Комплексная настройка MikroTik для бизнеса: разбираем реальное ТЗ «под ключ»

Комплексная настройка MikroTik для бизнеса: разбираем реальное ТЗ «под ключ»

Приветствую, коллеги! Мы прошли долгий путь: от коммутации и DHCP до Firewall, QoS и Wi-Fi. Но в реальной жизни клиент никогда не заказывает «просто DHCP» или «просто VPN». Он приносит Техническое Задание — часто на 2-3 страницы, где смешаны все технологии сразу.

Сегодня мы разберем реальное итоговое ТЗ из программы профессиональной переподготовки сетевых инженеров (раздел 10.10). Это типичный заказ для малого офиса на 20-50 человек: два провайдера, VPN с филиалом, IP-телефония, «закрытый» Wi-Fi, три линии техподдержки с разными правами и блокировка соцсетей в рабочее время. Средняя стоимость такой настройки на рынке — от 40 000 до 80 000 рублей. Поехали!

📖 Словарь терминов и сленга (База для выживания)

• ТЗ (Техническое задание) — «библия» проекта. Документ, где заказчик описывает, что он хочет получить. Читаем ТЗ буквально — каждая запятая может стоить денег.
• «Под ключ» — сленг. Настройка, после которой клиент просто включает компьютеры в розетку и всё работает. Без «допиливания напильником».
• Линия ТП (Техническая поддержка) — уровни доступа. 1-я линия — «мальчики с мышкой», 2-я — «сисадмины», 3-я — «боги конфигурации».
• Mango Office — популярная облачная АТС. Её трафик (SIP, RTP) очень чувствителен к задержкам. Если «плавает» звук — директор будет звонить вам в 3 часа ночи.

📋 Структура ТЗ: 7 блоков — 7 решений

ТЗ из программы курса разбито на 7 логических блоков. Мы разберем каждый отдельно, а затем соберем всё в единую конфигурацию. По каждому блоку у нас уже есть подробная статья-исследование, куда мы будем давать ссылки.

🌐 Блок 1. Интернет-соединение: Failover двух каналов

Требование из ТЗ:

«К маршрутизатору подключены два интернет-канала: 1-й — статическая адресация, 20 Мбит/с; 2-й — динамическая адресация, 15 Мбит/с. При падении 1-го канала — автоматическое переключение на 2-й. При восстановлении 1-го — возврат назад».

Теория и ссылки на исследования:

Это классический Failover, который мы детально разбирали в статье про Модуль 4 (Маршрутизация). Ключевые моменты:

• Создаем два маршрута по умолчанию (0.0.0.0/0) с разным Distance: основной — 1, резервный — 10.
• Для резервного канала обязательно отключаем add-default-route в DHCP-клиенте, чтобы он не создал «свой» маршрут с Distance=0.
• Используем Netwatch для пинга удаленного хоста (8.8.8.8), а не шлюза провайдера — иначе при аварии «выше» шлюза Failover не сработает.
• Настраиваем Source NAT (Masquerade) для обоих WAN-интерфейсов — это та самая «ошибка 99% устройств» из статьи про Модуль 6.

Практика (CLI):

# Основной провайдер (статика на ether1)
/ip address add address=203.0.113.10/29 interface=ether1
/ip route add gateway=203.0.113.1 distance=1 check-gateway=ping comment="MAIN-ISP"

# Резервный провайдер (DHCP на ether2)
/ip dhcp-client add interface=ether2 use-peer-dns=yes add-default-route=no

# NAT для обоих каналов
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 comment="NAT-MAIN"
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether2 comment="NAT-BACKUP"

# Netwatch для Failover
/tool netwatch add host=8.8.8.8 timeout=2s interval=30s \
    down-script="/ip route set [find comment=\"MAIN-ISP\"] disable=yes" \
    up-script="/ip route set [find comment=\"MAIN-ISP\"] disable=no" \
    comment="ISP-FAILOVER"

📶 Блок 2. Wi-Fi: «Закрытый клуб» по Access List

Требование из ТЗ:

«Беспроводная сеть в диапазоне 2,4 ГГц. Подключение только от заранее заданных устройств. Все остальные не должны иметь возможности подключиться, даже если введен корректный пароль».

