Роутер в офисе: почему домашний — это проблема
В большинстве компаний ставят обычный домашний роутер. Из-за него — «опять всё зависло» и «перезагрузи роутер». Это не неизбежность.
Перезагрузить роутер — и поехали дальше
Пожалуй, самая известная инструкция по работе с компьютером в принципе. Знают её все: от бухгалтера до генерального. И именно эта универсальная команда — главный симптом того, что в офисе стоит не то оборудование.
Пропал интернет — перезагрузи роутер. Глючит Wi-Fi — перезагрузи роутер. Не открывается 1С — на всякий случай тоже перезагрузи роутер. Все знают, где он стоит, как выглядит и какую кнопку дёргать. Многие провайдеры даже наклеивают на роутер инструкцию по перезагрузке — настолько это привычная часть процесса.
Главный герой этой истории — пластиковая коробка с антеннами, которую вы видели в каждом втором офисе, в каждой кофейне и у себя дома. Стоит она недорого, выглядит симпатично, и именно она обычно отвечает за то, чтобы у компании был интернет. Только вот «отвечает» — это сильно сказано.
В бизнесе, даже в самом маленьком, нельзя использовать оборудование, которое сделано для квартиры. Это всё равно что возить стройматериалы на легковой машине: вроде едет, но недолго и недалеко. Дальше разберёмся, почему именно так.
SOHO-роутер как точка отказа малого офиса
Оборудование класса SOHO (Small Office / Home Office) исторически перетекает в малый бизнес по принципу «работало дома — поставим в офис». Но архитектурно и функционально такие устройства не предназначены ни для постоянной нагрузки, ни для задач, которые на них в итоге возлагаются.
Типичный SOHO-роутер — процессор начального уровня, 32–128 МБ оперативки, проприетарная прошивка с урезанной функциональностью и веб-интерфейс на 5–10 экранов. На этой базе устройство одновременно тащит шлюз, NAT, DHCP-сервер, точку доступа Wi-Fi и базовый файрвол.
В офисе это устройство сталкивается с нагрузкой, под которую никогда не проектировалось: десятки одновременных клиентов с разнородным трафиком (VoIP, видеоконференции, бэкапы, обновления, фоновая телеметрия), агрессивное сканирование извне на WAN-интерфейсе (дома обычно серый IP — сканировать нечего, в офисе чаще белый — сканируют непрерывно), плюс нагрузки на процессор из-за кучи правил файрвола и шифрования VPN-туннелей.
Симптом «надо перезагрузить роутер» в большинстве случаев — это переполнение conntrack-таблицы, утечка памяти в прошивке или зависание управляющего демона. На enterprise-классе таких проблем либо нет в принципе, либо они решаются настройками. На SOHO — только сбросом питания.
Как не надо — и как надо
Самый короткий способ объяснить разницу — поставить два устройства рядом и пройтись по списку. Никакой магии: просто два разных класса устройств, рассчитанных на разные задачи.
Домашний роутер
- Пластиковый корпус с торчащими антеннами, глянцевый «дизайн для квартиры»
- Не монтируется в стойку — стоит на полу, на тумбочке или висит на стене
- Кривые прошивки → зависания, отвалы Wi-Fi и вечные перезагрузки
- Цена до 25–30 тыс. ₽ — почти всегда сигнал, что перед вами игрушка
- Файрвол примитивный, уязвимости годами не закрываются производителем
- Нет инструментов чтобы понять, что вообще происходит в сети
Бизнес-роутер
- Металлический корпус, монтаж в стойку, утилитарный дизайн без украшательств
- Одна операционная система во всей линейке — настройки и логика везде одинаковые
- Файрвол, VPN, управление трафиком, разделение сетей, мониторинг — из коробки
- Поддержка нескольких провайдеров одновременно с автоматическим переключением или балансировкой каналов
- Удалённое управление — без «срочного выезда, чтобы посмотреть что там»
- Стабильно работает месяцами без перезагрузок, не «забывает» настройки
SOHO vs SMB / enterprise: ключевые архитектурные отличия
Главная разница — не в цене, не в бренде, не в железе, а в возможностях операционной системы. Бизнес-класс — устройство с полноценным сетевым стеком и инструментарием администрирования. SOHO — «один веб-интерфейс на 8 экранов» поверх урезанной прошивки.
