MikroTik против Ubiquiti: что я выбрал для офиса на 50 пользователей

Быстрый ответ
Краткий вердикт по выбору между MikroTik и Ubiquiti:
  • MikroTik — если нужен полный контроль над сетью, RouterOS 7, гибкая маршрутизация и бюджет в 2-3 раза меньше. Требует инженера с опытом работы в Winbox/CLI.
  • Ubiquiti UniFi — если нужен красивый централизованный контроллер, быстрый старт и возможность делегировать управление не-сетевику. Дороже, но настраивается за один день.
  • Для офиса 50 человек: MikroTik RB5009 + CRS коммутатор + точки доступа Ubiquiti UniFi — гибридная схема, которая сочетает лучшее из двух миров.
  • RouterOS актуальная версия — 7.23 (Stable), 7.21.4 (Long-term), июнь 2026.
Содержание: показать

Диагноз: тебя попросили выбрать оборудование для офиса

MikroTik vs Ubiquiti — этот вопрос возникает каждый раз, когда надо строить сеть с нуля или менять старый D-Link на что-то серьезное. Задача простая: офис, 50 пользователей, нужны коммутаторы, точки доступа и нормальный маршрутизатор с firewall. Бюджет ограничен. Сроки — вчера.

Интернет полон статей «что лучше MikroTik или Ubiquiti» с одинаковыми таблицами и одинаковыми выводами вроде «зависит от ваших задач». Спасибо, очень помогло. Эта статья другая — здесь конкретные цифры, конкретный кейс и прямой ответ на вопрос что выбрать для офиса средних размеров.

Расскажу, что получилось на практике. Не теорию из маркетинговых буклетов, а реальный опыт развертывания конкретной сети. Что сломалось, что удивило, что я бы сделал иначе.

Что ты получишь из этой статьи:

  • Технический разбор MikroTik RouterOS 7 против Ubiquiti UniFi по конкретным параметрам
  • Реальные цены на железо в 2025-2026 году
  • Схему гибридного развертывания для офиса 50+ человек
  • Типичные ошибки при выборе и настройке
  • Четкий ответ: что брать в твоем случае

Времени займет: читать 15 минут, разворачивать сеть по этой схеме — 1 рабочий день.

Системные требования

Параметр MikroTik RB5009 Ubiquiti UDM-Pro Ubiquiti U7 Pro AP
ОС / прошивка RouterOS 7.23 (Stable), 7.21.4 (LT) UniFi OS 4.x UniFi AP firmware 7.x
Питание DC 24V PoE или адаптер 220V, встроенный БП PoE+ 802.3at
Монтаж Desktop / DIN-рейка 1U rack Потолочный кронштейн
Рабочая температура -40 до +70°C 0 до +40°C -10 до +70°C
Управление Winbox, WebFig, SSH, API UniFi OS Web UI Через UniFi Controller

На момент публикации актуальна RouterOS 7.23 (Stable) и RouterOS 7.21.4 (Long-term). Перед установкой проверяй свежие релизы на mikrotik.com/download. Для UniFi актуальную версию смотри в community.ui.com/releases.

Два лагеря: философия против философии

Прежде чем лезть в характеристики, надо понять главное. MikroTik и Ubiquiti — это не просто разные бренды. Это две разные идеологии того, как должна работать сеть.

MikroTik делает из тебя инженера. RouterOS дает полный доступ к каждому параметру — BGP, OSPF, MPLS, firewall с условиями на уровне L7, traffic shaping на каждый поток. Захотел — сделал VRF. Захотел — поднял SD-WAN поверх двух провайдеров с балансировкой и failover. Захотел — написал скрипт на RouterOS scripting language, который сам пересчитывает маршруты в 3 ночи. Обратная сторона: когда что-то не работает, ты разбираешься сам. Документация есть, но читать её надо внимательно.

За 25 лет в networking я видел как MikroTik RouterOS превращается из роутера за 50 долларов в полноценный BGP-маршрутизатор на периметре, L2TP-концентратор для 500 туннелей или DHCP-сервер с кастомными опциями для нескольких тысяч клиентов. Это не маркетинг — это RouterOS. Никаких лицензионных ограничений на функционал, никаких дополнительных подписок. Купил железо — получил всё что есть в ОС.

Ubiquiti UniFi делает из сети аппарат. Запустил контроллер, нажал несколько кнопок, сеть работает. Визуализация топологии, графики трафика, управление гостевой сетью в три клика. Красиво. Но когда понадобится что-то нестандартное — например, DHCP relay в связке со сторонним контроллером или сложный policy-based routing — ты быстро упрешься в потолок того, что UniFi показывает в интерфейсе.

Ubiquiti тоже эволюционирует. UniFi OS на UDM-Pro и UDM-SE стал заметно мощнее за последние пару лет. Появились более гибкие Traffic Rules, улучшился VPN, добавили RADIUS. Но каждый раз когда нужно что-то сложное — ты либо ждешь когда Ubiquiti добавит это в GUI, либо лезешь в SSH и надеешься что следующее обновление не сломает твои настройки.

%%{init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#ffffff',
    'primaryTextColor': '#1e293b',
    'primaryBorderColor': '#94a3b8',
    'lineColor': '#64748b',
    'fontSize': '15px',
    'fontFamily': 'ui-sans-serif, system-ui, sans-serif'
  },
  'flowchart': {'curve': 'linear', 'nodeSpacing': 50, 'rankSpacing': 50}
}}%%
flowchart LR
    A["Нужен полный контроль?"] --> B["MikroTik RouterOS 7"]
    A --> C["Нужна простота?"]
    C --> D["Ubiquiti UniFi"]
    C --> E["Гибрид: MT роутер + UI AP"]
    style A fill:#f8fafc,stroke:#f97316,stroke-width:2px,color:#9a3412
    style B fill:#f8fafc,stroke:#3b82f6,stroke-width:2px,color:#1e40af
    style D fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style E fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style C fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b

Железо: что конкретно сравниваем

Для офиса 50 пользователей нужны три компонента: маршрутизатор/firewall, коммутатор и точки доступа. Разберем каждую категорию по отдельности.

Маршрутизаторы и firewall

Параметр MikroTik RB5009UG+S+IN Ubiquiti UDM-Pro
Процессор AL21400 Cortex-A72, 1.4 GHz, 4 ядра Cortex-A57, 1.7 GHz, 4 ядра
RAM 1 GB DDR4 4 GB DDR4
Порты 8x GbE + 1x SFP+ 1x WAN GbE + 1x WAN SFP+ + 8x LAN GbE + 2x SFP+
Пропускная способность NAT ~3 Гбит/с ~3.5 Гбит/с
IDS/IPS через сторонние пакеты (Suricata) встроен, ~750 Мбит/с с IDS
Цена (2025-2026) ~13 000-15 000 руб. ~35 000-40 000 руб.
Контроллер не нужен (Winbox/WebFig) встроен в UDM-Pro
Управление через облако MikroTik Cloud (опционально) UI Cloud (требует аккаунт)

По производительности они примерно равны для офиса 50 человек. Реальная пропускная способность интернет-канала в таком офисе редко превышает 500 Мбит/с — оба справятся без напряжения.

Разница в цене почти трехкратная. И это только маршрутизатор.

Коммутаторы

Параметр MikroTik CRS326-24G-2S+RM Ubiquiti USW-24-POE
Порты 24x GbE + 2x SFP+ 24x GbE PoE+ + 2x SFP
PoE нет (CRS326), есть в CRS328 есть, 95W суммарно
L3 маршрутизация полный RouterOS ограниченная
VLAN 802.1Q, полная гибкость через UniFi Controller
Интерфейс управления Winbox / SSH / WebFig UniFi Controller только
Цена ~9 000-11 000 руб. ~22 000-26 000 руб.

Вот тут начинается нюанс. Ubiquiti коммутатор без контроллера — это просто железка. Ты не можешь полноценно управлять им напрямую. Нужен запущенный UniFi Network Application — или на UDM-Pro, или на отдельном сервере, или в облаке. MikroTik работает автономно с любым инструментом управления.

Точки доступа Wi-Fi

Параметр MikroTik hAP ax3 Ubiquiti U7 Pro
Стандарт Wi-Fi 6 (802.11ax) Wi-Fi 7 (802.11be)
Диапазоны 2.4 + 5 ГГц 2.4 + 5 + 6 ГГц
Максимальная скорость до 2.4 Гбит/с до 9.3 Гбит/с
Роуминг через CAPsMAN бесшовный через контроллер
Управление CAPsMAN (встроен) UniFi Network Application
Цена ~5 000-6 000 руб. ~18 000-22 000 руб.

По Wi-Fi Ubiquiti объективно выигрывает. U7 Pro с Wi-Fi 7 и трехдиапазонным радио — это совсем другой уровень. CAPsMAN у MikroTik работает, но интерфейс по-прежнему требует понимания того, что ты делаешь. Роуминг между точками MikroTik настраивается, но не так гладко как в UniFi.

