Как создать SD-WAN сеть на MikroTik hEX: схема, настройка и примеры применения
SD-WAN на MikroTik hEX — это практичный способ объединить филиалы, магазины, офисы и удалённые объекты через несколько интернет-каналов с автоматическим переключением, защищёнными VPN-туннелями и гибкой маршрутизацией трафика.
В MikroTik RouterOS нет одной кнопки “включить SD-WAN”, как в дорогих enterprise-системах. Но на практике SD-WAN можно построить с помощью стандартных возможностей RouterOS: WireGuard, IPsec, policy routing, mangle, PCC, failover, Netwatch, firewall и статических маршрутов.
Короткий вывод: MikroTik hEX подходит для небольших SD-WAN-сценариев: магазин, офис, склад, кассовая сеть, видеонаблюдение, филиал компании или резервный VPN-доступ. Для крупных сетей с большим количеством филиалов лучше использовать более мощные MikroTik CCR, RB5009, hAP ax, CHR в дата-центре или облаке.
Что такое SD-WAN простыми словами
SD-WAN — это программно управляемая сеть поверх разных каналов связи. Вместо того чтобы зависеть только от одного провайдера, организация может использовать сразу несколько подключений: оптику, LTE, радиоканал, GPON, корпоративный интернет или VPN через облако.
Главная задача SD-WAN — не просто соединить офисы между собой, а сделать сеть более гибкой:
- автоматически переключаться на резервный интернет при аварии основного канала;
- направлять важный трафик через защищённый VPN;
- разделять трафик по типам: касса, видеонаблюдение, телефония, офисный интернет;
- использовать несколько провайдеров одновременно;
- централизованно соединять филиалы с головным офисом или дата-центром;
- повышать отказоустойчивость сети без дорогого enterprise-оборудования.
Из чего состоит SD-WAN на MikroTik hEX
| Компонент | Для чего нужен | Как реализуется в RouterOS |
|---|---|---|
| VPN-туннель | Защищённое соединение между филиалами | WireGuard или IPsec |
| Два интернет-канала | Резервирование или распределение нагрузки | Static routes, check-gateway, recursive routing |
| Policy routing | Направление нужного трафика через нужный канал | Routing tables, routing rules, mangle |
| Failover | Автоматическое переключение при падении канала | Distance, recursive routes, Netwatch |
| Балансировка | Распределение соединений между провайдерами | PCC или ECMP |
| Мониторинг | Контроль доступности интернета и туннелей | Netwatch, scripts, logs |
Базовая схема SD-WAN на MikroTik hEX
Рассмотрим простую схему: есть головной офис и один филиал. В филиале стоит MikroTik hEX, подключённый к двум провайдерам. Между филиалом и головным офисом создаётся WireGuard-туннель. Важный трафик идёт через VPN, обычный интернет — напрямую через провайдера.
| Узел | Пример адресации | Назначение |
|---|---|---|
| Головной офис / CHR / центральный MikroTik | LAN: 10.10.0.0/24, WireGuard: 10.255.0.1/30 | Центральный узел SD-WAN |
| Филиал на MikroTik hEX | LAN: 192.168.10.0/24, WireGuard: 10.255.0.2/30 | Удалённый офис, магазин или склад |
| WAN1 | Основной интернет | Главный канал |
| WAN2 | Резервный интернет или LTE | Резерв при аварии WAN1 |
Пример 1. WireGuard-туннель между филиалом и головным офисом
WireGuard — удобный вариант для небольшого SD-WAN на MikroTik. Он проще в настройке, чем классический IPsec, хорошо подходит для филиалов и поддерживается в RouterOS v7.
Настройка на MikroTik hEX в филиале
/interface wireguard
add name=wg-to-hq listen-port=13231 mtu=1420
/ip address
add address=10.255.0.2/30 interface=wg-to-hq comment="SD-WAN tunnel to HQ"
/interface wireguard peers
add interface=wg-to-hq \
public-key="PUBLIC_KEY_OF_HQ" \
endpoint-address=203.0.113.10 \
endpoint-port=13231 \
allowed-address=10.10.0.0/24,10.255.0.1/32 \
persistent-keepalive=25s
/ip route
add dst-address=10.10.0.0/24 gateway=wg-to-hq comment="Route to HQ LAN via SD-WAN"
Настройка на центральном MikroTik
/interface wireguard
add name=wg-branch-1 listen-port=13231 mtu=1420
/ip address
add address=10.255.0.1/30 interface=wg-branch-1 comment="SD-WAN tunnel to Branch 1"
/interface wireguard peers
add interface=wg-branch-1 \
public-key="PUBLIC_KEY_OF_BRANCH" \
allowed-address=192.168.10.0/24,10.255.0.2/32 \
persistent-keepalive=25s
/ip route
add dst-address=192.168.10.0/24 gateway=wg-branch-1 comment="Route to Branch LAN"
Важно: публичные ключи WireGuard нужно заменить на реальные ключи ваших устройств. Также необходимо разрешить входящий UDP-порт WireGuard в firewall на центральном MikroTik.