Домашний класс
- Проприетарная прошивка с багами, доступа к CLI обычно нет
- Conntrack-таблица 8–16k записей, легко может переполниться
- Файрвол: упрощённый набор правил, нет полноценной stateful-фильтрации
- Нет SNMP, syslog ограничен, нет централизованного логирования
- VPN — либо отсутствует, либо PPTP / L2TP без сертификатов с одним пресет-туннелем
- Обновления безопасности с задержкой 6+ месяцев или не выходят вообще
- EOL 2–3 года: после этого прошивки просто перестают появляться
Бизнес-класс
- Полноценная сетевая ОС (RouterOS, Cisco IOS, JunOS) с CLI и API
- Conntrack 100k+ записей, маршрутизация с приоритетами и резервированием
- Stateful firewall, address-lists, гибкие NAT / Mangle / RAW таблицы, защита от типовых сканов и SYN-flood
- SNMP v2c/v3, syslog с remote-доставкой, NetFlow для анализа трафика
- IPsec / OpenVPN / WireGuard с авторизацией по ключам, site-to-site и client-to-site
- QoS с очередями HTB, маркировка трафика по DSCP / портам / адресам
- VLAN 802.1Q, bridge с фильтрацией, поддержка LACP
Три признака, что у вас не тот роутер
Если хочется проверить «а у меня вообще нормальное оборудование стоит?» — не надо лезть в настройки. Достаточно посмотреть на коробку. Бытовое устройство выдают три простые вещи.
Маркеры устройства для дома
Три внешних признака, по которым устройство относится к SOHO-сегменту с вероятностью более 90%.
Почему домашний роутер не проходит ни по одному принципу
В прошлой главе мы говорили о четырёх принципах, на которых должна стоять любая ИТ-инфраструктура: надёжность, безопасность, управляемость, масштабируемость. Если приложить их к домашнему роутеру — он не проходит ни по одному. Давайте разберём по порядку.
Дешёвые чипы и блоки питания перегреваются и со временем выходят из строя. Но даже если повезёт с железом, главная беда — это прошивки. Они просто кривые и глючные. Именно из-за них всё подвисает, отваливается и требует перезагрузки.
А производителю, по большому счёту, всё равно. Он не чинит старую модель — он выпускает новую. Глючит старая? Купите новую. Это работающая бизнес-модель: проще выпустить «версию 2», чем годами поддерживать «версию 1».
Из ненадёжности сразу вытекает безопасность. Точнее, её отсутствие. Те же самые кривые прошивки — это ещё и дырявые прошивки. Куча уязвимостей, которые никто не собирается нормально закрывать. Файрвол — если он там вообще есть — примитивный до неприличия.
В итоге ваш роутер в какой-то момент просто взламывается и становится частью ботнета: его используют для атак на чужие серверы, а вы об этом даже не знаете. Иногда обнаруживается это только тогда, когда ваш IP внезапно попадает в чёрные списки и почта перестаёт отправляться.
Типичная ситуация: в офисе тормозит интернет. Кто виноват? Может, кто-то качает фильм. Может, обновления Windows у всех одновременно. Может, проблемы у провайдера. А вы не знаете. Потому что домашний роутер вам этого не скажет — у него нет таких инструментов.
В нормальной сети в любой момент видно, кто подключён, куда уходит трафик, где ошибки, что перегружено. На домашнем роутере вы видите только лампочки. Чтобы хоть что-то понять, остаётся гадать и перезагружать.
Тут тоже всё просто. Чем больше людей и устройств — тем хуже он работает. Никаких нормальных настроек, приоритетов, ограничений по пользователям, разделения сетей — ничего этого там нет.
