Настройка MikroTik для офиса: полное руководство
MikroTik — один из самых популярных роутеров для бизнес-использования. Сочетание мощных возможностей RouterOS и доступной цены делает его фаворитом среди IT-администраторов. Однако настройка MikroTik значительно сложнее, чем домашнего роутера. В этой статье мы пройдём полный путь: от первого включения до мониторинга сети через The Dude.
Первоначальная настройка MikroTik
После первого включения MikroTik доступен по адресу 192.168.88.1. Подключитесь через WinBox или веб-интерфейс:
# Сброс к заводским настройкам (если нужно)
/system reset-configuration no-defaults=yes skip-backup=yes
# Установка имени и часового пояса
/system identity set name="MikroTik-Office"
/system clock set time-zone-name=Europe/Moscow
# Смена пароля admin (ОБЯЗАТЕЛЬНО!)
/user set [find name=admin] password="StrongP@ss2026!"
# Создание нового администратора и отключение admin
/user add name=itfresh password="StrongP@ss2026!" group=full
/user disable admin
# Обновление RouterOS
/system package update check-for-updates
/system package update installНастройка интерфейсов и Bridge
Объединяем LAN-порты в bridge и настраиваем WAN:
# Создание bridge для LAN
/interface bridge add name=bridge-lan
# Добавление портов в bridge (ether2-ether5 — LAN)
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4
/interface bridge port add bridge=bridge-lan interface=ether5
# WAN интерфейс (ether1)
/ip address add address=auto interface=ether1 comment="WAN"
# Или статический IP:
/ip address add address=203.0.113.10/24 interface=ether1
# LAN адрес
/ip address add address=192.168.1.1/24 interface=bridge-lan
# Маршрут по умолчанию
/ip route add gateway=203.0.113.1
# DNS
/ip dns set servers=8.8.8.8,1.1.1.1 allow-remote-requests=yesFirewall: защита сети
Firewall MikroTik — мощнейший инструмент. Базовая конфигурация:
# === INPUT chain (трафик К роутеру) ===
/ip firewall filter
add chain=input connection-state=established,related action=accept \
comment="Accept established/related"
add chain=input connection-state=invalid action=drop \
comment="Drop invalid"
add chain=input protocol=icmp action=accept \
comment="Allow ICMP"
add chain=input in-interface=bridge-lan action=accept \
comment="Allow LAN"
add chain=input action=drop comment="Drop all other input"
# === FORWARD chain (трафик ЧЕРЕЗ роутер) ===
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop
add chain=forward in-interface=bridge-lan action=accept \
comment="Allow LAN to WAN"
add chain=forward action=drop comment="Drop all other forward"
# === Защита от сканирования портов ===
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list \
address-list=port-scanners address-list-timeout=2w
add chain=input src-address-list=port-scanners action=drop
# === Защита от брутфорса SSH ===
add chain=input protocol=tcp dst-port=22 src-address-list=ssh-blacklist action=drop
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh-stage3 action=add-src-to-address-list \
address-list=ssh-blacklist address-list-timeout=10d
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh-stage2 action=add-src-to-address-list \
address-list=ssh-stage3 address-list-timeout=1m
add chain=input protocol=tcp dst-port=22 connection-state=new \
action=add-src-to-address-list address-list=ssh-stage2 \
address-list-timeout=1mNAT и проброс портов
NAT (Network Address Translation) — преобразование адресов для выхода в интернет:
# Masquerade — основной NAT для выхода в интернет
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
# Проброс порта RDP к серверу (ОСТОРОЖНО! Лучше через VPN)
/ip firewall nat add chain=dstnat protocol=tcp dst-port=3389 \
in-interface=ether1 action=dst-nat to-addresses=192.168.1.10 to-ports=3389
