MikroTik RouterOS: настройка продвинутой офисной сети с OSPF, VRRP и QoS
Привет! Меня зовут Семёнов Евгений Сергеевич, я директор ITFresh. Более 15 лет в IT — это целая история, где я успел пройти путь от настройки простеньких офисных шлюзов до проектирования серьёзных магистралей на CCR. Это и BGP-сессии к провайдерам, и развёртывание MPLS VPN между филиалами. Помню, как мы гордились одним из таких проектов: объединение главного офиса в Москве с нашим производством в Подмосковье. Мы тогда задействовали два независимых канала связи, да ещё и аварийный LTE сверху. Всё это крутилось на паре MikroTik CCR2116, работающих с OSPF и VRRP. То, что вы сейчас читаете, — это квинтэссенция моего опыта. Оно создано для тех системных администраторов, которым уже тесно в рамках простого «hEX с NAT» и кто готов к реальному росту.
Архитектура, под которую стоит настраивать RouterOS 7
- Кстати, это идеальное решение, если у вас: главный офис на 80+ человек, своя серверная, а рядом — производство или склад. То есть, все критичные объекты под одной крышей или очень близко.
- Или если речь идёт о филиале, удалённой площадке. Там, конечно, понадобится ещё один MikroTik.
- Два независимых интернет-провайдера.
- Если у вас VoIP-телефония, особенно если это 20+ IP-телефонов, то вы знаете: задержки критичны. Просто немыслимо, когда звонок прерывается или качество связи хромает.
- И, конечно, для безопасного доступа к виртуальным машинам в дата-центре МТС мы предлагаем приватный L3VPN.
- Удалёнка — это отлично, но как быть с безопасностью? Наши сотрудники подключаются к корпоративной сети очень надёжно. Мы используем либо быстрый WireGuard, либо проверенный временем IPsec. Защита данных — наш приоритет.
Резервирование шлюза через VRRP
Один роутер в серьёзной IT-инфраструктуре? Это бомба замедленного действия, настоящая единая точка отказа! Мы же не хотим, чтобы всё остановилось из-за одного сбоя, верно? Наше решение простое и надёжное: пара MikroTik, работающих в связке с VRRP. Они создают единый виртуальный шлюз, и если вдруг основной роутер выйдет из строя, его напарник мгновенно подхватит весь трафик — буквально за 1–3 секунды.
# На обоих роутерах
/interface vrrp
add interface=vlan10-office vrid=10 priority=200 name=vrrp-10 \
preemption-mode=yes v3-protocol=ipv4
# Приоритет 200 на master, 100 на backup
/ip address
add address=192.168.10.1/24 interface=vrrp-10 comment="VIP office"
Для DHCP-клиентов всё выглядит прозрачно: они получают шлюз 192.168.10.1. Это фактически виртуальный IP-адрес (VIP), который может «жить» и на первом роутере (gw1), и на втором (gw2). Проще говоря, всегда есть запасной.
OSPF между роутерами
Пытаться поддерживать статические маршруты, когда у вас больше пяти сетей? Это головная боль, которую мы никому не пожелаем! Гораздо умнее довериться OSPF. Он сам, без вашего участия, раскидает и обновит все маршруты между роутерами в офисе и филиалах. Просто работает.
/routing ospf instance
add name=ospf-office router-id=10.0.0.1
/routing ospf area
add name=backbone area-id=0.0.0.0 instance=ospf-office
/routing ospf interface-template
add network=192.168.10.0/24 area=backbone passive=yes
add network=192.168.40.0/24 area=backbone passive=yes
add network=10.0.0.0/30 area=backbone type=point-to-point \
cost=10 authentication=md5 auth-id=1 auth-key="OspfPass2026"
# На втором роутере то же самое с router-id=10.0.0.2
BGP к провайдеру
Когда у вас есть собственный AS и блок PI-адресов, тут открываются новые возможности. Подключитесь к паре провайдеров через BGP — и получите по-настоящему отказоустойчивый интернет-транзит. Никаких простоев, вот что важно.