Пока в офисе пять человек и принтер — кажется, что справляется. А потом добавляются камеры, IP-телефоны, кассы, гостевой Wi-Fi, ещё один отдел, ещё один склад — и всё это работает уже еле-еле. И решить эту проблему апгрейдом нельзя: домашний роутер просто не умеет того, что нужно.
Архитектурное несоответствие по всем четырём направлениям
Несоответствие SOHO-устройств бизнес-задачам — это не недостаток конкретной модели, а свойство класса. Прошивка, аппаратные ограничения и модель поддержки изначально проектируются под другую среду эксплуатации.
На аппаратном уровне — компоненты потребительского класса: блок питания без запаса по нагрузке, конденсаторы низкого качества, отсутствие активного охлаждения. Заявленный срок службы (MTBF) производителем обычно вообще не публикуется.
На программном уровне — проприетарный стек с известными классами проблем: переполнения внутренних таблиц, утечки памяти, периодические kernel panic. Производитель не выпускает стабильную ветку с долгосрочной поддержкой — модель снимается с производства через 2–3 года, прошивки после этого не обновляются. Бизнес-роутеры (RouterOS, Cisco IOS, JunOS) поддерживают LTS-ветки 5–7 лет с регулярными bugfix-обновлениями.
Файрвол на SOHO — это упрощённый набор правил без возможности построения полноценной stateful-политики. Нет address-lists, нет рейт-лимитов на новые соединения, нет защиты от типовых сканов (port scan, SYN flood, bruteforce по SSH, если он торчит наружу).
CVE для домашних моделей — отдельная проблема: обновления выходят с задержкой в полгода и более, а после EOL — не появляются вообще. Десятки ботнетов целенаправленно сканируют именно SOHO-устройства, потому что они дольше остаются непропатченными. На бизнес-классе тот же CVE закрывается прошивкой через 2–4 недели после публикации, и обычно к моменту обновления уже есть workaround в виде правила файрвола.
На SOHO нет инструментов для базовой сетевой диагностики: SNMP отсутствует или урезан до уровня «имя устройства, время работы», syslog либо отключён, либо пишется только локально в кольцевой буфер на 100 строк, NetFlow не поддерживается. Понять, кто потребляет канал прямо сейчас, можно только по таблице DHCP-клиентов — то есть никак.
На бизнес-роутере вся телеметрия экспортируется наружу: SNMP → Zabbix / Prometheus → Grafana, syslog в централизованный коллектор, NetFlow в анализатор трафика. Видно реальное распределение по протоколам, по клиентам, по направлениям, по времени. Аномалии типа внезапного исходящего трафика с одной машины (типичный признак заражения) можно ловить автоматически по триггеру.
Аппаратные пределы: пропускная способность с включённым NAT и QoS на SOHO — обычно 100–200 Мбит/с реальных, при заявленных «до гигабита». Скорость через VPN-туннель — ещё меньше. Conntrack-таблица 8–16k записей переполняется на 30–40 активных клиентах с современным веб-трафиком.
Архитектурные пределы важнее аппаратных: нет нормальной сегментации (VLAN если есть — то пара штук без полноценного 802.1Q-trunk), нет приоритизации трафика по категориям, нет ограничений по пользователям и группам. Когда офис вырастает с 10 до 30 человек и появляются камеры, IP-телефония, кассы, гостевой Wi-Fi — всё это надо строить с нуля на новом железе.
А что же ставить — и причём тут MikroTik
Если вы дошли до этого момента и думаете: «Стоп. Какие 30 тысяч за роутер?» — есть исключение, которое ломает это правило. Называется MikroTik.
MikroTik — это бизнес-роутер за 5–15 тысяч
Главная фишка MikroTik в том, что даже в самом бюджетном устройстве за 5 тысяч стоит та же самая операционная система RouterOS, что и в их флагманских моделях за сотни тысяч. Это значит, что логика работы, инструменты, возможности управления и безопасности — по сути одни и те же. Разница в основном в производительности железа.
