Это практическое руководство по созданию защищённого VPN между филиалами с помощью арендованных роутеров. Поясню, зачем нужен такой VPN, какие задачи он решает и как собрать сеть по шагам, чтобы кафе, салон красоты или магазин в Минске и областных центрах работали как единый IT‑пространство.
Архитектура и выбор модели: центральный концентратор и филиалы
Сценарий: сеть из главного офиса в Минске и трёх точек продаж в Гомеле, Бресте и Мозыре. Каждая точка получает арендованный роутер с поддержкой WireGuard и 4G/5G для резервирования канала.
Как сделать: выберите модель роутера с аппаратной поддержкой VPN и dual‑WAN. Для центрального узла возьмите VPS или виртуальный хостинг с фиксированным IP и поддержкой WireGuard. На роутерах включите режим клиента WireGuard, заведите ключи для каждого филиала и настройте статические маршруты для локальных подсетей.
Подключение и управление ключами: простая и надёжная схема
Сценарий: у сети салонов в Минске администратор не хочет открывать общий доступ к ключам на каждом устройстве. Нужно централизованно управлять доступом сотрудников и обновлять ключи при смене персонала.
Как сделать: генерируйте пару ключей WireGuard для каждого роутера на защищённом ПК администратора. Включите короткий срок жизни ключей и храните резервные копии в зашифрованном хранилище. При утере устройства отзывайте ключ в конфиге центрального хоста и добавляйте новый. Для удобства используйте имя клиента в конфигурации, чтобы быстро находить нужный роутер.
Маршрутизация и разграничение трафика: что пускать через VPN
Сценарий: небольшой магазин в Бресте использует онлайн‑кассу и облачную CRM. Трафик к кассе должен идти напрямую, а доступ к внутренним серверам — через VPN.
Как сделать: настройте split‑tunnel на роутере: маршруты к IP адресам облачной кассы оставьте через локальный интернет‑провайдер, всё остальное — через VPN к центральному офису. В центральном офисе зафиксируйте маршруты к подсетям филиалов и настройте NAT только для тех сетей, где это нужно.
Резервирование каналов и мобильные роутеры
Сценарий: летняя терраса кафе в Могилёве теряет основной проводной интернет; нужен быстрый автоматический переход на резервный канал.
Как сделать: арендуйте 4G/5G‑роутер с поддержкой failover и поставьте его как вторичный WAN на арендуемом устройстве. Настройте health‑check на провайдера и правило автоматического переключения при падении основного канала. Ссылки на опции по аренде роутеров помогут выбрать подходящую модель: аренда 4G/5G‑роутеров для резервного интернета.
Мониторинг, логирование и обновления
Сценарий: сеть салонов в Витебске замечает редкие разрывы соединения по ночам. Нужно быстро понять источник и восстановить связь.
Как сделать: включите базовый мониторинг доступности (ping, время ответа) и собирайте логи на центральном хосте. Периодически проверяйте версию прошивки роутеров и ставьте обновления в внепиковое время. Для управляемого хостинга и контейнеров полезна документация по виртуальному хостингу: контейнеризация на виртуальном хостинге adsl.by.
Сегментация сети и гостевой Wi‑Fi
Сценарий: салон красоты в Гродно хочет отдать Wi‑Fi клиентам, но не допустить доступа к кассе и внутренним файлам.
Как сделать: используйте VLAN: выделите гостевую сеть с отдельным DHCP и блокируйте маршруты к внутренним подсетям через ACL на роутере. Доступ администратора оставьте только по VPN и по HTTPS с двухфакторной авторизацией.
Типичные ошибки
- Использование одного общего ключа VPN для всех филиалов вместо индивидуальных ключей.
- Отсутствие резервного канала и теста переключения в пиковое время.
- Неправильная маршрутизация, которая пропускает чувствительный трафик в общий интернет.
- Необновлённая прошивка роутеров с известными уязвимостями.
- Хранение ключей и паролей в открытом текстовом файле на рабочем столе администратора.
3 шага на неделю: 1) инвентаризируйте все точки и пометьте, какие роутеры у вас арендованы; 2) заведите отдельный ключ WireGuard для каждой точки и настроьте центральный VPS как концентратор; 3) включите мониторинг и настройте резервный 4G/5G канал для одной тестовой точки.