Настройка интернета роутера в медицинском учреждении: инструкция для IT-специалиста ЛПУ

Медицинская организация — это не просто офисная сеть. Здесь критически важны стабильность, безопасность и разграничение доступа. Ошибка в настройке роутера может привести к недоступности медицинской информационной системы (МИС), нарушению передачи лабораторных данных или утечке персональных данных пациентов.

В этой статье мы разберем базовые и продвинутые настройки интернета на роутере применительно к задачам ЛПУ. Рассмотрим сценарии:

• Малое ЛПУ (частный кабинет, небольшая поликлиника, стоматология) — настройка роутера «из коробки».
• Среднее ЛПУ (городская поликлиника, женская консультация, диспансер) — разделение на открытый и закрытый сегменты (как было описано в предыдущей статье).
• Особые требования провайдера «Смольный» (СПб) — параметры, которые нужно обязательно проверить.

Мы ориентируемся на массовые модели роутеров: MikroTik (золотой стандарт для ЛПУ), Keenetic, Zyxel, а также на универсальные настройки для маршрутизаторов на Linux.

---

1. Что нужно знать перед настройкой роутера в ЛПУ

1.1. Исходные данные от провайдера

Прежде чем заходить в веб-интерфейс роутера, найдите договор с интернет-провайдером. Вам понадобятся следующие параметры (в зависимости от типа подключения):

Тип подключения	Какие параметры нужны
Статический IP (чаще всего для ЛПУ)	IP-адрес, маска подсети, шлюз (Gateway), DNS-серверы
DHCP (динамический IP)	Ничего — роутер получит автоматически (редко для госучреждений)
PPPoE	Логин, пароль (иногда используется в небольших ЛПУ)
Подключение через VLAN (часто у «Смольного»)	VLAN ID (например, 777), приоритет (если требуется)

Важно: для государственных медицинских учреждений в Санкт-Петербурге с провайдером «Смольный» почти всегда используется статический IP и может потребоваться настройка VLAN на WAN-порту.

1.2. Какие задачи должен решать роутер в ЛПУ

Роутер в медицинской организации — это не просто «раздающий интернет» прибор. Его функции:

1. Обеспечение доступа в интернет для открытого сегмента (рабочие станции, гостевой Wi-Fi).
2. Изоляция закрытого сегмента с МИС и серверами.
3. NAT (трансляция адресов) — скрытие внутренней сети за одним публичным IP.
4. Межсетевое экранирование (фаервол) — запрет нежелательных соединений.
5. Резервирование канала (если есть второй провайдер или 4G-модем).
6. Логирование — кто, куда и когда подключался.

---

2. Универсальный алгоритм настройки интернета на роутере

2.1. Первичный вход в роутер и сброс к заводским настройкам

Если роутер уже использовался, рекомендуется сделать сброс:

• MikroTik: удерживать кнопку Reset 5–10 секунд до мигания LED.
• Keenetic: нажать и удерживать кнопку «Сброс» 10 секунд.
• Zyxel Keenetic / Zyxel USG: через веб-интерфейс «Сброс настроек».

Данные для входа по умолчанию (чаще всего):

• IP-адрес: 192.168.0.1, 192.168.1.1, 192.168.88.1 (MikroTik)
• Логин: admin
• Пароль: admin или пустая строка (или указан на наклейке).

Настоятельная рекомендация: после первого входа сразу смените пароль администратора! В ЛПУ это не рекомендация, а требование.

2.2. Настройка подключения к провайдеру (WAN)

Рассмотрим настройку на примере трёх популярных брендов.

Пример 1: MikroTik RouterOS (WinBox или WebFig)

Шаг 1. Назначение WAN-порта

По умолчанию первый порт (ether1) часто является WAN.

/interface set ether1 name=wan
/ip address add address=10.10.128.2/29 interface=wan
/ip route add gateway=10.10.128.1
/ip dns set servers=10.10.10.10,10.10.10.11

Если провайдер использует VLAN на WAN (например, «Смольный»):

/interface vlan add name=vlan-smolny vlan-id=777 interface=wan
/ip address add address=10.10.128.2/29 interface=vlan-smolny
/ip route add gateway=10.10.128.1

Шаг 2. NAT для открытого сегмента (маскарадинг)

/ip firewall nat add chain=srcnat action=masquerade out-interface=wan

Шаг 3. DHCP-клиент (если провайдер выдаёт динамический IP)

/ip dhcp-client add interface=wan disabled=no

Проверка: /ping 8.8.8.8 — должны быть ответы.

Пример 2: Keenetic (KeeneticOS) — для малых ЛПУ

1. Зайдите в веб-интерфейс http://my.keenetic.net или по IP-адресу.
2. Перейдите в «Интернет» → «Подключения».
3. Выберите порт, к которому подключён кабель провайдера (обычно порт 0 или 4).
4. Выберите тип подключения (Статический IP / PPPoE / DHCP).
5. Заполните поля (IP, маска, шлюз, DNS).
6. Нажмите «Применить».

