fritzkarl85
Dec 19, 2023
view1180
view5
0
Goto Top

Mikrotik MAC Access

GermansolvedQuestionLAN, WAN, Wireless
Hallo!

Ich hab hier im meiner Testumgebung ein kleines Problem.
Und zwar hab ich auf diesem Gerät ein paar VLAN eingerichtet.
Die MGMT IP habe ich auf das entsprechende VLAN Interface gebunden.

Soweit klappt auch alles einwandfrei.

Wenn ich mich jetzt aber in einem VLAN befinden, in welchen es keine IP gibt,
kann man den Switch in der Winbox noch immer per MAC Adresse sehen und sich auch verbinden.

Meine Recherche hat ergeben, dass man den Zugriff deaktivieren kann.
https://help.mikrotik.com/docs/display/ROS/MAC+server
Man kann dann zwar den Switch per MAC nochsehen, aber die Verbindung schlägt fehl.

Gibt es eine Möglichkeit, dass die Winbox den Switch nicht mehr sieht?

Hardware: CRS326-24G-2S+RM

Meine Config
/interface bridge
add name=bridge igmp-snooping=yes vlan-filtering=yes

/interface bridge port
add bridge=bridge interface=ether1 hw=yes
add bridge=bridge interface=ether2 hw=yes
add bridge=bridge interface=ether3 hw=yes
add bridge=bridge interface=ether4 hw=yes
add bridge=bridge interface=ether5 hw=yes
add bridge=bridge interface=ether6 hw=yes
add bridge=bridge interface=ether7 hw=yes
add bridge=bridge interface=ether8 hw=yes
add bridge=bridge interface=ether9 hw=yes
add bridge=bridge interface=ether10 hw=yes
add bridge=bridge interface=ether11 hw=yes
add bridge=bridge interface=ether12 hw=yes
add bridge=bridge interface=ether13 hw=yes
add bridge=bridge interface=ether14 hw=yes
add bridge=bridge interface=ether15 hw=yes
add bridge=bridge interface=ether16 hw=yes
add bridge=bridge interface=ether17 hw=yes
add bridge=bridge interface=ether18 hw=yes
add bridge=bridge interface=ether19 hw=yes
add bridge=bridge interface=ether20 hw=yes
add bridge=bridge interface=ether21 hw=yes
add bridge=bridge interface=ether22 hw=yes
add bridge=bridge interface=ether23 hw=yes
add bridge=bridge interface=ether24 hw=yes
add bridge=bridge interface=sfp-sfpplus1 hw=yes
add bridge=bridge interface=sfp-sfpplus2 hw=yes

/interface vlan
add interface=bridge name=DEFAULT vlan-id=1
add interface=bridge name=OFFICE vlan-id=10
add interface=bridge name=GASTNETZ vlan-id=168

/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=1
add bridge=bridge tagged=bridge vlan-ids=10
add bridge=bridge tagged=bridge vlan-ids=168

/ip address
add address=10.1.1.10/24 interface=DEFAULT

Danke!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 33661174499

Url: https://administrator.de/contentid/33661174499

Printed on: May 2, 2024 at 03:05 o'clock

5 Comments
Latest comment
Goto Top
Member: commodity
commodity Dec 19, 2023 at 15:25:05 (UTC)
Goto Top
Gibt es eine Möglichkeit, dass die Winbox den Switch nicht mehr sieht?
Ja. Die Neighbor-Discovery deaktivieren:
https://help.mikrotik.com/docs/display/ROS/Neighbor+discovery#Neighbordi ...

Das hilft aber nur für die Winbox. Gefunden kann das Gerät im Netz dennoch über das ARP-Protokoll werden.

Viele Grüße, commodity
heart1
Mitglied: 10138557388
Solution 10138557388 Dec 19, 2023 updated at 17:15:00 (UTC)
Goto Top
# neighbor discovery deaktivieren 
/ip neighbor discovery-settings set discover-interface-list=none
# Mac Server abschalten 
/tool mac-server set allowed-interface-list=none
Man sollte sich aber immer im klaren darüber sein das man sich eine Möglichkeit nimmt bzw. den Ast absägt das Device zu administrieren wenn man sich mal per IP ausgesperrt hat. Ohne MAC Access oder anderes Administrationsmöglichkeit wie RoMon bleibt dir dann nur Serial Access oder ein Reset und Backup, das sollte man also im Hinterkopf haben. Du kannst das Neighbor-Discovery ja auch nur auf das Management Interface beschränken indem du eine extra Interface-Liste dafür anlegst statt es komplett zu deaktivieren.

pj
Member: aqui
Solution aqui Dec 19, 2023 updated at 17:12:12 (UTC)
Goto Top
das man sich eine Möglichkeit nimmt bzw. den Ast absägt das Device zu administrieren
In einem Gastnetz oder anderen sicherheitsrelevanten Segmenten ist es aber aus guten Gründen Pflicht das zu deaktivieren! Reicht ja wenn es im Management VLAN aktiv ist. face-wink

Idealerweise macht man das, wie du schon richtig sagst, immer über eine Interface List und fasst dort alle Interfaces zusammen wo man es deaktivieren will, so wie es im Default Setup auch gemacht ist (WAN Port eth1).
Mitglied: 10138557388
Solution 10138557388 Dec 19, 2023 updated at 17:10:55 (UTC)
Goto Top
Klar deswegen auch die Empfehlung es per custom Interface-List nur auf das Management Interface zu legen
heart1
Member: fritzkarl85
fritzkarl85 Dec 21, 2023 at 08:19:35 (UTC)
Goto Top
Okay, dankeschön, also war ich auf dem richtigen Weg face-smile

Danke an alle

LG, fritzkarl
GermansolvedQuestionLAN, WAN, Wireless
Hotly discussed
DaniEnd of availability for classic Teams clientDani - 2 CommentsFrankUbuntu 24.04 LTS Noble Numbat availableFrankadmtechDeveloper diary: Release 6.1admtech