Настройка MikroTik для офиса: практический план — АйТи Фреш
· 15 мин чтения

Настройка MikroTik в офисе: пошаговый план внедрения от аудита до бэкапов

Настройка MikroTik в офисе: пошаговый план внедрения от аудита до бэкапов

Привет! Я Евгений Семёнов, директор ITFresh. Наша команда? Это больше 15 лет опыта! За эти годы мы успели внедрить MikroTik в сотнях офисов – представьте, от крошечных ИП на три рабочих места до огромных современных опенспейсов, где каждый день трудятся полторы сотни человек. То, что вы читаете сейчас, это не просто текст. Это мой личный, многократно проверенный на практике план внедрения MikroTik, которым я пользуюсь постоянно. И речь здесь совсем не об одной-двух консольных командах, а о полноценном процессе. Он начинается с вашего первого звонка и заканчивается лишь тогда, когда мы сдаём всю работу вместе с необходимой документацией.

Этап 1: аудит и выбор модели

Перед тем, как купить роутер? Мы всегда, без исключений, проводим аудит. Почему это так важно? Потому что без него очень легко промахнуться с выбором модели. Представьте: можно запросто переплатить за мощный CCR для офиса всего на 10 человек. Или, наоборот, попытаться «задушить» скромный hEX SQ, пытаясь подключить к нему целых 80 сотрудников. Последствия — плачевны.

ОфисМодельКлючевоеОриентировочно
до 10 ПКhEX S (RB760iGS)5 Gbit-портов, SFP6 000 руб
10–30 ПКRB4011iGS+10 портов, высокий throughput17 000 руб
30–80 ПКCCR2004-1G-12S+2XS12 SFP+ и 2 SFP2878 000 руб
80–200 ПКCCR2116-12G-4S+16 ядер, 32 Gbit NAT105 000 руб
200+ ПКCCR2216-1G-12XS-2XQ100G, 55 Gbit IPsec340 000 руб

И да, не забывайте о свитчах – здесь наша рекомендация это серия CRS. А также о точках доступа! У нас в ITFresh для них есть проверенные решения: cAP ac, hAP ax2. Или, если нужно, можем рассмотреть сторонние Ubiquiti. Вот конкретный пример: для офиса, где активно работает 40 компьютеров, мы обычно рекомендуем такой комплект – один роутер, два 24-портовых свитча и, конечно, 3-5 точек Wi-Fi, чтобы все работало без нареканий.

Этап 2: подготовка топологии и адресации

Когда все продумано, я беру draw.io и рисую подробную схему. Её мы, разумеется, обязательно утверждаем с заказчиком. Знаете, в большинстве проектов речь идёт минимум о трёх сетях, но очень часто их бывает пять или даже шесть.

VLANНазначениеПодсетьSSID/Порт
10Офис / рабочие станции192.168.10.0/24SSID Office
20Гостевой Wi-Fi192.168.20.0/24SSID Guest
30Инфраструктура (камеры, принтеры, VoIP)192.168.30.0/24access-порты
40Серверы192.168.40.0/24trunk в серверную
100Management устройств192.168.100.0/24отдельный VLAN для роутеров и свитчей

Этап 3: базовая настройка RouterOS

# Сброс
/system reset-configuration no-defaults=yes keep-users=no skip-backup=yes

# Имя и пароль
/system identity set name=gw-office-main
/user set admin disabled=yes
/user add name=itfresh password="StrongPass_2026!" group=full \
  address=192.168.10.0/24,192.168.100.0/24

# Обновление
/system package update check-for-updates
/system package update install

Что я делаю сразу? Отключаю все лишнее! Это касается FTP, Telnet, API, а ещё MAC-Server на WAN и Neighbor Discovery на WAN. Зачем держать открытым то, что не нужно?

Этап 4: интерфейсы, bridge, VLAN

/interface ethernet
set ether1 comment="WAN1 Beeline"
set ether2 comment="WAN2 MTS"
set ether3 comment="Trunk SW01"
set ether4 comment="CAP01"
set ether5 comment="CAP02"
set ether6 comment="Serverroom"

/interface bridge
add name=bridge1 vlan-filtering=yes

/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6

/interface vlan
add interface=bridge1 name=vlan10-office vlan-id=10
add interface=bridge1 name=vlan20-guest vlan-id=20
add interface=bridge1 name=vlan30-infra vlan-id=30
add interface=bridge1 name=vlan40-srv vlan-id=40
add interface=bridge1 name=vlan100-mgmt vlan-id=100

/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=20 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether3
add bridge=bridge1 vlan-ids=40 tagged=bridge1,ether3,ether6
add bridge=bridge1 vlan-ids=100 tagged=bridge1,ether3,ether4,ether5,ether6

Этап 5: IP, DHCP, DNS

/ip address
add address=192.168.10.1/24 interface=vlan10-office
add address=192.168.20.1/24 interface=vlan20-guest
add address=192.168.30.1/24 interface=vlan30-infra
add address=192.168.40.1/24 interface=vlan40-srv
add address=192.168.100.1/24 interface=vlan100-mgmt