Теория и ссылки на исследования:

Это задача для Access List, который мы разбирали в статье про Модуль 8 (Беспроводные сети). Пароль (WPA2-PSK) здесь вторичен — главный «фейс-контроль» идет по MAC-адресу. Ключевые моменты:

• Снимаем галочки Default Authenticate и Default Forward в настройках интерфейса wlan1.
• В Access List добавляем MAC-адреса разрешенных устройств с галочками Authentication и Forwarding.
• Последним правилом в Access List ставим «Drop All Others» — молчаливый отказ для всех, кого нет в списке.
• Для 2,4 ГГц в «шумном» офисе ставим Channel Width = 20 MHz — иначе «задавим» соседей и сами будем «плавать».

Практика (CLI):

# Базовая настройка Wi-Fi 2.4 ГГц
/interface wireless set wlan1 mode=ap-bridge ssid=Office-Secure \
    band=2ghz-g/n channel-width=20mhz country=russia8 \
    security-profile=secure-staff default-authenticate=no default-forward=no

# Access List: разрешаем только "своих"
/interface wireless access-list
add mac-address=AA:BB:CC:DD:EE:FF interface=wlan1 authentication=yes forwarding=yes comment="Director-iPhone"
add mac-address=11:22:33:44:55:66 interface=wlan1 authentication=yes forwarding=yes comment="Manager-Laptop"
add interface=wlan1 authentication=no forwarding=no comment="Drop_All_Others"

📞 Блок 3. Приоритизация трафика: Mango Office и «группа низкого приоритета»

Требование из ТЗ:

«Трафик IP-телефонии Mango Office должен иметь преимущество. Даже при 100% загрузке канала — IP-телефония работает бесперебойно. Группа пользователей должна иметь самый низкий приоритет, но гарантированные 2 Мбит/с в каждом направлении».

Теория и ссылки на исследования:

Это классический QoS, который мы разбирали в статье про Модуль 7. Решаем задачу в два этапа:

1. Mango Office (Priority 1): IP-телефония использует порты UDP 5060 (SIP) и диапазон 10000-20000 (RTP). Создаем Simple Queue с Priority=1 и Limit-at=1M (гарантия), Max Limit=100M (потолок).
2. «Группа низкого приоритета» (Priority 8): Создаем очередь с Priority=8, Limit-at=2M (гарантированные 2 Мбит/с), Max Limit=10M (чтобы не «душили» остальных). Если они не используют свои 2 Мбит/с — они «отдаются» другим.

Важно: Перед настройкой QoS обязательно отключаем Fast Track для нужных подсетей, иначе очереди просто не сработают! Это «грабли №1» из статьи про Firewall.

Практика (CLI):

# Очередь для Mango Office (IP-телефоны: 192.168.88.50-60)
/queue simple add name="Mango-Office" target=192.168.88.50-192.168.88.60 \
    max-limit=100M/100M limit-at=1M/1M priority=1/1

# Очередь для "группы низкого приоритета" (гости: 192.168.88.100-150)
/queue simple add name="Low-Priority-Group" target=192.168.88.100-192.168.88.150 \
    max-limit=10M/10M limit-at=2M/2M priority=8/8

🛡 Блок 4. Безопасность: Firewall, WinBox/SSH, DNS-редирект, 3 линии ТП

Требование из ТЗ:

«На брандмауэре разрешен только определенный входящий трафик. WinBox и SSH извне — только для доверенных IP. Все DNS-запросы обрабатываются через DNS-сервер маршрутизатора (компьютер должен "думать", что отвечает его сервер). Для 3 линий ТП — разные права».

Теория и ссылки на исследования:

Это самый «объемный» блок, который затрагивает сразу несколько тем из статьи про Модуль 6:

• Firewall Filter: Цепочка input — защита самого роутера. Цепочка forward — защита клиентов. Последнее правило — drop all.
• Address List для доверенных IP: Создаем список TRUSTED-ADMIN и разрешаем WinBox (8291/tcp) и SSH (22/tcp) только для него.
• DNS-редирект (Dst-NAT + Redirect): Перехватываем все DNS-запросы (порт 53 UDP/TCP) и «заворачиваем» их на сам роутер. Это называется DNS Hijacking в корпоративной среде — легальный и полезный.
• 3 линии ТП (User Groups): В RouterOS создаем группы пользователей с разными Policy. Это та самая «ролевая модель доступа», о которой говорилось в программе курса.

