Настройка роутера в офисе: бизнес-решения с нуля
Семёнов Евгений Сергеевич, директор АйТи Фреш. Я настраиваю офисные сети уже 15+ лет — от крошечных агентств на 5 человек до производств с 300 рабочими местами в нескольких зданиях. И каждый раз вижу одно и то же: бизнес покупает самый дешёвый роутер от провайдера, потом мучается с медленным Wi-Fi, не может настроить VPN для удалёнки, а при падении канала сидит без интернета полдня. В этой статье разберу, как правильно подобрать и настроить роутер для офиса от 10 до 100 рабочих мест, чтобы сеть работала стабильно, безопасно и не мешала бизнесу.
Как выбрать роутер под размер офиса
Первое, что нужно — честно оценить размер задачи. Я всегда считаю в трёх метриках: число устройств (ПК + телефоны + камеры + ноутбуки + IoT), суммарная скорость интернета и нужны ли нестандартные фичи типа VPN, VLAN, балансировки каналов.
| Офис | Устройств | Канал | Рекомендую | Цена |
|---|---|---|---|---|
| Малый | до 20 | до 200 Мбит/с | MikroTik hEX S / RB5009 | 8–18 тыс. руб. |
| Средний | 20–60 | до 1 Гбит/с | MikroTik RB5009UG / Ubiquiti UDM Pro | 22–55 тыс. руб. |
| Большой | 60–150 | 1–10 Гбит/с | MikroTik CCR2004 / Cisco ISR 4321 | 90–220 тыс. руб. |
| Производство | 150+ | 10+ Гбит/с | MikroTik CCR2216 / Fortinet FortiGate 100F | от 350 тыс. руб. |
Я всегда беру MikroTik, если бюджет ограничен: функционал как у топовых вендоров, цена в 3–5 раз ниже. Но RouterOS требует админа, который её понимает — без этого устройство превращается в кирпич.
Базовая настройка MikroTik: первые 30 минут
Достали из коробки RB5009. Подключаемся через Winbox по MAC-адресу (IP пока не знаем). Первым делом — сброс конфигурации, пароль, базовый firewall.
# Смена пароля admin
/user set admin password="StoykiyParol2025!"
# WAN на ether1 с DHCP-клиентом
/ip dhcp-client add interface=ether1 disabled=no
# LAN-bridge
/interface bridge add name=bridge-lan
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4
# IP-адрес LAN
/ip address add address=192.168.10.1/24 interface=bridge-lan
# DHCP-сервер
/ip pool add name=lan-pool ranges=192.168.10.100-192.168.10.200
/ip dhcp-server add name=lan-dhcp interface=bridge-lan address-pool=lan-pool disabled=no
/ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 \
dns-server=192.168.10.1VLAN — обязательное разделение сетей
В любом офисе больше 20 человек я делаю минимум 4 VLAN:
- VLAN 10 «Office» — рабочие ПК и ноутбуки.
- VLAN 20 «Servers» — серверы, NAS, принтеры.
- VLAN 30 «Guest» — гостевой Wi-Fi с изоляцией от LAN.
- VLAN 40 «IoT» — IP-камеры, СКУД, умный дом.
/interface vlan add name=vlan10-office vlan-id=10 interface=bridge-lan
/interface vlan add name=vlan20-servers vlan-id=20 interface=bridge-lan
/interface vlan add name=vlan30-guest vlan-id=30 interface=bridge-lan
/interface vlan add name=vlan40-iot vlan-id=40 interface=bridge-lan
# IP и DHCP на каждом VLAN
/ip address add address=10.10.10.1/24 interface=vlan10-office
/ip address add address=10.10.20.1/24 interface=vlan20-servers
/ip address add address=10.10.30.1/24 interface=vlan30-guest
/ip address add address=10.10.40.1/24 interface=vlan40-iotНа VLAN камер и гостей я всегда делаю исходящий firewall-deny в сторону остальных VLAN. Это защита: взломанная IP-камера не увидит бухгалтерский ПК.
Firewall — базовая защита
Без firewall роутер в интернете — это приглашение взломщикам. Минимальный набор правил:
/ip firewall filter
add chain=input action=accept connection-state=established,related
add chain=input action=accept protocol=icmp
add chain=input action=accept in-interface=!ether1
add chain=input action=drop comment="drop all from WAN"
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-nat-state=!dstnat in-interface=ether1
# Изоляция гостей
add chain=forward action=drop src-address=10.10.30.0/24 dst-address=10.10.10.0/24
add chain=forward action=drop src-address=10.10.30.0/24 dst-address=10.10.20.0/24
add chain=forward action=drop src-address=10.10.40.0/24 dst-address=10.10.10.0/24VPN для удалёнки: WireGuard за 10 минут
С 2020 года удалёнка — must have. Я всегда ставлю WireGuard: быстрый, маленький, работает на любом устройстве.
/interface wireguard add listen-port=51820 mtu=1420 name=wg-office
/interface wireguard peers
add interface=wg-office public-key="КлиентскийПубличныйКлюч" \
allowed-address=10.20.20.2/32
/ip address add address=10.20.20.1/24 interface=wg-office
/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820 \
place-before=3Клиенту отправляем конфиг — подключается через приложение WireGuard за 30 секунд.
Резервирование каналов: failover и load balance
Второй WAN — обязательно. На RB5009 подключаю провайдера №2 на ether2, настраиваю скрипт проверки доступности через ping и автопереключение.
/ip route
add distance=1 gateway=%PROVIDER1_GW% check-gateway=ping
add distance=2 gateway=%PROVIDER2_GW% check-gateway=ping
# Netwatch для уведомлений в Telegram
/tool netwatch add host=8.8.8.8 interval=30s \
up-script=":log info WAN1-UP" \
down-script=":log error WAN1-DOWN"Для критичных офисов добавляю 4G-модем на ether3 как третий уровень резерва — если рядом оборвали оба оптических кабеля, офис продолжает работать.
Кейс: офис брокерской компании на 80 РМ
В январе 2025 клиент — брокерская компания в Москва-Сити — заказал полную переделку сети. Было: роутер от провайдера, общий Wi-Fi на все устройства, гостевой доступ через отдельную точку с паролем на ресепшене. Стало: MikroTik CCR2004-1G-12S+2XS в стойке в дата-центре МТС (офис подключён оптикой от провайдера + 40G Mellanox до внутренней серверной), 4 VLAN, WireGuard для 35 удалённых сотрудников, двойной WAN от двух провайдеров с автопереключением за 3 секунды. За 5 месяцев — ни одного инцидента со связью, скорость VPN у удалённых сотрудников выросла с 15 Мбит/с (старый провайдерский L2TP) до 480 Мбит/с (WireGuard). Стоимость: оборудование 340 тыс. руб., работа 95 тыс. руб.
Мониторинг и обслуживание
Поставил и забыл — это миф. Роутер нужно мониторить:
- SNMP-мониторинг в LibreNMS или Zabbix — нагрузка CPU, использование каналов, температура.
- Алерты в Telegram при падении WAN, повышении CPU > 80%, приходе подозрительного трафика.
- Ежемесячный апгрейд RouterOS — исправляют уязвимости.
- Ежеквартальный аудит firewall и VPN-пользователей.
- Бэкап конфигурации автоматом в Git или на сервер — у меня всегда настроен.
Настроим офисный роутер под ваши задачи
Подбор оборудования, монтаж, настройка VLAN и firewall, VPN для удалёнщиков, резервирование каналов, мониторинг в Zabbix. Офисы от 10 до 300 РМ, Москва и Московская область. Поддержка 24/7.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — настройка роутера
- Можно ли обойтись роутером от провайдера?
- В офисе на 5–7 рабочих мест — да. В офисе на 20+ человек — категорически нет: провайдерский роутер не тянет VLAN, VPN, QoS, нормальный Wi-Fi и не даёт логов.
- MikroTik или Ubiquiti?
- MikroTik — максимум функционала за минимум денег, но требует опытного админа. Ubiquiti UniFi — красивый контроллер, проще в управлении, но ощутимо дороже и ограничен по функциям.
- Нужен ли резервный интернет?
- Обязательно. Падение основного канала без резерва — это часы простоя бизнеса. Минимум — второй WAN от другого провайдера. Оптимально — ещё 4G/LTE-модем.
- Что такое VLAN и зачем он в офисе?
- VLAN — виртуальное разделение одной физической сети на несколько логических. В офисе обычно 4 VLAN: рабочие ПК, серверы, гости, IoT/IP-камеры.
- Как настроить удалённую работу сотрудников?
- На роутере поднимается VPN-сервер — обычно WireGuard или IKEv2. Сотрудник получает конфиг, подключается с ноутбука и получает доступ к внутренним ресурсам как будто из офиса.