/ip pool
add name=pool-office ranges=192.168.10.50-192.168.10.250
add name=pool-guest ranges=192.168.20.50-192.168.20.250
add name=pool-infra ranges=192.168.30.50-192.168.30.250

/ip dhcp-server
add name=dhcp-office interface=vlan10-office address-pool=pool-office \
  lease-time=8h disabled=no
add name=dhcp-guest interface=vlan20-guest address-pool=pool-guest \
  lease-time=2h disabled=no
add name=dhcp-infra interface=vlan30-infra address-pool=pool-infra \
  lease-time=24h disabled=no

/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes \
  cache-size=4096KiB

Этап 6: Wi-Fi через CAPsMAN

/caps-man security
add name=office-sec authentication-types=wpa2-psk,wpa3-psk \
  passphrase="OfficeWifi2026!"
add name=guest-sec authentication-types=wpa2-psk passphrase="Guest2026"

/caps-man datapath
add name=dp-office vlan-id=10 vlan-mode=use-tag bridge=bridge1
add name=dp-guest vlan-id=20 vlan-mode=use-tag bridge=bridge1

/caps-man configuration
add name=cfg-office ssid=ITFresh-Office security=office-sec \
  datapath=dp-office country=russia
add name=cfg-guest ssid=ITFresh-Guest security=guest-sec \
  datapath=dp-guest country=russia

/caps-man manager set enabled=yes

/caps-man provisioning
add action=create-enabled master-configuration=cfg-office \
  slave-configurations=cfg-guest

Этап 7: firewall и NAT

За более подробными примерами правил для файрвола, кстати, загляните в нашу отдельную статью. А вот ключевые моменты, которые мы всегда держим в голове: `always state first`, `final drop`, обязательно блокируем доступ гостевой сети к офисным ресурсам и инфраструктуре. И, конечно, используем `FastTrack` на `forward`.

Этап 8: VPN для удалённых сотрудников

Для удалённого доступа, исходя из нашего многолетнего опыта, я в большинстве случаев выбираю WireGuard. Почему? Это невероятно удобно! Смотрите сами: он уже встроен прямо в RouterOS 7. Настройка занимает, ну буквально, десять минут. А пользователям вообще не нужно мучиться – они запускают его с помощью простого QR-кода. Быстро и без проблем.

/interface wireguard
add name=wg-office listen-port=13231 mtu=1420

/interface wireguard peers
add interface=wg-office public-key="AbCdEf..." \
  allowed-address=10.200.0.10/32 comment="ivanov laptop"

/ip address add address=10.200.0.1/24 interface=wg-office
/ip firewall filter add chain=input protocol=udp dst-port=13231 action=accept
/ip firewall filter add chain=input in-interface=wg-office action=accept

Кейс: внедрение MikroTik в инженерном бюро на 48 ПК

Помню, в декабре 2025-го к нам обратилось одно инженерное бюро. У них 48 рабочих мест, два этажа в солидном бизнес-центре на Рижской. Что там было до нас? Старая сеть на TP-Link, неуправляемые свитчи – кошмар! Никаких VLAN, Wi-Fi общий, а про регулярные «тормоза» даже говорить не хочется. Бюджет на всё, включая монтаж, был строго до 250 000 рублей.

За 4 дня мы:

Что ж, после запуска мы получили просто отличные результаты! Пиковый NAT-throughput — целых 1,8 Гбит/с. Потери пакетов? Всего 0,002%. А Wi-Fi-роуминг между этажами работал моментально, за 30 миллисекунд. Могу с уверенностью сказать: все жалобы на скорость у заказчика полностью прекратились. И, что немаловажно, итоговая стоимость проекта составила 238 000 рублей.

Этап 9: документация и бэкапы

Внедрение MikroTik-сети под ключ

Мы предлагаем полный спектр услуг: от аудита и проектирования до закупки оборудования, его монтажа, финальной настройки и подготовки всей необходимой документации. Работаем с офисами, где от 5 до 300 рабочих мест, причём как по Москве, так и по области. На все наши работы даём гарантию 12 месяцев, а план обслуживания предоставим вам по запросу.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — настройка MikroTik в офисе

Сколько времени занимает настройка?
Офис на 30 ПК — 1 рабочий день чистой настройки, плюс полдня на монтаж.
Нужен ли отдельный админ?
Нет, 2–4 часа в месяц на обслуживание. Подходит для аутсорсинга.
Что если уже есть хаотичный MikroTik?
Аудит, документация, переписать с нуля по шаблону на стенде, переключить за ночь.
SwOS или RouterOS на свитчах?
В корпоративном офисе — RouterOS для единообразия инструментов.
Какой резервный канал?
Второй провайдер с разным последним километром или LTE-модем.

Подпишитесь на рассылку ITfresh

Каждую неделю мы выпускаем практические гайды специально для руководителей IT и сисадминов. Что там внутри? Актуальные темы: безопасность, работа с 1С, миграции, резервные копии. И, конечно, масса проверенных лайфхаков из наших реальных проектов. Хотите быть в курсе?

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.