Настройка MikroTik в офисе: пошаговый план внедрения от аудита до бэкапов
Привет! Я Евгений Семёнов, директор ITFresh. Наша команда? Это больше 15 лет опыта! За эти годы мы успели внедрить MikroTik в сотнях офисов – представьте, от крошечных ИП на три рабочих места до огромных современных опенспейсов, где каждый день трудятся полторы сотни человек. То, что вы читаете сейчас, это не просто текст. Это мой личный, многократно проверенный на практике план внедрения MikroTik, которым я пользуюсь постоянно. И речь здесь совсем не об одной-двух консольных командах, а о полноценном процессе. Он начинается с вашего первого звонка и заканчивается лишь тогда, когда мы сдаём всю работу вместе с необходимой документацией.
Этап 1: аудит и выбор модели
Перед тем, как купить роутер? Мы всегда, без исключений, проводим аудит. Почему это так важно? Потому что без него очень легко промахнуться с выбором модели. Представьте: можно запросто переплатить за мощный CCR для офиса всего на 10 человек. Или, наоборот, попытаться «задушить» скромный hEX SQ, пытаясь подключить к нему целых 80 сотрудников. Последствия — плачевны.
| Офис | Модель | Ключевое | Ориентировочно |
|---|---|---|---|
| до 10 ПК | hEX S (RB760iGS) | 5 Gbit-портов, SFP | 6 000 руб |
| 10–30 ПК | RB4011iGS+ | 10 портов, высокий throughput | 17 000 руб |
| 30–80 ПК | CCR2004-1G-12S+2XS | 12 SFP+ и 2 SFP28 | 78 000 руб |
| 80–200 ПК | CCR2116-12G-4S+ | 16 ядер, 32 Gbit NAT | 105 000 руб |
| 200+ ПК | CCR2216-1G-12XS-2XQ | 100G, 55 Gbit IPsec | 340 000 руб |
И да, не забывайте о свитчах – здесь наша рекомендация это серия CRS. А также о точках доступа! У нас в ITFresh для них есть проверенные решения: cAP ac, hAP ax2. Или, если нужно, можем рассмотреть сторонние Ubiquiti. Вот конкретный пример: для офиса, где активно работает 40 компьютеров, мы обычно рекомендуем такой комплект – один роутер, два 24-портовых свитча и, конечно, 3-5 точек Wi-Fi, чтобы все работало без нареканий.
Этап 2: подготовка топологии и адресации
Когда все продумано, я беру draw.io и рисую подробную схему. Её мы, разумеется, обязательно утверждаем с заказчиком. Знаете, в большинстве проектов речь идёт минимум о трёх сетях, но очень часто их бывает пять или даже шесть.
| VLAN | Назначение | Подсеть | SSID/Порт |
|---|---|---|---|
| 10 | Офис / рабочие станции | 192.168.10.0/24 | SSID Office |
| 20 | Гостевой Wi-Fi | 192.168.20.0/24 | SSID Guest |
| 30 | Инфраструктура (камеры, принтеры, VoIP) | 192.168.30.0/24 | access-порты |
| 40 | Серверы | 192.168.40.0/24 | trunk в серверную |
| 100 | Management устройств | 192.168.100.0/24 | отдельный VLAN для роутеров и свитчей |
Этап 3: базовая настройка RouterOS
# Сброс
/system reset-configuration no-defaults=yes keep-users=no skip-backup=yes
# Имя и пароль
/system identity set name=gw-office-main
/user set admin disabled=yes
/user add name=itfresh password="StrongPass_2026!" group=full \
address=192.168.10.0/24,192.168.100.0/24
# Обновление
/system package update check-for-updates
/system package update install
Что я делаю сразу? Отключаю все лишнее! Это касается FTP, Telnet, API, а ещё MAC-Server на WAN и Neighbor Discovery на WAN. Зачем держать открытым то, что не нужно?
