Настройка MikroTik: 2 провайдера и объединение офисов

Практический курс по полной настройке маршрутизатора MikroTik через WinBox для корпоративной сети. Вы научитесь подключать двух провайдеров с балансировкой нагрузки [wifisystem.ru](https://wifisystem.ru/docs/2isp/) и настраивать защищенное VPN-соединение между удаленными офисами [xn----7sba7aachdbqfnhtigrl.xn--p1ai](https://xn----7sba7aachdbqfnhtigrl.xn--p1ai/%D0%BE%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D0%B5%D1%82%D0%B5%D0%B9-%D0%B7%D0%B0-nat/).

1. Базовая настройка MikroTik через WinBox и подготовка интерфейсов

Базовая настройка MikroTik через WinBox и подготовка интерфейсов

Представьте ситуацию: в разгар рабочего дня в офисе пропадает интернет. Менеджеры не могут отправить коммерческие предложения, IP-телефония молчит, связь с удаленным складом оборвана. Финансовые потери бизнеса в такие моменты можно рассчитать по простой формуле:

где — общие финансовые потери, — время простоя сети в часах, — средняя выручка компании за один час.

При выручке в 100 000 руб. в час даже двухчасовой сбой обойдется компании в 200 000 руб. Именно поэтому корпоративные сети строятся с использованием двух независимых интернет-провайдеров и надежного оборудования. Маршрутизаторы латвийской компании MikroTik под управлением операционной системы RouterOS идеально подходят для этой задачи, предлагая функционал корпоративного уровня по доступной цене.

Фундамент любой отказоустойчивой сети закладывается на этапе первоначальной подготовки устройства. Ошибка в базовой конфигурации неизбежно приведет к уязвимостям или конфликтам маршрутизации в будущем.

Подключение и первый вход через WinBox

Настройка профессионального сетевого оборудования редко выполняется через веб-интерфейс. Главным инструментом инженера при работе с MikroTik является официальная утилита WinBox. Это легковесное приложение для Windows (отлично работает и через Wine на Linux/macOS), которое позволяет управлять маршрутизатором как на сетевом уровне (через IP-адрес), так и на канальном уровне (через MAC-адрес).

Возможность подключения по MAC-адресу — уникальная и крайне полезная функция. Если вы случайно удалите IP-адрес на порту, к которому подключены, обычный роутер станет недоступен, и потребуется физический сброс. WinBox же найдет устройство на канальном уровне и позволит исправить ошибку.

Порядок первого подключения:

  • Подключите патч-корд от сетевой карты вашего компьютера в любой порт маршрутизатора (например, во второй порт).
  • Подайте питание на устройство.
  • Запустите утилиту WinBox и перейдите на вкладку Neighbors (Соседи).
  • Дождитесь появления вашего устройства в списке.
  • Кликните именно на MAC-адрес устройства (он скопируется в поле Connect To).
  • Введите стандартные учетные данные: логин — admin, поле пароля оставьте пустым.
  • Нажмите кнопку Connect.

    • Очистка заводской конфигурации

    Новые маршрутизаторы MikroTik поставляются с предустановленной заводской конфигурацией. Она предполагает, что первый порт (ether1) настроен для получения интернета по DHCP, а остальные порты объединены в коммутатор с локальным адресом 192.168.88.1.

    Для домашнего использования это удобно, но для нашей задачи — подключения двух провайдеров и создания VPN-туннеля до другого офиса — заводские настройки будут только мешать. Нам нужен абсолютно чистый маршрутизатор, где каждый порт равнозначен и не имеет скрытых правил.

    > Конфигурация по умолчанию создана для быстрого старта домашнего пользователя, но для сложной корпоративной среды она является источником конфликтов маршрутизации и потенциальных уязвимостей. > > Официальная документация MikroTik

    Чтобы сбросить устройство до нулевого состояния, выполните следующие действия:

  • В левом меню WinBox откройте раздел System, затем выберите Reset Configuration.
  • В открывшемся окне обязательно отметьте галочкой пункт No Default Configuration (Не использовать конфигурацию по умолчанию).
  • Рекомендуется также отметить Do Not Backup (Не создавать резервную копию текущего состояния), чтобы не засорять память устройства.
  • Нажмите кнопку Reset Configuration и подтвердите действие.

