АйТи Фреш
Главная / Статьи / Сети
Сети

Гостевой Wi-Fi в офисе: как отделить его от рабочей сети без второго роутера

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-09
Гостевой Wi-Fi в офисе: как отделить его от рабочей сети без второго роутера

Мне регулярно звонят с одной и той же историей: гость подключился к Wi-Fi в переговорке, а через пять минут уже видит расшаренную папку с бухгалтерской базой. На вопрос «а у вас разве не отдельная сеть для гостей?» обычно отвечают — да, пароль другой. Только пароль другой — это не отдельная сеть. Это одна и та же сеть с двумя дверями в одну и ту же комнату. Расскажу, как я это чиню у клиентов без покупки второго роутера.

Дыра, о которой вспоминают, только когда уже клюнуло

Классика жанра. Небольшая юрфирма, 18 рабочих мест, один роутер Keenetic на всех. Для клиентов, которые приходят на встречи, давно завели отдельный SSID «Office_Guest» с простым паролем — чтобы не диктовать посетителям пароль от рабочей сети. Красиво же, отдельная сеть для гостей. Только вот беда: обе сети сидят в одном VLAN, на одном и том же диапазоне 192.168.1.0/24. Гость с телефона видит сетевой принтер, видит NAS с договорами, а если повезёт и на компе кого-то из юристов включён общий доступ к папке — видит и её.

Я это обнаружил случайно, когда настраивал у них Wi-Fi под новую переговорку. Зашёл с гостевого SSID, открыл «Сеть» в проводнике Windows — и передо мной весь список компьютеров фирмы. Никто ничего не взламывал, просто Windows услужливо показывает соседей по сети. У медклиники с похожей схемой ситуация даже хуже: там гостевой Wi-Fi раздают пациентам в холле, а в той же сети крутится 1С с картами приёма и МИС с персональными данными. Это уже не гипотетическая утечка, а прямое нарушение 152-ФЗ, если кто-то из пациентов случайно или намеренно поковыряется в сети.

Проблема не в злом умысле гостей. Проблема в том, что отдельный пароль создаёт иллюзию защиты, а реальной изоляции трафика нет вообще. Два устройства в одной подсети видят друг друга по умолчанию — так работает Ethernet и Wi-Fi, тут нет никакой магии. Разделить их можно только на уровне сети, а не на уровне «у гостей другое слово из шести букв».

Раньше был один рецепт — второй роутер. И он не такой удобный, как кажется

Года три назад, если ко мне приходили с этой задачей, я честно предлагал: ставим второй маршрутизатор, гостевой Wi-Fi вешаем на него, WAN-порт второго роутера втыкаем в LAN-порт первого. Получается два независимых уровня NAT, гости физически не видят рабочую сеть. Работает. Но есть нюансы, которые всплывают уже после установки.

Первое — деньги и место. Второй роутер это не только сам аппарат за 3-5 тысяч рублей (а если брать что-то приличное, а не первый попавшийся TP-Link из «Ситилинка», то и все 8-10), это ещё один блок питания в розетке, ещё один кабель, ещё одна точка отказа. У одного клиента, торговая компания на 25 человек, было целых три роутера в серверной — основной, гостевой и «на всякий случай, вдруг основной упадёт», который никто никогда не подключал. Красота, в общем.

Второе, и это важнее — двойной NAT ломает некоторые вещи. Если у гостя в этой сети VPN на работу или видеозвонок с NAT traversal посложнее, начинаются странности с задержками и обрывами. А ещё второй роутер надо администрировать отдельно: свои прошивки, свой Wi-Fi канал, который может конфликтовать с основным и класть скорость обоим. Я это чинил у клиента, который сам себе на Ozon купил гостевой роутер и воткнул его на тот же канал 6, что и основной — оба Wi-Fi просто тормозили друг друга.

Что на самом деле нужно — VLAN и отдельный SSID на одном устройстве

Практически любой роутер уровня «не самая дешёвая коробка за 2000 рублей» умеет разводить трафик по VLAN — виртуальным локальным сетям. Идея простая: физически провод и Wi-Fi-модуль один, но трафик внутри бегает по разным «виртуальным трубам», которые никак не пересекаются. Это как если бы в одном здании провели две параллельные проводки, не соединённые между собой, хотя стены и коробка одни на двоих.

Технически это выглядит так: создаётся второй SSID, например «Company_Guest», и ему присваивается отдельный VLAN ID, скажем 20, пока рабочая сеть висит на VLAN 1 или на своём отдельном номере. Роутер выдаёт гостевому VLAN свою подсеть — например, 192.168.20.0/24 вместо рабочих 192.168.1.0/24. И дальше между этими подсетями настраивается фаервол, который просто запрещает трафик из одной в другую. Всё, гости физически подключены к тому же роутеру и тем же антеннам, но логически находятся в другой сети — как будто это два разных здания.

