Базовая настройка Mikrotik с нуля для работы в VoIP-сетях часть 1

Тема — базовая настройка и подбор оборудования MikroTik «с нуля» для IP-сетей, где работает Asterisk и корпоративная VoIP-телефония. Материал ориентирован на интеграционные проекты: как избежать проблем со связью, какие модели выбирать под разные сценарии, что учитывать в Wi-Fi и коммутации, и почему сеть важна не меньше, чем сама АТС.

Почему интегратору телефонии приходится «лезть в сеть»

VoIP — это IP. Если IP-сеть не выдерживает нагрузку или настроена небрежно, появляются классические симптомы: обрывы, задержки, «кваканье» звука, односторонняя слышимость. В SMB-сегменте часто встречаются бытовые роутеры (TP-Link/ASUS/D-Link и пр.), на которых сложно обеспечить стабильный QoS, корректный NAT и безопасные правила. В итоге интегратору так или иначе приходится брать на себя сетевую часть проекта.

Отдельный риск — совмещение роли АТС и граничного роутера. Даже если Asterisk технически справится, «административный шум» (проброс «временно нужного» RDP, отключения фильтров и т. п.) быстро разрушает изначально здравую политику безопасности. Практичный подход — разделять функции: Asterisk занимается телефонией, маршрутизация и защита — на выделенном сетевом оборудовании.

Почему именно MikroTik (а не «бэушная Cisco» и не «роутер на самой АТС»)

Исторически б/у Cisco решала многие задачи, но у подхода есть минусы: габариты и шум (для малого офиса критично), дефицит аппаратных модулей (например, крипточипов для VPN), неоднозначная реакция заказчика на «новый проект на старом железе». Роутер «на самой АТС» страдает от проблем разделения полномочий и безопасности.

MikroTik дает гибкость (RouterOS), достаточную производительность в типичных сценариях, внятную линейку с PoE и L3-коммутацией. В 90% наших VoIP-проектов этого достаточно. Импортозамещение и облачные альтернативы обсуждаемы, но чаще это политики, а не техника.

Официальные тесты ориентируются на крупные пакеты и «лабораторные» режимы. В реальности в смешанном трафике преобладают более мелкие пакеты (~512 байт), включается PPPoE/VPN-инкапсуляция, CAPsMAN, mangle, QoS, десятки-сотни правил фаервола — и реальные скорости падают.

Практическое правило:

• ориентироваться на строку с 25 Firewall Filter Rules (или выше) и малые пакеты;
• учесть ~×0.5…×0.7 от «красивой» цифры в паспорте при включенном QoS/NAT/PPPoE;
• помнить, что включение дополнительных сервисов — это всегда CPU.

Пример: RB5009UG+S+IN для дома вывозит гигабит «по-честному» при умеренных настройках; в офисном профиле с QoS/NAT/PPPoE стоит рассчитывать на ~500–800 Мбит/с суммарно.

Сценарий 1. «Богатая квартира» ~150 м² (проводка закладывается на этапе ремонта)

Цели и сервисы: гигабитный интернет «в перспективу», стабильный Wi-Fi, IPTV, VoIP, видеонаблюдение. Принципиально — только кабельная разводка к ключевым точкам (репитеры/PLC не рекомендованы).

Роутер

• Базовый выбор: RB5009UG+S+IN — компактный, производительный, SFP+ для аплинка/агрегации, достаточно портов.
• Альтернатива «чуть постарше»: RB4011 (если есть в доступе), но предпочтительнее ARM64-платформа RB5009.

Точки доступа (AP)

• Современный Wi-Fi лучше вынести из роутера в отдельные AP. На 150 м² обычно стартовая оценка — 3 точки.
• Практичный выбор: cAP ax (802.11ax), управляемые через CAPsMAN. У cAP ax более приличная антенная часть, чем у настольных hAP. Размещение — по проекту; «за телевизор» можно, но результат зависит от планировки и материалов.
• Audience — крепкая, но это Wi-Fi 5 и обычно дороже/менее рационально «вперед в будущее».

Коммутация и PoE

Если PoE-портов RB5009 не хватает для камер/AP, добавить коммутатор PoE:

• CRS328-24P-4S+RM — 24×1G PoE + 4×SFP+, L3-возможности;
• либо CRS354-48P-4S+2Q+RM, если портов больше и нужна высокая агрегация.

Рекомендация: по возможности делать розетки/линии «под PoE» повсеместно, чтобы не ловить «какой порт поешный».

Сценарий 2. Средний офис ~100 сотрудников

Каналы: 2×100–300 Мбит/с (лучше), резервирование WAN.
Требования: QoS под VoIP, NAT, фаервол (100+ правил), mangle, VRRP/dual-WAN, VLAN, Wi-Fi «офисного качества».