    • Маршрутизатор перезагрузится. Через 1-2 минуты снова найдите его во вкладке Neighbors и подключитесь по MAC-адресу. Теперь перед вами абсолютно чистое устройство.

    Именование интерфейсов: порядок превыше всего

    В чистом маршрутизаторе порты называются стандартно: ether1, ether2, ether3 и так далее. Когда вы настраиваете сложную сеть с несколькими провайдерами, легко запутаться, какой кабель куда подключен. Хорошим тоном в системном администрировании является переименование интерфейсов с указанием их логического назначения.

    Для нашего проекта мы распределим порты следующим образом:

    | Физический порт | Новое имя в RouterOS | Назначение в сети | | :--- | :--- | :--- | | ether1 | ether1-ISP1-Main | Основной провайдер (Ростелеком, статический IP) | | ether2 | ether2-ISP2-Backup | Резервный провайдер (Дом.ру, DHCP) | | ether3 | ether3-LAN | Локальная сеть офиса (подключение коммутатора) | | ether4 | ether4-LAN | Локальная сеть офиса (резервный порт) | | ether5 | ether5-LAN | Локальная сеть офиса (подключение точки доступа Wi-Fi) |

    Чтобы изменить имя интерфейса:

  • Откройте раздел Interfaces в левом меню.
  • Дважды кликните по строке ether1.
  • В поле Name введите новое значение: ether1-ISP1-Main.
  • Нажмите Apply и OK.
  • Повторите процедуру для остальных портов согласно таблице.

    • Такой подход сэкономит вам часы времени при поиске неисправностей в будущем. Если пропадет связь с основным провайдером, вы сразу увидите в логах падение интерфейса ether1-ISP1-Main, а не безликого ether1.

    Создание локальной сети: настройка Bridge

    На данный момент порты с третьего по пятый независимы друг от друга. Если подключить компьютеры в ether3 и ether4, они не увидят друг друга. Чтобы объединить несколько физических портов в один логический коммутатор, в RouterOS используется сущность под названием Bridge (Мост).

    Создание моста состоит из двух этапов: создания самого логического интерфейса и добавления в него физических портов.

    Шаг 1. Создание интерфейса Bridge:

  • Перейдите в раздел Bridge.
  • На вкладке Bridge нажмите синий плюс (Add).
  • В поле Name введите bridge-LAN.
  • Нажмите OK.

    • Шаг 2. Добавление портов в мост:

  • В том же окне перейдите на вкладку Ports.
  • Нажмите синий плюс.
  • В выпадающем списке Interface выберите ether3-LAN.
  • В списке Bridge убедитесь, что выбран наш bridge-LAN.
  • Нажмите OK.
  • Повторите эти действия для портов ether4-LAN и ether5-LAN.

    • Теперь маршрутизатор понимает, что эти три порта работают как единое целое. Трафик между ними будет коммутироваться аппаратно, не нагружая центральный процессор устройства.

    Назначение IP-адреса локальной сети

    Логический интерфейс создан, но у него нет сетевого адреса. Маршрутизатор должен выступать шлюзом для всех устройств в офисе. Назначим нашему мосту IP-адрес.

    В сетях IPv4 адресация часто записывается с использованием бесклассовой адресации (CIDR), например, 192.168.10.1/24. Число после слеша обозначает маску подсети. Чтобы понять, сколько устройств можно подключить в такую сеть, используется математическая формула:

    где — количество доступных адресов для устройств, — общая длина IPv4-адреса в битах, — маска подсети, — вычитание адреса самой сети и широковещательного адреса.

    Для маски /24 расчет выглядит так: . Таким образом, в нашей сети сможет работать до 254 устройств (компьютеров, принтеров, телефонов), что более чем достаточно для среднего офиса.

    Назначаем адрес в WinBox:

  • Перейдите в меню IP Addresses.
  • Нажмите синий плюс.
  • В поле Address введите 192.168.10.1/24 (это будет адрес самого роутера).
  • В поле Interface обязательно выберите bridge-LAN (не физический порт, а именно мост!).
  • Нажмите OK. Поле Network заполнится автоматически значением 192.168.10.0.

