MikroTik вместо D-Link в офисе: что умеет роутер за 5 000 рублей

Каждый раз, приходя на первичное обследование к новому клиенту, я заранее знаю, что увижу в серверной. Или в шкафу. Или в кладовке, где вместо шкафа стоит старый стол и куча кабелей. Домашний роутер TP-Link или D-Link, прикреплённый скотчем к стене, с паролем «12345678» на стикере. Этот текст — о том, почему так жить нельзя и как за 4 000–9 000 рублей сделать нормальную офисную сеть.

Что не так с домашним роутером в офисе

Домашний роутер — штука честная. Он сделан для того, чтобы раздать интернет семье из четырёх человек, когда папа смотрит YouTube, мама листает соцсети, а дети играют в игры. С этим он справляется отлично. Но когда в офисе одновременно работают 15–20 человек, бухгалтерия гоняет 1С через RDP, менеджеры звонят по IP-телефонии, а кто-то параллельно смотрит стрим на обеде — роутер начинает хрипеть. Таблица подключений переполняется, процессор загружен под завязку, и ничего с этим не поделаешь.

Конкретный пример. К нам обратилась небольшая юридическая фирма — 12 сотрудников, офис на Таганке. Жаловались: 1С работает медленно, RDP-сессии зависают, по утрам вообще не понять, что происходит. Когда мы посмотрели на их TP-Link Archer C80 — в общем, не самый плохой домашний роутер — выяснилось следующее: таблица NAT-подключений переполнена, CPU роутера работает на 90%, про QoS там никто слыхом не слыхивал. Никакого разделения трафика, никакого приоритета для рабочих приложений. Всё в одной куче.

Ещё одна боль — безопасность. Домашний роутер не умеет нормально делать файрвол между сегментами внутренней сети. Там есть базовая NAT-трансляция, которая прячет вашу сеть от внешнего мира, и это хорошо. Но между устройствами внутри сети — всё открыто. Никаких списков контроля доступа, никакой изоляции гостевой Wi-Fi от рабочих машин. Поставили гостевую точку доступа — молодцы, но гостевая сеть зачастую спокойно видит ваши сетевые папки с документами. Проверьте, если не верите.

Почему MikroTik, а не что-то другое

Когда я говорю «MikroTik», некоторые клиенты смотрят настороженно. Cisco? Дорого — от 30 000 рублей за начальный уровень, и это без лицензий. Fortinet? Ещё дороже, плюс ежегодная подписка на UTM-функции. Ubiquiti UniFi? Хорошая история, но тоже дороже. MikroTik — это латвийская компания, которая делает железо и собственную операционную систему RouterOS. Роутер hEX (RB750Gr3) стоит около 3 500–4 000 рублей. hAP ax² — около 8 500–9 000 рублей, зато Wi-Fi 6. За эти деньги вы получаете функционал, за который у других вендоров платят в 5–10 раз больше.

RouterOS — это не прошивка для домохозяек. Полноценная сетевая операционная система. Умеет всё: OSPF, BGP, MPLS, L2TP, OpenVPN, WireGuard, VLAN по стандарту 802.1q, QoS через mangle и queue, statefull inspection в файрволе, NetFlow, SNMP, встроенная утилита The Dude для мониторинга. Всё это — в коробке за 4 000 рублей. Сложно? Да, не кнопка «включить». Но мы именно для этого и существуем.

Про надёжность меня иногда спрашивают отдельно. Обновления RouterOS выходят регулярно, ветка 7.x активно развивается. Документация на wiki.mikrotik.com исчерпывающая, хотя и на английском. Комьюнити огромное — на форуме и в YouTube найдёте ответ на почти любой вопрос. Мы держим MikroTik на большинстве объектов клиентов с 2017 года. За это время ни разу не видели отказа железа по причине бага прошивки. Горело от грозы — но это уже другая история, и там вопрос к грозозащите, а не к производителю.