У большинства нормальных роутеров эта функция уже встроена и бесплатна — не нужно покупать никакого дополнительного лицензирования. У Mikrotik это делается через интерфейс VLAN и bridge с firewall-правилами, у Ubiquiti UniFi — через отдельную сеть с галочкой «Guest Network» в настройках, у TP-Link Omada и Keenetic — через режим гостевой сети с изоляцией, который включается буквально одним переключателем. Разница только в том, сколько ручной работы нужно сделать самому, а сколько сделает прошивка.

Как я это настраиваю у клиентов на практике

Если у клиента уже стоит Mikrotik hAP ac2 или что-то посерьёзнее — а такие роутеры я ставлю всё чаще, потому что за 6-9 тысяч рублей получаешь гораздо больше гибкости, чем в бытовых аппаратах — делаю так. Создаю VLAN-интерфейс поверх основного бриджа, вешаю на него отдельный IP-пул через DHCP-сервер, добавляю второй SSID на Wi-Fi-интерфейсе с привязкой к этому VLAN. Дальше — самое важное — правило в firewall: drop всего трафика, где src-address из гостевой подсети, а dst-address из рабочей. Без этого правила VLAN просто разграничивает адресацию, но не запрещает маршрутизацию между сетями, а это разные вещи.

На Keenetic (а его ставят процентов сорок моих клиентов из тех, у кого до 20 рабочих мест) всё проще: в разделе Wi-Fi есть отдельная опция «Гостевая сеть», при включении которой роутер сам создаёт изолированный сегмент — гости получают интернет, но не видят локальную сеть и друг друга тоже не видят. Настройка занимает минут пять, разве что нужно проверить версию прошивки — на старых версиях KeeneticOS изоляция гостевой сети работала не полностью, и я нарывался на это у клиента с зарплатным проектом в 1С, который стоял в той же сети что и приёмная с гостевым Wi-Fi.

У торговых точек и клиник, где нужно раздавать Wi-Fi на много точек доступа сразу — там я обычно ставлю систему на базе TP-Link Omada или Ubiquiti UniFi, с контроллером и несколькими точками доступа. Там гостевая сеть с VLAN настраивается один раз на уровне контроллера, а дальше просто транслируется на все точки доступа в здании. У одной сети клиник на 4 филиала так и сделали: единый гостевой VLAN с одинаковым SSID и капчей на вход, настроенный один раз, работает одинаково во всех филиалах.

Изоляция — то место, где обычно и косячат

Мало создать VLAN, если внутри самой гостевой сети устройства видят друг друга. У медклиники был именно такой случай: гостевую сеть от рабочей отделили правильно, а вот client isolation внутри самой гостевой не включили. В итоге пациент в приёмной мог видеть чужой телефон, который тоже подключён к гостевому Wi-Fi — не рабочие данные, но всё равно неприятно, если это чей-то незапароленный расшаренный альбом с фотографиями.

Client isolation (иногда называется AP isolation или Peer-to-peer blocking) — это отдельная галочка почти в любом роутере, которая запрещает устройствам внутри одного Wi-Fi-сегмента видеть друг друга напрямую, весь трафик идёт только через роутер и дальше в интернет. Обязательно включаю её вместе с VLAN-изоляцией от рабочей сети — это две разные настройки, и путать их нельзя.

Ещё один момент, который часто забывают — DNS и mDNS. Даже с правильным VLAN и client isolation иногда всё равно можно достучаться до принтера или NAS, если они анонсируют себя через Bonjour/mDNS, а на роутере включён mDNS-repeater между сетями «для удобства». У одной бухгалтерской компании именно так гость и находил в списке доступных принтеров тот, что печатал платёжки. Проверяю это отдельно на каждом объекте — просто подключаюсь к гостевому SSID с телефона и смотрю, что видно в сети.

Ограничения по скорости, времени и доступу для гостей

Отдельный VLAN заодно решает вторую боль — гости, которые качают фильмы через торренты, пока ждут в переговорке, и сажают весь офисный канал. На гостевую подсеть вешаю ограничение по скорости через шейпер, обычно 10-15 Мбит/с на клиента — этого достаточно для почты и видеозвонка, но не для загрузки сериала в 4K. На Mikrotik это делается через queue tree, привязанную к гостевому VLAN, на Keenetic и Omada есть готовые ползунки в настройках гостевой сети.

