VPN между двумя офисами в Москве: главный офис и склад в одну сеть
Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор компании АйТи Фреш. За 15 лет своей работы мне удалось объединить VPN-туннелями десятки пар офис-склад и офис-производство по всей Москве. Знаете, это очень частая задача для торговых компаний, дистрибьюторов и интернет-магазинов: фронт сидит себе в офисе, оператор склада может находиться где-нибудь в Подольске или на Каширке, а вот 1С должна работать у всех одинаково, без проблем. Сегодня я поделюсь, как мы подходим к этой задаче на практике, какое железо обычно выбираем, сколько это стоит и какие неожиданные подводные камни иногда всплывают.
Типичная ситуация: 28 РМ в офисе и 5 на складе
В январе ко мне обратилась одна компания, которая торгует электротоварами. Главный офис у них находится на Дубининской улице, рядом с Павелецким вокзалом, там 28 человек. Склад на 5 человек расположен на территории логопарка в Котельниках, за МКАД. До того, как мы пришли, они работали так: 1С была поднята на сервере прямо в офисе, а оператор склада подключался через RDP по белому IP. Логин был warehouse, пароль — warehouse2023. Честно говоря, это совсем никуда не годилось.
Что нужно было решить:
- Безопасный канал офис-склад вместо открытого RDP в интернет
- Прозрачная работа 1С с обеих сторон без переключения учёток и пробросов
- Доступ к сетевым принтерам и сканерам штрих-кодов склада из офиса (для печати накладных)
- Видеонаблюдение склада — RTSP-поток камер должен идти на сервер регистратора в офисе
- Резервный канал на случай падения провайдера на складе (там простаивающие отгрузки = упущенные деньги)
- Никакой подписки вроде Zerotier за 7 $/пользователь/мес — компания хочет один раз заплатить и забыть
Бюджет у них был строго до 80 000 руб. на всё, включая оборудование и нашу работу. Срок тоже был сжатый — всего две недели, потому что в конце месяца у них традиционно пик отгрузок, и любые эксперименты с сетью были строго под запретом.
Выбор оборудования: почему MikroTik
Для офисов до 50 РМ и складов до 10 РМ я почти всегда выбираю MikroTik. И сейчас я объясню, почему мой выбор почти всегда падает именно на эту платформу:
- Цена — RB4011iGS+ стоит 18 000 руб. в розницу, hAP ax3 (для склада) — 11 000 руб. Аналог на Cisco/FortiGate начинается от 90 000 руб. за пару.
- Полный набор VPN из коробки — IPsec, WireGuard, L2TP, OpenVPN, SSTP, GRE. Никаких отдельных лицензий.
- RouterOS 7.x — стабильная, документированная, с активным сообществом. 90 % проблем решается через гугл за 5 минут.
- Запас по производительности — RB4011 прокачивает 1.5 Гбит/с шифрованного IPsec, hAP ax3 — около 700 Мбит/с. Для офисных задач — десятикратный запас.
В нашем случае, для главного офиса мы поставили RB4011iGS+ (у него 5 ГБ оперативки, 4 порта SFP+, 10 гигабитных портов), а на склад отправился hAP ax3 (с Wi-Fi 6, 4 гигабитными портами и USB для LTE-модема в качестве резерва). В итоге, само железо обошлось в 29 000 руб.