Поэтому простое правило «дешевле 25 тысяч — игрушка» к MikroTik не относится. Бюджетная модель за 5–7 тысяч уже умеет полноценный файрвол, VPN, разделение сетей, мониторинг. Если денег не хватает — лучше начать с маленького MikroTik, чем поставить D-Link за те же деньги.
Мы сами используем MikroTik больше десяти лет. Это уже стандарт среди нормальных сетевых инженеров. Его ставят не потому, что он модный, а потому что он реально решает задачи. И это не реклама — просто за многие годы других вариантов с таким сочетанием возможностей и адекватной цены на рынке практически не появилось.
MikroTik: возможности enterprise-класса в бюджетной цене
MikroTik выпадает из правила «цена ≈ класс» по одной простой причине: вся линейка работает на единой ОС, и базовый функционал не привязан к стоимости железа. Маленький hAP за 5 тысяч и многотысячный CCR — одна и та же RouterOS, отличия только в производительности.
RouterOS как единая платформа для всей линейки
RouterOS — полноценная сетевая ОС на базе Linux со своим сетевым стеком и управлением через CLI, WebFig, WinBox и API. Функциональный набор — на любом устройстве линейки, начиная с hAP lite за 4–5 тысяч: stateful firewall, IPsec / OpenVPN / L2TP / WireGuard / SSTP, динамическая маршрутизация (BGP, OSPF), QoS с очередями HTB, маркировка трафика, VLAN 802.1Q, скриптовый движок и планировщик задач.
Производительность ограничивается железом. На бюджетных моделях (hAPac2, hEX) — 30–100 Мбит/с с включённым firewall и NAT, 15–30 одновременных VPN-туннелей. Для офиса до 30–50 человек этого хватает. На старшей линейке (CCR-серия) — 10+ Гбит/с и десятки тысяч сессий.
Жизненный цикл: Единая RouterOS поддерживает всю линейку устройств вендора, даже если им по 15+ лет, обновления выходят регулярно, CVE-фиксы публикуются открыто. Сообщество и документация — одни из самых развитых на рынке сетевого оборудования: wiki, MUM-конференции, сертификации MTCNA / MTCRE. Мы используем MikroTik в продакшене с 2014 года — в наших инсталляциях он давно вытеснил всё, что в этом ценовом диапазоне.
Что именно делает роутер бизнес-роутером
Разница не в железе, а в том, что оно умеет. Вот шесть возможностей, на которых держится нормальная сеть. Если запомните хотя бы три — уже хорошо. Главное — понять общую картину, а не зубрить каждый термин.
Файрвол: осознанная защита периметра
Файрвол — это не галочка «включить защиту». Это политика: что можно, что нельзя и почему. По умолчанию закрыто всё, открывается только то, что действительно нужно, и только для тех, кому положено.
Зачем: интернет — агрессивная среда. Прямо сейчас, пока вы это читаете, боты и сканеры перебирают ваш внешний IP в поисках открытых портов и уязвимых сервисов. Это не «а вдруг» — это происходит постоянно. Без нормального файрвола вопрос только в том, через сколько недель вас взломают.
VPN: стандарт удалённого доступа
Если у вас есть хотя бы один сотрудник, который работает удалённо, или вы сами иногда подключаетесь из дома — у вас должен быть VPN. Не AnyDesk и не «проброшенный порт наружу», а нормальный зашифрованный туннель с понятными правами доступа для каждого сотрудника.
А если у компании несколько объектов — главный офис и склад, офис и филиал — между ними должен быть постоянный туннель (это называется site-to-site VPN). Через него две сети работают как единое целое: 1С, общие папки, внутренние сервисы — всё доступно, но без открытых портов наружу.
QoS: приоритеты в загруженном канале
Без приоритетов канал работает по принципу «кто первый встал — того и тапки». Один сотрудник качает обновления, второй смотрит видео, третий заливает файлы в облако — и ваша телефония, 1С и почта встают в очередь. Канал вроде 100 мегабит, а работать невозможно.