/routing bgp instance
set default router-id=85.237.88.10 as=64512
/routing bgp peer
add name=beeline-peer remote-address=178.65.12.1 remote-as=3216 \
in-filter=beeline-in out-filter=beeline-out update-source=ether1
add name=mts-peer remote-address=85.237.88.9 remote-as=8359 \
in-filter=mts-in out-filter=mts-out update-source=ether2
/routing filter rule
add chain=beeline-out rule="if (dst in 85.237.88.0/24) { accept }"
add chain=beeline-out rule="reject"
Конечно, это уже совсем другой уровень. Такая схема — это серьёзная затея, она требует и долгих переговоров с провайдерами, и глубокого понимания BGP-политик. Для обычного офиса, честно говоря, это уже избыточно. Обычно там вполне обходятся и без неё.
QoS для VoIP и видеоконференций
Голос, будь то звонок клиенту или внутреннее совещание, всегда требует особого отношения — он просто обязан иметь приоритет. Представьте: канал загружен, а вы пытаетесь говорить... Качество разговора тут же летит к чертям: эхо, жуткие задержки, обрывы. Знакомая ситуация? Но MikroTik легко решает эту проблему, используя связку mangle и queue tree. Мы гарантируем, что ваш голос всегда будет слышен чётко.
/ip firewall mangle
# Маркируем VoIP RTP-трафик
add chain=prerouting protocol=udp dst-port=10000-20000 \
action=mark-connection new-connection-mark=voip-conn passthrough=yes
add chain=prerouting connection-mark=voip-conn action=mark-packet \
new-packet-mark=voip-pkt passthrough=no
# DSCP EF для исходящего голоса
add chain=postrouting connection-mark=voip-conn out-interface-list=WAN \
action=change-dscp new-dscp=46
# SIP сигнализация
add chain=prerouting protocol=udp dst-port=5060,5061 \
action=mark-packet new-packet-mark=sip-pkt passthrough=no
/queue tree
add name=upload parent=ether1 queue=default
add name=voip-up parent=upload packet-mark=voip-pkt,sip-pkt \
priority=1 limit-at=5M max-limit=50M
add name=other-up parent=upload packet-mark=no-mark \
priority=8 limit-at=10M max-limit=450M
PCQ: честное деление полосы
/queue type
add name=pcq-down kind=pcq pcq-rate=0 pcq-classifier=dst-address \
pcq-dst-address-mask=32 pcq-limit=50KiB pcq-total-limit=2000KiB
add name=pcq-up kind=pcq pcq-rate=0 pcq-classifier=src-address \
pcq-src-address-mask=32
/queue tree
add name=total-down parent=bridge1 max-limit=500M queue=pcq-down
add name=total-up parent=ether1 max-limit=500M queue=pcq-up
У нас по справедливости: каждый пользователь получает свою одинаковую долю пропускной способности. Больше никто не сможет «забить» весь канал под себя. Это правило.
Site-to-Site туннели для филиалов
# IPsec IKEv2 site-to-site
/ip ipsec profile add name=s2s-prof dh-group=modp2048 \
enc-algorithm=aes-256-cbc hash-algorithm=sha256
/ip ipsec proposal add name=s2s-prop auth-algorithms=sha256 \
enc-algorithms=aes-256-gcm pfs-group=modp2048
/ip ipsec peer add name=branch-peer address=85.237.88.20 profile=s2s-prof \
exchange-mode=ike2
/ip ipsec identity add peer=branch-peer auth-method=pre-shared-key \
secret="S2S_Secret_Key_2026"
/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.50.0/24 \
tunnel=yes peer=branch-peer proposal=s2s-prop \
sa-src-address=178.65.12.2 sa-dst-address=85.237.88.20
Мониторинг и отладка
# Real-time статистика
/interface monitor-traffic ether1,ether2,bridge1
# Torch для просмотра top-talkers
/tool torch interface=bridge1 src-address=0.0.0.0/0
# Traffic Flow (NetFlow) для экспорта в Grafana
/ip traffic-flow
set enabled=yes interfaces=ether1,ether2
/ip traffic-flow target
add dst-address=192.168.10.5 port=2055 version=9
# Graphing
/tool graphing interface
add interface=ether1
/tool graphing set page-refresh=300
/tool graphing resource add
Кейс: сеть инжинирингового холдинга с 3 площадками
Помним один из наших ярких проектов, он был в ноябре 2025 года. К нам обратился крупный инженерный холдинг. У них — 90 рабочих мест в московском офисе, производство на 140 мест в Подмосковье и небольшое представительство на 18 человек в Санкт-Петербурге. Что мы сделали? Все три площадки подключили к двум провайдерам, а между собой связали надёжной парой арендованных L2-линков. И, конечно, не забыли про IPsec-бэкапы через интернет для максимальной отказоустойчивости.