Для точек с большим потоком посетителей — автосервисы, клиники, магазины — ставлю капча-портал: гость подключается к Wi-Fi, видит страницу с кнопкой «Войти» или вводом номера телефона, и только после этого получает доступ в интернет. Это не только красиво выглядит и вписывается в брендинг (можно повесить логотип компании на этой странице), но и даёт хоть какую-то юридическую подстраховку — есть согласие на обработку и понятно, кто именно был в сети в конкретный момент, если вдруг встанет вопрос от компетентных органов.

Ещё полезная штука, которую мало кто включает — ограничение по времени. У клиента, юрфирма в бизнес-центре, гостевой Wi-Fi ловил соседний этаж, и посторонние сидели в нём сутками. Включили автоматический disconnect клиента через 4 часа неактивности и запрет подключения ночью, с полуночи до семи утра — офис-то не работает, зачем в это время держать сеть открытой.

Грабли, на которые чаще всего наступают сами

Самая частая ошибка — включить только смену пароля, а не саму сегментацию. Я про это уже говорил, но повторю, потому что вижу это у каждого второго нового клиента: два SSID на одном VLAN это косметика, а не защита. Проверить легко — подключитесь к гостевой сети и попробуйте пропинговать IP рабочего компьютера. Если пинг проходит, изоляции нет никакой, что бы ни было написано в описании услуги в договоре с прошлым подрядчиком.

Вторая ошибка — рабочие сотрудники сами подключаются к гостевому Wi-Fi, потому что на нём быстрее интернет или потому что на рабочем что-то тормозит. Тогда получается, что их рабочие ноутбуки с корпоративными данными оказываются в изолированном сегменте вместе с посторонними гостями — то есть в той сети, которую специально изолировали от корпоративных ресурсов. Приходится либо ограничивать это на уровне MAC-фильтрации, либо просто регулярно объяснять сотрудникам, зачем вообще все эти сети разделены.

И третья, совсем банальная — забывают обновить прошивку. Уязвимости в реализации VLAN и изоляции гостевых сетей в бытовых роутерах находят регулярно, и производители их закрывают патчами. У клиента с Keenetic пятилетней давности, где прошивка не обновлялась вообще ни разу с покупки, изоляция гостевой сети формально была включена, но благодаря старой уязвимости в прошивке всё равно пропускала часть broadcast-трафика в рабочую сеть. Обновление прошивки заняло десять минут и решило то, на что я потратил два часа диагностики.

Частые вопросы

Мой роутер за 1500 рублей из ближайшего магазина — на нём это вообще возможно настроить?
Зависит от прошивки. Многие бюджетные роутеры умеют делать отдельный гостевой SSID с базовой изоляцией от рабочей сети — этого обычно достаточно для маленького офиса. А вот полноценные VLAN с гибкой настройкой firewall там чаще всего не поддерживаются. Если нужен серьёзный контроль, лучше один раз вложиться в Mikrotik, Keenetic Peak или Ubiquiti — цена вопроса 6-15 тысяч рублей, зато настраивается сразу правильно и надолго.

Нужно ли для этого какое-то специальное сетевое оборудование, свитч с поддержкой VLAN?
Если Wi-Fi раздаёт один роутер и точек доступа больше нет, отдельный VLAN-свитч не нужен — всё разруливается на самом роутере. А вот если в офисе несколько точек доступа, подключённых по кабелю к обычному неуправляемому свитчу, тогда нужен управляемый свитч с поддержкой 802.1Q VLAN, чтобы гостевой трафик с разных точек доступа корректно доходил до роутера тегированным. Управляемые свитчи на 8 портов стоят от 3-4 тысяч рублей.

Гостевая сеть с изоляцией замедлит рабочий интернет?
Сама по себе сегментация трафика почти не создаёт нагрузки на современном роутере — это не шифрование и не глубокая обработка пакетов. Замедление возможно только если вы не поставили шейпер на гостевую сеть и кто-то из посетителей начал качать что-то тяжёлое, забив весь общий канал в интернет. Именно поэтому я всегда рекомендую сразу ограничивать скорость на гостевом VLAN отдельно от рабочего.

Как проверить, что изоляция действительно работает, а не просто настроена на бумаге?
Самый простой способ — подключиться к гостевому Wi-Fi с телефона и попробовать зайти на IP-адрес любого рабочего компьютера, принтера или NAS в браузере или через ping. Если ничего не открывается и не пингуется — изоляция работает. Дополнительно стоит проверить, не видно ли рабочих устройств в списке «Сеть» на Windows или в приложениях для сканирования локальной сети типа Fing.

Хотите, чтобы гостевой Wi-Fi у вас в офисе был отделён от рабочей сети по-настоящему, а не на бумаге?
Приезжаем, смотрим, что стоит у вас, и настраиваем VLAN-изоляцию на существующем оборудовании — часто без покупки чего-либо нового.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи