· 16 мин чтения

Настройка роутера в офисе: бизнес-решения с нуля

Настройка роутера в офисе: бизнес-решения с нуля

Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор ITFresh. Уже больше 15 лет я только и делаю, что настраиваю офисные сети. За эти годы через мои руки прошли самые разные компании: от крошечных агентств с пятью сотрудниками до гигантских производств, где 300 человек работают в нескольких корпусах. И знаете, какая картина повторяется снова и снова? Бизнес частенько пытается сэкономить на роутере, беря самый дешёвый вариант от своего провайдера. А потом, конечно, начинаются проблемы: Wi-Fi еле ползёт, VPN для удалёнщиков не настроить, да и вообще, чуть что — интернет пропадает на полдня. В этой статье я подробно расскажу, как правильно выбрать и настроить роутер для офиса на 10–100 рабочих мест, чтобы ваша сеть работала надёжно, безопасно и точно не встала поперёк бизнеса.

Как выбрать роутер под размер офиса

Прежде всего, давайте честно прикинем масштаб нашей задачи. Мы в ITFresh всегда смотрим на три ключевые вещи. Во-первых, сколько вообще устройств будет в сети? Считаем всё: ПК, телефоны, камеры, ноутбуки и, конечно, всю эту армию IoT. Во-вторых, какая общая скорость интернета вам действительно необходима? И, в-третьих, нужны ли какие-то особенные фишки? Может быть, VPN, разделение на VLAN или балансировка каналов?

ОфисУстройствКаналРекомендуюЦена
Малыйдо 20до 200 Мбит/сMikroTik hEX S / RB50098–18 тыс. руб.
Средний20–60до 1 Гбит/сMikroTik RB5009UG / Ubiquiti UDM Pro22–55 тыс. руб.
Большой60–1501–10 Гбит/сMikroTik CCR2004 / Cisco ISR 432190–220 тыс. руб.
Производство150+10+ Гбит/сMikroTik CCR2216 / Fortinet FortiGate 100Fот 350 тыс. руб.

Если бюджет жмёт, я всегда советую MikroTik. По функционалу он не уступает топовым вендорам, а стоит при этом в 3–5 раз меньше. Но есть подвох: RouterOS требует человека, который в ней разбирается. Без такого спеца этот роутер, увы, легко превратится в бесполезный кусок пластика.

Базовая настройка MikroTik: первые 30 минут

Итак, RB5009 у нас в руках, только что из коробки. Подключаемся к нему через Winbox, используя MAC-адрес — IP-то мы пока не знаем. Мои первые шаги? Всегда одинаковые: сбросить конфигурацию, установить хороший, надёжный пароль и набросать базовые правила для firewall.

# Смена пароля admin
/user set admin password="StoykiyParol2025!"

# WAN на ether1 с DHCP-клиентом
/ip dhcp-client add interface=ether1 disabled=no

# LAN-bridge
/interface bridge add name=bridge-lan
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4

# IP-адрес LAN
/ip address add address=192.168.10.1/24 interface=bridge-lan

# DHCP-сервер
/ip pool add name=lan-pool ranges=192.168.10.100-192.168.10.200
/ip dhcp-server add name=lan-dhcp interface=bridge-lan address-pool=lan-pool disabled=no
/ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 \
  dns-server=192.168.10.1

VLAN — обязательное разделение сетей

В любом офисе, где больше 20 человек, мы, как правило, делаем минимум 4 VLAN'а:

/interface vlan add name=vlan10-office vlan-id=10 interface=bridge-lan
/interface vlan add name=vlan20-servers vlan-id=20 interface=bridge-lan
/interface vlan add name=vlan30-guest vlan-id=30 interface=bridge-lan
/interface vlan add name=vlan40-iot vlan-id=40 interface=bridge-lan

# IP и DHCP на каждом VLAN
/ip address add address=10.10.10.1/24 interface=vlan10-office
/ip address add address=10.10.20.1/24 interface=vlan20-servers
/ip address add address=10.10.30.1/24 interface=vlan30-guest
/ip address add address=10.10.40.1/24 interface=vlan40-iot

На VLAN'ах камер и гостей я обязательно прописываю исходящий firewall-deny в сторону всех остальных VLAN'ов. Зачем? Чтобы взломанная IP-камера не получила доступ к бухгалтерскому компьютеру. Это простая, но надёжная защита.

Firewall — базовая защита

Роутер без firewall в интернете? Считайте, вывесили приглашение взломщикам. Минимум правил должен быть всегда:

/ip firewall filter
add chain=input action=accept connection-state=established,related
add chain=input action=accept protocol=icmp
add chain=input action=accept in-interface=!ether1
add chain=input action=drop comment="drop all from WAN"

add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=drop connection-nat-state=!dstnat in-interface=ether1

# Изоляция гостей
add chain=forward action=drop src-address=10.10.30.0/24 dst-address=10.10.10.0/24
add chain=forward action=drop src-address=10.10.30.0/24 dst-address=10.10.20.0/24
add chain=forward action=drop src-address=10.10.40.0/24 dst-address=10.10.10.0/24

VPN для удалёнки: WireGuard за 10 минут

После 2020 года удалёнка стала не просто трендом, а настоящим must-have. Мы всегда настраиваем WireGuard: он супербыстрый, потребляет минимум ресурсов и работает абсолютно на любом устройстве.