Пример 2. Два провайдера и автоматический failover
Один из самых частых сценариев SD-WAN — автоматическое переключение на резервный канал. Например, WAN1 — основной оптический интернет, WAN2 — LTE или второй провайдер.
/ip route
add dst-address=8.8.8.8 gateway=192.0.2.1 scope=10 comment="Check host via WAN1"
add dst-address=1.1.1.1 gateway=198.51.100.1 scope=10 comment="Check host via WAN2"
add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping comment="Main internet via WAN1"
add dst-address=0.0.0.0/0 gateway=1.1.1.1 distance=2 check-gateway=ping comment="Backup internet via WAN2"
Логика простая: пока основной канал работает, трафик идёт через WAN1. Если проверочный адрес через WAN1 перестаёт отвечать, маршрут становится недоступен, и MikroTik переключает трафик на WAN2.
Предупреждение: IP-адреса шлюзов и проверочных хостов в примере условные. Перед внедрением нужно заменить их на реальные gateway-адреса ваших провайдеров и проверить маршрутизацию на тестовом стенде.
Пример 3. Policy routing: касса и 1С через VPN, обычный интернет напрямую
В магазине или филиале часто нужно, чтобы касса, 1С, CRM или банковский терминал ходили только через защищённый VPN в головной офис, а обычный интернет сотрудников работал напрямую через локального провайдера.
Пример: устройство кассы имеет IP 192.168.10.50, а сеть головного офиса — 10.10.0.0/24.
/routing table
add name=to-hq fib
/ip route
add dst-address=0.0.0.0/0 gateway=wg-to-hq routing-table=to-hq comment="All marked POS traffic via HQ tunnel"
/routing rule
add src-address=192.168.10.50/32 action=lookup table=to-hq comment="POS terminal via SD-WAN tunnel"
После такой настройки трафик кассы можно направлять через защищённый туннель, а остальные пользователи будут продолжать пользоваться обычным интернетом через локального провайдера.
Пример 4. Балансировка двух интернет-каналов через PCC
Если в офисе есть два интернет-канала и оба стабильные, можно не только использовать второй канал как резерв, но и распределять новые соединения между ними. Для этого часто используют PCC — per connection classifier.
/ip firewall mangle
add chain=prerouting in-interface=bridge-lan connection-mark=no-mark \
per-connection-classifier=both-addresses:2/0 action=mark-connection \
new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting in-interface=bridge-lan connection-mark=no-mark \
per-connection-classifier=both-addresses:2/1 action=mark-connection \
new-connection-mark=WAN2_conn passthrough=yes
add chain=prerouting in-interface=bridge-lan connection-mark=WAN1_conn \
action=mark-routing new-routing-mark=to_WAN1 passthrough=no
add chain=prerouting in-interface=bridge-lan connection-mark=WAN2_conn \
action=mark-routing new-routing-mark=to_WAN2 passthrough=no
/routing table
add name=to_WAN1 fib
add name=to_WAN2 fib
/ip route
add dst-address=0.0.0.0/0 gateway=192.0.2.1 routing-table=to_WAN1
add dst-address=0.0.0.0/0 gateway=198.51.100.1 routing-table=to_WAN2
PCC не объединяет два канала в один “двойной интернет” для одного скачивания, но распределяет разные соединения между провайдерами. Это полезно для офиса с большим количеством пользователей.
Пример 5. Мониторинг канала через Netwatch
Netwatch можно использовать для контроля доступности провайдера, сервера, туннеля или облачного узла. Например, если центральный офис недоступен, MikroTik может записать событие в лог или выполнить скрипт.
/tool netwatch
add host=10.255.0.1 interval=00:00:30 timeout=2s \
up-script="/log info \"SD-WAN tunnel to HQ is UP\"" \
down-script="/log warning \"SD-WAN tunnel to HQ is DOWN\""
В более сложных схемах Netwatch можно использовать для включения резервного туннеля, отправки уведомлений администратору или временного изменения маршрутов.
