2026. június 30.

MikroTik router-bejelentkezés 2FA: telefonos jóváhagyás WinBoxhoz és SSH-hoz

Telefonos jóváhagyás a MikroTik router WinBox-, WebFig- és SSH-bejelentkezéseihez: ugyanaz az auth-proxys RADIUS-beállítás, service=login-nal.

Ha végigcsinálta a VPN 2FA RADIUS-szal útmutatónkat, már minden a rendelkezésére áll ahhoz, hogy valami mást is védelem alá vonjon: magát a routerre való bejelentkezést. A WinBox, a WebFig, az SSH és az API egyaránt tud RADIUS-on keresztül hitelesíteni, és mivel a Notakey auth-proxy átlátszó RADIUS-ként működik, elég a router login szolgáltatását ráirányítani, és minden admin-bejelentkezéshez telefonos jóváhagyás kell, nem csupán jelszó.

A folyamat megegyezik a VPN esetével:

Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server

                                 └──▶ push notification ──▶ admin's phone

A router oldalán mindössze három dolog változik; ezeket vesszük sorra.

Előfeltételek

  • Működő auth-proxy egy RADIUS-szerver előtt, pontosan úgy beállítva, ahogy a VPN-útmutató 1–3. lépése leírja. Bármilyen mögöttes RADIUS megfelel: FreeRADIUS, Microsoft NPS, a MikroTik saját User Managere vagy a Notakey RADIUS-bővítménye.
  • Az admin felhasználóneve szerepeljen a mögöttes RADIUS-szerveren és a Notakey szolgáltatásban is, regisztrált telefonnal: a proxy a push értesítést a felhasználónév alapján címzi.

1. lépés: Döntse el, milyen push üzenetet lássanak az adminok

A proxy a saját konfigurációjából veszi az üzenetet: ugyanabból a message_title / message_description párból, amelyet a VPN-bejelentkezésekhez használ. Két lehetősége van:

  • Használja változtatás nélkül a VPN-proxyt. Ez a leggyorsabb. Az admin-bejelentkezéseknél a telefonon a VPN-es szöveg jelenik meg (pl. “VPN authentication — allow john login?”). Kisebb környezetben tökéletesen megteszi.
  • Futtasson egy második proxypéldányt saját Notakey-alkalmazással és például “Router admin login as {0}?” jellegű üzenettel. A dockeres proxy esetében ez csupán egy második konténer, amely egy másik porton figyel (mondjuk a 18120-on), eltérő NOTAKEY_ACCESS_ID-vel; a készülék beépített proxyja egyetlen példányban fut, így a második példányt konténerként kell mellé telepíteni.

A külön üzenet megéri a ráfordított öt percet: az az admin, aki “Router admin login” üzenetet lát, miközben éppen nem routerbe jelentkezik be, azonnal tudja, hogy valami nincs rendben – és elutasítja.

2. lépés: Vegye fel a proxyt login RADIUS-szerverként

A routeren vegye fel a proxyt RADIUS-szerverként a login szolgáltatáshoz:

/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s

Ez a VPN-útmutató /radius sora, csak a service=ppp helyett service=login szerepel benne, és ugyanaz a figyelmeztetés érvényes: a MikroTik alapértelmezett RADIUS-időtúllépése 300 ezredmásodperc. Egy push értesítést jóváhagyó embernek legalább 30 másodperc kell, így a timeout=30s nem opcionális. Nélküle minden bejelentkezés azelőtt hiúsul meg, hogy a telefon egyáltalán megrezzenne.

3. lépés: Engedélyezze a RADIUS-t a routerfelhasználóknak

/user aaa
set use-radius=yes default-group=full

Ennyi: a RouterOS mostantól minden olyan bejelentkezésnél a RADIUS-hoz fordul (a proxyn keresztül), amelynek felhasználóneve nem szerepel a helyi /user adatbázisban.

Két dologra érdemes itt külön odafigyelni:

A default-group értékét tudatosan válassza meg. A RADIUS-szal hitelesített felhasználók ennek a csoportnak a jogosultságait kapják (read, write vagy full), hacsak a RADIUS-szerver nem ad vissza felhasználónként Mikrotik-Group gyártói attribútumot (vendor ID: 14988). Ha mindenki, aki RADIUS-on keresztül érkezik, teljes jogú admin, a default-group=full megfelel; ha nem, állítsa a legszűkebb még működő jogosultságra, és a kivételeknek a RADIUS-ból ossza ki a Mikrotik-Group attribútumot.

Tartson meg egy helyi adminfiókot. A RouterOS először a helyi felhasználói adatbázist nézi, és csak az általa nem ismert felhasználóneveknél kérdezi a RADIUS-t. Ez a helyi admin a mentőöve, ha a proxy, a RADIUS-szerver vagy a Notakey szolgáltatás valaha elérhetetlenné válik; nélküle egy leállás a saját routeréből zárja ki. Adjon neki erős, egyedi jelszót, és fontolja meg, hogy menedzsmentcímre korlátozza a /user set <name> address=<mgmt-subnet> paranccsal.

Tesztelés – óvatosan

Még ne zárja be a működő munkamenetét. Nyisson egy második WinBox- vagy SSH-munkamenetet, és jelentkezzen be egy RADIUS-felhasználónévvel:

  • A bejelentkezési ablak várakozik, mert ilyenkor a proxy tartja nyitva a folyamatot.
  • A push értesítés megérkezik a telefonra. Jóváhagyás → bent van, a csoport jogosultságaival. Elutasítás vagy figyelmen kívül hagyás → a bejelentkezés az időtúllépés után meghiúsul.
  • Győződjön meg róla, hogy a helyi admin továbbra is be tud lépni a megszokott módon.

Az eredeti munkamenetet csak azután zárja be, hogy mindkét ellenőrzés sikerült.

Ha a bejelentkezés azonnal meghiúsul, pedig a push megérkezik, ellenőrizze újra a timeout=30s beállítást a /radius alatt: a 300 ms-os alapérték a leggyakoribb hiba. Ha egyáltalán nem érkezik push, szinte biztos, hogy a felhasználónév eltér a RADIUS és a Notakey szolgáltatás között.

Hogyan illeszkedik az összképbe

Egy proxy, egy RADIUS-szerver – és mostantól a VPN és a router adminfelülete is telefonos jóváhagyást követel. Ugyanez a minta bármire kiterjeszthető, ami tud RADIUS-t.

Kapcsolódó útmutatók

← Minden bejegyzés

Az első jelszó nélküli bejelentkezés már ezen a héten

30 perces beszélgetés egy mérnökkel – nem értékesítési prezentáció. Közösen megtervezzük, hogyan indulhat el egy működő pilotprojekt az Ön VPN-, SSO- vagy Windows-környezetében.