Этап 4: интерфейсы, bridge, VLAN
/interface ethernet
set ether1 comment="WAN1 Beeline"
set ether2 comment="WAN2 MTS"
set ether3 comment="Trunk SW01"
set ether4 comment="CAP01"
set ether5 comment="CAP02"
set ether6 comment="Serverroom"
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
/interface vlan
add interface=bridge1 name=vlan10-office vlan-id=10
add interface=bridge1 name=vlan20-guest vlan-id=20
add interface=bridge1 name=vlan30-infra vlan-id=30
add interface=bridge1 name=vlan40-srv vlan-id=40
add interface=bridge1 name=vlan100-mgmt vlan-id=100
/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=20 tagged=bridge1,ether3,ether4,ether5
add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether3
add bridge=bridge1 vlan-ids=40 tagged=bridge1,ether3,ether6
add bridge=bridge1 vlan-ids=100 tagged=bridge1,ether3,ether4,ether5,ether6
Этап 5: IP, DHCP, DNS
/ip address
add address=192.168.10.1/24 interface=vlan10-office
add address=192.168.20.1/24 interface=vlan20-guest
add address=192.168.30.1/24 interface=vlan30-infra
add address=192.168.40.1/24 interface=vlan40-srv
add address=192.168.100.1/24 interface=vlan100-mgmt
/ip pool
add name=pool-office ranges=192.168.10.50-192.168.10.250
add name=pool-guest ranges=192.168.20.50-192.168.20.250
add name=pool-infra ranges=192.168.30.50-192.168.30.250
/ip dhcp-server
add name=dhcp-office interface=vlan10-office address-pool=pool-office \
lease-time=8h disabled=no
add name=dhcp-guest interface=vlan20-guest address-pool=pool-guest \
lease-time=2h disabled=no
add name=dhcp-infra interface=vlan30-infra address-pool=pool-infra \
lease-time=24h disabled=no
/ip dns set servers=1.1.1.1,8.8.8.8 allow-remote-requests=yes \
cache-size=4096KiB
Этап 6: Wi-Fi через CAPsMAN
/caps-man security
add name=office-sec authentication-types=wpa2-psk,wpa3-psk \
passphrase="OfficeWifi2026!"
add name=guest-sec authentication-types=wpa2-psk passphrase="Guest2026"
/caps-man datapath
add name=dp-office vlan-id=10 vlan-mode=use-tag bridge=bridge1
add name=dp-guest vlan-id=20 vlan-mode=use-tag bridge=bridge1
/caps-man configuration
add name=cfg-office ssid=ITFresh-Office security=office-sec \
datapath=dp-office country=russia
add name=cfg-guest ssid=ITFresh-Guest security=guest-sec \
datapath=dp-guest country=russia
/caps-man manager set enabled=yes
/caps-man provisioning
add action=create-enabled master-configuration=cfg-office \
slave-configurations=cfg-guest
Этап 7: firewall и NAT
За более подробными примерами правил для файрвола, кстати, загляните в нашу отдельную статью. А вот ключевые моменты, которые мы всегда держим в голове: `always state first`, `final drop`, обязательно блокируем доступ гостевой сети к офисным ресурсам и инфраструктуре. И, конечно, используем `FastTrack` на `forward`.
Этап 8: VPN для удалённых сотрудников
Для удалённого доступа, исходя из нашего многолетнего опыта, я в большинстве случаев выбираю WireGuard. Почему? Это невероятно удобно! Смотрите сами: он уже встроен прямо в RouterOS 7. Настройка занимает, ну буквально, десять минут. А пользователям вообще не нужно мучиться – они запускают его с помощью простого QR-кода. Быстро и без проблем.
/interface wireguard
add name=wg-office listen-port=13231 mtu=1420
/interface wireguard peers
add interface=wg-office public-key="AbCdEf..." \
allowed-address=10.200.0.10/32 comment="ivanov laptop"
/ip address add address=10.200.0.1/24 interface=wg-office
/ip firewall filter add chain=input protocol=udp dst-port=13231 action=accept
/ip firewall filter add chain=input in-interface=wg-office action=accept
Кейс: внедрение MikroTik в инженерном бюро на 48 ПК
Помню, в декабре 2025-го к нам обратилось одно инженерное бюро. У них 48 рабочих мест, два этажа в солидном бизнес-центре на Рижской. Что там было до нас? Старая сеть на TP-Link, неуправляемые свитчи – кошмар! Никаких VLAN, Wi-Fi общий, а про регулярные «тормоза» даже говорить не хочется. Бюджет на всё, включая монтаж, был строго до 250 000 рублей.