Именно поэтому гибридная схема имеет смысл: MikroTik там где нужна маршрутизация и firewall, Ubiquiti там где нужна хорошая беспроводная сеть.

Архитектура: как это выглядит в офисе

Покажу две реальные схемы. Первая — чистый MikroTik, вторая — гибрид который я развернул для офиса на 52 человека.

Схема 1: Чистый MikroTik

%%{init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#ffffff',
    'primaryTextColor': '#1e293b',
    'primaryBorderColor': '#94a3b8',
    'lineColor': '#64748b',
    'fontSize': '15px',
    'fontFamily': 'ui-sans-serif, system-ui, sans-serif'
  },
  'flowchart': {'curve': 'linear', 'nodeSpacing': 50, 'rankSpacing': 50}
}}%%
flowchart TD
    ISP["Провайдер / WAN"] --> RT["MikroTik RB5009 - роутер, NAT, firewall, DHCP"]
    RT --> SW["MikroTik CRS326 - 24x GbE L3 коммутатор"]
    SW --> AP1["MT hAP ax3 - точка 1"]
    SW --> AP2["MT hAP ax3 - точка 2"]
    SW --> PC["ПК, принтеры, IP-телефоны"]
    RT --> VPN["WireGuard / L2TP VPN"]
    style ISP fill:#f8fafc,stroke:#f97316,stroke-width:2px,color:#9a3412
    style RT fill:#f8fafc,stroke:#3b82f6,stroke-width:2px,color:#1e40af
    style SW fill:#f8fafc,stroke:#3b82f6,stroke-width:2px,color:#1e40af
    style AP1 fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style AP2 fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style PC fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style VPN fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d

Схема 2: Гибрид (MikroTik + Ubiquiti)

%%{init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#ffffff',
    'primaryTextColor': '#1e293b',
    'primaryBorderColor': '#94a3b8',
    'lineColor': '#64748b',
    'fontSize': '15px',
    'fontFamily': 'ui-sans-serif, system-ui, sans-serif'
  },
  'flowchart': {'curve': 'linear', 'nodeSpacing': 50, 'rankSpacing': 50}
}}%%
flowchart TD
    ISP["Провайдер / WAN"] --> RT["MikroTik RB5009 - роутер, NAT, firewall, VLAN, DHCP"]
    RT --> SW["Ubiquiti USW-24-PoE - коммутатор с PoE"]
    SW --> UI1["Ubiquiti U7 Pro - точка доступа 1"]
    SW --> UI2["Ubiquiti U7 Pro - точка доступа 2"]
    SW --> UI3["Ubiquiti U7 Pro - точка доступа 3"]
    SW --> PC["ПК, VoIP, принтеры"]
    RT --> VPN["WireGuard VPN"]
    SW --> CTRL["UniFi Network App - на VM/сервере"]
    style ISP fill:#f8fafc,stroke:#f97316,stroke-width:2px,color:#9a3412
    style RT fill:#f8fafc,stroke:#3b82f6,stroke-width:2px,color:#1e40af
    style SW fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style UI1 fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style UI2 fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style UI3 fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style PC fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style VPN fill:#f8fafc,stroke:#3b82f6,stroke-width:2px,color:#1e40af
    style CTRL fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b

Во второй схеме MikroTik делает всю маршрутизацию и firewall — это его сильная сторона. Ubiquiti управляет беспроводной сетью — это его сильная сторона. UniFi Network Application запускается на отдельной виртуальной машине внутри сети, без привязки к облаку.

Реальные цифры: бюджет на офис 50 человек

Компонент Чистый MikroTik Чистый Ubiquiti Гибрид
Маршрутизатор RB5009: 14 000 руб. UDM-Pro: 38 000 руб. RB5009: 14 000 руб.
Коммутатор 24p CRS326: 10 000 руб. USW-24-PoE: 24 000 руб. USW-24-PoE: 24 000 руб.
3x точки доступа 3x hAP ax3: 18 000 руб. 3x U7 Pro: 60 000 руб. 3x U7 Pro: 60 000 руб.
Контроллер Wi-Fi встроен в RouterOS встроен в UDM-Pro VM на сервере (уже есть)
Итого ~42 000 руб. ~122 000 руб. ~98 000 руб.

Разница между чистым MikroTik и чистым Ubiquiti — почти 80 000 рублей. На эти деньги можно купить еще три коммутатора, UPS или хороший сервер для виртуализации.

Гибридная схема дороже чистого MikroTik, но ты получаешь нормальный Wi-Fi 7 и удобное управление беспроводной сетью. Для современного офиса, где половина сотрудников работает с ноутбуков и телефонов, это оправдано.

Настройка: насколько это сложно

MikroTik: первый запуск

Первое, что ты видишь после подключения к новому MikroTik — это Winbox. Скачай с mikrotik.com/download. Запусти. Увидишь устройство в Neighbors. Подключись по MAC-адресу — это работает без IP.


# Обновление RouterOS до актуальной версии (7.23 Stable, июнь 2026)
# В Winbox: System -> Packages -> Check For Updates -> Channel: stable -> Download&Install

# Или через CLI (SSH):
/system/package/update/set channel=stable
/system/package/update/check-for-updates
/system/package/update/install

После обновления сбрасывается конфиг по умолчанию. Базовая настройка роутера для офиса — WAN-порт, LAN-мост, DHCP, NAT, firewall — занимает около часа если делаешь первый раз, 15 минут если умеешь.


# Базовая конфигурация MikroTik для офиса (RouterOS 7.x)
# Назначить WAN-порт (ether1):
/ip/address/add address=x.x.x.x/xx interface=ether1

# Создать бридж для LAN:
/interface/bridge/add name=bridge-lan
/interface/bridge/port/add bridge=bridge-lan interface=ether2
/interface/bridge/port/add bridge=bridge-lan interface=ether3
# ... добавить все LAN-порты

# IP для LAN:
/ip/address/add address=192.168.10.1/24 interface=bridge-lan

# DHCP-сервер:
/ip/pool/add name=dhcp-pool ranges=192.168.10.100-192.168.10.200
/ip/dhcp-server/add name=dhcp-lan interface=bridge-lan address-pool=dhcp-pool lease-time=1d
/ip/dhcp-server/network/add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=1.1.1.1,8.8.8.8

# NAT masquerade:
/ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade

# Базовый firewall input:
/ip/firewall/filter/add chain=input connection-state=established,related action=accept comment="Accept established"
/ip/firewall/filter/add chain=input connection-state=invalid action=drop comment="Drop invalid"
/ip/firewall/filter/add chain=input in-interface=ether1 action=drop comment="Drop all from WAN"
Важно для RouterOS 7
В RouterOS 7 изменился синтаксис команд: вместо /ip address используй /ip/address (через слэш). В Winbox всё то же самое через GUI. Если копируешь конфиги с RouterOS 6, проверяй синтаксис.

Ubiquiti UniFi: первый запуск

UniFi Network Application можно запустить на UDM-Pro (встроен) или отдельно — на Linux-сервере, Raspberry Pi, Docker-контейнере. Для офиса рекомендую отдельную VM — так контроллер не зависит от одного устройства.


# Установка UniFi Network Application на Ubuntu 22.04/24.04
# Актуальная версия: UniFi Network 9.x (2026)

# Добавить репозиторий:
curl -fsSL https://dl.ui.com/unifi/unifi-repo.gpg | sudo gpg --dearmor -o /usr/share/keyrings/unifi-archive-keyring.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/unifi-archive-keyring.gpg] https://www.ui.com/downloads/unifi/debian stable ubiquiti" | sudo tee /etc/apt/sources.list.d/unifi.list

# Установить:
sudo apt update
sudo apt install unifi -y

# Запустить и включить автостарт:
sudo systemctl enable --now unifi

# Проверить статус:
sudo systemctl status unifi

После этого открываешь браузер, идешь на https://ip-сервера:8443, проходишь мастер настройки. Всё. Дальше через GUI — добавляешь точки доступа, создаешь SSID, настраиваешь VLAN. Это реально делается за несколько кликов.


# Проверить порты UniFi Network Application:
ss -tlnp | grep java

# Логи контроллера:
tail -f /var/log/unifi/server.log

# Перезапуск:
sudo systemctl restart unifi

Сравнение трудозатрат на развертывание

Задача MikroTik (часы) Ubiquiti UniFi (часы)
Первичная настройка роутера 1-3 0.5-1 (UDM-Pro)
Настройка VLAN сегментации 1-2 0.5
Настройка 3 точек доступа 2-4 (CAPsMAN) 0.5 (через контроллер)
Гостевой Wi-Fi с изоляцией 1-2 0.25
VPN для удаленных сотрудников 1-2 (WireGuard) 2-3 (ограниченный VPN)
Сложная маршрутизация / BGP возможно, сколько нужно невозможно или очень ограничено
Мониторинг и алерты SNMP + Zabbix, ручная настройка встроено в контроллер

VLAN-сегментация: как делать правильно

Для офиса на 50 человек минимально нужны три VLAN: рабочие станции, беспроводные устройства, управление оборудованием. Если есть сервера или IP-телефония — добавляй отдельные VLAN для них.