Решается это не запретами, а нормальной настройкой приоритетов: телефония, CRM и всё важное для работы — в первую очередь, всё остальное — по остаточному принципу. И часто после этого оказывается, что канал расширять и не нужно.
VLAN: разделение сетей
Очень часто в офисе всё запихивают в одну сеть: сотрудники, камеры, телефония, кассы, гостевой Wi-Fi — всё вместе. Пока всё работает, кажется, что ничего страшного. Но так быть не должно: гостям не нужен доступ к внутренней сети, камерам — тем более.
Нормальный подход: сеть делится на сегменты. Снаружи это могут быть те же провода и те же коробки, но логически внутри всё разделено. И когда компания растёт — новый отдел, новая зона — это просто ещё один сегмент, а не переделка всей сети заново.
Два провайдера: отказоустойчивость
Если бизнес хоть как-то зависит от связи — а сегодня это почти у всех так — одного провайдера уже маловато. Нормальная схема — основной канал и резервный. Основной упал — роутер сам переключился на запасной. Без паники, без срочных звонков провайдеру.
А если уже платим за два канала — почему бы не использовать оба? Например, балансировку 50 на 50. А можно умнее: важный трафик через одного, тяжёлый — через другого. Если один канал пропал, второй просто берёт нагрузку на себя.
Мониторинг: сеть не должна падать молча
Без мониторинга нормальная эксплуатация невозможна в принципе. Нормальная ситуация — это когда в любой момент видно: кто подключён, куда уходит трафик, где ошибки, что перегружено. И всё это удалённо, без поездок в офис только чтобы посмотреть.
Когда мониторинг есть, проблему часто видно ещё до того, как она превратилась в аварию. Это и есть разница между нормальной системой и системой «сейчас приедем, посмотрим».
Функциональный стандарт бизнес-роутера
Шесть подсистем, без которых сеть нельзя считать корректно построенной. Это базовый набор, требуемый для любой инсталляции от 10 рабочих мест и выше.
Firewall: осознанная политика
Базовая модель: нормально закрытый файрвол на input и forward, явное разрешение только нужного трафика по адресам, портам и интерфейсам. По умолчанию — всё дропается, а не пропускается.
Желательно настраивать: rate-limit на новые соединения (от bruteforce и SYN-flood), drop invalid пакетов, блокировку по гео-IP при необходимости. Использование address-lists для группировки источников. Логирование drop-правил в syslog с отправкой в централизованный коллектор для последующего анализа.
VPN: OpenVPN / IPsec, никаких пробросов
Сценарий «сотрудник из дома» (client-to-site) — приоритет OpenVPN с авторизацией по сертификату или ключу, альтернатива WireGuard (особенно для мобильных). Никаких общих паролей (PSK) для конечных пользователей — у каждого свой ключ или сертификат. Сценарий «офис-офис» (site-to-site) — приоритет IPsec (или GRE+IPsec) с отдельным правилом на каждое направление, альтернатива OpenVPN.
Категорически избегаем: проброса RDP/SSH/SMB и любых других портов наружу через NAT, использования AnyDesk (и его аналогов) как постоянной замены VPN, PPTP (давно сломан), L2TP без IPsec. Доступ из VPN сегментирован: каждой роли — только нужные внутренние ресурсы, остальное — закрыто правилами файрвола.
QoS: HTB-очереди и приоритеты
Минимальная схема: маркировка трафика по портам, адресам или DSCP, привязка категорий к HTB-очередям с явно заданными приоритетами и гарантированным минимумом полосы. Критичный трафик (VoIP, 1С, RDP, управление инфраструктурой) — приоритет один, остаточный — по остаточному принципу, гостевой — в последнюю очередь.
Для VoIP — отдельная очередь с высоким приоритетом, минимальная гарантия 100 кбит/с на соединение. Для тяжёлого фонового трафика (бэкапы, обновления Windows, синхронизация облачных дисков) — отдельная ограниченная очередь, опционально с rate-limit в часы пиковой нагрузки. Без QoS канал 100 Мбит ведёт себя как 10–20 Мбит при первой же фоновой нагрузке у нескольких клиентов.
