Настройка MikroTik Neighbors

Настройка MikroTik Neighbors

от

MikroTik Neighbor — сервис устройств MikroTik поддерживающий протоколы обнаружения соседей в L2 сегменте. Помогает найти «соседние» устройства в локальной сети по протоколам: MNDP (MikroTik Neighbor Discovery Protocol), CDP (Cisco Discovery Protocol), или LLDP (Link Layer Discovery Protocol).

Neighbor Discovery в RouterOS раскрывает MAC адрес устройства, версию ОС и модель устройства. Эти данные могут быть использованы злоумышленниками. Например, если RouterOS не обновляется, через MNDP на внешнем интерфейсе можно определить его версию и воспользоваться известными уязвимостями для атаки.

В RouterOS механизм Neighbor Discovery работает двумя способами:

  • на уровне L4 — через UDP (порт 5678);
  • на уровне L2 — через протоколы MNDP/VDP/CDP, использующие мультикаст MAC-адрес 01:00:0C:CC:CC:CC.

Информация из обоих источников объединяется и отображается в списке соседей:

/ip neighbors

Простой блокировкой UDP-пакетов на порт 5678 при настройке Firewall полностью скрыть информацию о маршрутизаторе невозможно, так как данные продолжают передаваться на уровне L2.

[IP]➙[Neighbors]

Настройки службы находятся в Discovery Settings.

По умолчанию обнаружение (discovery) настроено на всех интерфейсах, что упрощает администрирование, но также показывает информацию о ваших устройствах другим устройствам с включенными протоколами обнаружения, например вашему провайдеру.

Содержание:

Настройка Neighbors для дома

Для домашней конфигурации, на роутере, без управляющего VLAN, отключим обнаружение наших устройств со стороны провайдера.

Разрешаем обнаружение на всех интерфейсах кроме списка списка интерфейсов WAN, для этого указываем список интерфейсов WAN и устанавливаем символ восклицательного знака (исключение).

Так же, мне интересно обнаружение только устройств MikroTik, поэтому оставлен только протокол MNDP.

Настройка MikroTik Neighbors для дома (исключить WAN)

Терминал:

/ip neighbor discovery-settings set discover-interface-list=!WAN lldp-mac-phy-config=yes lldp-max-frame-size=yes lldp-vlan-info=yes protocol=mndp

Также может быть интересна возможность изменения Режима обнаружения (Mode) ограничив только получение или отправку пакетов: rx only или tx only.

На других домашних устройствах (я использую точки доступа MikroTik), я не меняю настройки Neighbor.

Настройка Neighbors для работы

В рабочей конфигурации используется специальный VLAN для управления устройствами, только на этом интерфейсе разрешается работать службе обнаружения Neighbors (для унификации, этот интерфейс включен в список интерфейсов DISCOVERY.

В отличии от домашней конфигурации, настройки службы Neighbors одинаковы на всех устройствах сети (для управления конфигурациями я использую Ansible).

В рабочей сети используется VLAN20 выделенный для IP телефонии, поэтому добавочно указываем параметр LLDP MED Network Policy VLAN = 20.

ℹ️ LLDP-MED — это расширение протокола LLDP, предназначенное для работы с VoIP. Позволяет устройству автоматически сообщать IP-телефонам в какой VLAN (Voice VLAN) им следует отправлять голосовой трафик.

Настройка MikroTik Neighbors для офиса LLDP MED Network Policy VLAN

Терминал:

/ip neighbor discovery-settings set discover-interface-list=DISCOVERY lldp-med-net-policy-vlan=20 lldp-vlan-info=yes

Настройка MikroTik Identity — это часть мастер-статьи: «Настройка MikroTik для дома» .

Проверено на RouterOS v7.20.4

Дата обновления статьи:

Оставьте комментарий

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания применять.