30. juuni 2026

MikroTiku ruuteri sisselogimise 2FA – kinnitus telefonis WinBoxi ja SSH jaoks

Nõudke MikroTiku ruuterisse WinBoxi, WebFigi ja SSH kaudu sisselogimisel kinnitust telefonis: sama auth-proxy seadistus, sihiks service=login.

Kui läbisite meie juhendi VPN-i 2FA RADIUS-e abil, on teil juba olemas kõik vajalik, et kaitsta veel midagi: sisselogimisi ruuterisse endasse. WinBox, WebFig, SSH ja API oskavad kõik autentida üle RADIUS-e. Ja kuna Notakey auth-proxy on läbipaistev RADIUS, piisab ruuteri login-teenuse suunamisest proksi poole, et iga halduri sisselogimine nõuaks lisaks paroolile ka kinnitust telefonis.

Töövoog on VPN-i juhtumiga identne:

Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server

                                 └──▶ push notification ──▶ admin's phone

Ruuteri poolel muutub vaid kolm asja; need käime allpool läbi.

Eeldused

  • Töötav auth-proxy RADIUS-serveri ees, seadistatud täpselt nii, nagu kirjeldatud VPN-i juhendi sammudes 1–3. Taustal sobib mis tahes RADIUS: FreeRADIUS, Microsofti NPS, MikroTiku enda User Manager või Notakey RADIUS-plugin.
  • Halduri kasutajanimi peab olema olemas nii taustal olevas RADIUS-serveris kui ka Notakey teenuses koos registreeritud telefoniga; proksi adresseerib tõuketeate kasutajanime järgi.

Samm 1: otsustage, millist tõuketeadet haldurid näevad

Proksi saadab teate omaenda seadistusest: needsamad message_title / message_description, mida kasutatakse VPN-i sisselogimistel. Teil on kaks võimalust:

  • Kasutage VPN-i proksit muutmata kujul. Kiireim tee. Halduri sisselogimised näitavad telefonis VPN-i sõnastust (nt „VPN-i autentimine – kas lubada kasutaja john sisselogimine?“). Väikese lahenduse puhul täiesti töökõlblik.
  • Käivitage teine proksieksemplar omaette Notakey rakenduse ja teatega, nt „Ruuteri halduri sisselogimine kasutajana {0}?“. Dokkeriseeritud proksi puhul on see lihtsalt teine konteiner, mis kuulab teisel pordil (nt 18120) ja kasutab teist NOTAKEY_ACCESS_ID väärtust; seadme sisseehitatud proksi on üksik eksemplar, seega töötab teine selle kõrval konteinerina.

Eraldi teade on need viis minutit väärt: haldur, kes näeb teadet „Ruuteri halduri sisselogimine“ hetkel, mil ta ise ruuterisse ei logi, saab kohe aru, et midagi on valesti – ja keelab päringu.

Samm 2: lisage proksi login-teenuse RADIUS-serveriks

Lisage ruuteris proksi login-teenuse RADIUS-serveriks:

/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s

See on VPN-i juhendi /radius rida, kus service=ppp on asendatud väärtusega service=login ning kehtib sama hoiatus: MikroTiku RADIUS-e vaikimisi ajalimiit on 300 millisekundit. Tõuketeadet kinnitav inimene vajab vähemalt 30 sekundit, seega pole timeout=30s valikuline. Ilma selleta ebaõnnestub iga sisselogimine enne, kui telefon jõuab piiksudagi.

Samm 3: lubage ruuteri kasutajatele RADIUS

/user aaa
set use-radius=yes default-group=full

Ongi kõik: RouterOS pärib nüüd RADIUS-elt (läbi proksi) iga sisselogimise kohta, mille kasutajanime kohalikus /user andmebaasis ei ole.

Kaks asja tuleb siin õigesti teha:

Valige default-group teadlikult. RADIUS-e kaudu autenditud kasutajad saavad selle grupi õigused (read, write või full), kui just teie RADIUS-server ei tagasta igale kasutajale eraldi Mikrotik-Group tootjaatribuuti (tootja ID 14988). Kui kõik RADIUS-e kaudu tulijad on täieõiguslikud haldurid, sobib default-group=full; kui mitte, määrake väikseim toimiv õiguste tase ja andke erandid RADIUS-e kaudu atribuudiga Mikrotik-Group.

Jätke alles kohalik halduskonto. RouterOS kontrollib kõigepealt kohalikku kasutajate andmebaasi ja pärib RADIUS-elt ainult tundmatuid kasutajanimesid. See kohalik haldur on teie varuvariant juhuks, kui proksi, RADIUS-server või Notakey teenus pole kättesaadav; ilma selleta lukustab tõrge teid teie enda ruuterist välja. Andke sellele tugev ja unikaalne parool ning kaaluge selle piiramist haldusaadressiga käsu /user set <name> address=<mgmt-subnet> abil.

Katsetage, ettevaatlikult

Ärge sulgege veel oma töötavat seanssi. Avage teine WinBoxi või SSH seanss ja logige sisse RADIUS-e kasutajanimega:

  • Sisselogimisaken jääb ootele: see on proksi, mis hoiab vahetust avatuna.
  • Tõuketeade jõuab telefoni. Kinnitage → olete sees, grupi õigustega. Keelake või ignoreerige → sisselogimine ebaõnnestub pärast ajalimiidi täitumist.
  • Veenduge, et kohalik haldur pääseb endiselt sisse tavapärasel viisil.

Sulgege algne seanss alles pärast seda, kui mõlemad kontrollid on läbitud.

Kui sisselogimised ebaõnnestuvad hetkega, kuigi tõuketeade kohale jõuab, kontrollige uuesti timeout=30s väärtust /radius seadistuses; 300 ms vaikeväärtus on kõige levinum viga. Kui tõuketeadet ei tule üldse, erineb kasutajanimi peaaegu kindlasti RADIUS-e ja Notakey teenuse vahel.

Kuidas see tervikusse sobitub

Ühe proksi ja ühe RADIUS-serveriga nõuavad kinnitust telefonis nüüd nii VPN kui ka ruuteri haldusliides. Sama mustrit saab laiendada kõigele muule, mis räägib RADIUS-t.

Seotud juhendid

← Kõik postitused

Esimene paroolivaba sisselogimine juba sel nädalal

30-minutiline vestlus inseneriga, mitte müügiesitlus. Paneme koos paika, kuidas teie VPN-i, SSO või Windowsi keskkonnas töötav pilootprojekt käima saab.