· 16 мин чтения

Базовая настройка MikroTik для офиса: от распаковки до работающей сети

Базовая настройка MikroTik для офиса: от распаковки до работающей сети

Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор АйТи Фреш. За плечами у меня уже больше 15 лет работы с офисными сетями. Сколько MikroTik я настроил? Точно больше двухсот! Попадались всякие: от крошечных hEX для трёх человек до монстров CCR, обслуживающих сотни сотрудников и гоняющих трафик в дата-центр МТС. И что самое удивительное? Как же некоторые умудряются превратить такое крутое оборудование в тикающую бомбу! Забыли заводские "bridge со всеми портами"? Пропустили пару важных правил в firewall? Вот вам и дыра! Этот гайд — это выжимка моего личного опыта, пошаговый порядок, который я использую каждый день.

Что будет на выходе

Подготовка: сброс и первый вход

# Подключаемся по MAC через Winbox (Neighbors)
# Логин admin, пароль пустой (для RouterOS 7 — прост из наклейки)

# Удаляем заводской конфиг
/system reset-configuration no-defaults=yes keep-users=no skip-backup=yes

# После перезагрузки входим снова и ставим пароль
/user set admin password="StrongPass2026"
/user add name=itfresh password="AdminPass2026" group=full

# Меняем имя устройства
/system identity set name=office-gw01

# Обновляем RouterOS до последней stable
/system package update check-for-updates
/system package update install

Физические интерфейсы и список bridge

Нумеровать и описывать порты в комментариях? Для меня это железное правило. На RB4011 это выглядит вот так:

/interface ethernet
set [ find default-name=ether1 ] comment="WAN1 Beeline"
set [ find default-name=ether2 ] comment="WAN2 MTS backup"
set [ find default-name=ether3 ] comment="TRUNK to switch SW01"
set [ find default-name=ether4 ] comment="CAP01 Wi-Fi"
set [ find default-name=ether5 ] comment="CAP02 Wi-Fi"
set [ find default-name=ether6 ] comment="Server room uplink"
set [ find default-name=ether7 ] comment="Reserve"

# Создаём один bridge с VLAN filtering
/interface bridge
add name=bridge1 vlan-filtering=yes protocol-mode=mstp
/interface bridge port
add bridge=bridge1 interface=ether3 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether4 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether5 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether6 frame-types=admit-only-vlan-tagged

Три VLAN под офис, гостей и инфраструктуру

/interface vlan
add interface=bridge1 name=vlan10-office vlan-id=10
add interface=bridge1 name=vlan20-guest vlan-id=20
add interface=bridge1 name=vlan30-infra vlan-id=30

/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=20 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether3,ether6

# Адреса
/ip address
add address=192.168.10.1/24 interface=vlan10-office comment="Office"
add address=192.168.20.1/24 interface=vlan20-guest comment="Guest"
add address=192.168.30.1/24 interface=vlan30-infra comment="Infra"

DHCP и DNS

/ip pool
add name=pool-office ranges=192.168.10.50-192.168.10.250
add name=pool-guest ranges=192.168.20.50-192.168.20.250
add name=pool-infra ranges=192.168.30.50-192.168.30.200

/ip dhcp-server
add name=dhcp-office interface=vlan10-office address-pool=pool-office \
  lease-time=8h disabled=no
add name=dhcp-guest interface=vlan20-guest address-pool=pool-guest \
  lease-time=2h disabled=no
add name=dhcp-infra interface=vlan30-infra address-pool=pool-infra \
  lease-time=24h disabled=no

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1 \
  dns-server=192.168.10.1,1.1.1.1 domain=office.local
add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=1.1.1.1,8.8.8.8
add address=192.168.30.0/24 gateway=192.168.30.1 dns-server=192.168.30.1

/ip dns
set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes cache-size=4096KiB

Интернет-аплинки и NAT

/ip address
add address=178.65.12.2/30 interface=ether1 comment="Beeline"
add address=85.237.88.10/29 interface=ether2 comment="MTS"

/ip route
add dst-address=0.0.0.0/0 gateway=178.65.12.1 distance=1 check-gateway=ping \
  comment="Primary Beeline"
add dst-address=0.0.0.0/0 gateway=85.237.88.9 distance=10 \
  comment="Backup MTS"

/ip firewall nat
add chain=srcnat out-interface-list=WAN action=masquerade comment="NAT out"

/interface list
add name=WAN
add name=LAN
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=WAN
add interface=vlan10-office list=LAN
add interface=vlan20-guest list=LAN
add interface=vlan30-infra list=LAN

Firewall: закрываем устройство снаружи

/ip firewall filter
# Разрешаем установленные соединения
add chain=input action=accept connection-state=established,related
add chain=input action=drop connection-state=invalid
# Полный доступ из офисной сети
add chain=input in-interface-list=LAN action=accept
# ICMP наружу
add chain=input protocol=icmp action=accept
# Всё остальное из WAN — в блок
add chain=input in-interface-list=WAN action=drop comment="Drop all from WAN"

