Базовая настройка MikroTik для офиса: от распаковки до работающей сети
Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор АйТи Фреш. За плечами у меня уже больше 15 лет работы с офисными сетями. Сколько MikroTik я настроил? Точно больше двухсот! Попадались всякие: от крошечных hEX для трёх человек до монстров CCR, обслуживающих сотни сотрудников и гоняющих трафик в дата-центр МТС. И что самое удивительное? Как же некоторые умудряются превратить такое крутое оборудование в тикающую бомбу! Забыли заводские "bridge со всеми портами"? Пропустили пару важных правил в firewall? Вот вам и дыра! Этот гайд — это выжимка моего личного опыта, пошаговый порядок, который я использую каждый день.
Что будет на выходе
- Обязательно два интернет-аплинка, да ещё и с автоматическим failover. Никаких простоев!
- Минимум три VLAN: отдельно для офиса, отдельно для гостей и, конечно, для всей инфраструктуры — это камеры, принтеры, IoT.
- DHCP и DNS на RouterOS.
- Фаервол должен быть закрыт снаружи наглухо, а для безопасной удалёнки — только IPsec VPN.
- Wi-Fi развёртываем на внешних CAP-ах, при этом используем раздельные SSID. Так и удобнее, и безопаснее.
- Логирование в syslog и SNMP-мониторинг.
Подготовка: сброс и первый вход
# Подключаемся по MAC через Winbox (Neighbors)
# Логин admin, пароль пустой (для RouterOS 7 — прост из наклейки)
# Удаляем заводской конфиг
/system reset-configuration no-defaults=yes keep-users=no skip-backup=yes
# После перезагрузки входим снова и ставим пароль
/user set admin password="StrongPass2026"
/user add name=itfresh password="AdminPass2026" group=full
# Меняем имя устройства
/system identity set name=office-gw01
# Обновляем RouterOS до последней stable
/system package update check-for-updates
/system package update install
Физические интерфейсы и список bridge
Нумеровать и описывать порты в комментариях? Для меня это железное правило. На RB4011 это выглядит вот так:
/interface ethernet
set [ find default-name=ether1 ] comment="WAN1 Beeline"
set [ find default-name=ether2 ] comment="WAN2 MTS backup"
set [ find default-name=ether3 ] comment="TRUNK to switch SW01"
set [ find default-name=ether4 ] comment="CAP01 Wi-Fi"
set [ find default-name=ether5 ] comment="CAP02 Wi-Fi"
set [ find default-name=ether6 ] comment="Server room uplink"
set [ find default-name=ether7 ] comment="Reserve"
# Создаём один bridge с VLAN filtering
/interface bridge
add name=bridge1 vlan-filtering=yes protocol-mode=mstp
/interface bridge port
add bridge=bridge1 interface=ether3 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether4 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether5 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether6 frame-types=admit-only-vlan-tagged
Три VLAN под офис, гостей и инфраструктуру
/interface vlan
add interface=bridge1 name=vlan10-office vlan-id=10
add interface=bridge1 name=vlan20-guest vlan-id=20
add interface=bridge1 name=vlan30-infra vlan-id=30
/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=20 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether3,ether6
# Адреса
/ip address
add address=192.168.10.1/24 interface=vlan10-office comment="Office"
add address=192.168.20.1/24 interface=vlan20-guest comment="Guest"
add address=192.168.30.1/24 interface=vlan30-infra comment="Infra"
DHCP и DNS
/ip pool
add name=pool-office ranges=192.168.10.50-192.168.10.250
add name=pool-guest ranges=192.168.20.50-192.168.20.250
add name=pool-infra ranges=192.168.30.50-192.168.30.200
/ip dhcp-server
add name=dhcp-office interface=vlan10-office address-pool=pool-office \
lease-time=8h disabled=no
add name=dhcp-guest interface=vlan20-guest address-pool=pool-guest \
lease-time=2h disabled=no
add name=dhcp-infra interface=vlan30-infra address-pool=pool-infra \
lease-time=24h disabled=no
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1 \
dns-server=192.168.10.1,1.1.1.1 domain=office.local
add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=1.1.1.1,8.8.8.8
add address=192.168.30.0/24 gateway=192.168.30.1 dns-server=192.168.30.1
/ip dns
set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes cache-size=4096KiB
Интернет-аплинки и NAT
/ip address
add address=178.65.12.2/30 interface=ether1 comment="Beeline"
add address=85.237.88.10/29 interface=ether2 comment="MTS"
/ip route
add dst-address=0.0.0.0/0 gateway=178.65.12.1 distance=1 check-gateway=ping \
comment="Primary Beeline"
add dst-address=0.0.0.0/0 gateway=85.237.88.9 distance=10 \
comment="Backup MTS"
/ip firewall nat
add chain=srcnat out-interface-list=WAN action=masquerade comment="NAT out"
/interface list
add name=WAN
add name=LAN
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=WAN
add interface=vlan10-office list=LAN
add interface=vlan20-guest list=LAN
add interface=vlan30-infra list=LAN
Firewall: закрываем устройство снаружи
/ip firewall filter
# Разрешаем установленные соединения
add chain=input action=accept connection-state=established,related
add chain=input action=drop connection-state=invalid
# Полный доступ из офисной сети
add chain=input in-interface-list=LAN action=accept
# ICMP наружу
add chain=input protocol=icmp action=accept
# Всё остальное из WAN — в блок
add chain=input in-interface-list=WAN action=drop comment="Drop all from WAN"
# Forward
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-state=new \
in-interface-list=WAN out-interface-list=!LAN comment="Drop DNAT leaks"
# Запрет гостевой сети в офис и инфру
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 \
action=drop comment="Guest → Office"
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.30.0/24 \
action=drop comment="Guest → Infra"
Кейс: настройка инженерного бюро на 35 ПК
Помните январь 2025? Мы тогда работали над новым офисом для одного инженерного бюро прямо в центре Москвы. Задача была серьёзная: 35 рабочих мест, 12 телефонов VoIP, 8 камер Hikvision, пара принтеров Kyocera и, конечно, гостевой Wi-Fi для переговорных комнат. Что мы поставили? Основу составил MikroTik CCR2004-1G-12S+2XS, для Wi-Fi взяли три Unifi U6-Pro как точки доступа, а сеть управлял L2-свитч MikroTik CRS326.