# MikroTik: создание VLAN на бридже (RouterOS 7)
# VLAN 10 - рабочие ПК
# VLAN 20 - Wi-Fi пользователи
# VLAN 30 - управление

/interface/vlan/add name=vlan10-workstations vlan-id=10 interface=bridge-lan
/interface/vlan/add name=vlan20-wifi vlan-id=20 interface=bridge-lan
/interface/vlan/add name=vlan30-mgmt vlan-id=30 interface=bridge-lan

# IP-адреса для каждого VLAN:
/ip/address/add address=192.168.10.1/24 interface=vlan10-workstations
/ip/address/add address=192.168.20.1/24 interface=vlan20-wifi
/ip/address/add address=192.168.30.1/24 interface=vlan30-mgmt

# DHCP для каждого VLAN:
/ip/pool/add name=pool-vlan10 ranges=192.168.10.100-192.168.10.200
/ip/pool/add name=pool-vlan20 ranges=192.168.20.100-192.168.20.200
/ip/dhcp-server/add name=dhcp-vlan10 interface=vlan10-workstations address-pool=pool-vlan10 lease-time=8h
/ip/dhcp-server/add name=dhcp-vlan20 interface=vlan20-wifi address-pool=pool-vlan20 lease-time=4h
/ip/dhcp-server/network/add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=192.168.10.1
/ip/dhcp-server/network/add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=192.168.20.1

# Запрет трафика между VLAN (если нужна изоляция):
/ip/firewall/filter/add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=drop comment="WiFi cant access workstations"
Тэггирование портов на коммутаторе
Если используешь Ubiquiti USW как коммутатор с MikroTik-роутером, VLAN тегируй на порту uplink (trunk к MikroTik) и указывай нужный VLAN на portах к точкам доступа. В UniFi это делается через Networks -> Port Profiles.

Firewall и безопасность

MikroTik дает полный контроль над firewall. Это хорошо когда знаешь что делаешь, и плохо когда случайно удаляешь правило accept established и теряешь доступ к устройству в продакшне в пятницу вечером. Говорю это по личному опыту.


# Надежный базовый firewall для офиса (MikroTik RouterOS 7)
# Порядок правил критичен - они применяются сверху вниз

/ip/firewall/filter

# INPUT chain - защита самого роутера:
add chain=input connection-state=established,related action=accept comment="Accept established,related"
add chain=input connection-state=invalid action=drop comment="Drop invalid"
add chain=input protocol=icmp action=accept comment="Accept ICMP"
add chain=input src-address=192.168.10.0/24 action=accept comment="Accept from LAN mgmt"
add chain=input src-address=192.168.30.0/24 action=accept comment="Accept from VLAN mgmt"
add chain=input in-interface=ether1 action=drop comment="Drop all from WAN to router"

# FORWARD chain - трафик через роутер:
add chain=forward connection-state=established,related action=accept comment="Accept established"
add chain=forward connection-state=invalid action=drop comment="Drop invalid"
add chain=forward in-interface=ether1 action=drop comment="Drop unsolicited from WAN"

# Блокировка сканирования портов:
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w
add chain=input src-address-list=port-scanners action=drop

Ubiquiti с включенным IDS/IPS в UDM-Pro делает часть этой работы автоматически. Подпись Threat Intelligence обновляется из облака. Но порог срабатывания и детальные правила настроить сложнее чем в MikroTik.

Таблица портов (офисная сеть)

Порт Протокол Назначение Открыт снаружи
8291 TCP Winbox (MikroTik) Нет
22 TCP SSH управление Нет (только VPN)
443 TCP WebFig / HTTPS Нет
8443 TCP UniFi Network App Нет
3478 UDP UniFi STUN Нет
10001 UDP UniFi device discovery Нет
51820 UDP WireGuard VPN Да
53 UDP/TCP DNS Нет

Осложнения: что идет не так

MikroTik: типичные проблемы

Проблема: После firewall правила пропал доступ к роутеру
Причина: Удалил или неправильно добавил правило accept established до drop all.
Решение: Подключись консольным кабелем или сбрось конфиг кнопкой Reset. После — всегда делай Safe Mode (Ctrl+Q в Winbox) перед изменением firewall.


# Safe Mode в Winbox: Ctrl+Q или кнопка Safe Mode вверху
# В Safe Mode изменения откатятся если соединение прервется

# Проверить текущие правила firewall:
/ip/firewall/filter/print

# Экстренный доступ если заблокировал себя (через другой интерфейс):
# Подключись через ether2 (LAN), если заблокировал только WAN

Проблема: CAPsMAN не видит точки доступа
Причина: Точки в другом VLAN или бридже, CAPsMAN не слушает нужный интерфейс.
Решение: Проверь что CAPsMAN enabled и привязан к правильному интерфейсу.


# Проверка CAPsMAN:
/caps-man/manager/print
/caps-man/interface/print

# Включить CAPsMAN и указать интерфейсы:
/caps-man/manager/set enabled=yes interfaces=bridge-lan

Проблема: После обновления RouterOS 7.x сломался DHCP / bridge
Причина: В RouterOS 7 изменилась модель bridge VLAN filtering. Старые конфиги могут конфликтовать.
Решение: Проверить настройки bridge VLAN filtering и pvid.


# Проверить bridge VLAN filtering:
/interface/bridge/print
/interface/bridge/vlan/print

# Если включен vlan-filtering на bridge - нужно явно прописать VLAN:
/interface/bridge/vlan/add bridge=bridge-lan tagged=bridge-lan,ether1 vlan-ids=10,20,30

Ubiquiti UniFi: типичные проблемы

Проблема: Точка доступа застряла в состоянии «Adopting» или «Disconnected»
Причина: AP не может достучаться до контроллера — неправильный IP, firewall блокирует порты.
Решение: Проверить что контроллер доступен с сегмента AP, порты 8080, 8443, 3478 открыты.


# Сброс точки доступа UniFi (SSH на AP):
ssh admin@ip-точки-доступа
# Пароль - тот что задан в контроллере, или ubnt/ubnt если новая

# Сброс и переусыновление:
set-default

# Или указать IP контроллера вручную:
set-inform http://ip-контроллера:8080/inform

Проблема: После обновления прошивки часть AP перестала работать
Причина: Регрессии в прошивках UniFi — известная проблема. Community фиксирует это регулярно.
Решение: Откатиться на предыдущую прошивку через контроллер или через SSH.


# SSH на точку доступа, откат прошивки:
ssh admin@ip-точки
upgrade https://dl.ubnt.com/unifi/firmware/UAP/url-конкретной-версии.bin

# Найти URL нужной версии: https://community.ui.com/releases
Регрессии в UniFi
Ubiquiti имеет историю введения регрессий в обновлениях. Перед массовым обновлением AP в офисе — всегда обновляй одну тестовую точку и жди 2-3 дня. Только потом накатывай на все остальные.

Проблема: UniFi Network Application не запускается после обновления Java
Причина: UniFi требует конкретную версию Java (OpenJDK 17).
Решение: Не обновляй Java отдельно от UniFi пакета — используй только официальный репозиторий.


# Проверить версию Java используемую UniFi:
java -version

# UniFi требует Java 17. Если установлена другая - исправь JAVA_HOME:
sudo update-alternatives --config java

# Логи для диагностики:
sudo journalctl -u unifi -n 100 --no-pager

Обновление оборудования

MikroTik: обновление RouterOS


# Текущие каналы RouterOS (июнь 2026):
# Stable: 7.23
# Long-term: 7.21.4
# Рекомендация: Stable для нового развертывания, Long-term для продакшна

# Обновить через Winbox: System -> Packages -> Check For Updates -> Channel: stable

# Через CLI:
/system/package/update/set channel=stable
/system/package/update/check-for-updates
# Ответ: current-version: 7.x.x, latest-version: 7.23.x
/system/package/update/install
# Роутер перезагрузится автоматически

# Проверить после обновления:
/system/resource/print
/system/routerboard/print
Перед обновлением RouterOS
Сделай бэкап конфига: System -> Backup или /system/backup/save name=before-update. Если обновляешься с 6.x на 7.x — читай changelog и готовься к изменению синтаксиса команд. Это не seamless upgrade.

