Базовая настройка MikroTik для офиса: от распаковки до работающей сети

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет работы с офисными сетями я настроил больше двухсот MikroTik — от крошечных hEX для трёх рабочих мест до кластеров CCR в офисах на сотни сотрудников с каналами в дата-центр МТС. И каждый раз удивляюсь, как люди превращают отличное оборудование в бомбу замедленного действия из-за заводских «bridge со всеми портами» и пропущенных правил firewall. Этот гайд — порядок, которому я следую сам.

Что будет на выходе

• Два интернет-аплинка с автоматическим failover.
• Три VLAN: офис, гости, инфраструктура (камеры, принтеры, IoT).
• DHCP и DNS на RouterOS.
• Закрытый снаружи firewall, IPsec VPN для удалёнки.
• Wi-Fi на внешних CAP-ах с раздельными SSID.
• Логирование в syslog и SNMP-мониторинг.

Подготовка: сброс и первый вход

# Подключаемся по MAC через Winbox (Neighbors)
# Логин admin, пароль пустой (для RouterOS 7 — прост из наклейки)

# Удаляем заводской конфиг
/system reset-configuration no-defaults=yes keep-users=no skip-backup=yes

# После перезагрузки входим снова и ставим пароль
/user set admin password="StrongPass2026"
/user add name=itfresh password="AdminPass2026" group=full

# Меняем имя устройства
/system identity set name=office-gw01

# Обновляем RouterOS до последней stable
/system package update check-for-updates
/system package update install

Физические интерфейсы и список bridge

Я всегда нумерую и описываю порты в комментариях. На RB4011 это выглядит так:

/interface ethernet
set [ find default-name=ether1 ] comment="WAN1 Beeline"
set [ find default-name=ether2 ] comment="WAN2 MTS backup"
set [ find default-name=ether3 ] comment="TRUNK to switch SW01"
set [ find default-name=ether4 ] comment="CAP01 Wi-Fi"
set [ find default-name=ether5 ] comment="CAP02 Wi-Fi"
set [ find default-name=ether6 ] comment="Server room uplink"
set [ find default-name=ether7 ] comment="Reserve"

# Создаём один bridge с VLAN filtering
/interface bridge
add name=bridge1 vlan-filtering=yes protocol-mode=mstp
/interface bridge port
add bridge=bridge1 interface=ether3 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether4 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether5 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether6 frame-types=admit-only-vlan-tagged

Три VLAN под офис, гостей и инфраструктуру

/interface vlan
add interface=bridge1 name=vlan10-office vlan-id=10
add interface=bridge1 name=vlan20-guest vlan-id=20
add interface=bridge1 name=vlan30-infra vlan-id=30

/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=20 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether3,ether6

# Адреса
/ip address
add address=192.168.10.1/24 interface=vlan10-office comment="Office"
add address=192.168.20.1/24 interface=vlan20-guest comment="Guest"
add address=192.168.30.1/24 interface=vlan30-infra comment="Infra"

DHCP и DNS

/ip pool
add name=pool-office ranges=192.168.10.50-192.168.10.250
add name=pool-guest ranges=192.168.20.50-192.168.20.250
add name=pool-infra ranges=192.168.30.50-192.168.30.200

/ip dhcp-server
add name=dhcp-office interface=vlan10-office address-pool=pool-office \
  lease-time=8h disabled=no
add name=dhcp-guest interface=vlan20-guest address-pool=pool-guest \
  lease-time=2h disabled=no
add name=dhcp-infra interface=vlan30-infra address-pool=pool-infra \
  lease-time=24h disabled=no

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1 \
  dns-server=192.168.10.1,1.1.1.1 domain=office.local
add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=1.1.1.1,8.8.8.8
add address=192.168.30.0/24 gateway=192.168.30.1 dns-server=192.168.30.1

/ip dns
set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes cache-size=4096KiB

Интернет-аплинки и NAT

/ip address
add address=178.65.12.2/30 interface=ether1 comment="Beeline"
add address=85.237.88.10/29 interface=ether2 comment="MTS"

/ip route
add dst-address=0.0.0.0/0 gateway=178.65.12.1 distance=1 check-gateway=ping \
  comment="Primary Beeline"
add dst-address=0.0.0.0/0 gateway=85.237.88.9 distance=10 \
  comment="Backup MTS"