/interface wireguard add listen-port=51820 mtu=1420 name=wg-office
/interface wireguard peers
add interface=wg-office public-key="КлиентскийПубличныйКлюч" \
  allowed-address=10.20.20.2/32

/ip address add address=10.20.20.1/24 interface=wg-office
/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820 \
  place-before=3

Клиенту остаётся лишь получить конфиг — подключение через приложение WireGuard занимает буквально 30 секунд.

Резервирование каналов: failover и load balance

Второй WAN — это, по моему убеждению, просто жизненно необходимая вещь. На RB5009 мы подключаем провайдера №2 на порт ether2. Затем настраиваем специальный скрипт, который постоянно проверяет, доступен ли основной канал через ping. Если что-то не так, он моментально переключает весь трафик.

/ip route
add distance=1 gateway=%PROVIDER1_GW% check-gateway=ping
add distance=2 gateway=%PROVIDER2_GW% check-gateway=ping

# Netwatch для уведомлений в Telegram
/tool netwatch add host=8.8.8.8 interval=30s \
  up-script=":log info WAN1-UP" \
  down-script=":log error WAN1-DOWN"

Для офисов, где любая минута простоя критична, мы добавляем 4G-модем на ether3. Это третий уровень резервирования — даже если рядом оборвали оба оптических кабеля, офис всё равно продолжает работать как ни в чём не бывало.

Кейс: офис брокерской компании на 80 РМ

Помню, в январе 2025 года к нам обратилась брокерская компания из Москва-Сити. Им нужна была полная переделка всей сети. Что у них было до нас? Обычный роутер от провайдера, один общий Wi-Fi для всех и гостевой доступ через отдельную точку с паролем, который давали на ресепшене. А что получили после? Мы установили MikroTik CCR2004-1G-12S+2XS прямо в стойку в дата-центре МТС. Офис теперь подключён по оптике от надёжного провайдера, плюс у них есть мощный 40G Mellanox до внутренней серверной. Настроили 4 VLAN, а для 35 удалённых сотрудников внедрили быстрый WireGuard. Конечно, сделали и двойной WAN от двух разных провайдеров с автопереключением всего за 3 секунды. Результат? За 5 месяцев — ни единого сбоя связи! А скорость VPN у удалёнщиков взлетела с жалких 15 Мбит/с (это был их старый провайдерский L2TP) до целых 480 Мбит/с благодаря WireGuard. Итого по стоимости: оборудование обошлось в 340 тысяч рублей, а наша работа — в 95 тысяч.

Мониторинг и обслуживание

«Поставил и забыл»? Это чистой воды миф! Роутер, как и любой важный узел сети, нужно постоянно мониторить:

Настроим офисный роутер под ваши задачи

Мы занимаемся подбором оборудования, его монтажом, тонкой настройкой VLAN и firewall, разворачиваем VPN для всех ваших удалёнщиков, обеспечиваем резервирование каналов и внедряем мониторинг в Zabbix. Работаем с офисами от 10 до 300 РМ по всей Москве и Московской области. И, конечно, предоставляем поддержку 24/7.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — настройка роутера

Можно ли обойтись роутером от провайдера?
В офисе на 5–7 рабочих мест — да. В офисе на 20+ человек — категорически нет: провайдерский роутер не тянет VLAN, VPN, QoS, нормальный Wi-Fi и не даёт логов.
MikroTik или Ubiquiti?
MikroTik — максимум функционала за минимум денег, но требует опытного админа. Ubiquiti UniFi — красивый контроллер, проще в управлении, но ощутимо дороже и ограничен по функциям.
Нужен ли резервный интернет?
Обязательно. Падение основного канала без резерва — это часы простоя бизнеса. Минимум — второй WAN от другого провайдера. Оптимально — ещё 4G/LTE-модем.
Что такое VLAN и зачем он в офисе?
VLAN — виртуальное разделение одной физической сети на несколько логических. В офисе обычно 4 VLAN: рабочие ПК, серверы, гости, IoT/IP-камеры.
Как настроить удалённую работу сотрудников?
На роутере поднимается VPN-сервер — обычно WireGuard или IKEv2. Сотрудник получает конфиг, подключается с ноутбука и получает доступ к внутренним ресурсам как будто из офиса.

Подпишитесь на рассылку ITfresh

Раз в неделю наши практические гайды для руководителей IT и сисадминов: безопасность, 1С, миграции, резервные копии, и, конечно, лайфхаки из наших реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.