Файрвол: что это такое и зачем он вам нужен

Файрвол — это не антивирус. Это набор правил, который определяет, какой трафик куда может ходить. Домашний роутер делает один большой барьер между интернетом и вашей внутренней сетью. Внутри — полная свобода. MikroTik позволяет строить правила между любыми сегментами сети и по любым критериям. Нужно, чтобы бухгалтерия видела сервер 1С, но не имела доступа к серверу СКУД или к базам данных отдела продаж? Это делается несколькими строчками в filter rules. Буквально.

Типовая задача, которую мы решаем почти на каждом объекте — ограничение горизонтального распространения угроз. Допустим, один из сотрудников поймал вирус-шифровальщик. Запустил подозрительный exe из письма — бывает. На домашнем роутере вирус спокойно пойдёт по всей подсети, найдёт сетевые папки и зашифрует всё, что видит. На MikroTik мы настраиваем правила, которые запрещают хостам внутри одного VLAN ходить к другим хостам напрямую без явного разрешения. Это называется port isolation или bridge filter rules. Не панацея, но радиус поражения снижается радикально.

Ещё один момент, про который редко говорят — блокировка исходящих подключений. Ransomware, трояны, всякие RAT-утилиты — они пытаются выйти наружу по нестандартным портам или соединиться с командными серверами. Правило в MikroTik «разрешить исходящий трафик только на порты 80, 443, 25, 465, 993 и 587, всё остальное — дроп» моментально режет большинство простых угроз. Это настраивается за 10 минут. И это бесплатно — никаких дополнительных лицензий покупать не нужно, в отличие от UTM-решений.

VLAN: делим офис на изолированные сегменты

VLAN расшифровывается как Virtual LAN — виртуальная локальная сеть. Это способ разделить одну физическую сеть на несколько изолированных друг от друга. Зачем это нужно? Рабочие компьютеры — один VLAN. IP-телефоны — другой. Гостевой Wi-Fi — третий. Серверы — четвёртый. Камеры видеонаблюдения — пятый. Между сегментами ходит только тот трафик, который явно разрешён правилами файрвола. Всё остальное — закрыто по умолчанию. Принцип минимальных привилегий, если хотите.

Конкретная история. Медицинская клиника в Подмосковье — 8 рабочих компьютеров, 6 IP-камер, терминал безналичной оплаты и несколько планшетов на ресепшене. До нас всё это висело в одной плоской сети. Терминал оплаты — это PCI DSS, он по требованиям платёжных систем вообще должен быть изолирован от остальной сети. Камеры имели выход в интернет, потому что провайдер так настроил по умолчанию. В итоге мы сделали пять VLAN: административный офис, медицинские рабочие станции (с доступом к МИС через RDP), камеры (без выхода в интернет, только к видеорегистратору NVR), терминал оплаты (только к процессинговым серверам по белому списку IP-адресов) и гости. Всё на одном управляемом свитче D-Link DGS-1210 и MikroTik hEX.

Важный момент, который надо понимать сразу: VLAN требует поддержки 802.1q на свитчах. Не каждый свитч умеет работать с тегированными портами. Дешёвые неуправляемые свитчи из магазина — не умеют. Но управляемые стоят не космос: TP-Link TL-SG108E на 8 портов — около 2 500–3 000 рублей, D-Link DGS-1210-08 — около 3 500–4 500 рублей, D-Link DGS-1210-28 на 24 порта — около 8 000–10 000 рублей. Это разовое вложение, которое окупается первым же инцидентом, который оно предотвратит. У нас был случай, когда клиент не захотел менять свитч — сэкономил 3 000 рублей. Через полгода потерял данные на сумму, которую я не буду называть публично.

QoS: чтобы 1С не тормозила из-за чужого YouTube

QoS — Quality of Service, управление качеством обслуживания. По-русски: приоритизация трафика. Идея простая — не весь трафик одинаково важен. VoIP-звонок нельзя буферизовать, он должен идти без задержек, иначе слышны паузы и голос разваливается. RDP-сессия с 1С — тоже критична: даже 500 миллисекунд задержки превращают работу в пытку. А торрент или обновление Windows, которые кто-то запустил в рабочее время — пусть качают, но не за счёт всех остальных.