VLAN 802.1Q: разделение сетей
Типичный набор сегментов для офиса: mgmt (управление инфраструктурой), users (рабочие места), voice (IP-телефония), video (камеры), guest (гостевой Wi-Fi), servers (внутренние сервисы), iot (принтеры, кассы, всё остальное). Между ними — жёсткие правила файрвола.
Гостевая сеть: изоляция клиентов на Wi-Fi (чтобы гости не видели друг друга), запрет всего трафика в сторону внутренних сегментов, разрешён только выход в интернет. Управляющий сегмент доступен только из VPN или с отдельной jump-машины. Голосовой трафик — отдельный VLAN с DSCP-маркировкой, проходящей сквозь весь путь до провайдера.
Multi-WAN: failover и балансировка
Несколько интернет-каналов от разных операторов. Failover через рекурсивные маршруты с проверкой доступности (ping check на маркерные адреса в интернете), переключение основного маршрута автоматически при потере связности.
Активная балансировка — PCC (per-connection classifier) с маркировкой соединений, либо маршрутизация по политикам: критичный трафик (телефония, 1С, RDP) — через основной канал, тяжёлый трафик (бэкапы, торренты, общий веб) — через резервный. Если один канал пропал — второй берёт всё на себя.
Диагностика: SNMP, syslog, NetFlow
SNMP в Zabbix или Prometheus — метрики по интерфейсам, нагрузка CPU, conntrack-таблица, температура, состояние VPN-туннелей. Syslog с отправкой в централизованный коллектор — алерты на типичные события: failed login, срабатывания файрвола выше порога, изменения конфигурации.
NetFlow в анализатор трафика даёт пер-сессионную видимость: кто куда ходит, какими протоколами, в каких объёмах. Аномалии (внезапный исходящий трафик в нерабочее время, новые направления подключений) обнаруживаются автоматически и указывают либо на инциденты безопасности, либо на проблемы с конфигурацией.
«А что насчёт …?»
Когда мы рассказываем про роутеры в офисе, в первые пять минут разговора нам почти всегда задают одни и те же вопросы. Собрали их сюда — с прямыми и честными ответами.
Keenetic, он же Netcraze — действительно лучший из SOHO-сегмента. Прошивка качественнее, чем у TP-Link или D-Link, есть рабочий VPN-клиент (IPsec, OpenVPN), внятный веб-интерфейс. Для квартиры — отличный выбор.
В офисе остаются ограничения класса: упрощённый файрвол, мониторинг ограничен, нет CLI и API, conntrack-таблица меньше, чем у enterprise-роутеров. «Не падает каждый день» и «корректно настроено и защищено» — разные вещи. До первого инцидента разницы не видно.
Производитель даже не пытается позиционировать свою продукцию для бизнеса, отсюда вытекают ряд ограничений. Роутеры хорошие, просто другой класс.
Для офиса 3–5 человек, готового жить с ограничениями, Keenetic лучше TP-Link. Но в той же ценовой категории младший MikroTik умеет существенно больше — и поддерживается дольше.
Тот, который провайдер «бесплатно» поставил в офис — обычно тот же SOHO с прошивкой провайдера. Внутри — то же железо, только ещё больше ограничений. Плюс отдельная проблема: устройство не ваше. Полноценного административного доступа нет, провайдер в любой момент может удалённо изменить конфигурацию или сменить прошивку.
Правильная схема: Если к вам приходит витая пара — просто сразу меняем на что-то нормальное.
Если приходит оптика/xPON — провайдерское устройство переводится в bridge-режим, а сразу за ним ставится свой роутер, на котором строится вся сеть. Так получается и контроль, и нормальное оборудование.
OpenWRT — альтернативная прошивка, которую энтузиасты ставят на обычные SOHO-устройства вместо заводской. Идея отличная: получаете нормальную ОС вместо проприетарной.
В офисе у этого подхода две проблемы.