# Проброс порта для веб-сервера
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80,443 \
in-interface=ether1 action=dst-nat to-addresses=192.168.1.20
# Hairpin NAT (доступ к серверу по внешнему IP из LAN)
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.20 protocol=tcp dst-port=80,443 \
action=masqueradeDHCP-сервер
Настройка DHCP для автоматической раздачи IP-адресов:
# Пул адресов
/ip pool add name=dhcp-pool ranges=192.168.1.100-192.168.1.250
# DHCP-сервер
/ip dhcp-server add interface=bridge-lan address-pool=dhcp-pool \
name=dhcp-office lease-time=8h
# Сеть DHCP
/ip dhcp-server network add address=192.168.1.0/24 \
gateway=192.168.1.1 dns-server=192.168.1.1 \
domain=office.local
# Статические привязки (для серверов, принтеров)
/ip dhcp-server lease add address=192.168.1.10 \
mac-address=AA:BB:CC:DD:EE:01 comment="Server-1C"
/ip dhcp-server lease add address=192.168.1.11 \
mac-address=AA:BB:CC:DD:EE:02 comment="Server-Files"
/ip dhcp-server lease add address=192.168.1.50 \
mac-address=AA:BB:CC:DD:EE:03 comment="Printer-HP"VPN: L2TP/IPsec и WireGuard
Настроим два варианта VPN для удалённых сотрудников:
L2TP/IPsec (совместим со всеми ОС):
# IPsec профиль
/ip ipsec profile set [find default=yes] enc-algorithm=aes-256 \
hash-algorithm=sha256
# IPsec peer
/ip ipsec peer add exchange-mode=main-l2tp passive=yes \
secret="IPsecSharedKey2026!"
# L2TP сервер
/interface l2tp-server server set enabled=yes \
use-ipsec=required ipsec-secret="IPsecSharedKey2026!" \
default-profile=vpn-profile
# Профиль для VPN-пользователей
/ppp profile add name=vpn-profile local-address=10.0.1.1 \
remote-address=vpn-pool dns-server=192.168.1.1
# Пул адресов VPN
/ip pool add name=vpn-pool ranges=10.0.1.10-10.0.1.50
# VPN-пользователь
/ppp secret add name=ivanov password="VpnP@ss2026!" \
profile=vpn-profile service=l2tp
# Firewall: разрешить L2TP/IPsec
/ip firewall filter add chain=input protocol=udp dst-port=500,1701,4500 \
action=accept place-before=4
/ip firewall filter add chain=input protocol=ipsec-esp action=accept place-before=4WireGuard (RouterOS 7+, быстрее и проще):
# Создание WireGuard интерфейса
/interface wireguard add name=wg0 listen-port=51820
# Просмотр публичного ключа сервера
/interface wireguard print
# Добавление пира (клиента)
/interface wireguard peers add interface=wg0 \
public-key="CLIENT_PUBLIC_KEY_HERE=" \
allowed-address=10.0.2.2/32
# IP-адрес для WireGuard
/ip address add address=10.0.2.1/24 interface=wg0
# Firewall: разрешить WireGuard
/ip firewall filter add chain=input protocol=udp dst-port=51820 \
action=accept place-before=4QoS: приоритизация трафика
Quality of Service гарантирует приоритет критическому трафику:
# Маркировка соединений
/ip firewall mangle
add chain=forward protocol=udp dst-port=5060-5061 \
action=mark-connection new-connection-mark=voip-conn
add chain=forward connection-mark=voip-conn \
action=mark-packet new-packet-mark=voip-pkt
add chain=forward protocol=tcp dst-port=1541,1560-1591 \
action=mark-connection new-connection-mark=1c-conn
add chain=forward connection-mark=1c-conn \
action=mark-packet new-packet-mark=1c-pkt
# Queue Tree
/queue tree
add name=total parent=global max-limit=100M
add name=voip parent=total packet-mark=voip-pkt priority=1 max-limit=10M
add name=1c-traffic parent=total packet-mark=1c-pkt priority=3 max-limit=50M
add name=other parent=total packet-mark=no-mark priority=8 max-limit=100MVLAN для сегментации сети
Разделение сети на VLAN для безопасности и управляемости:
# Создание VLAN
/interface vlan
add name=vlan10-servers interface=bridge-lan vlan-id=10
add name=vlan20-office interface=bridge-lan vlan-id=20
add name=vlan30-voip interface=bridge-lan vlan-id=30