Ubiquiti: обновление контроллера и AP


# Обновление UniFi Network Application:
sudo apt update
sudo apt install --only-upgrade unifi -y
sudo systemctl restart unifi

# Обновление прошивки AP через контроллер:
# Devices -> выбрать AP -> Settings -> Upgrade

# Откат через CLI если прошивка сломала AP:
ssh admin@ip-ap
# Посмотреть версию:
info
# Откатиться на предыдущую версию:
upgrade http://url-предыдущей-прошивки/firmware.bin

Мониторинг

MikroTik по умолчанию дает SNMP и The Dude (их собственный инструмент мониторинга). Для серьезного мониторинга настраивают Zabbix или Grafana + SNMP. Это работает хорошо, но требует отдельного сервера и настройки.


# Включить SNMP на MikroTik:
/snmp/set enabled=yes
/snmp/community/add name=public addresses=192.168.30.0/24 read-access=yes

# Включить logging на syslog-сервер:
/system/logging/action/set remote number=3 remote=192.168.10.50 remote-port=514
/system/logging/add action=remote topics=critical,error,warning prefix=office-rt

# Проверить SNMP:
snmpwalk -v2c -c public 192.168.10.1 .1.3.6.1.2.1.1

Ubiquiti UniFi имеет встроенные дашборды в контроллере. Графики трафика, статус устройств, алерты — всё там. Для небольшого офиса этого обычно достаточно. Если хочешь Grafana поверх — есть unofficial API и экспортеры для Prometheus.

Резервное копирование конфигурации

Для MikroTik — бэкап конфига в файл и экспорт в текстовый формат. Разница важна: backup восстанавливает полностью на то же железо, export — это читаемый текст который можно применить на другом устройстве.


# MikroTik: создать backup:
/system/backup/save name=office-rt-backup

# Экспорт конфига в текст (читаемый, переносимый):
/export file=office-rt-config

# Скачать файлы с роутера через Winbox: Files -> Download
# Или через FTP/SCP:
scp admin@192.168.10.1:/office-rt-config.rsc ./

# Автоматический бэкап через scheduler:
/system/scheduler/add name=weekly-backup interval=7d on-event="/system/backup/save name=auto-backup" start-time=02:00:00


# Ubiquiti: бэкап через контроллер
# Settings -> System -> Backup -> Create Backup

# Через CLI (UniFi Network Application):
curl -sk -b cookies.txt -c cookies.txt -X POST \
  -H 'Content-Type: application/json' \
  -d '{"cmd":"backup"}' \
  https://localhost:8443/api/s/default/cmd/backup

Альтернативы: что ещё можно рассмотреть

Вендор / продукт Для кого Плюсы Минусы
pfSense / OPNsense Те кто хочет open source firewall Бесплатно, мощный firewall, Suricata IDS Нужен отдельный сервер, нет фирменного железа дешевле $200
Cisco Meraki Корпоративный сегмент Облачное управление, надежность Очень дорого, подписка обязательна
TP-Link Omada Малый бизнес, ограниченный бюджет Дешевле UniFi, контроллер бесплатный Меньше функций, слабее в корпоративном сегменте
FortiGate Когда нужен enterprise firewall FortiOS, UTM, SD-WAN Дорогие подписки на обновления
Aruba Instant On Офис без выделенного IT Простота, мобильное приложение Ограниченная гибкость

TP-Link Omada — интересный вариант если бюджет жесткий и нет времени разбираться с MikroTik. По функциям ближе к UniFi, но дешевле. Для офиса 20-30 человек вполне достаточно.

Типичный день с MikroTik: что реально делаешь

Чтобы было понятно насколько сложно работать с MikroTik каждый день — расскажу про типичные задачи которые возникают в офисе.

Заблокировать конкретный сайт: два варианта — через DNS (добавить запись, которая резолвит домен в 0.0.0.0) или через Firewall address-list. DNS-вариант проще, работает для большинства случаев.


# Заблокировать домен через DNS на MikroTik:
/ip/dns/static/add name=bad-site.com address=0.0.0.0 ttl=5m

# Заблокировать через Firewall (более надежно если используют другой DNS):
/ip/firewall/address-list/add list=blocked-sites address=bad-site.com
/ip/firewall/filter/add chain=forward dst-address-list=blocked-sites action=drop comment="Block bad sites"

Посмотреть кто сейчас сидит в сети: одна команда.


# Текущие DHCP-аренды (кто онлайн):
/ip/dhcp-server/lease/print

# Кто использует больше всего трафика прямо сейчас:
/ip/firewall/connection/print stats

# Топ соединений по трафику:
/tool/torch interface=bridge-lan

Дать временный доступ подрядчику: добавить статическую аренду DHCP с конкретным IP, создать временное правило firewall с этим IP, потом удалить.


# Статический IP для конкретного MAC:
/ip/dhcp-server/lease/add mac-address=AA:BB:CC:DD:EE:FF address=192.168.10.150 server=dhcp-lan comment="Contractor temp"

# Ограниченный доступ только к нужным серверам:
/ip/firewall/filter/add chain=forward src-address=192.168.10.150 dst-address=192.168.10.10 action=accept comment="Contractor to file server"
/ip/firewall/filter/add chain=forward src-address=192.168.10.150 action=drop comment="Block contractor rest"

# Удалить когда не нужно:
/ip/dhcp-server/lease/remove [find mac-address=AA:BB:CC:DD:EE:FF]
/ip/firewall/filter/remove [find comment~"Contractor"]

Всё это в Ubiquiti тоже делается, но через GUI контроллера — там есть Client Groups, Traffic Rules, Fixed IP для клиентов. Проще нажимать кнопки, сложнее писать скрипты.

Вот тут кстати MikroTik scripting language дает настоящее преимущество. Можно написать скрипт который в 18:00 включает медленный интернет для гостевой сети, а в 9:00 снимает ограничение. Или скрипт который при появлении нового MAC-адреса отправляет уведомление в Telegram. Автоматизация любого уровня.

Безопасность: что точно надо сделать

Независимо от выбора вендора — есть минимальный чеклист безопасности для офисной сети.

Задача MikroTik Ubiquiti UniFi Приоритет
Сменить дефолтные пароли /user set admin password= Через GUI при первом входе Критический
Закрыть Winbox с WAN Firewall rule drop 8291 from WAN Не применимо Критический
SSH только из VPN/LAN Firewall input Через UniFi OS Высокий
Отключить ненужные сервисы /ip/service disable telnet,ftp,api Через Settings Высокий
Обновление прошивки Ежеквартально Ежемесячно (активный разработка) Высокий
Изоляция VLAN Firewall forward rules Guest Network isolation Средний
Логирование событий Syslog на внешний сервер Встроенный лог в контроллере Средний
Бэкап конфига Еженедельно, автоматически Через контроллер Высокий 

# MikroTik: отключить небезопасные сервисы
/ip/service/disable telnet
/ip/service/disable ftp
/ip/service/set api disabled=yes
/ip/service/set api-ssl disabled=yes

# Оставить только нужные (с ограничением по IP):
/ip/service/set winbox address=192.168.10.0/24,192.168.30.0/24
/ip/service/set ssh address=192.168.10.0/24,192.168.30.0/24
/ip/service/set www-ssl address=192.168.10.0/24

# Настроить strong пароль и отключить стандартного admin:
/user/add name=netadmin group=full password=StrongPassword123!
/user/disable admin

# Включить логирование попыток входа:
/system/logging/add topics=system,error action=remote

FAQ: что спрашивают в Яндексе

Что лучше — MikroTik или Ubiquiti для небольшого офиса?

Зависит от того, кто будет обслуживать сеть. Если есть сисадмин с опытом работы в RouterOS — MikroTik дешевле и мощнее по функциям маршрутизации. Если сеть настраивает человек без глубоких знаний networking, или нужно быстро делегировать управление — UniFi проще и безопаснее. Для Wi-Fi в офисе Ubiquiti объективно удобнее вне зависимости от сценария.

Можно ли использовать MikroTik как роутер с точками доступа Ubiquiti?

Да, это рабочий и популярный вариант. MikroTik отвечает за маршрутизацию, DHCP, NAT и firewall. Ubiquiti AP подключаются к коммутатору, контроллер UniFi Network Application запускается отдельно на VM или в облаке. MikroTik и UniFi не мешают друг другу — они работают на разных уровнях стека.

Почему Ubiquiti UniFi не работает без контроллера?

Технически AP UniFi работают без контроллера в базовом режиме, но управлять ими нельзя — ни SSID не поменять, ни VLAN не настроить. Контроллер нужен для любых изменений конфигурации. Это проектное решение Ubiquiti. Контроллер можно запустить локально бесплатно, не обязательно использовать облако.

Как проверить что MikroTik правильно настроен для офиса?