Первая: OpenWRT не делает железо лучше — TP-Link физически остаётся той же дешёвой коробкой со слабым процессором и плохим блоком питания. Никто нормально не тестирует совместимость прошивки с конкретной железкой. А для установки определённых пакетов может не хватить памяти.
Вторая: поддерживать может только тот, кто ставил. Если этот человек уйдёт, разбираться придётся другому энтузиасту, что в малом бизнесе равно «никому».
Если вы энтузиаст и понимаете все риски — Ок. Но для бизнеса в той же ценовой категории младший MikroTik даёт сразу нормальное железо плюс нормальную ОС, и поддерживать его умеют десятки тысяч инженеров.
Если компания работает с госсектором или относится к критической инфраструктуре — формальные ограничения возможны, и тогда смотрим на отечественные альтернативы из реестра.
Для большинства коммерческих компаний это не проблема: устройство ввезено легально, оплачено в рублях у российского дистрибьютора, гарантия и сервис работают штатно. Удалённой блокировки в RouterOS нет — устройство автономное.
И MikroTik — это не догма. Cisco, Juniper, Huawei, программные решения типа pfSense — рабочие варианты, мы с ними работаем. Просто в ценовой категории до 30 тысяч рублей для малого и среднего бизнеса в России внятных альтернатив сейчас почти нет.
NGFW (Next-Generation Firewall) — файрвол с глубокой инспекцией пакетов: распознавание приложений, IPS / IDS, антивирусная проверка, SSL-инспекция. Класс другой, цена другая.
Хороший NGFW для офиса на 30–50 человек — от нескольких сотен тысяч рублей за устройство плюс ежегодная подписка на обновления баз сигнатур. Плюс инженер, который умеет с ним работать: ложные срабатывания на DPI и SSL-инспекции — отдельная боль, без правильной настройки устройство приносит больше проблем, чем пользы.
Для большинства компаний малого и среднего размера правильный путь — сначала навести порядок с базой: правильно настроенный stateful-файрвол, спроектированные VLAN, нормальный VPN, подключённый мониторинг. Когда это работает — тогда уже NGFW как следующий шаг. Не наоборот: NGFW поверх «всё свалено в одну сеть» — это покупка дорогого замка для дома без стен.
Частые возражения и уточнения
Вопросы, которые регулярно прилетают на стадии обсуждения архитектуры. Здесь — честные ответы с техническими нюансами, без «потому что мы так делаем».
KeeneticOS объективно — лучшее, что есть в SOHO-сегменте. Под капотом — относительно современный стек на базе Linux: conntrack нормального размера, поддержка IPsec/WireGuard, syslog с remote-доставкой, модульность через дополнительные пакеты. Прошивки выходят регулярно, CVE закрываются адекватно по срокам.
Но архитектурные ограничения класса остаются: VLAN 802.1Q ограничен (нет полноценного trunk-режима с несколькими тегированными VLAN на одном порту), conntrack-таблица меньше бизнес-устройств на порядок, нет CLI как первичного инструмента (есть, но урезанный), нет полноценного экспорта NetFlow, нет гибкой маршрутизации по политикам, которая нужна для multi-WAN с разделением классов трафика.
Для офиса 3–5 человек с одним провайдером и без удалёнки — Keenetic закрывает 80% задач. Но как только появляется VLAN-сегментация, второй провайдер с балансировкой или site-to-site VPN — упираемся в потолок очень быстро.
Провайдерский роутер — это обычно ребрендированный SOHO с кастомной прошивкой провайдера, часто с включённым TR-069 для удалённого управления со стороны оператора. То есть на устройстве сидит закладка, через которую провайдер может в любой момент изменить конфиг, обновить прошивку или прочитать статистику.
Помимо TR-069, есть и более глубокие проблемы: вы не контролируете root-доступ, веб-интерфейс часто скрывает половину настроек, файрвол примитивный, логирование отключено по умолчанию. И да — как и любое SOHO, это устройство уязвимо к публикуемым CVE без своевременного обновления.