    • Базовая безопасность устройства

    Выставлять маршрутизатор в интернет без минимальной защиты — критическая ошибка. Боты-сканеры находят новые устройства с открытыми портами за считанные минуты. Прежде чем подключать кабели провайдеров, необходимо закрыть лишние двери.

    В первую очередь установим сложный пароль администратора:

  • Перейдите в System Users.
  • Дважды кликните по пользователю admin.
  • Нажмите кнопку Password.
  • Введите надежный пароль (минимум 12 символов, включая цифры и спецсимволы) в оба поля и сохраните изменения.

    • Далее необходимо отключить неиспользуемые службы управления. По умолчанию MikroTik принимает подключения по устаревшим и небезопасным протоколам, таким как Telnet и FTP. Данные в них передаются в открытом виде, и злоумышленник может перехватить их.

  • Перейдите в IP Services.
  • Выделите службы telnet, ftp, www (веб-интерфейс, так как мы используем WinBox), api и api-ssl.
  • Нажмите красный крестик (Disable) на панели инструментов.

    • Активными должны остаться только winbox (порт 8291) и, при необходимости, ssh (порт 22) для доступа через командную строку.

    Для любителей консоли (Terminal) отключение служб выглядит одной изящной командой:

    Теперь наш маршрутизатор имеет логичную структуру портов, объединенную локальную сеть со своим шлюзом и защищен от простейших автоматизированных атак. Платформа для подключения внешних каналов связи готова.

    Итоги

    * Подключение к чистому маршрутизатору MikroTik надежнее всего выполнять через утилиту WinBox по MAC-адресу, что исключает потерю связи при изменении IP-настроек. Для построения сложной корпоративной сети заводскую конфигурацию необходимо полностью удалять, используя опцию No Default Configuration*. Переименование физических интерфейсов (например, ether1-ISP1-Main*) значительно упрощает администрирование и диагностику сети. Для объединения нескольких физических портов в единую локальную сеть используется логический интерфейс Bridge*. Перед подключением кабелей интернет-провайдеров критически важно установить сложный пароль администратора и отключить небезопасные службы (telnet, ftp, www*).

    2. Подключение двух провайдеров: настройка WAN-портов и маршрутизации

    Подключение двух провайдеров: настройка WAN-портов и маршрутизации

    Представьте, что ваш офис — это остров, а интернет-провайдеры — паромные переправы, связывающие его с материком. Если единственная переправа закроется на ремонт, жизнь на острове остановится. В предыдущем материале мы подготовили надежный фундамент: очистили маршрутизатор от заводских настроек, переименовали интерфейсы, создали локальную сеть и закрыли уязвимости. Теперь пришло время навести мосты — подключить внешние каналы связи и научить устройство грамотно распределять потоки данных.

    Использование двух независимых каналов связи кардинально меняет математику отказоустойчивости. В теории надежности вероятность безотказной работы системы с параллельным резервированием вычисляется по следующей формуле:

    где — общая надежность системы связи, — вероятность безотказной работы первого провайдера, — вероятность безотказной работы второго провайдера.

    Рассмотрим конкретный пример. Допустим, основной провайдер гарантирует доступность на уровне 99% (), а резервный, более дешевый канал — 95% (). Подставив значения в формулу, получаем: .

    Объединив два неидеальных канала, мы получили систему с надежностью 99,95%. Это означает, что суммарное время простоя сети сократится с нескольких дней до пары часов в год. Именно поэтому настройка MultiWAN (работы с несколькими внешними сетями) является стандартом для корпоративного сектора.

    Типы подключений к провайдерам

    Прежде чем вставлять кабели в порты маршрутизатора, необходимо понимать, по какой технологии провайдер предоставляет доступ. В мире сетей IPv4 существует три основных стандарта подключения конечных узлов.