# Проверка базовой конфигурации:
/ip/address/print           # Адреса на интерфейсах
/ip/route/print             # Таблица маршрутов (должен быть default route на WAN)
/ip/firewall/nat/print      # NAT правила (должен быть masquerade)
/ip/dhcp-server/print       # DHCP серверы
/ip/dhcp-server/lease/print # Выданные аренды

# Тест NAT и маршрутизации:
/tool/traceroute address=8.8.8.8

# Тест DNS:
/tool/ping 8.8.8.8

# Статус интерфейсов:
/interface/print

Сколько пользователей выдержит MikroTik RB5009?

RB5009 с RouterOS 7 легко справляется с офисом 100-200 человек при стандартной нагрузке: интернет, корпоративные сервисы, VPN. Процессор 4-ядерный ARM Cortex-A72, NAT-производительность около 3 Гбит/с. Узким местом скорее станет интернет-канал, чем сам роутер. При включении L7 фильтрации или глубокого шейпинга нагрузка растет, но для 50 пользователей запас большой.

Ubiquiti UniFi работает в России без облака в 2025-2026 году?

Да, UniFi Network Application работает полностью локально. Нужно развернуть его на Linux-сервере или Raspberry Pi внутри сети. Управление через браузер на локальном IP без доступа к интернету. UI Cloud аккаунт для этого не нужен. Проблемы с доступностью облачных сервисов Ubiquiti из России не влияют на локальную установку.

Чем MikroTik отличается от Ubiquiti по безопасности?

MikroTik дает полный контроль над firewall. Ты сам пишешь правила, сам настраиваешь rate limiting, port knocking, блокировку по geo-IP через address lists. Можно интегрировать с fail2ban через syslog или написать скрипт который автоматически блокирует IP с аномальным трафиком. Это мощно, но требует знаний и времени на настройку.

Ubiquiti UDM-Pro имеет встроенный IDS/IPS на базе Suricata с базой сигнатур угроз которая обновляется из облака. Threat Intelligence включается одним переключателем. При включенном IDS/IPS пропускная способность падает примерно до 750 Мбит/с — для офиса 50 человек более чем достаточно. Также есть Honeypot, интеграция с UI Teleport для identity-based access.

При грамотной настройке MikroTik защита сопоставима или выше. При настройке «из коробки» Ubiquiti безопаснее просто потому что сложнее случайно открыть лишнее. Для компаний без выделенного security-инженера это аргумент.

Можно ли управлять MikroTik с телефона?

Да. Есть официальное приложение MikroTik для iOS и Android — базовый мониторинг и управление. Для полноценной работы удобнее подключаться через SSH (приложение Termius или Secure Shell). WebFig работает в мобильном браузере. Если нужен красивый мобильный дашборд — настрой Zabbix или Grafana с мобильными приложениями.

Для офиса с IP-телефонией или видеоконференциями QoS — не опция, а необходимость. Когда все одновременно подключаются к Zoom и кто-то параллельно качает образ системы с корпоративного сервера, звонки превращаются в робота говорящего под водой.

MikroTik дает полный контроль над очередями трафика. Queue Tree, Simple Queue, Mangle для маркировки — всё есть. Можно настроить приоритизацию RTP-трафика, ограничение полосы на пользователя, гарантированную скорость для критичных сервисов.


# MikroTik: базовый QoS для VoIP (RouterOS 7)
# Шаг 1: маркировка VoIP трафика (RTP UDP 10000-20000)
/ip/firewall/mangle/add chain=prerouting protocol=udp dst-port=10000-20000 action=mark-connection new-connection-mark=voip-conn passthrough=yes
/ip/firewall/mangle/add chain=prerouting connection-mark=voip-conn action=mark-packet new-packet-mark=voip-pkt passthrough=no

# Шаг 2: Queue Tree для приоритизации
/queue/tree/add name="root-queue" parent=global max-limit=100M
/queue/tree/add name="voip-high" parent=root-queue packet-mark=voip-pkt priority=1 max-limit=100M
/queue/tree/add name="default-traffic" parent=root-queue priority=8 max-limit=100M

# Шаг 3: ограничение скорости на пользователя через Simple Queue
/queue/simple/add name="user-limit" target=192.168.10.0/24 max-limit=20M/10M

Ubiquiti UniFi имеет встроенный Traffic Management в контроллере. Ты устанавливаешь приоритет для типов трафика через политики — Voice, Video, Best Effort, Background. Настраивается через GUI за несколько кликов. Но если нужна детальная настройка на уровне отдельных потоков или нестандартных портов — потолок наступает быстро.

Bandwidth test: проверка пропускной способности


# MikroTik: встроенный bandwidth test
# В Winbox: Tools -> Bandwidth Test
# Или через CLI:
/tool/bandwidth-test address=192.168.10.x duration=10

# Проверить CPU при нагрузке:
/system/resource/print

# Топ процессов:
/system/resource/cpu/print

WireGuard VPN: удаленные сотрудники

Если в офисе есть удаленные сотрудники которым нужен доступ к внутренним ресурсам — WireGuard на MikroTik это быстро, современно и надежно. RouterOS 7 поддерживает WireGuard нативно без дополнительных пакетов.


# MikroTik WireGuard: настройка сервера (RouterOS 7.x)

# Создать интерфейс WireGuard:
/interface/wireguard/add name=wg0 listen-port=51820 mtu=1420

# Посмотреть сгенерированные ключи:
/interface/wireguard/print

# Добавить IP для WireGuard интерфейса:
/ip/address/add address=10.0.0.1/24 interface=wg0

# Добавить peer (клиент):
/interface/wireguard/peers/add interface=wg0 public-key="PUBLIC_KEY_КЛИЕНТА=" allowed-address=10.0.0.2/32 persistent-keepalive=25

# Firewall: разрешить WireGuard извне:
/ip/firewall/filter/add chain=input protocol=udp dst-port=51820 action=accept comment="WireGuard"
/ip/firewall/filter/add chain=input in-interface=wg0 action=accept comment="WireGuard tunnel"

# Маршруты через WireGuard (для клиента):
/ip/route/add dst-address=192.168.10.0/24 gateway=wg0

Конфиг клиента под Linux/Android/Windows — стандартный WireGuard. Сервер слушает на порту 51820 UDP. Тот порт надо открыть в firewall и прокинуть если MikroTik за провайдерским NAT.

WireGuard vs L2TP на MikroTik
L2TP/IPSec поддерживается большинством корпоративных клиентов без дополнительного ПО (Windows, iOS из коробки). WireGuard быстрее и проще в настройке, но требует установки клиента. Для нового развертывания выбирай WireGuard.

Ubiquiti UDM-Pro тоже поддерживает VPN, но функционал ограничен по сравнению с RouterOS. Teleport VPN работает только в облачной связке с UI Identity. WireGuard добавили в относительно новых версиях UniFi OS, но настраивается через GUI без CLI-гибкости.

Управление через мобильный: сравнение приложений

Иногда надо что-то проверить не с рабочего места. Оба вендора имеют мобильные приложения, но уровень очень разный.

Приложение MikroTik (iOS/Android) — базовый мониторинг и Winbox в браузере. Управлять через него неудобно. Реальный инструмент — SSH клиент типа Termius и Winbox через RDP. Но если у тебя настроен The Dude или Zabbix — мониторить можно с телефона нормально.

Приложение UniFi Network (iOS/Android) — это полноценный мобильный контроллер. Статус всех устройств, клиенты онлайн, события, алерты, перезагрузка точек доступа — всё доступно с телефона. Для ситуации «что-то не работает в 22:00 и ты дома» — это реально удобно. Приложение работает как локально (внутри сети), так и через облако UI.

Это один из аргументов за Ubiquiti который сложно игнорировать. Когда офис-менеджер в воскресенье пишет что Wi-Fi не работает, ты можешь перезагрузить точку доступа с дивана не поднимаясь. С MikroTik для того же потребуется VPN + SSH + команда.

Масштабирование: что будет если офис вырастет

Офис на 50 человек сегодня может стать офисом на 150 через два года. Хорошая сеть должна масштабироваться без полного переделывания.

С MikroTik масштабирование линейное. Нужно больше портов — добавляешь коммутатор и обновляешь конфиг. Нужно больше точек Wi-Fi — добавляешь AP в CAPsMAN. Нужно второй офис — поднимаешь WireGuard или OSPF между площадками. RouterOS не ограничивает тебя лицензией на количество устройств.

С Ubiquiti масштабирование удобнее в управлении но дороже. Добавление новых AP и коммутаторов в контроллер — несколько кликов. Но каждое новое устройство это +20 000-30 000 рублей против +5 000-10 000 за MikroTik. На 10 точках доступа разница в бюджете становится ощутимой.

