Wenn Sie unserer Anleitung VPN-2FA mit RADIUS gefolgt sind, haben Sie bereits alles, um noch etwas anderes zu schützen: die Anmeldung am Router selbst. WinBox, WebFig, SSH und die API können sich allesamt über RADIUS authentifizieren, und da der Notakey Auth-Proxy transparentes RADIUS spricht, genügt es, den Login-Dienst des Routers auf ihn zu richten: Jede Admin-Anmeldung erfordert dann eine Bestätigung auf dem Telefon, nicht nur ein Passwort.
Der Ablauf ist identisch mit dem VPN-Fall:
Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server
│
└──▶ push notification ──▶ admin's phone
Auf der Router-Seite ändern sich nur drei Dinge; sie folgen unten.
Voraussetzungen
- Ein funktionierender Auth-Proxy vor einem RADIUS-Server, eingerichtet genau wie in den Schritten 1–3 der VPN-Anleitung. Als nachgelagerter RADIUS-Server eignet sich jeder: FreeRADIUS, Microsoft NPS, MikroTiks eigener User Manager oder das Notakey-RADIUS-Plugin.
- Der Benutzername des Admins muss im nachgelagerten RADIUS-Server und im Notakey-Dienst vorhanden sein, mit registriertem Telefon, denn der Proxy adressiert den Push über den Benutzernamen.
Schritt 1: Push-Nachricht für Admins festlegen
Der Proxy sendet die Nachricht aus seiner eigenen Konfiguration, dieselben
message_title / message_description wie bei VPN-Anmeldungen. Sie haben
zwei Möglichkeiten:
- Den VPN-Proxy unverändert weiterverwenden. Der schnellste Weg. Admin-Anmeldungen zeigen dann auf dem Telefon den VPN-Wortlaut (z. B. „VPN authentication — allow john login?“). Für kleine Umgebungen völlig praktikabel.
- Eine zweite Proxy-Instanz betreiben, mit eigener Notakey-Anwendung und
einer Nachricht wie „Router admin login as {0}?“. Beim dockerisierten
Proxy ist das nur ein zweiter Container, der auf einem anderen Port lauscht
(etwa
18120) und eine andereNOTAKEY_ACCESS_IDerhält; der in die Appliance eingebaute Proxy ist eine Einzelinstanz, die zweite läuft also als Container daneben.
Die eigene Nachricht ist die fünf Minuten Aufwand wert: Ein Admin, der „Router admin login“ sieht, während er sich gerade nicht an einem Router anmeldet, weiß sofort, dass etwas nicht stimmt – und lehnt ab.
Schritt 2: Proxy als RADIUS-Server für den Login-Dienst eintragen
Tragen Sie den Proxy auf dem Router als RADIUS-Server für den Dienst login ein:
/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s
Das ist die /radius-Zeile aus der VPN-Anleitung, nur mit service=login
statt service=ppp, und es gilt dieselbe Warnung: MikroTiks
Standard-RADIUS-Timeout beträgt 300 Millisekunden. Ein Mensch, der einen
Push bestätigt, braucht mindestens 30 Sekunden; timeout=30s ist also nicht
optional. Ohne diese Einstellung schlägt jede Anmeldung fehl, bevor das
Telefon überhaupt vibriert.
Schritt 3: RADIUS für Router-Benutzer aktivieren
/user aaa
set use-radius=yes default-group=full
Das war’s: RouterOS fragt jetzt (über den Proxy) bei RADIUS an, sobald sich
jemand mit einem Benutzernamen anmeldet, der nicht in der lokalen
/user-Datenbank steht.
Zwei Dinge gilt es hier richtig zu machen:
Wählen Sie default-group bewusst. Über RADIUS authentifizierte Benutzer
erhalten die Rechte dieser Gruppe (read, write oder full), sofern Ihr
RADIUS-Server nicht pro Benutzer ein Mikrotik-Group-Vendor-Attribut
zurückliefert (Vendor-ID 14988). Wenn alle, die über RADIUS kommen,
Voll-Admins sind, passt default-group=full; andernfalls setzen Sie die
geringste Berechtigung, die ausreicht, und vergeben Mikrotik-Group über
RADIUS für die Ausnahmen.
Behalten Sie ein lokales Admin-Konto. RouterOS prüft zuerst die lokale
Benutzerdatenbank und fragt RADIUS nur nach Benutzernamen, die es nicht
kennt. Dieses lokale Admin-Konto ist Ihr Rettungsanker, falls Proxy,
RADIUS-Server oder der Notakey-Dienst einmal nicht erreichbar sind; ohne
dieses Konto sperrt Sie ein Ausfall aus Ihrem eigenen Router aus. Geben Sie
ihm ein starkes, einmaliges Passwort und erwägen Sie, es mit
/user set <name> address=<mgmt-subnet> auf eine Management-Adresse zu
beschränken.
Testen – mit Bedacht
Schließen Sie Ihre laufende Sitzung noch nicht. Öffnen Sie eine zweite WinBox- oder SSH-Sitzung und melden Sie sich mit einem RADIUS-Benutzernamen an:
- Der Anmeldedialog wartet. Das ist der Proxy, der den Austausch offen hält.
- Die Push-Benachrichtigung erscheint auf dem Telefon. Bestätigen → Sie sind drin, mit den Rechten der Gruppe. Ablehnen oder ignorieren → die Anmeldung schlägt nach dem Timeout fehl.
- Vergewissern Sie sich, dass der lokale Admin weiterhin auf dem gewohnten Weg hineinkommt.
Schließen Sie die ursprüngliche Sitzung erst, wenn beide Prüfungen bestanden sind.
Schlagen Anmeldungen sofort fehl, obwohl der Push ankommt, prüfen Sie
timeout=30s in /radius; der 300-ms-Standard ist der häufigste Fehler.
Kommt gar kein Push an, unterscheidet sich der Benutzername mit ziemlicher
Sicherheit zwischen RADIUS und dem Notakey-Dienst.
Einordnung
Ein Proxy, ein RADIUS-Server – und jetzt verlangen sowohl das VPN als auch die Admin-Ebene des Routers eine Bestätigung auf dem Telefon. Dasselbe Muster lässt sich auf alles Weitere übertragen, das RADIUS spricht.
Verwandte Anleitungen
- VPN-2FA mit RADIUS – das komplette Auth-Proxy-Setup: die Proxy-Konfiguration, auf der diese Anleitung aufbaut
- 2FA für Linux-SSH mit pam_radius: derselbe Proxy schützt SSH, sudo und su
- MikroTik-VPN-2FA – das komplette skriptbasierte Setup: eine RADIUS-freie Alternative für das VPN selbst