Нужен ли OSPF в офисе с одним роутером?

Нет. OSPF имеет смысл от двух роутеров и более — например, в сети главный офис + филиал, или резервный маршрутизатор с VRRP. Для одного роутера достаточно статических маршрутов.

Чем VRRP отличается от стекового объединения?

VRRP — это протокол резервирования шлюза: два роутера имеют один виртуальный IP, и при падении мастера бэкап перехватывает трафик за секунду. Стек (bonding) объединяет физические линки между двумя коммутаторами в один логический — это про пропускную способность, не про failover.

Что такое PCQ и зачем он нужен?

PCQ (Per Connection Queue) — алгоритм честного разделения полосы между клиентами. Без PCQ один пользователь с torrent может забить весь канал. С PCQ каждое соединение получает свою долю, и офис работает стабильно даже под нагрузкой.

Работает ли BGP на CCR офисного класса?

Да, RouterOS поддерживает full BGP table. На CCR2004 и старше можно принимать full view от провайдера (миллионы маршрутов), но понадобится 2+ ГБ RAM и аккуратная фильтрация. В офисе чаще используют BGP для получения своего AS и PI-блока IP.

MPLS в офисе — это избыточно?

Для одного офиса — да. MPLS раскрывается в сетях с множеством филиалов, где нужны VPN между площадками с изоляцией трафика (VPLS, L3VPN) и резервированием путей. Для 2–3 площадок проще IPsec site-to-site.

MikroTik 25 ноября 2025 · 18 мин чтения

MikroTik RouterOS: настройка продвинутой офисной сети с OSPF, VRRP и QoS

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я прошёл путь от настройки простых офисных шлюзов до проектирования магистралей на CCR с BGP-сессиями к провайдерам и MPLS VPN между филиалами. Один из самых интересных проектов — связь главного офиса в Москве с производством в Подмосковье через два независимых канала плюс аварийный LTE, всё через пару MikroTik CCR2116 с OSPF и VRRP. Этот материал — концентрат практики для админа, который хочет выйти за рамки «hEX с NAT».

Архитектура, под которую стоит настраивать RouterOS 7

Главный офис 80+ мест, серверная, производство или склад рядом.
Филиал или удалённая площадка (ещё один MikroTik).
Два независимых интернет-провайдера.
VoIP-телефония — 20+ IP-телефонов, критичны задержки.
Доступ к виртуалкам в дата-центре МТС через приватный L3VPN.
Удалённые сотрудники через WireGuard или IPsec.

Резервирование шлюза через VRRP

В серьёзной инфраструктуре один роутер — единая точка отказа. Решение — два MikroTik с VRRP. Они объединяются в виртуальный шлюз, и при падении мастера бэкап перехватывает трафик за 1–3 секунды.

# На обоих роутерах
/interface vrrp
add interface=vlan10-office vrid=10 priority=200 name=vrrp-10 \
  preemption-mode=yes v3-protocol=ipv4
# Приоритет 200 на master, 100 на backup

/ip address
add address=192.168.10.1/24 interface=vrrp-10 comment="VIP office"

Клиенты DHCP получают шлюз 192.168.10.1 — фактически VIP, который может жить как на gw1, так и на gw2.

OSPF между роутерами

Статические маршруты трудно поддерживать, когда сетей больше пяти. OSPF сам распространяет маршруты между роутерами офиса и филиалов.

/routing ospf instance
add name=ospf-office router-id=10.0.0.1

/routing ospf area
add name=backbone area-id=0.0.0.0 instance=ospf-office

/routing ospf interface-template
add network=192.168.10.0/24 area=backbone passive=yes
add network=192.168.40.0/24 area=backbone passive=yes
add network=10.0.0.0/30 area=backbone type=point-to-point \
  cost=10 authentication=md5 auth-id=1 auth-key="OspfPass2026"

# На втором роутере то же самое с router-id=10.0.0.2

BGP к провайдеру

Если у вас есть свой AS и блок PI-адресов, подключение к двум провайдерам через BGP даёт настоящий отказоустойчивый транзит.

/routing bgp instance
set default router-id=85.237.88.10 as=64512

/routing bgp peer
add name=beeline-peer remote-address=178.65.12.1 remote-as=3216 \
  in-filter=beeline-in out-filter=beeline-out update-source=ether1
add name=mts-peer remote-address=85.237.88.9 remote-as=8359 \
  in-filter=mts-in out-filter=mts-out update-source=ether2

/routing filter rule
add chain=beeline-out rule="if (dst in 85.237.88.0/24) { accept }"
add chain=beeline-out rule="reject"

Это серьёзная история, требующая переговоров с провайдером и понимания BGP-политик. В типовом офисе обходятся без неё.

QoS для VoIP и видеоконференций

Голос требует приоритета. Без QoS при загрузке канала качество разговора рушится — эхо, задержки, пропадания. MikroTik решает это через mangle + queue tree.