На домашнем роутере QoS, как правило, либо отсутствует, либо представляет собой кнопку «включить умный QoS» — нажали и надеетесь. В MikroTik QoS настраивается через mangle — маркировку пакетов по любым критериям — и queue — очереди с приоритетами и ограничениями полосы. Можно буквально написать: трафик к серверу 1С по адресу 192.168.1.10 на порт 1541 — первый приоритет, гарантированные 15 Мбит/с. Трафик SIP-телефонии — второй приоритет, задержка не более 20 мс. Трафик на 80/443 — обычный, по остаточному принципу. Трафик на торрент-порты — ограничить до 3 Мбит/с суммарно на всех пользователей. Это не маркетинговые обещания — это реально работает.

Пример из практики: торговая компания, 18 сотрудников, канал 100 Мбит/с от Ростелекома. Казалось бы, зачем там вообще QoS. Жалобы: по утрам всё летает, к обеду начинает лагать 1С и виснуть RDP к серверу. Включили утилиту Torch прямо в интерфейсе MikroTik, смотрим реальное потребление — к 12:00 несколько машин генерируют по 30–40 Мбит/с исходящего трафика каждая. Оказалось, Windows Update на рабочих станциях решил скачать накопившиеся обновления именно в рабочее время и к тому же ещё раздавал их через Delivery Optimization соседям по сети. Настроили Simple Queue: всё обновление Windows суммарно — максимум 8 Мбит/с, 1С и RDP — гарантированные 40 Мбит/с, остальное — по остатку. Проблема ушла за 20 минут настройки.

Учёт трафика: кто ест канал и в каком количестве

Учёт трафика — это не слежка за сотрудниками. Ну, иногда слежка, но в первую очередь это диагностика. Когда у вас тормозит интернет, очень удобно открыть Torch в MikroTik — встроенная утилита, никаких дополнительных инструментов не нужно — и буквально за 30 секунд понять: вот этот IP-адрес прямо сейчас съедает 60% канала. Что там? Резервное копирование в облако, запущенное в рабочее время без расписания. Или обновление баз Kaspersky на 15 машинах одновременно. Или кто-то смотрит стрим в 4K на обеде, который затянулся.

MikroTik поддерживает NetFlow — это протокол экспорта статистики сетевых потоков во внешние коллекторы. Мы в своей практике используем Zabbix с плагином или ntopng — оба инструмента бесплатны в базовой версии. В итоге получаем картину: сколько трафика потребил каждый пользователь за неделю или месяц, какие внешние адреса и сервисы самые жирные по объёму, где пики нагрузки в течение дня. Это полезно и для планирования бюджета на интернет-канал, и для разговора с провайдером о тарифе, и просто для понимания, что вообще происходит в сети.

Есть ещё более простой вариант — IP Accounting, встроенный в сам RouterOS. Никакого внешнего коллектора не нужно. Роутер сам считает байты по IP-адресам в специальной таблице. Не так наглядно, как дашборд в ntopng, но для небольшого офиса вполне достаточно — выгрузить через встроенный скрипт в CSV и посмотреть. Мы обычно настраиваем автоматическую выгрузку и раз в месяц прикладываем отчёт по потреблению трафика к ежемесячному отчёту для клиента. Иногда это открывает интересные открытия.

Цены, конкретные модели и что брать под свою задачу

Давайте конкретно. Для офиса до 20–25 человек без встроенного Wi-Fi — MikroTik hEX (RB750Gr3): пять гигабитных портов, RouterOS уровень 4, всё что описано выше включено, стоит 3 500–4 200 рублей. Если нужен Wi-Fi — MikroTik hAP ac² (RB952Ui-5ac2nD): двухдиапазонный 2.4 и 5 ГГц, пять портов, около 5 000–5 500 рублей. Хотите Wi-Fi 6 и скорости выше — hAP ax² (RBD52G-5HacD2HnD-TC), около 8 000–9 500 рублей. Для серьёзных задач на 50+ пользователей с высоким NAT-трафиком — CCR2004-1G-12S+2XS, но это уже 35 000+ рублей и отдельный разговор.