Адресный план: чтобы не было пересечений
Знаете, самая распространённая ошибка, которую я встречаю в site-to-site подключениях, — это одинаковые подсети у двух сторон. Представьте, и главный офис, и склад арендованы у разных провайдеров, оба роутера по умолчанию выдают 192.168.88.0/24 — и тут маршрутизация просто рушится. Поэтому первым делом я всегда развожу обе стороны в непересекающиеся подсети:
| Объект | LAN-подсеть | Шлюз | VLAN-сегментация |
|---|---|---|---|
| Главный офис (Дубининская) | 10.10.10.0/24 | 10.10.10.1 | VLAN 10 — офис, VLAN 20 — гости, VLAN 30 — IP-телефония |
| Склад (Котельники) | 10.10.20.0/24 | 10.10.20.1 | VLAN 40 — склад, VLAN 50 — видеонаблюдение, VLAN 60 — гости |
| Туннель | 10.10.99.0/30 | — | P2P между роутерами |
VLAN-разметка, на мой взгляд, просто необходима. Она нужна, чтобы гостевой Wi-Fi физически не мог достучаться до 1С, а камеры видеонаблюдения не болтались в одной сети с бухгалтерией. Это, по сути, фундамент, без которого никакой VPN не спасёт вас от внутренней атаки.
Настройка IPsec: классика жанра для MikroTik
Для пары офисов с белыми IP мой выбор обычно падает на IPsec — он прекрасно работает на любых версиях RouterOS, его легко мониторить, и он полностью совместим с будущими расширениями. Добавится у вас третий филиал — мы так же подключим его в hub-and-spoke. Базовая конфигурация со стороны главного офиса выглядит вот так:
# IPsec proposal — что предлагаем партнёру по шифрованию
/ip ipsec proposal
add name=office-warehouse \
auth-algorithms=sha256 \
enc-algorithms=aes-256-cbc \
pfs-group=modp2048
# Peer — с кем устанавливаем туннель
/ip ipsec peer
add name=warehouse address=203.0.113.45 \
profile=default exchange-mode=ike2
# Identity — общий ключ
/ip ipsec identity
add peer=warehouse \
secret="VeryStrongPSKofAtLeast32Characters_2026"
# Policy — какой трафик загоняем в туннель
/ip ipsec policy
add src-address=10.10.10.0/24 dst-address=10.10.20.0/24 \
tunnel=yes peer=warehouse proposal=office-warehouse
Со стороны склада — ровно то же самое, только меняются местами src-address и dst-address, и в peer указывается белый IP главного офиса. Если у склада серый IP — ничего страшного, делаем initiator-only туннель (склад инициирует, офис принимает).
Обязательно настраиваем NAT bypass, иначе пакеты в туннель просто не пойдут:
/ip firewall nat
add chain=srcnat src-address=10.10.10.0/24 \
dst-address=10.10.20.0/24 action=accept place-before=0
На складской стороне — симметричное правило. После этого ping 10.10.20.10 с офисного компьютера должен ответить от складского сканера штрих-кодов.
Альтернатива на WireGuard: проще и быстрее
А вот если оба роутера — современные MikroTik с RouterOS 7.x, то я стал всё чаще предлагать WireGuard вместо IPsec. Почему? Конфигурация втрое короче, скорость выше на 30–40 % при той же нагрузке на CPU, да и дебаг стал намного проще:
# Создаём интерфейс WireGuard
/interface wireguard
add name=wg-warehouse listen-port=51820 \
private-key="MainOfficePrivateKeyBase64="
# Адрес внутри туннеля
/ip address
add address=10.10.99.1/30 interface=wg-warehouse
# Описываем удалённую сторону (склад)
/interface wireguard peers
add interface=wg-warehouse \
public-key="WarehousePublicKeyBase64=" \
allowed-address=10.10.99.2/32,10.10.20.0/24 \
endpoint-address=203.0.113.45 endpoint-port=51820 \
persistent-keepalive=25s
# Маршрут на склад через туннель
/ip route
add dst-address=10.10.20.0/24 gateway=10.10.99.2
Главный плюс WireGuard для офис-склад — почти моментальный реконнект при смене IP (например, мобильный LTE-резерв на складе). У IPsec на это уходит 20–40 секунд, у WireGuard — 1–2 секунды.