/ip firewall mangle
# Маркируем VoIP RTP-трафик
add chain=prerouting protocol=udp dst-port=10000-20000 \
  action=mark-connection new-connection-mark=voip-conn passthrough=yes
add chain=prerouting connection-mark=voip-conn action=mark-packet \
  new-packet-mark=voip-pkt passthrough=no

# DSCP EF для исходящего голоса
add chain=postrouting connection-mark=voip-conn out-interface-list=WAN \
  action=change-dscp new-dscp=46

# SIP сигнализация
add chain=prerouting protocol=udp dst-port=5060,5061 \
  action=mark-packet new-packet-mark=sip-pkt passthrough=no

/queue tree
add name=upload parent=ether1 queue=default
add name=voip-up parent=upload packet-mark=voip-pkt,sip-pkt \
  priority=1 limit-at=5M max-limit=50M
add name=other-up parent=upload packet-mark=no-mark \
  priority=8 limit-at=10M max-limit=450M

PCQ: честное деление полосы

/queue type
add name=pcq-down kind=pcq pcq-rate=0 pcq-classifier=dst-address \
  pcq-dst-address-mask=32 pcq-limit=50KiB pcq-total-limit=2000KiB

add name=pcq-up kind=pcq pcq-rate=0 pcq-classifier=src-address \
  pcq-src-address-mask=32

/queue tree
add name=total-down parent=bridge1 max-limit=500M queue=pcq-down
add name=total-up parent=ether1 max-limit=500M queue=pcq-up

Каждый пользователь получает одинаковую долю полосы. Никто не может забрать весь канал.

Site-to-Site туннели для филиалов

# IPsec IKEv2 site-to-site
/ip ipsec profile add name=s2s-prof dh-group=modp2048 \
  enc-algorithm=aes-256-cbc hash-algorithm=sha256
/ip ipsec proposal add name=s2s-prop auth-algorithms=sha256 \
  enc-algorithms=aes-256-gcm pfs-group=modp2048
/ip ipsec peer add name=branch-peer address=85.237.88.20 profile=s2s-prof \
  exchange-mode=ike2
/ip ipsec identity add peer=branch-peer auth-method=pre-shared-key \
  secret="S2S_Secret_Key_2026"
/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.50.0/24 \
  tunnel=yes peer=branch-peer proposal=s2s-prop \
  sa-src-address=178.65.12.2 sa-dst-address=85.237.88.20

Мониторинг и отладка

# Real-time статистика
/interface monitor-traffic ether1,ether2,bridge1

# Torch для просмотра top-talkers
/tool torch interface=bridge1 src-address=0.0.0.0/0

# Traffic Flow (NetFlow) для экспорта в Grafana
/ip traffic-flow
set enabled=yes interfaces=ether1,ether2
/ip traffic-flow target
add dst-address=192.168.10.5 port=2055 version=9

# Graphing
/tool graphing interface
add interface=ether1

/tool graphing set page-refresh=300
/tool graphing resource add

Кейс: сеть инжинирингового холдинга с 3 площадками

В ноябре 2025 у нас был проект — инженерный холдинг с офисом на 90 мест в Москве, производством на 140 мест в Подмосковье и представительством на 18 мест в Санкт-Петербурге. Все три площадки — с двумя провайдерами, между собой связаны парой арендованных L2-линков и IPsec-бэкапами через интернет.

Архитектура:

По два MikroTik CCR2216-1G-12XS-2XQ в Москве, CCR2116 на производстве, RB5009 в СПб.
VRRP между парой роутеров в Москве.
OSPF area 0 между всеми шестью роутерами.
IPsec site-to-site как backup для L2-линков.
QoS с приоритетом VoIP (Mangooste IP-АТС) и видеозвонков Zoom.
L3VPN-клиент к виртуалкам в дата-центре МТС через BGP.

В первую неделю после запуска случилось падение линка Мск-Подмосковье — OSPF перестроил маршруты за 7 секунд, пользователи даже не заметили. NAT-throughput в пике — 4,2 Gbps, IPsec — 1,1 Gbps. Стоимость проекта — 780 000 руб, ежемесячная поддержка — 45 000 руб.

Проектирование магистральных сетей MikroTik

Проектирую и внедряю сложные сети с OSPF, BGP, VRRP, MPLS, MPLS VPN. Работаю с офисами 50+ мест, производствами, холдингами с несколькими площадками. Интеграция с дата-центром МТС, планирование пропускной способности, документация уровня «подхватит любой админ».

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — RouterOS в офисе

Нужен ли OSPF в офисе с одним роутером?: Нет. OSPF нужен от двух роутеров — например, с филиалом или резервным шлюзом.
Чем VRRP отличается от bonding?: VRRP — резервирование шлюза (виртуальный IP). Bonding — агрегация линков для пропускной способности.
Что такое PCQ?: Per Connection Queue — честное разделение полосы, чтобы один пользователь не забивал канал.
BGP на CCR — работает?: Да, вплоть до full view от провайдера при достаточной RAM.
MPLS в офисе избыточен?: Да, для одного офиса. Раскрывается в сетях с множеством площадок.