К роутеру нужен управляемый свитч, если вы хотите VLAN. TP-Link TL-SG108E на 8 гигабитных портов — около 2 500–3 000 рублей, простой и надёжный выбор для небольшого офиса. D-Link DGS-1210-16 на 16 портов — около 5 500–6 500 рублей, более гибкие настройки ACL. Если нужен PoE для питания IP-телефонов, камер или точек доступа — TP-Link TL-SG1008PE на 4 порта PoE — около 4 500–5 500 рублей, или TL-SG1210P на 8 портов PoE — около 6 500–7 500 рублей. Итого на оборудование для нормальной офисной сети на 15–20 человек — 7 000–13 000 рублей. Это разовое вложение.

Работа по настройке типовой офисной сети на MikroTik у нас стоит от 8 000 до 20 000 рублей в зависимости от сложности: сколько VLAN нужно сделать, требуется ли VPN для удалённых сотрудников — мы почти всегда делаем WireGuard, потому что он быстрее и проще L2TP — нужен ли мониторинг через Zabbix, сколько правил в файрволе. Это разовые затраты. Дальнейшее обслуживание — как правило, в рамках обычного договора IT-аутсорсинга, без отдельной строки. Если у вас есть свой сисадмин, который знает RouterOS — настройте сами, это реально не космос. Сотни видео на YouTube, официальный quickstart, форум с 2003 года. Мы просто делаем это быстрее, потому что делаем это каждый день.

Частые вопросы

Сложно ли настроить MikroTik самостоятельно, без специалиста?
Зависит от опыта и задачи. Базовую настройку — интернет наружу, раздача по DHCP, простой файрвол — можно сделать через Winbox за пару часов по официальному quickstart guide. VLAN, QoS и NetFlow потребуют понимания того, как вообще работают сети. Мы видели людей, которые освоили RouterOS за неделю по YouTube и справились сами. Если хотите сделать правильно и не тратить время — отдайте специалисту, это дешевле, чем потом переделывать.

MikroTik или Ubiquiti UniFi — что выбрать для офиса?
У Ubiquiti UniFi красивые интерфейсы, удобное централизованное управление, хорошая экосистема из точек доступа, свитчей и шлюзов. Но железо дороже, а гибкость настройки — меньше. MikroTik дешевле и гибче, но требует знания RouterOS. Для офиса без своего IT-специалиста Ubiquiti проще в повседневной жизни. Для офиса с грамотным подрядчиком MikroTik даёт больше контроля за вдвое меньшие деньги на железо.

MikroTik заменит полноценный UTM или NGFW?
Нет, и не стоит от него этого ждать. MikroTik — отличный маршрутизатор с мощным файрволом, но глубокую инспекцию пакетов с антивирусом на шлюзе, защиту от эксплойтов нулевого дня, URL-фильтрацию на уровне категорий он не делает. Для малого бизнеса до 50 рабочих мест MikroTik в связке с нормальными EDR-решениями на рабочих станциях — разумный компромисс. FortiGate и Check Point делают больше, но стартуют от 100 000 рублей плюс ежегодные лицензии.

Можно ли организовать VPN для удалённых сотрудников через MikroTik?
Да, и это одна из самых частых задач. WireGuard — современный, очень быстрый, поддерживается в RouterOS начиная с версии 7, клиент есть для Windows, macOS, iOS и Android, бесплатный. L2TP/IPsec — классика, встроена прямо в Windows и macOS без дополнительного ПО, настраивается в два клика. Мы почти всегда выбираем WireGuard: сотрудник устанавливает клиент, сканирует QR-код с конфигом — и работает из дома так же, как из офиса.