Mikrotik MAC Access
Hallo!
Ich hab hier im meiner Testumgebung ein kleines Problem.
Und zwar hab ich auf diesem Gerät ein paar VLAN eingerichtet.
Die MGMT IP habe ich auf das entsprechende VLAN Interface gebunden.
Soweit klappt auch alles einwandfrei.
Wenn ich mich jetzt aber in einem VLAN befinden, in welchen es keine IP gibt,
kann man den Switch in der Winbox noch immer per MAC Adresse sehen und sich auch verbinden.
Meine Recherche hat ergeben, dass man den Zugriff deaktivieren kann.
https://help.mikrotik.com/docs/display/ROS/MAC+server
Man kann dann zwar den Switch per MAC nochsehen, aber die Verbindung schlägt fehl.
Gibt es eine Möglichkeit, dass die Winbox den Switch nicht mehr sieht?
Hardware: CRS326-24G-2S+RM
Meine Config
Danke!
Ich hab hier im meiner Testumgebung ein kleines Problem.
Und zwar hab ich auf diesem Gerät ein paar VLAN eingerichtet.
Die MGMT IP habe ich auf das entsprechende VLAN Interface gebunden.
Soweit klappt auch alles einwandfrei.
Wenn ich mich jetzt aber in einem VLAN befinden, in welchen es keine IP gibt,
kann man den Switch in der Winbox noch immer per MAC Adresse sehen und sich auch verbinden.
Meine Recherche hat ergeben, dass man den Zugriff deaktivieren kann.
https://help.mikrotik.com/docs/display/ROS/MAC+server
Man kann dann zwar den Switch per MAC nochsehen, aber die Verbindung schlägt fehl.
Gibt es eine Möglichkeit, dass die Winbox den Switch nicht mehr sieht?
Hardware: CRS326-24G-2S+RM
Meine Config
/interface bridge
add name=bridge igmp-snooping=yes vlan-filtering=yes
/interface bridge port
add bridge=bridge interface=ether1 hw=yes
add bridge=bridge interface=ether2 hw=yes
add bridge=bridge interface=ether3 hw=yes
add bridge=bridge interface=ether4 hw=yes
add bridge=bridge interface=ether5 hw=yes
add bridge=bridge interface=ether6 hw=yes
add bridge=bridge interface=ether7 hw=yes
add bridge=bridge interface=ether8 hw=yes
add bridge=bridge interface=ether9 hw=yes
add bridge=bridge interface=ether10 hw=yes
add bridge=bridge interface=ether11 hw=yes
add bridge=bridge interface=ether12 hw=yes
add bridge=bridge interface=ether13 hw=yes
add bridge=bridge interface=ether14 hw=yes
add bridge=bridge interface=ether15 hw=yes
add bridge=bridge interface=ether16 hw=yes
add bridge=bridge interface=ether17 hw=yes
add bridge=bridge interface=ether18 hw=yes
add bridge=bridge interface=ether19 hw=yes
add bridge=bridge interface=ether20 hw=yes
add bridge=bridge interface=ether21 hw=yes
add bridge=bridge interface=ether22 hw=yes
add bridge=bridge interface=ether23 hw=yes
add bridge=bridge interface=ether24 hw=yes
add bridge=bridge interface=sfp-sfpplus1 hw=yes
add bridge=bridge interface=sfp-sfpplus2 hw=yes
/interface vlan
add interface=bridge name=DEFAULT vlan-id=1
add interface=bridge name=OFFICE vlan-id=10
add interface=bridge name=GASTNETZ vlan-id=168
/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=1
add bridge=bridge tagged=bridge vlan-ids=10
add bridge=bridge tagged=bridge vlan-ids=168
/ip address
add address=10.1.1.10/24 interface=DEFAULT
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33661174499
Url: https://administrator.de/contentid/33661174499
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Gibt es eine Möglichkeit, dass die Winbox den Switch nicht mehr sieht?
Ja. Die Neighbor-Discovery deaktivieren:https://help.mikrotik.com/docs/display/ROS/Neighbor+discovery#Neighbordi ...
Das hilft aber nur für die Winbox. Gefunden kann das Gerät im Netz dennoch über das ARP-Protokoll werden.
Viele Grüße, commodity
# neighbor discovery deaktivieren
/ip neighbor discovery-settings set discover-interface-list=none
# Mac Server abschalten
/tool mac-server set allowed-interface-list=none
pj
das man sich eine Möglichkeit nimmt bzw. den Ast absägt das Device zu administrieren
In einem Gastnetz oder anderen sicherheitsrelevanten Segmenten ist es aber aus guten Gründen Pflicht das zu deaktivieren! Reicht ja wenn es im Management VLAN aktiv ist. Idealerweise macht man das, wie du schon richtig sagst, immer über eine Interface List und fasst dort alle Interfaces zusammen wo man es deaktivieren will, so wie es im Default Setup auch gemacht ist (WAN Port eth1).
Klar deswegen auch die Empfehlung es per custom Interface-List nur auf das Management Interface zu legen