Сценарий роста MikroTik Ubiquiti UniFi
+10 рабочих мест Добавить порты на коммутаторе То же самое
+3 точки Wi-Fi ~15 000-18 000 руб. + CAPsMAN ~55 000-65 000 руб. + контроллер
Второй офис / филиал WireGuard / OSPF, гибко Site-to-site VPN через UDM, проще в GUI
Разделение сети на зоны (VLAN) Полная гибкость в RouterOS Через контроллер, но ограничено
Два интернет-провайдера Policy-based routing, failover, балансировка Dual WAN на UDM-Pro, базовый failover
BGP / OSPF с провайдером Полная поддержка Только на UDM-Pro, ограниченно

Два провайдера: failover и балансировка

Для офиса с двумя интернет-каналами MikroTik — правильный выбор. Policy-based routing, recursive routing для failover, мониторинг шлюза через netwatch — всё делается нативно.


# MikroTik: failover с двумя провайдерами (RouterOS 7)
# ISP1 - основной (ether1, gateway 1.1.1.1)
# ISP2 - резервный (ether2, gateway 2.2.2.2)

# Маршруты с distance (primary и backup):
/ip/route/add dst-address=0.0.0.0/0 gateway=1.1.1.1 distance=1 check-gateway=ping comment="ISP1 primary"
/ip/route/add dst-address=0.0.0.0/0 gateway=2.2.2.2 distance=2 check-gateway=ping comment="ISP2 backup"

# Netwatch для мониторинга ISP1:
/tool/netwatch/add host=8.8.8.8 interval=10s timeout=3s \
  up-script="/ip/route/set [find comment=ISP1-primary] distance=1" \
  down-script="/ip/route/set [find comment=ISP1-primary] distance=3"

# NAT для обоих провайдеров:
/ip/firewall/nat/add chain=srcnat out-interface=ether1 action=masquerade comment="NAT ISP1"
/ip/firewall/nat/add chain=srcnat out-interface=ether2 action=masquerade comment="NAT ISP2"

При падении первого канала роутер автоматически переключается на второй. Время переключения — 10-30 секунд в зависимости от настроек netwatch. Это работает без облака и без подписок.

Ubiquiti UDM-Pro поддерживает Dual WAN с failover через GUI — проще настроить, но меньше гибкости. Балансировку нагрузки между провайдерами настроить сложнее чем на RouterOS.

Нюансы покупки в России

С 2022 года ситуация с поставками сетевого оборудования изменилась. Оба вендора официально не поставляются через прямые каналы, но присутствуют через параллельный импорт.

MikroTik — латвийская компания. Оборудование доступно через реселлеров, цены стабильные. Поддержка RouterOS через форум forum.mikrotik.com — активная, хотя официальная поддержка по email замедлилась.

Ubiquiti — американская компания. Доступность через параллельный импорт есть, но цены выше на 20-30% от исторических. Облачные сервисы UI в России работают нестабильно. Это критично если планируешь использовать UI Cloud для управления — заходить придется через VPN или запускать контроллер локально.

Локальный контроллер Ubiquiti
Для офиса в России развертывай UniFi Network Application локально, не через UI Cloud. VM на Ubuntu 22.04 с 2 ядрами и 4 GB RAM справляется с сетью из 20-30 устройств. Зависимость от облака — лишний риск.

Поддержка и сообщество

MikroTik имеет одно из лучших технических сообществ в networking. Форум mikrotik.com — живой. Русскоязычное сообщество активно: habr.com, профильные Telegram-каналы, YouTube с детальными разборами конкретных задач. Сертификация MTCNA/MTCRE — востребована работодателями.

Ubiquiti Community community.ui.com — тоже активный. Но характер другой: больше отчетов о багах и запросов на фичи, меньше технического разбора того как устроены протоколы. Reddit r/Ubiquiti — отдельная вселенная со своими мемами про каждое новое обновление которое что-то ломает.

Честно говоря, качество технической документации у MikroTik выше. help.mikrotik.com/docs — подробная, актуальная, с примерами команд. У Ubiquiti документация есть, но иногда отстает от реального состояния прошивки.

Winbox: первое знакомство для тех кто не работал с MikroTik

Winbox — это нативное приложение для Windows и Linux, главный инструмент управления MikroTik. Скачивается с mikrotik.com/download, работает без установки. Запустил — увидел устройства в сети, подключился.

При первом подключении к новому MikroTik увидишь дефолтную конфигурацию. На RB5009 это bridge на LAN-портах, DHCP-сервер, NAT. Работает из коробки, но требует кастомизации под конкретную сеть.

Интерфейс Winbox кажется устаревшим по дизайну — и это правда. Но когда привыкаешь, понимаешь что для инженерной работы это нормально. Всё на своем месте, всё кликабельно, изменения применяются мгновенно. WebFig — браузерная версия — выглядит современнее, но Winbox для daily work быстрее.

RouterOS 7.23 привнес улучшения в WinBox 4.x — новый интерфейс который выглядит менее как Windows XP. Если последний раз работал с MikroTik три года назад — посмотри заново, стало лучше.


# Полезные горячие клавиши Winbox:
# Ctrl+Q - Safe Mode (изменения откатятся при разрыве соединения)
# Ctrl+W - закрыть текущее окно
# F5 - обновить список
# Ctrl+Z - отмена последнего действия

# Quick Set - быстрая настройка роутера для типичных сценариев
# Меню Quick Set -> WISP / AP / Home AP / PTP Bridge

# Terminal в Winbox: New Terminal
# Все CLI команды доступны прямо из Winbox без SSH

Профилактика: чтобы не тушить пожары

Хорошая сетевая инфраструктура не требует постоянного внимания. Плохая — съедает время каждую неделю.

Мониторинг: настрой хотя бы базовые алерты — доступность шлюза, загрузка CPU роутера, процент потерь пакетов. На MikroTik это netwatch + syslog на внешний сервер. На Ubiquiti — алерты в контроллере плюс email-уведомления.


# MikroTik: базовый мониторинг доступности каналов
/tool/netwatch/add host=8.8.8.8 interval=30s timeout=5s \
  down-script=":log error \"WAN ping 8.8.8.8 failed - check internet!\""

/tool/netwatch/add host=1.1.1.1 interval=30s timeout=5s \
  down-script=":log error \"WAN ping 1.1.1.1 failed - DNS/internet issue!\""

# Включить email-уведомления:
/tool/e-mail/set server=smtp.example.com port=587 tls=starttls user=alert@example.com password=yourpassword

# Тест email:
/tool/e-mail/send to=admin@example.com subject="MikroTik Test" body="Network alert test"

Регулярные бэкапы: раз в неделю автоматически, плюс вручную перед каждым изменением конфига. Scheduler в RouterOS делает это без участия человека. Файлы бэкапов копируй с роутера на отдельный сервер — бэкап на том же устройстве это не бэкап.

Обновления: не обновляй RouterOS в пятницу после 15:00. Проверено болью. Обновляй в начале рабочей недели, когда есть время разобраться если что-то пойдет не так. Long-term ветка (7.21.x) стабильнее Stable для продакшена — используй её если не нужен новый функционал.

Документация: фиксируй схему сети, IP-схему и нестандартные конфигурации. Через год забудешь зачем было сделано вот то правило в firewall на строке 47. А новый человек который придет после тебя — не забудет тебя за это вспомнить. Одна строка в ней стоит часа отладки, как правило.

Сравнение итогов: шпаргалка для выбора

Критерий MikroTik побеждает Ubiquiti побеждает Ничья
Цена оборудования +
Гибкость настройки +
Скорость развертывания +
Качество Wi-Fi +
Централизованное управление +
Мобильное приложение +
VPN возможности +
Два провайдера / failover +
QoS и traffic shaping +
Встроенный IDS/IPS +
Работа без интернета +
Порог вхождения (для новичка) +
Надежность железа +
Стабильность прошивок +
Документация +

По счету MikroTik побеждает в количестве категорий. Но у Ubiquiti те категории в которых он побеждает — они важны для большинства офисных ситуаций. Скорость развертывания, удобство управления и хороший Wi-Fi — это то с чем сталкиваются каждый день.

Решение зависит от одного вопроса: кто будет обслуживать сеть? Если это инженер который знает что такое BGP и не пугается CLI — MikroTik. Если это системный администратор общего профиля или вообще нет выделенного IT-специалиста — Ubiquiti.

Практический кейс: что пошло не так

Расскажу про два конкретных момента из того развертывания в офисе — потому что теория без практики это просто красивые таблицы.

Момент первый: VLAN на гибридной схеме

Поднял MikroTik как маршрутизатор. Подключил Ubiquiti USW-24-PoE. Создал VLAN в RouterOS. Настроил trunk-порт между роутером и коммутатором. Подключил точки доступа к коммутатору. Настроил SSID в UniFi контроллере с нужным VLAN ID.

Устройства на проводных портах — работают. Устройства на Wi-Fi — не получают DHCP. Провел час в логах. Оказалось: в UniFi нужно явно создать Network с тем же VLAN ID что и в MikroTik, и привязать SSID к этой сети. Создание SSID без привязки к Network — это VLAN 1 (untagged) по умолчанию. В интерфейсе это не очевидно.