Роутеры (2 шт. и обязательно резерв)

• Бюджетная пара: CCR2004-16G-2S+ (или семейством близкие модели) — больше портов, чем у RB5009, ядра, SFP+.
• «С запасом на завтра»: CCR2116 — заметно выше производительность, 10G-аплинки.
• Резервирование: VRRP (active/standby или active/active по VLAN), отдельный вход под второго провайдера. «Второй роутер» — это не роскошь, а стоимость простоя × зарплаты × 100 человек.

Wi-Fi

• Приблизительная оценка: ~16 × cAP ax на 800 м². Это «с потолка» — корректно делать радиопроект (хотя бы экспресс-обследование), чтобы избежать взаимных помех и «отвалов» трубок/софтфонов.
• Для ответственных офисных сетей Wi-Fi имеет смысл поручать спецподрядчику.

Коммутация (доступ)

• Телефоны + ПК — считать портами, а не «прозрачной вставкой» через 100-Мбит телефон. Лучше гигабит до рабочего места; иначе легко упереться в 100 Мбит на критичном сотруднике.
• Практика: ставить PoE-коммутаторы на уровне доступа — меньше путаницы и поломок.
• Под 100 сотрудников с AP/камерами часто нужны 4–5× CRS354-48P-4S+2Q+RM (по месту).

Агрегация/дистрибуция (10G)

Объединить «доступ» через 10G:

• CRS326-24S+2Q+RM — 24×10G SFP+ + 2×40G QSFP+, удобная «бюджетная» агрегация;
• при росте требований — CRS518/CRS520 (больше скоростей/портов).

Серверный сегмент целесообразно поднимать до 10G, тогда бэкапы/медиа/ВМ работают заметно быстрее.

Сценарий 3. Крупный офис/кампус ~1000 сотрудников

Портов доступа ~2500 ⇒ десятки коммутаторов уровня доступа. Двухуровневой модели не хватает — нужна трёхуровневая архитектура: доступ → агрегация → ядро.

• Доступ: CRS354-48P-4S+2Q+RM (PoE, много портов).
• Агрегация: CRS326-24S+2Q+RM или более «тяжёлые» CRS518/CRS520 (в зависимости от 10/25/40G и плотности).
• Ядро/маршрутизация: CCR2216 (семейство), при необходимости парой и с MLAG/ECMP/VRRP.
• Вопрос «10G до доступа» vs «больше портов дешевле» решается бюджетом и трафик-профилем. Перезакладываться разумно: завтрашние BI/видео/DevOps-потоки могут «внезапно» съесть аплинки.

Филиалы

• Избегать устаревших и «сильно облегчённых» моделей. hAP lite и подобные — риск по производительности и поддержке в RouterOS 7.
• Рациональные варианты: hAP ax lite, hAP ax2, hAP ax3 (hAP ax³) — заметно бодрее CPU/память/радиочасть.
• hAP ac² — спорен из-за ограничений по флеш/ресурсам; на долгосрочную перспективу лучше ax-линейка.
• Коммутация филиала — по задачам: VLAN/802.1X/NAC — значит управляемый L2/L3. Если «просто розница без изысков», можно упростить, но стабильность — приоритет.

Ключевые настройки и гигиена сети для VoIP

• QoS: маркировать SIP/RTP (DSCP), формировать очереди; не «зажимать» голос мелкими очередями.
• NAT и ALG: аккуратно с SIP-ALG; фиксировать статический порт для RTP, продумать порты/таймауты.
• Firewall: белые списки к Asterisk/операторам, защита management-плоскости, ограничение сервисов; fail2ban на АТС не отменяет грамотный edge-фаервол.
• VPN: IPSec/WireGuard по необходимости; помнить про влияние шифрования на CPU.
• PPPoE/VLAN: учесть накладные расходы инкапсуляции в расчётах производительности.
• Резервирование: VRRP для шлюзов, два провайдера, LACP/ECMP где уместно, запас по питанию (двойное PSU там, где критично).

Кабельная инфраструктура и PoE — экономия, которая «аукнется»

• Протянуть отдельный кабель к каждому рабочему месту и камере/AP, не надеяться на «сквозной порт» телефона.
• Делать PoE-розетки/линии по максимуму — это уменьшает аварии и «административные загадки».
• Избегать 100-Мбит сегментов — потом всё равно придётся переделывать. Гигабит на стол — стандарт.

Wi-Fi: реализм вместо «кнопки “сделать хорошо”»

Текущая ax-линейка MikroTik (cAP ax) стала гибче и доступнее (часто дешевле некоторых облачных решений). Раньше у MikroTik не хватало ряда 802.11ac/ax-фич, теперь ситуация лучше, но радиопроект всё равно важнее бренда. «Кнопки счастья» у любого вендора работают не всегда; когда не сработают — выручает именно гибкость.

Облака (в т. ч. у Aruba/Ruijie/…): учитывать зависимость от внешних сервисов, особенно в регионах с ограниченным доступом. Для критичных инсталляций on-prem остаётся предпочтительным.