Резервный канал и автопереключение
На складе, что в логопарке, был только один проводной провайдер — «МГТС» по оптике. Проблема в том, что примерно раз в квартал там случается простой на 1–4 часа, и каждый такой простой обходится компании примерно в 70 000 руб. упущенных отгрузок. Чтобы этого избежать, к складскому MikroTik мы подключили USB-модем «Билайн» с тарифом «Безлимит для роутера» (это 1 290 руб./мес).
Конфигурация netwatch + recursive routing работает следующим образом: основной маршрут по умолчанию идёт через ether1 (МГТС), а резервный — через lte1 (Билайн) с большим distance. MikroTik пингует 1.1.1.1 через основной канал каждые 10 секунд. Если случаются три провала подряд, он переключает default route и заново поднимает WireGuard уже на новом IP. Простой клиента в этом случае составляет около 60 секунд:
/tool netwatch
add host=1.1.1.1 src-address=10.10.20.1 interval=10s \
timeout=2s \
up-script=":log info \"ISP1 OK\"; /ip route disable [find comment=isp2-default]" \
down-script=":log warning \"ISP1 DOWN — switching to LTE\"; /ip route enable [find comment=isp2-default]; /interface wireguard peers set [find name=wg-warehouse-peer1] endpoint-address=$lteIP"
Ещё одна тонкость — Telegram-уведомления о переключении. Я настраиваю их обязательно, потому что иначе через 3 недели никто не вспомнит, что резервный канал давно работает на основном (а основной всё ещё лежит).
Сколько это стоит и что входит в счёт
Конкретные цифры по нашему кейсу с офисом и складом — апрель 2026:
| Позиция | Стоимость | Примечание |
|---|---|---|
| MikroTik RB4011iGS+ (главный офис) | 18 000 ₽ | 5 ГБ ОЗУ, 10 портов 1G |
| MikroTik hAP ax3 (склад) | 11 000 ₽ | Wi-Fi 6, 4 порта 1G |
| USB LTE-модем Huawei E3372 | 3 200 ₽ | На случай падения провайдера на складе |
| Симка Билайн «Безлимит для роутера» | 1 290 ₽/мес | Подписка, не разовая |
| Работы: монтаж и настройка офиса | 14 000 ₽ | Включая VLAN, IPsec, мониторинг |
| Работы: монтаж и настройка склада | 9 000 ₽ | Включая выезд за МКАД, ~2.5 часа |
| Документация инфраструктуры | 5 000 ₽ | Схема, пароли, runbook в Confluence |
| Итого разово | 60 200 ₽ | Без учёта подписки на LTE |
Знаете, мы уложились в бюджет 80 000 руб. с запасом, что очень порадовало. Из таких приятных мелочей добавили только мини-UPS APC Back-UPS BX950MI на склад (это обошлось в 4 500 руб.) — чтобы, если вдруг свет моргнёт, роутер и LTE-модем продолжали работать ещё 30 минут.
Типичные ошибки при настройке VPN между офисами
За 15 лет я повидал самые разные варианты «как делать не надо». Вот самые частые из них:
- PSK из 8 символов вроде
password123. Подбирается за час на современной видеокарте. Минимум 32 символа случайных букв-цифр-знаков. - Allow-all в политиках firewall. Если в туннель пускается «вся локалка с обеих сторон», любая заражённая машина на складе может атаковать сервер 1С в офисе. Делайте allowlist по конкретным сервисам.
- Один общий PSK для всех туннелей и всех узлов. Если когда-то добавите третий филиал — у вас будет общий ключ на трёх роутерах, и компрометация одного даст доступ ко всем.
- Без мониторинга. Туннель упал, никто не заметил, через неделю выяснилось, что склад работал «через белый IP в обход». Я ставлю Uptime Kuma на офисный сервер, который пингует обе стороны и шлёт алерт в Telegram при разрыве.
- Прошивки на роутерах двухлетней давности. У MikroTik в 2023 был громкий CVE с обходом авторизации. Обновлять прошивку — раз в квартал, обязательно.