Представляете, всего за один день мы развернули целый комплекс! Три отдельных VLAN: для офиса, гостей и всей нашей инфраструктуры. Это камеры, принтеры, IoT. Подключили два аплинка — от Beeline и МТС — с автоматическим failover. Используем check-gateway=ping, чтобы уж точно быть уверенными в надёжности. Конечно, Wi-Fi тоже не обошли стороной: настроили продвинутый WPA3-Enterprise через RADIUS прямо на Windows Server. Безопасность? Про неё тоже не забыли! Подняли IPsec для пары удалённых разработчиков, а ещё OSPF для бесшовной связи с нашим филиалом, что находится в дата-центре МТС. А что по производительности? После всех настроек мы, конечно, всё измерили. NAT-throughput выдал впечатляющие 1,4 Гбит/с, а firewall стабильно держал 820 Мбит/с. И это, между прочим, со 140 правилами! Ещё нас приятно удивил суммарный chrome-load на офис: всего 42 000 DNS-запросов в сутки. Вся эта работа — от монтажа до полной документации — уложилась в 55 000 рублей.
Wi-Fi через CAPsMAN
В вашем офисе больше одной Wi-Fi точки? Тогда обязательно централизуйте управление через CAPsMAN! Это не просто удобно, это экономия часов на настройку и возможность сменить пароль одним кликом.
/caps-man configuration
add name=office ssid=ITFresh-Office datapath.vlan-id=10 \
security.authentication-types=wpa2-psk security.passphrase=OfficePass2026
add name=guest ssid=ITFresh-Guest datapath.vlan-id=20 \
security.authentication-types=wpa2-psk security.passphrase=Guest2026!
/caps-man manager set enabled=yes
/caps-man provisioning
add action=create-enabled master-configuration=office slave-configurations=guest
Мониторинг и бэкапы
# SNMP
/snmp set enabled=yes contact="admin@itfresh.ru" location="Office Moscow"
/snmp community add name=public-ro addresses=192.168.10.0/24
# Syslog в Graylog/Zabbix
/system logging action
add name=remote target=remote remote=192.168.10.5 remote-port=514
/system logging
add topics=info,firewall,critical action=remote
# Автоматический бэкап по расписанию
/system scheduler
add name=backup-daily start-time=03:00 interval=1d on-event="\
/system backup save name=backup-\$(date +\"%Y%m%d\"); \
/export file=config-\$(date +\"%Y%m%d\")"
Настройка MikroTik и корпоративных сетей
Настраиваю MikroTik любой сложности — от простого hEX для дома до CCR-кластеров в дата-центре. Проектирование сети, монтаж, пусконаладка, документация. Выезд на объект по Москве и области, удалённая настройка через Winbox.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — базовая настройка MikroTik
- Какой MikroTik выбрать для офиса 30 ПК?
- RB4011iGS+ или CCR2004 — держат 1 Gbps NAT и много VPN. Для маленьких офисов — hEX S (RB760iGS).
- Сбрасывать ли заводскую конфигурацию?
- Да, всегда. Команда /system reset-configuration no-defaults=yes.
- Нужны ли VLAN для отделов?
- Для офисов 20+ ПК — обязательно. Минимум три сети: офис, гости, инфраструктура.
- Winbox или WebFig?
- Winbox для сложных настроек, WebFig для быстрых правок.
- Можно ли обновлять без простоя?
- Обновление требует перезагрузки 2–3 минуты. Делайте ночью с бэкапом.
