Настройка безопасности канального уровня на MikroTik

Введение

Статья содержит пошаговое руководство по настройке безопасности канального уровня на роутерах MikroTik. Информация актуальна для RouterOS 7.22.2 Stable (май 2026 г.).

Описанные далее настройки основываются на приведенной ниже схеме сети, в т.ч. на том, что интерфейсы: ether2–ether5, а также оба интерфейса Wi-Fi объединены с помощью интерфейса bridge-LAN.

Рисунок 1. Схема сети

Секреты настройки MikroTik

Более 18.000 подписчиков самого большого telegram-канала «MikroTik-сэнсэй» первыми узнают секреты настройки MikroTik от автора этой вики.

В мае и июне 2026 г. будут разбираться: Wi-Fi, QoS, VLAN и файрвол.

Подписаться на «MikroTik‑сэнсэй»

Настройка безопасности канального уровня

Устройства MikroTik могут обнаруживать другие устройства («соседей»), которые находятся с ними в одном L2-сегменте. Обнаружение устройств MikroTik выполняется с помощью протокола MNDP, а обнаружение устройств, отличных от MikroTik, – с помощью протокола LLDP. Проблема состоит в том, что при включении обнаружения других устройств становится видимым и само устройство MikroTik. Поэтому рекомендуется разрешать обнаружение «соседей» только на доверенных интерфейсах. В рамках данной статьи таким интерфейсом является интерфейс, относящийся к локальной сети, а именно bridge-LAN.

Также рекомендуется разрешать консольные и WinBox-подключения по MAC-адресу только с доверенных интерфейсов. Устройства MikroTik поддерживают ping по MAC‑адресу (MAC‑ping), но его рекомендуется полностью отключить, поскольку этот механизм нельзя разрешить или запретить для отдельных интерфейсов.

Такие ограничения настраиваются с помощью следующих действий:

создается список доверенных интерфейсов,
разрешается обнаружение «соседей» только для списка доверенных интерфейсов,
разрешаются консольные подключения по MAC-адресу только для списка доверенных интерфейсов,
разрешаются WinBox-подключения по MAC-адресу только для списка доверенных интерфейсов,
запрещается MAC-ping.

Чек‑лист по настройке MikroTik RouterOS v7

Актуальность: RouterOS 7.22.2 (май 2026 г.)
Содержание: pdf-файл на четырех страницах, содержащий список пунктов, необходимых при настройке MikroTik (Firewall, Wi‑Fi, QoS, NAT, DHCP, DNS, а также многое другое).

Через графический интерфейс

С помощью WinBox 4

Рисунок 2. Создание списка интерфейсов

Рисунок 3. Включение bridge-интерфейса в список интерфейсов LAN

Рисунок 4. Разрешение обнаружения соседей только для списка доверенных интерфейсов

Рисунок 5. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов

Рисунок 6. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов

Рисунок 7. Запрет MAC-ping

С помощью WinBox 3

Рисунок 8. Создание списка интерфейсов

Рисунок 9. Включение bridge-интерфейса в список интерфейсов LAN

Рисунок 10. Разрешение обнаружения соседей только для списка доверенных интерфейсов

Рисунок 11. Разрешение консольных подключений по MAC-адресу только для списка доверенных интерфейсов

Рисунок 12. Разрешение WinBox-подключений по MAC-адресу только для списка доверенных интерфейсов

Рисунок 13. Запрет MAC-ping

Через командную строку

/interface/list/
add name=LAN

/interface/list/member/
add interface=bridge-LAN list=LAN

/ip/neighbor/discovery-settings/
set discover-interface-list=LAN

/tool/mac-server/
set allowed-interface-list=LAN

/tool/mac-server/mac-winbox/
set allowed-interface-list=LAN

/tool/mac-server/ping/
set enabled=no