· 18 мин чтения

MikroTik RouterOS: настройка продвинутой офисной сети с OSPF, VRRP и QoS

MikroTik RouterOS: настройка продвинутой офисной сети с OSPF, VRRP и QoS

Привет! Меня зовут Семёнов Евгений Сергеевич, я директор ITFresh. Более 15 лет в IT — это целая история, где я успел пройти путь от настройки простеньких офисных шлюзов до проектирования серьёзных магистралей на CCR. Это и BGP-сессии к провайдерам, и развёртывание MPLS VPN между филиалами. Помню, как мы гордились одним из таких проектов: объединение главного офиса в Москве с нашим производством в Подмосковье. Мы тогда задействовали два независимых канала связи, да ещё и аварийный LTE сверху. Всё это крутилось на паре MikroTik CCR2116, работающих с OSPF и VRRP. То, что вы сейчас читаете, — это квинтэссенция моего опыта. Оно создано для тех системных администраторов, которым уже тесно в рамках простого «hEX с NAT» и кто готов к реальному росту.

Архитектура, под которую стоит настраивать RouterOS 7

Резервирование шлюза через VRRP

Один роутер в серьёзной IT-инфраструктуре? Это бомба замедленного действия, настоящая единая точка отказа! Мы же не хотим, чтобы всё остановилось из-за одного сбоя, верно? Наше решение простое и надёжное: пара MikroTik, работающих в связке с VRRP. Они создают единый виртуальный шлюз, и если вдруг основной роутер выйдет из строя, его напарник мгновенно подхватит весь трафик — буквально за 1–3 секунды.

# На обоих роутерах
/interface vrrp
add interface=vlan10-office vrid=10 priority=200 name=vrrp-10 \
  preemption-mode=yes v3-protocol=ipv4
# Приоритет 200 на master, 100 на backup

/ip address
add address=192.168.10.1/24 interface=vrrp-10 comment="VIP office"

Для DHCP-клиентов всё выглядит прозрачно: они получают шлюз 192.168.10.1. Это фактически виртуальный IP-адрес (VIP), который может «жить» и на первом роутере (gw1), и на втором (gw2). Проще говоря, всегда есть запасной.

OSPF между роутерами

Пытаться поддерживать статические маршруты, когда у вас больше пяти сетей? Это головная боль, которую мы никому не пожелаем! Гораздо умнее довериться OSPF. Он сам, без вашего участия, раскидает и обновит все маршруты между роутерами в офисе и филиалах. Просто работает.

/routing ospf instance
add name=ospf-office router-id=10.0.0.1

/routing ospf area
add name=backbone area-id=0.0.0.0 instance=ospf-office

/routing ospf interface-template
add network=192.168.10.0/24 area=backbone passive=yes
add network=192.168.40.0/24 area=backbone passive=yes
add network=10.0.0.0/30 area=backbone type=point-to-point \
  cost=10 authentication=md5 auth-id=1 auth-key="OspfPass2026"

# На втором роутере то же самое с router-id=10.0.0.2

BGP к провайдеру

Когда у вас есть собственный AS и блок PI-адресов, тут открываются новые возможности. Подключитесь к паре провайдеров через BGP — и получите по-настоящему отказоустойчивый интернет-транзит. Никаких простоев, вот что важно.

/routing bgp instance
set default router-id=85.237.88.10 as=64512

/routing bgp peer
add name=beeline-peer remote-address=178.65.12.1 remote-as=3216 \
  in-filter=beeline-in out-filter=beeline-out update-source=ether1
add name=mts-peer remote-address=85.237.88.9 remote-as=8359 \
  in-filter=mts-in out-filter=mts-out update-source=ether2

/routing filter rule
add chain=beeline-out rule="if (dst in 85.237.88.0/24) { accept }"
add chain=beeline-out rule="reject"

Конечно, это уже совсем другой уровень. Такая схема — это серьёзная затея, она требует и долгих переговоров с провайдерами, и глубокого понимания BGP-политик. Для обычного офиса, честно говоря, это уже избыточно. Обычно там вполне обходятся и без неё.

QoS для VoIP и видеоконференций

Голос, будь то звонок клиенту или внутреннее совещание, всегда требует особого отношения — он просто обязан иметь приоритет. Представьте: канал загружен, а вы пытаетесь говорить... Качество разговора тут же летит к чертям: эхо, жуткие задержки, обрывы. Знакомая ситуация? Но MikroTik легко решает эту проблему, используя связку mangle и queue tree. Мы гарантируем, что ваш голос всегда будет слышен чётко.