Где применяется SD-WAN на MikroTik hEX
1. Сеть магазинов и кассовых точек
У компании есть несколько магазинов в Ташкенте и регионах. В каждом магазине стоит MikroTik hEX, касса, терминал оплаты, камера видеонаблюдения и рабочий компьютер. Через SD-WAN касса и терминал подключаются к головному офису по VPN, а обычный интернет сотрудников идёт напрямую.
| Задача | Решение через SD-WAN |
|---|---|
| Касса должна видеть сервер в офисе | Маршрут через WireGuard-туннель |
| Интернет должен работать даже при аварии провайдера | WAN1 + WAN2 failover |
| Видеонаблюдение не должно мешать кассе | Разделение трафика через policy routing и firewall |
2. Филиалы компании
Головной офис находится в Ташкенте, филиалы — в Самарканде, Бухаре, Фергане или других городах. Каждый филиал подключается к центральному MikroTik или CHR через VPN-туннель. Сотрудники получают доступ к CRM, 1С, файловому серверу или IP-телефонии.
Такой сценарий позволяет не покупать дорогие MPLS-каналы, а использовать обычный интернет от локальных провайдеров с защищённым туннелем поверх.
3. Видеонаблюдение на удалённых объектах
На складе, стройке, АЗС или удалённом объекте установлен MikroTik hEX, камеры и видеорегистратор. SD-WAN позволяет удалённо подключаться к объекту, смотреть камеры, обслуживать оборудование и сохранять доступ даже при переключении на резервный LTE-канал.
4. Резервный интернет для офиса
Офис использует основной оптический интернет и резервный LTE-роутер. MikroTik hEX автоматически переключает трафик на резервный канал, если основной провайдер перестал отвечать. После восстановления основного канала трафик возвращается обратно.
5. Централизованное управление сетью
Если у компании много небольших объектов, SD-WAN помогает централизовать доступ: администратор подключается к головному узлу и видит все филиалы через VPN-маршруты. Это удобно для обновлений, диагностики и технической поддержки.
Преимущества SD-WAN на MikroTik hEX
- низкая стоимость по сравнению с enterprise SD-WAN;
- подходит для небольших офисов, магазинов и филиалов;
- можно использовать два и более интернет-канала;
- поддерживает защищённые туннели WireGuard или IPsec;
- гибкая маршрутизация трафика через policy routing;
- возможность автоматического failover;
- поддержка firewall, NAT, queues и мониторинга;
- хороший вариант для проектов в Узбекистане, где важна цена и гибкость.
Ограничения MikroTik hEX для SD-WAN
MikroTik hEX хорошо подходит для небольших SD-WAN-сценариев, но у него есть ограничения. Если нужно подключать десятки филиалов, обрабатывать большой VPN-трафик, строить сложные BGP-схемы или передавать сотни мегабит через шифрование, лучше выбирать более мощные устройства.
| Сценарий | Подходит ли hEX | Что выбрать при высокой нагрузке |
|---|---|---|
| 1–3 филиала, кассы, офисный доступ | Да | hEX, hEX S, E50UG, E60iUGS |
| Много VPN-трафика и несколько провайдеров | Ограниченно | RB5009, hAP ax, CCR |
| Крупная сеть с дата-центром | Нет | CCR, Cloud Hosted Router |
| Сложная маршрутизация, BGP, высокая нагрузка | Нет | CCR-серия или CHR |
Рекомендованная логика внедрения
- сначала обновить RouterOS до актуальной stable-версии;
- сделать резервную копию конфигурации;
- настроить базовый интернет и firewall;
- подключить второй WAN-канал;
- настроить failover;
- создать WireGuard или IPsec туннель;
- добавить маршруты между филиалами;
- настроить policy routing для важного трафика;
- проверить работу при отключении WAN1 и WAN2;
- добавить Netwatch, логирование и уведомления.
Важно: перед внедрением SD-WAN на рабочем объекте обязательно тестируйте конфигурацию. Ошибка в mangle, routing table или firewall может привести к потере удалённого доступа к роутеру.
Вывод
SD-WAN на MikroTik hEX — это доступный способ построить отказоустойчивую сеть для магазинов, офисов, складов, филиалов и удалённых объектов. С помощью RouterOS можно объединить несколько интернет-каналов, настроить защищённые VPN-туннели, направлять важный трафик через головной офис и автоматически переключаться на резервный канал.
Для небольших проектов MikroTik hEX является практичным решением: компактный, недорогой, гибкий и достаточно функциональный. Для более крупных SD-WAN-сетей лучше рассматривать RB5009, CCR или Cloud Hosted Router в дата-центре.
Практическая рекомендация: для малого бизнеса в Узбекистане оптимальная схема — MikroTik hEX в филиале, центральный MikroTik или CHR в головном офисе, WireGuard-туннель, два WAN-канала и policy routing для кассы, 1С, CRM или видеонаблюдения.