Правильная схема — провайдерский роутер в bridge-mode (если провайдер позволяет) или PPPoE-passthrough, а сразу за ним свой роутер, на котором живёт вся бизнес-логика: NAT, файрвол, VPN, QoS, VLAN. Провайдерская коробка в этом случае — просто конвертер сигнала из провайдерской линии в Ethernet.
OpenWRT — отличная прошивка, по сути полноценный Linux с нормальным netfilter, поддержкой VLAN, OpenVPN/WireGuard, multi-WAN. С точки зрения возможностей он часто не уступает RouterOS, а иногда и превосходит.
Проблема не в прошивке, а в железе под ней. Совместимые с OpenWRT SOHO-устройства — это всё те же дешёвые процессоры, малый объём flash и RAM, отсутствие активного охлаждения. На большой нагрузке (много conntrack, IPsec, NAT) такие устройства быстро упираются в железо. Плюс отдельная проблема — обновления ядра между мажорными версиями: иногда ломаются кастомные пакеты и приходится разбираться, что именно сломалось.
В лабораторной среде, у энтузиастов или на подходящих x86-устройствах (например, тонкий клиент с Intel Celeron) OpenWRT — отличный выбор. В продакшене для бизнеса мы предпочитаем MikroTik: один вендор, один стек, понятная гарантия и замена через российского дистрибьютора, и инженеров, умеющих с ним работать, на рынке намного больше.
MikroTik (Латвия) — да, политический фактор присутствует. На практике: устройство автономное, никаких удалённых блокировок в RouterOS не зафиксировано, обновления ставятся вручную, и если их не ставить — устройство продолжает работать как настроено. Поставки через российских дистрибьюторов идут штатно, гарантия и замена работают.
Для compliance-чувствительных инсталляций (госсектор, КИИ, организации с требованием по реестру отечественного ПО) — смотрим на отечественные решения, в первую очередь Eltex (ESR-серия). Из enterprise-альтернатив остаётся Huawei (если не критично присутствие в санкционных списках) и наследие в виде Cisco для уже существующих инсталляций.
Технически: для коммерческого SMB в ценовой категории до 100 тыс ₽ за устройство RouterOS остаётся самым гибким стеком. Аналоги в этом диапазоне либо проигрывают по функциональности (отечественные SOHO), либо требуют существенно большего бюджета (enterprise-серия).
NGFW (Palo Alto, Fortinet, Check Point, UserGate, Континент 4) — это другой класс устройств: он умеет распознавать конкретные приложения внутри трафика, а не только порты, ловит вирусы и подозрительные паттерны на лету, расшифровывает SSL/TLS, фильтрует по URL. Это полноценный security-комбайн, а не файрвол на роутере.
Контекст применимости: NGFW имеет смысл, когда уже есть выстроенная зрелая сетевая база — нормальная VLAN-сегментация, централизованная авторизация (AD/LDAP), корпоративные сертификаты для расшифровки SSL, штат с компетенциями. Стоимость — это не только железо, это лицензии на подписки безопасности (обычно 30–50% стоимости устройства в год).
Типичный антипаттерн: NGFW «из коробки» поверх плоской сети без сегментации, без расшифровки SSL, без интеграции с системой авторизации — превращается в очень дорогой обычный файрвол с включённым IPS. Сначала строим базу (нормальный роутер, VLAN, мониторинг, авторизация), и только потом добавляем NGFW как отдельный слой защиты.
Если после этой главы вы посмотрели на свой роутер и стало немного тревожно
Это нормально. Значит, уже есть о чём подумать. Мы можем посмотреть, что у вас сейчас стоит, и честно сказать — что работает нормально, а что пора менять. Без продаж и без «срочно покупайте новое». Сначала разбираемся, потом советуем.
Аудит текущей сети, проектирование, миграция на правильную архитектуру
Если хочется не просто заменить коробку, а перестроить сеть нормально: stateful firewall, VLAN-сегментация, IPsec-туннели до офисов и удалёнки, QoS, multi-WAN, мониторинг. Делаем аудит, документируем текущее состояние, проектируем целевую схему и выполняем миграцию без простоя для бизнеса.