- Wi-Fi гостевой сети в одной VLAN с офисом. Любой курьер или клиент с заражённым телефоном получает доступ к 1С. Делайте отдельный VLAN с доступом только в интернет.
Когда двух офисов мало: расширение в hub-and-spoke
Нередко случается так, что после успешного пилотного проекта на двух точках компания решает открыть третий офис, склад или магазин. И знаете что? Архитектуру менять не придётся! IPsec и WireGuard на MikroTik прекрасно себя чувствуют в схеме hub-and-spoke: главный офис становится hub, новые точки — spoke и подключаются туннелями прямо к нему. Для прямой связи между складом и магазином есть два варианта: либо пускать трафик через hub (это просто, но добавляет 5–10 мс задержки), либо настраивать прямой spoke-to-spoke туннель (это быстрее, но требует больше конфигурации).
Помню, в одном из моих проектов компания за два года выросла с 2 до 7 объектов в Москве и МО — у них появилось два магазина в ТЦ, склад в Сходне, шоурум на Цветном бульваре, а ещё ремонтная мастерская в Балашихе. И что самое приятное — архитектура осталась прежней, мы добавили только три RB4011 и потратили по пять часов на каждую новую точку. Вот это, друзья, и есть настоящая масштабируемость — расти, ничего не ломая.
Соединим ваш офис со складом или вторым офисом
Я готов выехать к вам на бесплатный осмотр обоих ваших объектов в Москве и в радиусе 50 км от МКАД. По результатам такого осмотра вы получите подробное техническое задание со схемой подключения, выбором оборудования, ценой работ и сроками. Если у вас уже есть оборудование, я, конечно, посчитаю стоимость миграции. А если ваш текущий подрядчик использует какие-то «нестандартные» решения, например, проброс портов или коммерческие сервисы типа TeamViewer для склада, то я обязательно прокомментирую все связанные с этим риски.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по VPN между офисами
- Что лучше для VPN между офисами в Москве — IPsec или WireGuard?
- Для двух офисов на оборудовании MikroTik проще всего использовать IPsec в режиме site-to-site — он есть из коробки во всех версиях RouterOS и совместим с любым корпоративным железом. WireGuard даёт прирост производительности на 30–40 % и ниже задержку, но требует RouterOS 7.x. Если оборудование одинаковое — берите WireGuard, если зоопарк — IPsec.
- Сколько стоит настройка VPN между двумя офисами в Москве?
- Если оборудование (MikroTik hAP ax3 или RB4011) уже есть — наша работа стоит 18 000–28 000 руб. за оба офиса с учётом тестирования. Если нужно купить роутеры — добавьте 22 000–48 000 руб. за пару. Прокладка СКС между серверной офиса и узлом провайдера тарифицируется отдельно.
- Будет ли работать 1С между офисом и складом через VPN?
- Да, прекрасно работает при условии, что у обеих сторон каналы от 50 Мбит/с и пинг между офисами меньше 15 мс (для Москвы это норма). Для тяжёлых документов (большие реализации, ОСВ за год) рекомендую опубликовать 1С через веб-сервер или RDP — так трафик идёт только в виде картинки и работает в разы быстрее.
- Как сделать резервный канал между офисами?
- Простейший вариант — два провайдера в каждом офисе с автопереключением на MikroTik (recursive routing + netwatch). При падении основного канала VPN-туннель пересобирается на резервном за 30–60 секунд. Для критичных сервисов (склад с грузоотправками) делаем активный туннель на основном ISP и горячий standby на резервном — переключение мгновенное.
- Безопасно ли отдавать удалённый доступ к складу через VPN?
- Безопаснее, чем любая альтернатива. Главное — настроить site-to-site VPN с PSK длиной от 32 символов или сертификатами, разрешить трафик только между нужными подсетями (а не «весь LAN — в весь LAN»), отключить неиспользуемые сервисы на роутерах и обновлять прошивку MikroTik раз в квартал. Никакого RDP в интернет.