За 4 дня мы:
- Какой набор оборудования мы выбрали для этого проекта? Установили CCR2004-1G-12S+2XS. Добавили два коммутатора CRS326-24G-2S+RM. И, конечно, пять точек доступа cAP ax для надёжного Wi-Fi покрытия.
- Что касается кабельной инфраструктуры, то между этажами мы проложили оптику. А до каждого рабочего места провели надёжную витую пару категории Cat6.
- Мы настроили сразу пять VLAN'ов для сегментации сети. А CAPsMAN позволил нам создать три отдельных SSID: для офисных пользователей, для гостей и для служебных устройств.
- Интернет-каналы? У нас было два аплинка: Билайн со скоростью 500/500 Мбит/с и МТС — 300/300 Мбит/с. И, конечно, мы настроили failover, чтобы связь всегда была стабильной.
- WireGuard для 6 удалённых разработчиков.
- А как мы следим за работой системы? Развернули Zabbix-мониторинг на отдельной виртуалке прямо в серверной. И, конечно, подключили все устройства по SNMP, чтобы видеть полную картину.
Что ж, после запуска мы получили просто отличные результаты! Пиковый NAT-throughput — целых 1,8 Гбит/с. Потери пакетов? Всего 0,002%. А Wi-Fi-роуминг между этажами работал моментально, за 30 миллисекунд. Могу с уверенностью сказать: все жалобы на скорость у заказчика полностью прекратились. И, что немаловажно, итоговая стоимость проекта составила 238 000 рублей.
Этап 9: документация и бэкапы
- Как у нас всё устроено? Для наглядности мы рисуем схему топологии. И используем для этого draw.io — удобно, всё видно сразу. Но просто нарисовать мало, нужно же правильно это хранить, правда? Поэтому главный файл всегда лежит в облаке — так он доступен всей команде, и обновлять его проще простого. А чтобы быть на 100% уверенными, что ничего не пропадёт, мы обязательно держим ещё и офлайн-копию. Это наша подушка безопасности на любой случай.
- Текстовый экспорт конфигурации
/export file=gw-backup-2026-01-16. - Бинарный бэкап
/system backup save name=gw-backup-2026-01-16 password="...". - Для спокойствия и безопасности данных у нас всё настроено очень серьёзно. Мы используем специальный scheduler — если по-простому, это планировщик задач, который каждый день строго по расписанию запускает резервное копирование. Как только бэкап завершается, система автоматически отправляет отчёт на почту ответственным сотрудникам. Так мы всегда знаем, что данные на месте, и можем быстро реагировать. Удобно, когда не нужно ничего делать руками, верно?
- Чтобы сотрудникам было максимально комфортно, а все вопросы решались быстро, мы собрали ключевую информацию в единых инструкциях. Там, к примеру, всегда можно найти актуальный пароль от гостевого Wi-Fi — чтобы ваши посетители легко могли подключиться и не отвлекали вас. А если вдруг возникнут технические сложности или потребуется помощь, в этом же документе есть все контакты нашей службы IT-поддержки. Не нужно искать, куда звонить; просто откройте инструкцию. Это здорово экономит время!
Внедрение MikroTik-сети под ключ
Мы предлагаем полный спектр услуг: от аудита и проектирования до закупки оборудования, его монтажа, финальной настройки и подготовки всей необходимой документации. Работаем с офисами, где от 5 до 300 рабочих мест, причём как по Москве, так и по области. На все наши работы даём гарантию 12 месяцев, а план обслуживания предоставим вам по запросу.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — настройка MikroTik в офисе
- Сколько времени занимает настройка?
- Офис на 30 ПК — 1 рабочий день чистой настройки, плюс полдня на монтаж.
- Нужен ли отдельный админ?
- Нет, 2–4 часа в месяц на обслуживание. Подходит для аутсорсинга.
- Что если уже есть хаотичный MikroTik?
- Аудит, документация, переписать с нуля по шаблону на стенде, переключить за ночь.
- SwOS или RouterOS на свитчах?
- В корпоративном офисе — RouterOS для единообразия инструментов.
- Какой резервный канал?
- Второй провайдер с разным последним километром или LTE-модем.