Архитектура:
- На чём держится наша сеть? Мы не экономим на оборудовании. В Москве работают сразу два флагманских MikroTik CCR2216-1G-12XS-2XQ, чтобы всё летало и никаких сбоев. На производстве стоит мощный CCR2116. А в Петербурге надёжно справляется с задачами компактный, но очень производительный RB5009. Вот такой у нас железный фундамент!
- VRRP между парой роутеров в Москве.
- Чтобы наша сеть работала как часы, а данные всегда знали, куда идти, мы настроили OSPF area 0. Что это значит? Все шесть наших ключевых роутеров постоянно обмениваются информацией, образуя единую, самооптимизирующуюся маршрутную систему. Любая точка всегда найдёт кратчайший путь. Быстро, надёжно, без сюрпризов.
- Представьте: основной канал связи, L2-линк, вдруг 'лёг'. Паника? Нет, только не у нас! Для таких нештатных ситуаций мы всегда держим надёжный план Б. У нас настроен IPsec site-to-site VPN, который тут же подхватывает весь трафик как резервный канал. Это ваша гарантия, что работа не остановится, даже если основной линк решит 'отдохнуть'.
- Что для бизнеса важнее всего в связи? Конечно, голосовые звонки и видеоконференции! Никто не хочет 'квакающего' VoIP или 'зависшего' Zoom. Именно поэтому мы настроили QoS — Quality of Service. Это значит, что трафик нашей Mangooste IP-АТС и все ваши видеозвонки Zoom получают максимальный приоритет. Всегда. Разговоры будут чёткими, видео — плавным. Мы гарантируем, что важная коммуникация пройдёт без единого сбоя.
- Где наши виртуалки? В дата-центре МТС! Но как связать их с основной сетью? Мы не просто подключаем их, а интегрируем. Для этого настроен L3VPN-клиент, создающий надёжный, зашифрованный тоннель. А за маршрутизацию внутри него отвечает BGP. Это даёт нам гибкость, стабильность. Ваши облачные машины — это часть единой, защищённой инфраструктуры. Всё под контролем. И никаких проблем с доступом.
Рассказать, как это всё работает в деле? Так вот. В первую же неделю после запуска проекта у нас случилось... нет, не ЧП, а, скорее, незапланированный тест-драйв: внезапно упал один из линков между Москвой и Подмосковьем. И что вы думаете? Наш настроенный OSPF сработал просто идеально! Он перестроил все маршруты всего за каких-то 7 секунд. А самое главное — пользователи вообще ничего не заметили! Да, кстати, о цифрах: NAT-throughput в пике достигал впечатляющих 4,2 Gbps, а IPsec — 1,1 Gbps. Что касается финансовой стороны, весь проект обошёлся в 780 000 рублей, а ежемесячная поддержка — всего 45 000 рублей.
Проектирование магистральных сетей MikroTik
Я сам проектирую и внедряю по-настоящему сложные сетевые решения, используя OSPF, BGP, VRRP, MPLS и MPLS VPN. Моими клиентами становятся как офисы от 50+ мест, так и крупные производства или целые холдинги с несколькими площадками. В мои услуги входит и интеграция с дата-центром МТС, и тщательное планирование пропускной способности, и, конечно, составление такой документации, которую сможет подхватить и понять любой админ.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — RouterOS в офисе
- Нужен ли OSPF в офисе с одним роутером?
- Нет. OSPF нужен от двух роутеров — например, с филиалом или резервным шлюзом.
- Чем VRRP отличается от bonding?
- VRRP — резервирование шлюза (виртуальный IP). Bonding — агрегация линков для пропускной способности.
- Что такое PCQ?
- Per Connection Queue — честное разделение полосы, чтобы один пользователь не забивал канал.
- BGP на CCR — работает?
- Да, вплоть до full view от провайдера при достаточной RAM.
- MPLS в офисе избыточен?
- Да, для одного офиса. Раскрывается в сетях с множеством площадок.