Практика (CLI):

# Список доверенных IP для администрирования
/ip firewall address-list add address=198.51.100.50 list=TRUSTED-ADMIN
/ip firewall address-list add address=198.51.100.51 list=TRUSTED-ADMIN

# Firewall Filter: защита роутера
/ip firewall filter
add action=accept chain=input connection-state=established,related comment="01_Established"
add action=accept chain=input in-interface-list=LAN comment="02_LAN_Accept"
add action=accept chain=input in-interface-list=WAN src-address-list=TRUSTED-ADMIN \
    protocol=tcp dst-port=22,8291 comment="03_SSH-WinBox_Trusted"
add action=drop chain=input in-interface-list=WAN comment="99_Drop_All_WAN"

# DNS-редирект: все DNS-запросы -> на роутер
/ip firewall nat
add action=redirect chain=dstnat protocol=udp dst-port=53 in-interface-list=LAN to-ports=53 comment="DNS-Hijack-UDP"
add action=redirect chain=dstnat protocol=tcp dst-port=53 in-interface-list=LAN to-ports=53 comment="DNS-Hijack-TCP"

# Группы пользователей для 3 линий ТП
/user group
add name=TP-Line-1 policy=winbox,test,reboot
add name=TP-Line-2 policy=winbox,ssh,ftp,reboot,test,sniff,api,!password,!policy
add name=TP-Line-3 policy=winbox,ssh,reboot,test,sniff,api,!password

🔗 Блок 5. VPN Site-to-Site: объединение офисов

Требование из ТЗ:

«Защищенное соединение VPN Site-to-Site между головным офисом и филиалом. Пользователи головного офиса имеют доступ к ресурсам филиала, и наоборот. Пример: печать на принтере в другом офисе, доступ к сетевым папкам».

Теория и ссылки на исследования:

Это «хрестоматийная» задача из статьи про Модуль 5 (Туннели). Используем связку L2TP/IPsec — она работает даже если у филиала «серый» IP за NAT. Ключевые моменты:

• На главном роутере создаем L2TP-сервер с use-ipsec=required и общим Pre-Shared Key.
• На роутере филиала создаем L2TP-клиент, который «стучится» на «белый» IP головного офиса.
• Обязательно прописываем статические маршруты на обоих концах: «всё, что идет в сеть филиала — кидай в туннель».
• Не забываем про исключение в NAT: трафик из туннеля не должен «маскарадиться», иначе маршрутизация сломается.

Практика (CLI, сокращенно — полная версия в статье про Модуль 5):

# НА ГЛАВНОМ РОУТЕРЕ
/interface l2tp-server server set use-ipsec=required ipsec-secret=SuperSecretPSK enabled=yes
/ppp secret add name=branch password=SuperSecretPSK service=l2tp \
    local-address=10.10.10.1 remote-address=10.10.10.2
/ip route add dst-address=192.168.20.0/24 gateway=l2tp-out-to-Branch comment="To-Branch"

# НА РОУТЕРЕ ФИЛИАЛА
/interface l2tp-client add connect-to=203.0.113.10 user=branch password=SuperSecretPSK \
    use-ipsec=yes ipsec-secret=SuperSecretPSK add-default-route=no
/ip route add dst-address=192.168.10.0/24 gateway=l2tp-out-to-Main comment="To-Main"

🖥 Блок 6. DHCP и веб-серверы: Destination NAT

Требование из ТЗ:

«Настроен DHCP-сервер. Два веб-сервера на порту 443: 1-й доступен извне по стандартному порту 443, 2-й — по нестандартному порту 444».

Теория и ссылки на исследования:

DHCP-сервер мы детально разбирали в статье про Модуль 3. А вот веб-серверы — это классическая задача для Destination NAT (Dst-NAT), или «проброса портов». Ключевые моменты:

• 1-й сервер (192.168.88.10) — пробрасываем порт 443 из WAN на 443 сервера.
• 2-й сервер (192.168.88.11) — пробрасываем порт 444 из WAN на 443 сервера (порт-то у него стандартный, но снаружи «стучимся» на 444).
• Правила Dst-NAT всегда должны быть самыми первыми в списке NAT — иначе их «перекроет» Masquerade.

Практика (CLI):

# Проброс портов для веб-серверов
/ip firewall nat
add action=dst-nat chain=dstnat in-interface-list=WAN protocol=tcp dst-port=443 \
    to-addresses=192.168.88.10 to-ports=443 comment="Web-Server-1"
add action=dst-nat chain=dstnat in-interface-list=WAN protocol=tcp dst-port=444 \
    to-addresses=192.168.88.11 to-ports=443 comment="Web-Server-2"

🚫 Блок 7. Блокировка соцсетей в рабочее время

Требование из ТЗ:

«Выделенной группе сотрудников в рабочее время (с 09:00 до 18:00) должны быть недоступны сайты ok.ru, vk.com и facebook.com».