/ip firewall mangle
# Маркируем VoIP RTP-трафик
add chain=prerouting protocol=udp dst-port=10000-20000 \
  action=mark-connection new-connection-mark=voip-conn passthrough=yes
add chain=prerouting connection-mark=voip-conn action=mark-packet \
  new-packet-mark=voip-pkt passthrough=no

# DSCP EF для исходящего голоса
add chain=postrouting connection-mark=voip-conn out-interface-list=WAN \
  action=change-dscp new-dscp=46

# SIP сигнализация
add chain=prerouting protocol=udp dst-port=5060,5061 \
  action=mark-packet new-packet-mark=sip-pkt passthrough=no

/queue tree
add name=upload parent=ether1 queue=default
add name=voip-up parent=upload packet-mark=voip-pkt,sip-pkt \
  priority=1 limit-at=5M max-limit=50M
add name=other-up parent=upload packet-mark=no-mark \
  priority=8 limit-at=10M max-limit=450M

PCQ: честное деление полосы

/queue type
add name=pcq-down kind=pcq pcq-rate=0 pcq-classifier=dst-address \
  pcq-dst-address-mask=32 pcq-limit=50KiB pcq-total-limit=2000KiB

add name=pcq-up kind=pcq pcq-rate=0 pcq-classifier=src-address \
  pcq-src-address-mask=32

/queue tree
add name=total-down parent=bridge1 max-limit=500M queue=pcq-down
add name=total-up parent=ether1 max-limit=500M queue=pcq-up

У нас по справедливости: каждый пользователь получает свою одинаковую долю пропускной способности. Больше никто не сможет «забить» весь канал под себя. Это правило.

Site-to-Site туннели для филиалов

# IPsec IKEv2 site-to-site
/ip ipsec profile add name=s2s-prof dh-group=modp2048 \
  enc-algorithm=aes-256-cbc hash-algorithm=sha256
/ip ipsec proposal add name=s2s-prop auth-algorithms=sha256 \
  enc-algorithms=aes-256-gcm pfs-group=modp2048
/ip ipsec peer add name=branch-peer address=85.237.88.20 profile=s2s-prof \
  exchange-mode=ike2
/ip ipsec identity add peer=branch-peer auth-method=pre-shared-key \
  secret="S2S_Secret_Key_2026"
/ip ipsec policy
add src-address=192.168.10.0/24 dst-address=192.168.50.0/24 \
  tunnel=yes peer=branch-peer proposal=s2s-prop \
  sa-src-address=178.65.12.2 sa-dst-address=85.237.88.20

Мониторинг и отладка

# Real-time статистика
/interface monitor-traffic ether1,ether2,bridge1

# Torch для просмотра top-talkers
/tool torch interface=bridge1 src-address=0.0.0.0/0

# Traffic Flow (NetFlow) для экспорта в Grafana
/ip traffic-flow
set enabled=yes interfaces=ether1,ether2
/ip traffic-flow target
add dst-address=192.168.10.5 port=2055 version=9

# Graphing
/tool graphing interface
add interface=ether1

/tool graphing set page-refresh=300
/tool graphing resource add

Кейс: сеть инжинирингового холдинга с 3 площадками

Помним один из наших ярких проектов, он был в ноябре 2025 года. К нам обратился крупный инженерный холдинг. У них — 90 рабочих мест в московском офисе, производство на 140 мест в Подмосковье и небольшое представительство на 18 человек в Санкт-Петербурге. Что мы сделали? Все три площадки подключили к двум провайдерам, а между собой связали надёжной парой арендованных L2-линков. И, конечно, не забыли про IPsec-бэкапы через интернет для максимальной отказоустойчивости.

Архитектура:

Рассказать, как это всё работает в деле? Так вот. В первую же неделю после запуска проекта у нас случилось... нет, не ЧП, а, скорее, незапланированный тест-драйв: внезапно упал один из линков между Москвой и Подмосковьем. И что вы думаете? Наш настроенный OSPF сработал просто идеально! Он перестроил все маршруты всего за каких-то 7 секунд. А самое главное — пользователи вообще ничего не заметили! Да, кстати, о цифрах: NAT-throughput в пике достигал впечатляющих 4,2 Gbps, а IPsec — 1,1 Gbps. Что касается финансовой стороны, весь проект обошёлся в 780 000 рублей, а ежемесячная поддержка — всего 45 000 рублей.

Проектирование магистральных сетей MikroTik

Я сам проектирую и внедряю по-настоящему сложные сетевые решения, используя OSPF, BGP, VRRP, MPLS и MPLS VPN. Моими клиентами становятся как офисы от 50+ мест, так и крупные производства или целые холдинги с несколькими площадками. В мои услуги входит и интеграция с дата-центром МТС, и тщательное планирование пропускной способности, и, конечно, составление такой документации, которую сможет подхватить и понять любой админ.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — RouterOS в офисе

Нужен ли OSPF в офисе с одним роутером?
Нет. OSPF нужен от двух роутеров — например, с филиалом или резервным шлюзом.
Чем VRRP отличается от bonding?
VRRP — резервирование шлюза (виртуальный IP). Bonding — агрегация линков для пропускной способности.
Что такое PCQ?
Per Connection Queue — честное разделение полосы, чтобы один пользователь не забивал канал.
BGP на CCR — работает?
Да, вплоть до full view от провайдера при достаточной RAM.
MPLS в офисе избыточен?
Да, для одного офиса. Раскрывается в сетях с множеством площадок.

Подпишитесь на рассылку ITfresh

Мы знаем, как важно быть в курсе событий! Поэтому каждую неделю публикуем новые практические гайды. Это настоящая находка как для IT-руководителей, так и для сисадминов. Мы делимся всем: от тонкостей безопасности и работы с 1С до секретов успешных миграций и резервного копирования. И, конечно, не забываем про крутые лайфхаки, которые мы вынесли из наших реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.