24 action=accept place-before=0

На складской стороне — симметричное правило. После этого ping 10.10.20.10 с офисного компьютера должен ответить от складского сканера штрих-кодов.

Альтернатива на WireGuard: проще и быстрее

А вот если оба роутера — современные MikroTik с RouterOS 7.x, то я стал всё чаще предлагать WireGuard вместо IPsec. Почему? Конфигурация втрое короче, скорость выше на 30–40 % при той же нагрузке на CPU, да и дебаг стал намного проще:

# Создаём интерфейс WireGuard
/interface wireguard
add name=wg-warehouse listen-port=51820 \
    private-key="MainOfficePrivateKeyBase64="

# Адрес внутри туннеля
/ip address
add address=10.10.99.1/30 interface=wg-warehouse

# Описываем удалённую сторону (склад)
/interface wireguard peers
add interface=wg-warehouse \
    public-key="WarehousePublicKeyBase64=" \
    allowed-address=10.10.99.2/32,10.10.20.0/24 \
    endpoint-address=203.0.113.45 endpoint-port=51820 \
    persistent-keepalive=25s

# Маршрут на склад через туннель
/ip route
add dst-address=10.10.20.0/24 gateway=10.10.99.2

Главный плюс WireGuard для офис-склад — почти моментальный реконнект при смене IP (например, мобильный LTE-резерв на складе). У IPsec на это уходит 20–40 секунд, у WireGuard — 1–2 секунды.

Резервный канал и автопереключение

На складе, что в логопарке, был только один проводной провайдер — «МГТС» по оптике. Проблема в том, что примерно раз в квартал там случается простой на 1–4 часа, и каждый такой простой обходится компании примерно в 70 000 руб. упущенных отгрузок. Чтобы этого избежать, к складскому MikroTik мы подключили USB-модем «Билайн» с тарифом «Безлимит для роутера» (это 1 290 руб./мес).

Конфигурация netwatch + recursive routing работает следующим образом: основной маршрут по умолчанию идёт через ether1 (МГТС), а резервный — через lte1 (Билайн) с большим distance. MikroTik пингует 1.1.1.1 через основной канал каждые 10 секунд. Если случаются три провала подряд, он переключает default route и заново поднимает WireGuard уже на новом IP. Простой клиента в этом случае составляет около 60 секунд:

/tool netwatch
add host=1.1.1.1 src-address=10.10.20.1 interval=10s \
    timeout=2s \
    up-script=":log info \"ISP1 OK\"; /ip route disable [find comment=isp2-default]" \
    down-script=":log warning \"ISP1 DOWN — switching to LTE\"; /ip route enable [find comment=isp2-default]; /interface wireguard peers set [find name=wg-warehouse-peer1] endpoint-address=$lteIP"

Ещё одна тонкость — Telegram-уведомления о переключении. Я настраиваю их обязательно, потому что иначе через 3 недели никто не вспомнит, что резервный канал давно работает на основном (а основной всё ещё лежит).

Сколько это стоит и что входит в счёт

Конкретные цифры по нашему кейсу с офисом и складом — апрель 2026:

ПозицияСтоимостьПримечание
MikroTik RB4011iGS+ (главный офис)18 000 ₽5 ГБ ОЗУ, 10 портов 1G
MikroTik hAP ax3 (склад)11 000 ₽Wi-Fi 6, 4 порта 1G
USB LTE-модем Huawei E33723 200 ₽На случай падения провайдера на складе
Симка Билайн «Безлимит для роутера»1 290 ₽/месПодписка, не разовая
Работы: монтаж и настройка офиса14 000 ₽Включая VLAN, IPsec, мониторинг
Работы: монтаж и настройка склада9 000 ₽Включая выезд за МКАД, ~2.5 часа
Документация инфраструктуры5 000 ₽Схема, пароли, runbook в Confluence
Итого разово60 200 ₽Без учёта подписки на LTE

Знаете, мы уложились в бюджет 80 000 руб. с запасом, что очень порадовало. Из таких приятных мелочей добавили только мини-UPS APC Back-UPS BX950MI на склад (это обошлось в 4 500 руб.) — чтобы, если вдруг свет моргнёт, роутер и LTE-модем продолжали работать ещё 30 минут.