add name=vlan40-guest interface=bridge-lan vlan-id=40
# IP-адреса для VLAN
/ip address
add address=192.168.10.1/24 interface=vlan10-servers
add address=192.168.20.1/24 interface=vlan20-office
add address=192.168.30.1/24 interface=vlan30-voip
add address=192.168.40.1/24 interface=vlan40-guest
# DHCP для каждого VLAN
/ip pool add name=pool-office ranges=192.168.20.100-192.168.20.250
/ip dhcp-server add interface=vlan20-office address-pool=pool-office
/ip dhcp-server network add address=192.168.20.0/24 \
gateway=192.168.20.1 dns-server=192.168.20.1
# Изоляция гостевой сети (запрет доступа к LAN)
/ip firewall filter add chain=forward \
src-address=192.168.40.0/24 dst-address=192.168.0.0/16 \
action=drop comment="Isolate guest VLAN"Мониторинг через The Dude
The Dude — бесплатная система мониторинга от MikroTik:
- Автоматическое обнаружение устройств в сети
- Мониторинг доступности (ping, SNMP, HTTP, DNS)
- Визуальная карта сети с статусами
- Уведомления по email/SMS при сбоях
- Графики загрузки интерфейсов и ресурсов
# Включение SNMP на MikroTik для мониторинга
/snmp set enabled=yes contact="admin@company.ru" location="Office"
/snmp community set [find default=yes] name=Office2026ReadOnly
# Настройка отправки email для алертов
/tool e-mail set server=smtp.company.ru port=587 \
start-tls=yes from=mikrotik@company.ru \
user=mikrotik@company.ru password="SmtpP@ss"Альтернативно используйте Zabbix с шаблоном для MikroTik — он мощнее и подходит для мониторинга всей инфраструктуры.
Резервное копирование конфигурации
Сохраняйте конфигурацию после каждого изменения:
# Бинарный бэкап (полный, включая пароли)
/system backup save name=office-backup
# Текстовый экспорт (читаемый, без паролей)
/export file=office-config
# Автоматический бэкап по расписанию (каждый понедельник)
/system scheduler add name=weekly-backup interval=7d \
on-event="/system backup save name=auto-backup; \
/tool e-mail send to=admin@company.ru subject=MikroTik-Backup \
file=auto-backup.backup"Заключение
MikroTik — мощное и экономичное решение для офисной сети. Правильная настройка firewall, NAT, VPN, QoS и VLAN обеспечивает безопасную, быструю и управляемую сеть. Если настройка MikroTik кажется сложной — ООО АйТи Фреш настроит ваш MikroTik под ключ с полной документацией и поддержкой.
Часто задаваемые вопросы (FAQ)
Для офиса на 10-30 устройств — MikroTik hAP ac3 (Wi-Fi + роутер в одном). Для 30-100 устройств — RB4011iGS+ (мощный маршрутизатор) + отдельные Wi-Fi точки. Для 100+ — CCR2004 или CCR2116. Бюджет: 5000-25000 руб.
Через WinBox: System → Packages → Check For Updates → Download & Install. Или через CLI: /system package update install. Перед обновлением обязательно сделайте бэкап конфигурации. Не обновляйте сразу на последнюю версию — подождите 2-3 недели для стабильности.
Рекомендуем WireGuard (RouterOS 7+) — он быстрее и проще L2TP/IPsec. Создайте WireGuard интерфейс, добавьте пиров для каждого сотрудника, настройте firewall. Для совместимости со всеми устройствами используйте L2TP/IPsec как альтернативу.
MikroTik гибче: мощный firewall, полноценный QoS, скриптинг, VLAN на уровне коммутатора, множество VPN-протоколов, The Dude для мониторинга. Keenetic проще в настройке, но ограничен в возможностях. Для серьёзной офисной сети выбирайте MikroTik.
Базовая настройка (интернет + firewall + DHCP) — от 5000 руб. Полная настройка (VLAN + VPN + QoS + мониторинг) — от 15000 руб. ООО АйТи Фреш настраивает MikroTik под ключ с документацией. Звоните: +7 (495) 799-72-28.
Нужна помощь? ООО АйТи Фреш решит вашу задачу!
Мы обслуживаем компании любого масштаба: от настройки рабочих станций до построения IT-инфраструктуры с нуля. Оперативная поддержка, прозрачные условия, персональный инженер.