Пример 3: Zyxel USG / ATP (для средних и крупных ЛПУ)

• Войдите в веб-конфигуратор.
• Перейдите в Configuration → Network → Interface → Ethernet.
• Выберите WAN-порт (обычно ge1).
• Укажите тип подключения (Static IP).
• Заполните поля.
• Добавьте правило NAT (Many-to-One или Masquerade).

2.3. Настройка LAN (внутренняя сеть)

LAN-сеть — это «внутренняя сторона» роутера. Настройка обычно сводится к:

• IP-адрес роутера в локальной сети (шлюз для устройств). По умолчанию часто 192.168.1.1 или 192.168.0.1.
• Маска подсети (обычно 255.255.255.0 или /24).
• Включение DHCP-сервера — автоматическая раздача IP-адресов устройствам в сети.

Пример настройки LAN на MikroTik:

/ip address add address=172.16.0.1/24 interface=bridge-local
/ip pool add name=pool-local ranges=172.16.0.10-172.16.0.250
/ip dhcp-server add name=dhcp-local interface=bridge-local address-pool=pool-local
/ip dhcp-server network add address=172.16.0.0/24 gateway=172.16.0.1 dns-server=8.8.8.8,1.1.1.1

Для ЛПУ: DNS-серверы лучше указывать те, что предоставил провайдер (например, от «Смольного») — они могут иметь доступ к внутренним медицинским доменам.

2.4. Базовые правила межсетевого экрана (Firewall)

Даже для простой сети ЛПУ минимальные правила безопасности обязательны.

MikroTik (пример базового набора):

# Разрешить уже установленные соединения
/ip firewall filter add chain=forward connection-state=established,related action=accept

# Разрешить соединения из LAN в интернет
/ip firewall filter add chain=forward src-address=172.16.0.0/24 out-interface=wan action=accept

# Запретить доступ к роутеру из WAN (защита от внешних атак)
/ip firewall filter add chain=input in-interface=wan action=drop

# Запретить все остальное
/ip firewall filter add chain=forward action=drop
/ip firewall filter add chain=input action=drop

Обязательно: разрешите себе (администратору) доступ к роутеру из нужной подсети:

/ip firewall filter add chain=input src-address=172.16.0.0/24 action=accept

---

3. Специфика медицинского учреждения: разделение на сегменты

Если в ЛПУ есть сервер МИС, PACS, лабораторное оборудование, их нужно изолировать от обычных рабочих станций и гостевого Wi-Fi. Это делается через VLAN или через физически разные порты роутера.

3.1. Схема сегментов

Сегмент	Назначение	IP-сеть (пример)
Открытый (LAN_OPEN)	Рабочие станции врачей, гостевой Wi-Fi	172.16.0.0/24
Закрытый (LAN_CLOSED)	Сервер МИС, PACS, лаборатория	10.1.0.0/24
Управление (LAN_MGMT)	Администраторы сети (опционально)	192.168.99.0/28

3.2. Реализация на роутере через разные LAN-порты (проще)

Если ваш роутер имеет несколько физических портов (как MikroTik, Keenetic с 4–5 портами):

• Порт 2–3 — открытый сегмент (подключить к одному коммутатору).
• Порт 4 — закрытый сегмент (подключить к другому коммутатору, где находятся серверы).

Настройка на MikroTik:

# Порт 2 (ether2) — открытый сегмент
/ip address add address=172.16.0.1/24 interface=ether2
/ip pool add name=pool-open ranges=172.16.0.10-172.16.0.250
/ip dhcp-server add name=dhcp-open interface=ether2 address-pool=pool-open

# Порт 3 (ether3) — закрытый сегмент (статическая сеть, DHCP не нужен)
/ip address add address=10.1.0.1/24 interface=ether3

Правила файервола для изоляции:

# Запретить доступ из открытого сегмента в закрытый
/ip firewall filter add chain=forward src-address=172.16.0.0/24 dst-address=10.1.0.0/24 action=drop

# Запретить доступ из закрытого сегмента в открытый (если не требуется)
/ip firewall filter add chain=forward src-address=10.1.0.0/24 dst-address=172.16.0.0/24 action=drop

# Разрешить закрытому сегменту доступ к определённым внешним ресурсам (например, к обновлениям антивируса)
/ip firewall filter add chain=forward src-address=10.1.0.0/24 dst-address=77.88.8.8 action=accept

3.3. Реализация через VLAN (для продвинутых)

Если у вас один порт на роутере, а внутри сети используется управляемый коммутатор — настройте VLAN (см. предыдущую статью про «Смольный»).

Пример VLAN на MikroTik:

/interface vlan add name=vlan-open vlan-id=100 interface=bridge-local
/interface vlan add name=vlan-closed vlan-id=200 interface=bridge-local

/ip address add address=172.16.0.1/24 interface=vlan-open
/ip address add address=10.1.0.1/24 interface=vlan-closed

---

4. Настройка Wi-Fi в медицинском учреждении

4.1. Гостевой Wi-Fi для пациентов

Гостевой Wi-Fi должен быть полностью изолирован от локальной сети ЛПУ.