# Forward
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-state=new \
  in-interface-list=WAN out-interface-list=!LAN comment="Drop DNAT leaks"
# Запрет гостевой сети в офис и инфру
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 \
  action=drop comment="Guest → Office"
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.30.0/24 \
  action=drop comment="Guest → Infra"

Кейс: настройка инженерного бюро на 35 ПК

Помните январь 2025? Мы тогда работали над новым офисом для одного инженерного бюро прямо в центре Москвы. Задача была серьёзная: 35 рабочих мест, 12 телефонов VoIP, 8 камер Hikvision, пара принтеров Kyocera и, конечно, гостевой Wi-Fi для переговорных комнат. Что мы поставили? Основу составил MikroTik CCR2004-1G-12S+2XS, для Wi-Fi взяли три Unifi U6-Pro как точки доступа, а сеть управлял L2-свитч MikroTik CRS326.

Представляете, всего за один день мы развернули целый комплекс! Три отдельных VLAN: для офиса, гостей и всей нашей инфраструктуры. Это камеры, принтеры, IoT. Подключили два аплинка — от Beeline и МТС — с автоматическим failover. Используем check-gateway=ping, чтобы уж точно быть уверенными в надёжности. Конечно, Wi-Fi тоже не обошли стороной: настроили продвинутый WPA3-Enterprise через RADIUS прямо на Windows Server. Безопасность? Про неё тоже не забыли! Подняли IPsec для пары удалённых разработчиков, а ещё OSPF для бесшовной связи с нашим филиалом, что находится в дата-центре МТС. А что по производительности? После всех настроек мы, конечно, всё измерили. NAT-throughput выдал впечатляющие 1,4 Гбит/с, а firewall стабильно держал 820 Мбит/с. И это, между прочим, со 140 правилами! Ещё нас приятно удивил суммарный chrome-load на офис: всего 42 000 DNS-запросов в сутки. Вся эта работа — от монтажа до полной документации — уложилась в 55 000 рублей.

Wi-Fi через CAPsMAN

В вашем офисе больше одной Wi-Fi точки? Тогда обязательно централизуйте управление через CAPsMAN! Это не просто удобно, это экономия часов на настройку и возможность сменить пароль одним кликом.

/caps-man configuration
add name=office ssid=ITFresh-Office datapath.vlan-id=10 \
  security.authentication-types=wpa2-psk security.passphrase=OfficePass2026
add name=guest ssid=ITFresh-Guest datapath.vlan-id=20 \
  security.authentication-types=wpa2-psk security.passphrase=Guest2026!

/caps-man manager set enabled=yes

/caps-man provisioning
add action=create-enabled master-configuration=office slave-configurations=guest

Мониторинг и бэкапы

# SNMP
/snmp set enabled=yes contact="admin@itfresh.ru" location="Office Moscow"
/snmp community add name=public-ro addresses=192.168.10.0/24

# Syslog в Graylog/Zabbix
/system logging action
add name=remote target=remote remote=192.168.10.5 remote-port=514
/system logging
add topics=info,firewall,critical action=remote

# Автоматический бэкап по расписанию
/system scheduler
add name=backup-daily start-time=03:00 interval=1d on-event="\
  /system backup save name=backup-\$(date +\"%Y%m%d\"); \
  /export file=config-\$(date +\"%Y%m%d\")"

Настройка MikroTik и корпоративных сетей

Настраиваю MikroTik любой сложности — от простого hEX для дома до CCR-кластеров в дата-центре. Проектирование сети, монтаж, пусконаладка, документация. Выезд на объект по Москве и области, удалённая настройка через Winbox.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — базовая настройка MikroTik

Какой MikroTik выбрать для офиса 30 ПК?
RB4011iGS+ или CCR2004 — держат 1 Gbps NAT и много VPN. Для маленьких офисов — hEX S (RB760iGS).
Сбрасывать ли заводскую конфигурацию?
Да, всегда. Команда /system reset-configuration no-defaults=yes.
Нужны ли VLAN для отделов?
Для офисов 20+ ПК — обязательно. Минимум три сети: офис, гости, инфраструктура.
Winbox или WebFig?
Winbox для сложных настроек, WebFig для быстрых правок.
Можно ли обновлять без простоя?
Обновление требует перезагрузки 2–3 минуты. Делайте ночью с бэкапом.

Подпишитесь на рассылку ITfresh

Хотите получать максимум пользы? Каждую неделю мы делимся практическими гайдами, которые пригодятся и руководителю IT, и сисадмину. Обсуждаем всё: от безопасности и 1С до миграций, резервных копий и, конечно, лайфхаков, проверенных в наших реальных проектах.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.