Решение: в UniFi Controller создай Settings -> Networks -> Add Network -> VLAN-Only сеть с нужным ID. Потом в WiFi -> Add WiFi Network -> Advanced -> Network -> выбрать созданную сеть.


# Проверка что VLAN тегируется правильно на trunk-порту:
# На MikroTik - посмотреть bridge VLAN таблицу:
/interface/bridge/vlan/print

# Проверить тегирование на конкретном порту:
/interface/bridge/port/print where interface=ether1

# Захват трафика для диагностики (MikroTik Packet Sniffer):
/tool/sniffer/set filter-interface=ether1 filter-vlan-id=20
/tool/sniffer/start
# Смотреть в Tools -> Packet Sniffer -> Packets

Момент второй: UniFi после обновления прошивки

Через три месяца после запуска вышло обновление прошивки для U6 Pro. Нажал «Update All» в контроллере. Две из трех точек обновились нормально. Третья зависла в «Upgrading» на 20 минут, потом перешла в «Disconnected».

Физически ничего страшного — точка включена, мигает. Но контроллер её не видит.


# Диагностика точки доступа Ubiquiti которая не отвечает после обновления:
# Пинг AP:
ping ip-точки-доступа

# Если пинг проходит - SSH на AP:
ssh admin@ip-точки-доступа

# Проверить версию прошивки:
info

# Если прошивка откатилась на очень старую версию - обновить вручную:
upgrade https://dl.ui.com/unifi/firmware/U6-Pro/КОНКРЕТНАЯ-ВЕРСИЯ.bin

# Если AP не отвечает на SSH - физический сброс:
# Зажать кнопку Reset на 10 секунд до мигания LED
# После сброса AP вернется в factory defaults
# Потом set-inform из контроллера или кнопка Adopt в UniFi

Проблема решилась физическим сбросом и повторным adoption. Но урок усвоен: обновляй AP по одной, не всё сразу.

Интеграция с Active Directory и RADIUS

В корпоративном офисе часто нужна аутентификация Wi-Fi через корпоративный аккаунт. Ни пароль-на-стикере, ни пароль который знает вся компания включая уволившихся полгода назад.

MikroTik поддерживает RADIUS аутентификацию на уровне роутера и через CAPsMAN для точек доступа. Настраивается связка с FreeRADIUS или NPS (Windows Network Policy Server).


# MikroTik: настройка RADIUS клиента для WPA2-Enterprise
/radius/add service=wireless address=192.168.30.10 secret=radius-secret authentication-port=1812 accounting-port=1813

# В CAPsMAN - привязать RADIUS к профилю безопасности:
/caps-man/security/add name=corp-wifi authentication-types=wpa2-eap eap-methods=tls radius-called-id=Corp-WiFi
/caps-man/configuration/add name=corp ssid=Corp-WiFi security=corp-wifi

# Проверить связь с RADIUS сервером:
/radius/test secret=radius-secret src-address=192.168.10.1

Ubiquiti UniFi поддерживает WPA2/WPA3-Enterprise через RADIUS точно так же, но настраивается через GUI контроллера. Settings -> Profiles -> RADIUS Profiles -> Add. Там указываешь адрес RADIUS сервера и secret. Потом в настройках SSID выбираешь Enterprise security и созданный профиль.

По функционалу RADIUS — равенство. По удобству настройки — Ubiquiti проще. Но работают оба.

Гостевая сеть: изоляция и captive portal

Гостевой Wi-Fi для посетителей — обязательный элемент офисной сети. Гости должны иметь интернет и не иметь доступа к внутренним ресурсам.

В Ubiquiti UniFi гостевая сеть настраивается за 5 минут: создаешь новую Network с типом Guest, создаешь SSID и привязываешь к этой сети. Изоляция от основной сети включается одним чекбоксом. Captive portal с кастомной страницей — тоже через GUI. Это реально удобно.


# MikroTik: гостевая сеть с изоляцией (через отдельный VLAN)
# VLAN 100 - гостевая сеть

/interface/vlan/add name=vlan100-guest vlan-id=100 interface=bridge-lan
/ip/address/add address=192.168.100.1/24 interface=vlan100-guest
/ip/pool/add name=pool-guest ranges=192.168.100.10-192.168.100.100
/ip/dhcp-server/add name=dhcp-guest interface=vlan100-guest address-pool=pool-guest lease-time=2h
/ip/dhcp-server/network/add address=192.168.100.0/24 gateway=192.168.100.1 dns-server=8.8.8.8

# Изоляция: гости видят только интернет, не локалку:
/ip/firewall/filter/add chain=forward src-address=192.168.100.0/24 dst-address=192.168.0.0/8 action=drop comment="Block guest to local"
/ip/firewall/filter/add chain=forward src-address=192.168.100.0/24 out-interface=ether1 action=accept comment="Allow guest to internet"

# Опционально: captive portal через Hotspot:
/ip/hotspot/setup interface=vlan100-guest

На MikroTik это чуть сложнее чем в UniFi, но работает надежно. Hotspot позволяет добавить страницу входа с принятием условий использования.

Резюме по выбору: дерево решений

%%{init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#ffffff',
    'primaryTextColor': '#1e293b',
    'primaryBorderColor': '#94a3b8',
    'lineColor': '#64748b',
    'fontSize': '14px',
    'fontFamily': 'ui-sans-serif, system-ui, sans-serif'
  },
  'flowchart': {'curve': 'linear', 'nodeSpacing': 40, 'rankSpacing': 45}
}}%%
flowchart TD
    Q1["Есть инженер с опытом RouterOS?"] -->|Да| Q2["Нужна сложная маршрутизация или VPN?"]
    Q1 -->|Нет| Q4["Бюджет ограничен?"]
    Q2 -->|Да| R1["MikroTik RouterOS - оптимальный выбор"]
    Q2 -->|Нет| Q3["Важен хороший Wi-Fi для офиса?"]
    Q3 -->|Да| R2["Гибрид: MikroTik роутер + Ubiquiti AP"]
    Q3 -->|Нет| R1
    Q4 -->|Да| Q5["Готов разобраться с Winbox?"]
    Q4 -->|Нет| R3["Ubiquiti UniFi - чистое решение"]
    Q5 -->|Да| R4["MikroTik + инструкция из этой статьи"]
    Q5 -->|Нет| R5["Ubiquiti или TP-Link Omada"]
    style Q1 fill:#f8fafc,stroke:#f97316,stroke-width:2px,color:#9a3412
    style R1 fill:#f8fafc,stroke:#3b82f6,stroke-width:2px,color:#1e40af
    style R2 fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style R3 fill:#f8fafc,stroke:#22c55e,stroke-width:2px,color:#15803d
    style R4 fill:#f8fafc,stroke:#3b82f6,stroke-width:2px,color:#1e40af
    style R5 fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style Q2 fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style Q3 fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style Q4 fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b
    style Q5 fill:#f8fafc,stroke:#94a3b8,stroke-width:1px,color:#1e293b

Сравнение по типам бизнеса

Тип компании Рекомендация Почему
Стартап, 10-20 человек Ubiquiti или Omada Скорость запуска важнее гибкости, нет выделенного сетевика
Офис 50-100 человек, IT-отдел есть Гибрид MikroTik + Ubiquiti AP Оптимальный баланс цены и функционала
Производство / склад MikroTik Нужна кастомная маршрутизация, VLAN для IoT устройств, бюджет
Гостиница / хостел Ubiquiti UniFi Гостевой Wi-Fi, captive portal, хорошее покрытие, простота
ISP / провайдер MikroTik BGP, MPLS, PPPoE сервер, масштаб, цена
Медицинское учреждение Убедись в соответствии 152-ФЗ, потом MikroTik Изоляция сетей, аудит, локальное управление без облака
Ритейл / торговая точка Ubiquiti или Omada Простота, управление из одного места если несколько точек

Полезные ресурсы

Для MikroTik: официальная документация по RouterOS 7 — help.mikrotik.com/docs. Форум — forum.mikrotik.com. Скачать Winbox и RouterOS — mikrotik.com/download.

Для Ubiquiti: документация — help.ui.com. Форум сообщества и release notes — community.ui.com/releases. Скачать UniFi Network Application — ui.com/download/unifi.

Для мониторинга: Zabbix с шаблонами MikroTik — zabbix.com/integrations/mikrotik. Grafana dashboard для UniFi — ищи «unifi-poller» на GitHub.

Шпаргалка: команды диагностики на каждый день

Собрал в одном месте то что реально использую при обслуживании офисной сети. Сохрани — пригодится.