Типичные ошибки при настройке VPN между офисами

За 15 лет я повидал самые разные варианты «как делать не надо». Вот самые частые из них:

Когда двух офисов мало: расширение в hub-and-spoke

Нередко случается так, что после успешного пилотного проекта на двух точках компания решает открыть третий офис, склад или магазин. И знаете что? Архитектуру менять не придётся! IPsec и WireGuard на MikroTik прекрасно себя чувствуют в схеме hub-and-spoke: главный офис становится hub, новые точки — spoke и подключаются туннелями прямо к нему. Для прямой связи между складом и магазином есть два варианта: либо пускать трафик через hub (это просто, но добавляет 5–10 мс задержки), либо настраивать прямой spoke-to-spoke туннель (это быстрее, но требует больше конфигурации).

Помню, в одном из моих проектов компания за два года выросла с 2 до 7 объектов в Москве и МО — у них появилось два магазина в ТЦ, склад в Сходне, шоурум на Цветном бульваре, а ещё ремонтная мастерская в Балашихе. И что самое приятное — архитектура осталась прежней, мы добавили только три RB4011 и потратили по пять часов на каждую новую точку. Вот это, друзья, и есть настоящая масштабируемость — расти, ничего не ломая.

Соединим ваш офис со складом или вторым офисом

Я готов выехать к вам на бесплатный осмотр обоих ваших объектов в Москве и в радиусе 50 км от МКАД. По результатам такого осмотра вы получите подробное техническое задание со схемой подключения, выбором оборудования, ценой работ и сроками. Если у вас уже есть оборудование, я, конечно, посчитаю стоимость миграции. А если ваш текущий подрядчик использует какие-то «нестандартные» решения, например, проброс портов или коммерческие сервисы типа TeamViewer для склада, то я обязательно прокомментирую все связанные с этим риски.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по VPN между офисами

Что лучше для VPN между офисами в Москве — IPsec или WireGuard?
Для двух офисов на оборудовании MikroTik проще всего использовать IPsec в режиме site-to-site — он есть из коробки во всех версиях RouterOS и совместим с любым корпоративным железом. WireGuard даёт прирост производительности на 30–40 % и ниже задержку, но требует RouterOS 7.x. Если оборудование одинаковое — берите WireGuard, если зоопарк — IPsec.
Сколько стоит настройка VPN между двумя офисами в Москве?
Если оборудование (MikroTik hAP ax3 или RB4011) уже есть — наша работа стоит 18 000–28 000 руб. за оба офиса с учётом тестирования. Если нужно купить роутеры — добавьте 22 000–48 000 руб. за пару. Прокладка СКС между серверной офиса и узлом провайдера тарифицируется отдельно.
Будет ли работать 1С между офисом и складом через VPN?
Да, прекрасно работает при условии, что у обеих сторон каналы от 50 Мбит/с и пинг между офисами меньше 15 мс (для Москвы это норма). Для тяжёлых документов (большие реализации, ОСВ за год) рекомендую опубликовать 1С через веб-сервер или RDP — так трафик идёт только в виде картинки и работает в разы быстрее.
Как сделать резервный канал между офисами?
Простейший вариант — два провайдера в каждом офисе с автопереключением на MikroTik (recursive routing + netwatch). При падении основного канала VPN-туннель пересобирается на резервном за 30–60 секунд. Для критичных сервисов (склад с грузоотправками) делаем активный туннель на основном ISP и горячий standby на резервном — переключение мгновенное.
Безопасно ли отдавать удалённый доступ к складу через VPN?
Безопаснее, чем любая альтернатива. Главное — настроить site-to-site VPN с PSK длиной от 32 символов или сертификатами, разрешить трафик только между нужными подсетями (а не «весь LAN — в весь LAN»), отключить неиспользуемые сервисы на роутерах и обновлять прошивку MikroTik раз в квартал. Никакого RDP в интернет.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.