Как настроить VLAN на MikroTik: разделение сети для офиса, дома и бизнеса
VLAN нужен, когда в одной физической сети требуется логически разделить устройства. Например: сотрудники, гости, камеры, серверы — всё по разным сегментам, но на одном оборудовании.
Ниже — понятная и рабочая схема, без лишней теории.
Когда нужен VLAN
Используйте VLAN, если:
-
есть гостевая Wi-Fi сеть
-
нужно отделить камеры видеонаблюдения
-
есть офис + сервер
-
требуется безопасность и контроль
-
один свич / роутер, но разные сети
Пример схемы VLAN
Допустим:
-
VLAN 10 — Офис
-
VLAN 20 — Гости
-
VLAN 30 — Камеры
| VLAN | Назначение | Подсеть |
|---|---|---|
| 10 | Офис | 192.168.10.0/24 |
| 20 | Гости | 192.168.20.0/24 |
| 30 | Камеры | 192.168.30.0/24 |
Шаг 1. Подготовка bridge
-
Bridge → Add
-
Name:
bridge-main -
VLAN Filtering: ON
-
-
Добавьте порты:
-
ether2–ether5 →
bridge-main
-
⚠️ VLAN Filtering включаем только после настройки, иначе можно потерять доступ.
Шаг 2. Создание VLAN интерфейсов
Bridge → VLANs → Add
VLAN 10 (Офис)
-
VLAN ID:
10 -
Bridge:
bridge-main -
Tagged:
bridge-main -
Untagged:
ether2
VLAN 20 (Гости)
-
VLAN ID:
20 -
Untagged:
ether3
VLAN 30 (Камеры)
-
VLAN ID:
30 -
Untagged:
ether4
Шаг 3. Создание VLAN интерфейсов (IP)
Interfaces → VLAN → Add
-
Name:
vlan10 -
VLAN ID:
10 -
Interface:
bridge-main
То же самое для vlan20, vlan30.
Шаг 4. Назначаем IP адреса
IP → Addresses
-
192.168.10.1/24→ vlan10 -
192.168.20.1/24→ vlan20 -
192.168.30.1/24→ vlan30
Шаг 5. DHCP для каждого VLAN
IP → DHCP Server → DHCP Setup
Запустите отдельно для:
-
vlan10
-
vlan20
-
vlan30
Каждый VLAN получит свой DHCP.
Шаг 6. Интернет для всех VLAN (NAT)
Если NAT уже был — ничего добавлять не нужно.
Если нет:
IP → Firewall → NAT
-
Chain:
srcnat -
Out Interface:
ether1 -
Action:
masquerade
Шаг 7. Ограничение доступа (важно)
Пример: гости не видят офис и камеры
IP → Firewall → Filter Rules
-
Chain:
forward -
Src Address:
192.168.20.0/24 -
Dst Address:
192.168.10.0/24 -
Action:
drop
Аналогично:
-
гости → камеры = drop
Шаг 8. Проверка
Подключите устройства:
-
ПК в ether2 → офисная сеть
-
ПК в ether3 → гостевая
-
камера в ether4 → камеры
Проверьте:
-
IP выдаётся корректно
-
интернет работает
-
VLAN между собой изолированы
Частые ошибки
-
забыли включить VLAN Filtering
-
перепутали tagged / untagged
-
нет DHCP на VLAN
-
забыли firewall-ограничения
Итог
VLAN на MikroTik:
-
резко повышает безопасность
-
позволяет масштабировать сеть
-
заменяет несколько роутеров
-
обязателен для офиса