MikroTik: диагностика за 5 минут


# Общее состояние системы:
/system/resource/print          # CPU, RAM, uptime
/system/health/print             # температура, напряжение питания

# Интерфейсы - что поднято, что упало:
/interface/print
/interface/ethernet/print        # физические порты + скорость

# Таблица маршрутов:
/ip/route/print                  # если нет default route - нет интернета

# Текущие соединения:
/ip/firewall/connection/print count-only
/ip/firewall/connection/print   # детально (осторожно - может быть много)

# DHCP - кто в сети:
/ip/dhcp-server/lease/print where status=bound

# Логи системы:
/log/print                       # последние события
/log/print where topics~"error"  # только ошибки

# Быстрая диагностика канала:
/tool/ping count=10 8.8.8.8      # потери пакетов
/tool/traceroute 8.8.8.8         # путь до Google DNS

# Кто грузит канал прямо сейчас:
/tool/torch interface=ether1     # на WAN-интерфейсе

# Wireless клиенты (если используешь MikroTik AP):
/interface/wireless/registration-table/print

# CPU по процессам:
/system/resource/cpu/print

Ubiquiti UniFi: диагностика через SSH


# SSH на точку доступа Ubiquiti:
ssh admin@ip-точки-доступа

# Статус AP:
info

# Клиенты подключенные к этой AP:
iwconfig
cat /proc/net/arp

# Радио статистика:
iwlist wlan0 scan | grep SSID
cat /proc/net/wireless

# Перезагрузка AP:
reboot

# SSH на UDM-Pro:
ssh root@ip-udm

# Статус сети:
ip route show
ip addr show

# Состояние сервисов UniFi:
systemctl status unifi
journalctl -u unifi -n 50 --no-pager

# Активные соединения firewall:
conntrack -L | wc -l

Проверка после настройки VLAN


# MikroTik: убедиться что VLAN работает:
# Захват трафика на VLAN-интерфейсе:
/tool/sniffer/set filter-interface=vlan10-workstations
/tool/sniffer/start
# Подожди 10 секунд
/tool/sniffer/stop
/tool/sniffer/packet/print

# Проверить что хост из VLAN10 не видит VLAN20:
# С устройства в VLAN10 попробуй пинговать gateway VLAN20
# Должен получить DROP если настроена изоляция

# Проверить bridge VLAN таблицу:
/interface/bridge/vlan/print

# Посмотреть tagged/untagged на портах:
/interface/bridge/port/print

Эти команды закрывают 90% вопросов при обслуживании офисной сети. Остальные 10% — это когда что-то пошло совсем не так и ты уже смотришь документацию и форум.

Кстати, про документацию. Для MikroTik самый быстрый способ найти нужную команду — поиск по wiki.mikrotik.com или help.mikrotik.com/docs. Почти любая задача — от настройки BGP до скриптов — там описана с примерами. Привыкнуть читать документацию перед тем как пробовать — хорошая привычка для любого сетевого оборудования.

Как не надо планировать офисную сеть

Раз уж статья про практику, расскажу о типичных ошибках которые вижу при проектировании. Не злорадства ради, а чтобы ты на них не наступал.

Ошибка 1: купить роутер, коммутатор, точки доступа разных вендоров случайно. Результат: TP-Link роутер, D-Link коммутатор без управления, MikroTik точка доступа и Ubiquiti AP в другом кабинете, которую поставили «потому что была». Управлять этим зоопарком невозможно. Проблему видишь только при диагностике — три разных системы, три разных лога, и ничего не коррелирует.

Правило простое: выбери экосистему и придерживайся её. Допустимый гибрид — MikroTik на уровне маршрутизации + Ubiquiti на уровне Wi-Fi. Но это осознанное решение, не случайное.

Ошибка 2: не считать PoE бюджет до покупки. Покупаешь коммутатор USW-24-PoE с 95W суммарного PoE. Подключаешь 6 точек доступа по 12W каждая — уже 72W. Добавляешь 4 IP-камеры по 6W — итого 96W. Один порт не поднимается. Не понимаешь почему. Час диагностики, потом видишь в статистике коммутатора что PoE перегружен.

Считай PoE бюджет заранее. Ubiquiti USW-24-PoE дает 95W. Ubiquiti USW-24-PoE-250W дает 250W. Разница в цене — примерно 5 000 рублей. Экономия при планировании.

Ошибка 3: не планировать IP-схему. Дефолтный MikroTik раздает 192.168.88.0/24. Дефолтный Ubiquiti — 192.168.1.0/24. Если купил оба без планирования — оба дают адреса в пересекающихся подсетях. Потом удивляешься почему роутинг не работает.

Заведи схему IP-адресации до того как подключать железо. Три подсети, пять подсетей — не важно. Главное записать и следовать.


# Пример IP-схемы для офиса:
# WAN:           получаем от провайдера
# VLAN 10 LAN:   192.168.10.0/24 - рабочие ПК
# VLAN 20 WiFi:  192.168.20.0/24 - беспроводные устройства
# VLAN 30 Mgmt:  192.168.30.0/24 - управление сетью
# VLAN 100 Guest:192.168.100.0/24 - гостевая сеть
# Серверная:     192.168.50.0/24 - серверы, NAS

# Роутер: 192.168.X.1 во всех VLAN (default gateway)
# DNS: 192.168.10.1 (сам роутер) или отдельный сервер

Ошибка 4: не документировать. Три месяца после запуска ты помнишь зачем нужно то правило в firewall. Через год — нет. Новый сотрудник через два года — точно нет. Пиши комментарии к firewall правилам прямо в конфиге. Ведь в RouterOS есть поле comment — заполняй его.

Ошибка 5: не тестировать failover до инцидента. Настроил два провайдера с failover. Думаешь что оно работает. Потом падает основной канал — и выясняется что failover не работает, потому что три месяца назад обновил RouterOS и что-то изменилось в правилах netwatch. Тестируй failover раз в квартал — физически отключи основной WAN и проверь что переключение происходит.

Это не специфика MikroTik или Ubiquiti. Это базовая гигиена сетевой инфраструктуры которую почему-то игнорируют в 80% офисов.

Итог: мой выбор

MikroTik RB5009 как маршрутизатор и firewall — там я хотел гибкости для VLAN, WireGuard VPN и нестандартного policy-based routing для двух провайдеров. Ubiquiti USW-24-PoE как коммутатор и три U6 Pro как точки доступа — потому что Wi-Fi должен просто работать, а не стать поводом для разбирательств каждый раз когда кто-то переходит из переговорки в опенспейс.

На этапе выбора я прогнал тест с тремя точками MikroTik hAP ax2 через CAPsMAN. Настройки заняли час, роуминг работал, но на границе зон устройства залипали на слабом сигнале. Классический sticky client. С Ubiquiti U6 Pro та же сеть, те же клиенты — роуминг прозрачный. Это и был решающий аргумент.

Результат работает уже полтора года. Три инцидента за это время: упала одна точка после обновления прошивки — сбросил и adoptил заново; кончился DHCP пул в гостевой сети — забыл про /26 маску; роутер завис после обновления RouterOS — помог hard reset. Нормальная статистика для офиса.

Если бюджет жесткий и есть инженер с опытом RouterOS — берите чистый MikroTik, не пожалеете. Если нужна скорость развертывания, красивый контроллер и возможность делегировать управление — UniFi. Если хотите лучшее из обоих миров и не против потратить чуть больше — гибридная схема оправдана.

Сеть — это инфраструктура на годы. Время потраченное на правильный выбор и нормальное проектирование возвращается в виде отсутствия пожаров. Это проверено на практике.

UniFi контроллер крутится на VM с 2 ядрами и 4 GB RAM. Обновления AP делаю через контроллер раз в 1-2 месяца — но только одну тестовую точку первой. Обновления RouterOS — раз в квартал, всегда с предварительным бэкапом. Живем спокойно.

Поделись опытом
Какое железо стоит у тебя в офисе? Были проблемы с выбором между MikroTik и Ubiquiti — пиши в комментарии. Разберем конкретные кейсы.
Андрей Анатольевич
Author: Андрей Анатольевич

Руководитель ИТ / Кризис-менеджер 25 лет в IT: от инженера в МегаФоне до руководителя отдела. Знаю, как выглядит бардак: нестабильные сети, устаревшая инфраструктура, конфликты в команде, раздутые сроки. Помогаю бизнесу выходить из кризиса: навожу порядок в легаси, стабилизирую то, что разваливается, выстраиваю прогнозируемые процессы. Не раз возвращал к жизни ИТ-структуры — знаю цену хаосу. 📍 Ищу проект для полной реорганизации / стабилизации. 📬 Telegram: @over_dude ✉️ mail@it-apteka.com

Оставайтесь на связи

Рецепты от IT-боли. Без воды, без рекламы, без маркетинговой шелухи.

Подписаться на IT-Аптеку →

Мы ВКонтакте

IT-Аптека — советы, новости и помощь рядом.

Вступить в группу ВКонтакте →
Поделитесь:

Похожие записи

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Прокрутить вверх