/ip firewall nat
add chain=srcnat out-interface-list=WAN action=masquerade comment="NAT out"

/interface list
add name=WAN
add name=LAN
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=WAN
add interface=vlan10-office list=LAN
add interface=vlan20-guest list=LAN
add interface=vlan30-infra list=LAN

Firewall: закрываем устройство снаружи

/ip firewall filter
# Разрешаем установленные соединения
add chain=input action=accept connection-state=established,related
add chain=input action=drop connection-state=invalid
# Полный доступ из офисной сети
add chain=input in-interface-list=LAN action=accept
# ICMP наружу
add chain=input protocol=icmp action=accept
# Всё остальное из WAN — в блок
add chain=input in-interface-list=WAN action=drop comment="Drop all from WAN"

# Forward
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-state=new \
  in-interface-list=WAN out-interface-list=!LAN comment="Drop DNAT leaks"
# Запрет гостевой сети в офис и инфру
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 \
  action=drop comment="Guest → Office"
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.30.0/24 \
  action=drop comment="Guest → Infra"

Кейс: настройка инженерного бюро на 35 ПК

В январе 2025 мы внедряли новый офис клиенту — инженерное бюро в Москве. 35 рабочих мест, 12 VoIP-телефонов, 8 IP-камер Hikvision, 2 принтера Kyocera, гостевой Wi-Fi для переговорных. Взяли MikroTik CCR2004-1G-12S+2XS, три Unifi U6-Pro в качестве CAP, управляемый L2-свитч MikroTik CRS326.

За рабочий день развернули: три VLAN (офис, гости, инфраструктура), два аплинка Beeline + МТС с автоматическим failover (check-gateway=ping), Wi-Fi с WPA3-Enterprise через RADIUS на Windows Server, IPsec для двух удалённых разработчиков, OSPF для связки с филиалом в дата-центре МТС. После настройки NAT-throughput составил 1,4 Gbps, firewall — 820 Mbps с 140 правилами. Суммарный chrome-load на офис — 42 000 запросов DNS в сутки. Стоимость работ — 55 000 руб, включая монтаж и документацию.

Wi-Fi через CAPsMAN

Если в офисе больше одной точки — управляйте централизованно через CAPsMAN. Это экономит часы на настройку и позволяет менять пароль одним нажатием.

/caps-man configuration
add name=office ssid=ITFresh-Office datapath.vlan-id=10 \
  security.authentication-types=wpa2-psk security.passphrase=OfficePass2026
add name=guest ssid=ITFresh-Guest datapath.vlan-id=20 \
  security.authentication-types=wpa2-psk security.passphrase=Guest2026!

/caps-man manager set enabled=yes

/caps-man provisioning
add action=create-enabled master-configuration=office slave-configurations=guest

Мониторинг и бэкапы

# SNMP
/snmp set enabled=yes contact="admin@itfresh.ru" location="Office Moscow"
/snmp community add name=public-ro addresses=192.168.10.0/24

# Syslog в Graylog/Zabbix
/system logging action
add name=remote target=remote remote=192.168.10.5 remote-port=514
/system logging
add topics=info,firewall,critical action=remote

# Автоматический бэкап по расписанию
/system scheduler
add name=backup-daily start-time=03:00 interval=1d on-event="\
  /system backup save name=backup-\$(date +\"%Y%m%d\"); \
  /export file=config-\$(date +\"%Y%m%d\")"

FAQ — базовая настройка MikroTik

Какой MikroTik выбрать для офиса 30 ПК?

RB4011iGS+ или CCR2004 — держат 1 Gbps NAT и много VPN. Для маленьких офисов — hEX S (RB760iGS).

Сбрасывать ли заводскую конфигурацию?

Да, всегда. Команда /system reset-configuration no-defaults=yes.

Нужны ли VLAN для отделов?

Для офисов 20+ ПК — обязательно. Минимум три сети: офис, гости, инфраструктура.

Winbox или WebFig?

Winbox для сложных настроек, WebFig для быстрых правок.

Можно ли обновлять без простоя?

Обновление требует перезагрузки 2–3 минуты. Делайте ночью с бэкапом.