    | Тип подключения | Описание технологии | Сфера применения | Уровень надежности | | :--- | :--- | :--- | :--- | | Static IP (Статический адрес) | Провайдер выдает фиксированные сетевые реквизиты (IP, маску, шлюз), которые администратор вводит вручную. | Корпоративный сектор, серверные площадки. | Максимальный. Нет зависимости от сторонних служб авторизации. | | DHCP (Динамический адрес) | Маршрутизатор отправляет широковещательный запрос, и сервер провайдера автоматически назначает ему временный IP-адрес. | Домашние сети, малый бизнес, резервные LTE-модемы. | Средний. Зависит от стабильности DHCP-сервера провайдера. | | PPPoE (Туннель с авторизацией) | Поверх физического подключения создается виртуальный туннель с использованием логина и пароля. | Устаревающие сети xDSL, некоторые оптоволоконные сети (GPON). | Низкий. Требует дополнительных ресурсов процессора на шифрование и инкапсуляцию. |

    В нашем проекте мы используем комбинированную схему: основной провайдер предоставляет надежный статический адрес, а резервный работает по протоколу DHCP.

    Списки интерфейсов: порядок в правилах

    Когда маршрутизатор работает с несколькими провайдерами, писать правила безопасности и трансляции адресов для каждого порта по отдельности — плохая практика. Это раздувает конфигурацию и приводит к ошибкам. В операционной системе RouterOS существует элегантный инструмент — Interface List (Списки интерфейсов).

    Мы объединим порты провайдеров в единую логическую группу WAN (Wide Area Network). В будущем, если вы добавите третьего провайдера, вам не придется переписывать десятки правил — достаточно будет просто добавить новый порт в этот список.

    Создание списка через графическую утилиту WinBox:

  • Перейдите в раздел Interfaces, затем откройте вкладку Interface List.
  • Нажмите кнопку Lists и добавьте новый список с именем WAN.
  • Вернитесь на вкладку Interface List, нажмите синий плюс.
  • В поле List выберите WAN, а в поле Interfaceether1-ISP1-Main. Нажмите OK.
  • Повторите процедуру, добавив в список WAN интерфейс ether2-ISP2-Backup.

    • Аналогичная настройка через командную строку выглядит лаконично:

    Настройка основного провайдера (Static IP)

    Предположим, ваш основной провайдер выдал следующий лист настроек: IP-адрес 198.51.100.45, маска подсети 255.255.255.0 (или /24), шлюз 198.51.100.1.

    Назначение статического адреса на интерфейс:

  • Откройте меню IP Addresses.
  • Нажмите синий плюс.
  • В поле Address введите 198.51.100.45/24.
  • В поле Interface выберите ether1-ISP1-Main.
  • Нажмите OK.

    • Адрес назначен, но маршрутизатор пока не знает, куда отправлять трафик, предназначенный для глобальной сети. Ему нужен маршрут по умолчанию.

    Настройка резервного провайдера (DHCP)

    Резервный канал мы получаем от второго провайдера автоматически. Для этого необходимо запустить службу DHCP-клиента на втором порту.

    Здесь кроется главная ловушка для начинающих инженеров. По умолчанию DHCP-клиент MikroTik автоматически создает маршрут в интернет через полученный шлюз. Если мы позволим ему это сделать, маршрутизатор запутается, какой из двух провайдеров является главным.

    > Контроль над таблицей маршрутизации должен всегда оставаться в руках администратора. Автоматические маршруты от DHCP или PPPoE-клиентов допустимы только в домашних сетях с одним провайдером. > > Официальная документация MikroTik по маршрутизации

    Настраиваем DHCP-клиент правильно:

  • Перейдите в IP DHCP Client.
  • Нажмите синий плюс.
  • В поле Interface выберите ether2-ISP2-Backup.
  • Критически важно: снимите галочку или выберите значение no в поле Add Default Route.
  • Нажмите OK.

    • Через несколько секунд статус клиента изменится на bound, и вы увидите полученный IP-адрес (например, 203.0.113.15). Обязательно запишите или запомните IP-адрес шлюза (Gateway), который выдал провайдер — он понадобится нам на следующем этапе.

    Маршрутизация и метрики: кто здесь главный?

    Маршрутизатор принимает решения о пересылке пакетов на основе Таблицы маршрутизации (Routing Table). Когда компьютер из локальной сети запрашивает сайт, роутер ищет в таблице совпадения с IP-адресом этого сайта. Если точного совпадения нет, пакет отправляется по маршруту по умолчанию (Default Route), который обозначается как 0.0.0.0/0.