Настройка на Keenetic (самый простой):

1. Перейдите в «Домашняя сеть» → «Wi-Fi».
2. Создайте новую сеть (SSID): Patient_WiFi.
3. Включите опцию «Гостевая сеть» или «Изоляция от локальной сети».
4. При необходимости — ограничьте скорость (например, 5 Мбит/с).

Настройка на MikroTik (через интерфейс CAPsMAN или отдельный виртуальный AP):

/interface wireless set wlan1 band=2ghz-b/g/n ssid=Patient_WiFi mode=ap-bridge
/interface wireless set wlan1 security-profile=guest-profile

# Отключить доступ к LAN
/ip firewall filter add chain=forward in-interface=wlan1 out-interface=bridge-local action=drop

4.2. Защищённый Wi-Fi для сотрудников

Для врачей и медсестёр, которые работают с планшетами и ноутбуками, необходим шифрованный Wi-Fi с доступом к МИС.

• SSID: Staff_WiFi или Med_WiFi
• Шифрование: WPA2-Enterprise (лучше с RADIUS-сервером) или хотя бы WPA2-PSK со сложным паролем.
• Доступ: разрешён в открытый сегмент и, возможно, в закрытый (через VPN или прокси).
• Настройки безопасности: обязательно включить изоляцию клиентов друг от друга (client isolation).

---

5. Особые настройки для провайдера «Смольный» (Санкт-Петербург)

5.1. Статический IP и шлюз

Убедитесь, что вы точно скопировали данные из акта об оказании услуг или письма техподдержки.

IP-адрес: 10.10.128.2
Маска: 255.255.255.248 (/29)
Шлюз: 10.10.128.1
DNS: 10.10.10.10 и 10.10.10.11

5.2. Возможная необходимость тегирования VLAN на WAN

Некоторые подключения через «Смольный» требуют VLAN ID на порту провайдера.

Настройка на роутере MikroTik:

/interface vlan add name=wan-smolny vlan-id=777 interface=ether1
/ip address add address=10.10.128.2/29 interface=wan-smolny
/ip route add gateway=10.10.128.1

На Keenetic: в разделе «Интернет» → «Параметры подключения» → «Использовать VLAN» → указать ID.

5.3. Доступ к городским медицинским системам

Убедитесь, что из вашей локальной сети доступны:

• ЕМИАС (адреса обычно выдаёт провайдер или комитет по здравоохранению)
• Региональная сеть передачи данных (РСПД)
• DNS-резолверы (10.10.10.10, 10.10.10.11 могут резолвить внутренние имена)

Проверка:

nslookup emias.spb.ru 10.10.10.10
ping 10.x.x.x (адрес шлюза ЕМИАС)

5.4. NAT для открытого сегмента (однако маскарадинг может быть не разрешён!)

Обратите внимание: в некоторых контрактах со «Смольным» использование NAT на вашем роутере запрещено, так как провайдер даёт «чистый» IP. В таком случае:

• Каждое устройство должно иметь свой публичный IP из выданной подсети (что неудобно).
• Либо они настраивают маршрутизацию.

Поэтому обязательно уточните техническую поддержку: «NAT разрешён или нет?»

---

6. Настройка резервного канала (4G / второй провайдер)

Для медицинских учреждений перерыв в интернете может означать остановку работы МИС. Резервный канал — обязательная мера.

Пример настройки резервирования (MikroTik):

1. Подключите USB-модем 4G (или второй провайдер на порт ether5).
2. Настройте DHCP-клиент на этом интерфейсе.
3. Создайте правило маршрутизации с метрикой:

/ip route add gateway=192.168.8.1 (адрес модема) distance=2

4. Настройте скрипт для проверки основного канала и переключения (Recursive Gateway).

На Keenetic: функция «Резервное подключение» есть в веб-интерфейсе (раздел «Интернет» → «Резерв»).

---

7. Сохранение и документирование настроек

Перед вводом роутера в эксплуатацию:

1. Сделайте резервную копию конфигурации и сохраните её на служебном компьютере и в облаке.
2. Запишите пароли (админ, Wi-Fi) в защищённом менеджере паролей.
3. Составьте схему сети с указанием портов, VLAN, IP-адресов.
4. Настройте часовой пояс и NTP-синхронизацию — для корректного логирования.

---

8. Заключение

Настройка интернета на роутере в медицинском учреждении — это не просто задать IP и забыть. Это комплекс мер, включающий:

• правильное подключение к провайдеру (особенно к «Смольному»);
• разделение на открытый и закрытый сегменты (через порты или VLAN);
• межсетевое экранирование;
• защищённый Wi-Fi для сотрудников и изолированный для пациентов;
• резервный канал на случай отказа.

Даже небольшое ЛПУ (частная клиника, стоматология, диагностический центр) должно следовать этим принципам — это не только вопрос безопасности, но и непрерывности оказания медицинской помощи.

Если вам нужна настройка сложных сценариев (VLAN, advanced firewall, VPN), обратитесь к профильному системному администратору или в компанию, имеющую опыт работы с медицинскими учреждениями.