Теория и ссылки на исследования:

Это задача для Address List + Time Schedule, которую мы упоминали в статье про Модуль 6. Ключевые моменты:

• Создаем Address List с IP-адресами (или подсетями) соцсетей. Можно использовать DNS-имена — RouterOS сам их резолвит.
• Создаем правило Firewall Filter в цепочке forward, которое дропает трафик к этим адресам для «группы сотрудников».
• Добавляем параметр time с указанием дней недели и времени (09:00-18:00).

Практика (CLI):

# Адреса соцсетей
/ip firewall address-list add address=ok.ru list=SOCIAL-NETWORKS
/ip firewall address-list add address=vk.com list=SOCIAL-NETWORKS
/ip firewall address-list add address=facebook.com list=SOCIAL-NETWORKS

# Блокировка в рабочее время для группы сотрудников (192.168.88.200-220)
/ip firewall filter
add action=drop chain=forward src-address=192.168.88.200-192.168.88.220 \
    dst-address-list=SOCIAL-NETWORKS \
    time=mon,tue,wed,thu,fri 9h-18h \
    comment="Block-Socials-WorkHours"

⚠️ Типичные «грабли» при реализации ТЗ

1. Порядок правил — это 90% успеха. В Firewall Filter, NAT и Simple Queue правила читаются сверху вниз. Если вы поставите Drop All первым — ничего не заработает. Если поставите Fast Track перед QoS — очереди не сработают. Всегда нумеруйте правила в комментариях (01_, 02_...).
2. Тестируйте по блокам. Не пытайтесь настроить всё сразу. Сначала Failover, потом DHCP, потом Firewall, потом QoS. После каждого блока — тест. Иначе будете искать ошибку в «каше» из 200 правил.
3. Делайте бэкап перед каждым блоком. В статье про Модуль 9 мы разбирали скрипт автоматического бэкапа. Используйте его — если «кирпичнете» роутер, откатитесь за 2 минуты.
4. Документируйте конфигурацию. Комментарии в CLI — это не «баловство», а профессиональная гигиена. Через год вы (или ваш коллега) будете благодарны себе за каждый comment="...".

💼 Сколько стоит такая работа на рынке?

Давайте посчитаем. Мы реализовали 7 блоков ТЗ:

• Failover двух каналов: 10 000 - 15 000 руб.
• Wi-Fi с Access List: 5 000 - 8 000 руб.
• QoS для IP-телефонии: 8 000 - 12 000 руб.
• Firewall с 3 линиями ТП: 15 000 - 20 000 руб.
• VPN Site-to-Site: 10 000 - 15 000 руб.
• DHCP + Dst-NAT: 3 000 - 5 000 руб.
• Блокировка соцсетей: 3 000 - 5 000 руб.

Итого: от 54 000 до 80 000 рублей за проект. Опытный инженер тратит на это 10-15 часов. Новичок — 30-40 часов с «танцами с бубном». Разница в стоимости часа работы — колоссальная.

Резюме для сетевых инженеров

Комплексная настройка MikroTik для бизнеса — это не «супер-магия», а набор стандартных инструментов, собранных в правильном порядке. Мы прошли путь от теории каждого модуля до их практического объединения в единое ТЗ.

Ключевые навыки, которые вы теперь имеете:

1. Умение читать ТЗ буквально — каждая запятая имеет значение.
2. Понимание порядка правил в Firewall, NAT и QoS.
3. Навык тестирования по блокам — это экономит часы troubleshooting.
4. Умение документировать конфигурацию — это маркер профессионала.

Эта статья — ваш готовый чек-лист для продажи услуги «Настройка сети под ключ». Распечатайте её, повесьте над рабочим столом и используйте как шпаргалку на реальных объектах.

Материал основан на итоговом ТЗ из программы курса «Администрирование сетевых устройств MikroTik» (раздел 10.10). Мы прошли все 9 модулей: от коммутации и DHCP до мониторинга и автоматизации. Если вы хотите углубить знания — рекомендуем готовиться к сертификации MTCNA. Это международный стандарт, который откроет двери в крупные компании. Спасибо, что прошли этот путь с нами! Подписывайтесь на обновления — впереди новые серии статей по Zabbix, Eltex и Linux.