    Запись 0.0.0.0/0 означает «любой IP-адрес с любой маской». Это дверь в большой интернет.

    Чтобы реализовать схему с основным и резервным каналом (Failover), нам нужно создать два маршрута по умолчанию, но с разным приоритетом. Приоритет в сетях называется Метрикой или Административной дистанцией (Distance).

    Правило простое: чем меньше значение Distance, тем выше приоритет маршрута. Если маршрут с дистанцией 1 становится недоступен, роутер автоматически переключается на маршрут с дистанцией 2.

    Настраиваем переключение (Failover):

  • Перейдите в IP Routes.
  • Нажмите синий плюс для создания маршрута через основного провайдера.
  • В поле Dst. Address оставьте 0.0.0.0/0.
  • В поле Gateway введите шлюз основного провайдера: 198.51.100.1.
  • В поле Check Gateway выберите ping. Это важнейшая настройка: роутер будет каждые 10 секунд отправлять ICMP-запрос шлюзу. Если два ответа подряд не придут, маршрут будет признан нерабочим.
  • В поле Distance установите 1.
  • Нажмите OK.

    • Теперь создаем резервный маршрут:

  • Снова нажмите синий плюс.
  • Dst. Address0.0.0.0/0.
  • В поле Gateway введите шлюз резервного провайдера (тот самый, который мы получили по DHCP, например, 203.0.113.1).
  • Check Gateway — также установите ping.
  • В поле Distance установите 2.
  • Нажмите OK.

    • В таблице маршрутизации активный маршрут (через ISP1) будет подсвечен черным цветом с флагом AS (Active, Static). Резервный маршрут будет синим с флагом S (Static) — он ждет своего часа.

    Трансляция сетевых адресов (NAT)

    Маршруты прописаны, но интернет в локальной сети еще не появился. Проблема в том, что устройства в офисе используют приватные IP-адреса (в нашем случае из подсети 192.168.10.0/24). Эти адреса не маршрутизируются в глобальной сети. Провайдер просто отбросит такие пакеты.

    Чтобы скрыть локальную сеть за публичным адресом провайдера, используется технология NAT (Network Address Translation), а конкретно ее подвид — Masquerade (Маскарадинг).

    При маскарадинге маршрутизатор подменяет локальный IP-адрес отправителя на свой собственный внешний IP-адрес, а также меняет порт источника. В специальной таблице соединений он запоминает, какой внутренний компьютер сделал запрос, чтобы корректно вернуть ему ответ.

    Благодаря тому, что ранее мы создали список интерфейсов WAN, нам потребуется всего одно правило NAT для обоих провайдеров:

  • Перейдите в IP Firewall, откройте вкладку NAT.
  • Нажмите синий плюс.
  • На вкладке General в поле Chain выберите srcnat (Source NAT — трансляция адреса источника).
  • В поле Out. Interface List выберите наш список WAN.
  • Перейдите на вкладку Action.
  • В поле Action выберите masquerade.
  • Нажмите OK.

    • Теперь, через какой бы интерфейс ни уходил трафик (основной или резервный), маршрутизатор автоматически подставит правильный внешний IP-адрес. Если вы отключите кабель первого провайдера, роутер зафиксирует потерю пинга до шлюза, деактивирует первый маршрут, переключит весь трафик на второй маршрут с дистанцией 2, а правило NAT мгновенно начнет маскировать пакеты под IP-адрес второго провайдера. Пользователи в офисе заметят лишь кратковременную задержку в 10-20 секунд.

    Итоги

    * Использование двух провайдеров экспоненциально повышает общую надежность корпоративной сети, сводя время простоя к минимуму. Объединение внешних портов в список интерфейсов (Interface List WAN*) значительно упрощает настройку брандмауэра и правил трансляции адресов. При получении настроек от резервного провайдера по DHCP критически важно отключать автоматическое создание маршрута по умолчанию (Add Default Route = no*). Автоматическое переключение между каналами (Failover) настраивается с помощью статических маршрутов с разной метрикой (Distance) и обязательным включением функции проверки доступности шлюза (Check Gateway = ping*). Для доступа локальной сети в интернет требуется всего одно правило NAT (masquerade*), привязанное к списку внешних интерфейсов.