2026 m. birželio 30 d.

MikroTik maršrutizatoriaus prisijungimo 2FA – WinBox ir SSH patvirtinimas telefonu

Reikalaukite patvirtinimo telefonu MikroTik prisijungimams per WinBox, WebFig ir SSH: ta pati auth-proxy RADIUS sąranka, nukreipta į service=login.

Jei perėjote mūsų vadovą VPN 2FA su RADIUS, jau turite viską, ko reikia apsaugoti dar vienam dalykui: prisijungimams prie paties maršrutizatoriaus. WinBox, WebFig, SSH ir API gali autentifikuoti per RADIUS, o kadangi Notakey auth-proxy yra skaidrus RADIUS tarpininkas, nukreipus maršrutizatoriaus login paslaugą į jį, kiekvienam administratoriaus prisijungimui reikės ne tik slaptažodžio, bet ir patvirtinimo telefone.

Srautas identiškas VPN atvejui:

Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server

                                 └──▶ push notification ──▶ admin's phone

Maršrutizatoriaus pusėje keičiasi tik trys dalykai, aprašyti žemiau.

Reikalavimai

  • Veikiantis auth-proxy prieš RADIUS serverį, sukonfigūruotas lygiai taip, kaip VPN vadovo 1–3 žingsniuose. Tinka bet koks galinis RADIUS: FreeRADIUS, Microsoft NPS, paties MikroTik User Manager arba Notakey RADIUS papildinys.
  • Administratoriaus naudotojo vardas turi būti galiniame RADIUS serveryje ir Notakey servise, su užregistruotu telefonu; proxy push pranešimą adresuoja pagal naudotojo vardą.

1 žingsnis: nuspręskite, kokį push pranešimą matys administratoriai

Proxy pranešimo tekstą ima iš savo konfigūracijos: tų pačių message_title / message_description, naudojamų VPN prisijungimams. Turite dvi galimybes:

  • Naudokite esamą VPN proxy be pakeitimų. Greičiausia. Administratoriaus prisijungimai telefone rodys VPN formuluotę (pvz., „VPN autentifikavimas — leisti john prisijungti?“). Nedidelei aplinkai to visiškai pakanka.
  • Paleiskite antrą proxy egzempliorių su atskira Notakey aplikacija ir pranešimu, pvz., „Maršrutizatoriaus administratoriaus prisijungimas kaip {0}?“. Naudojant dokerizuotą proxy tai tiesiog antras konteineris, kuris klausosi kito prievado (tarkime, 18120) ir turi kitą NOTAKEY_ACCESS_ID; įrenginyje integruotas proxy veikia vienu egzemplioriumi, todėl antrasis paleidžiamas kaip konteineris šalia jo.

Atskiras pranešimas vertas tų penkių minučių: administratorius, matantis „Maršrutizatoriaus administratoriaus prisijungimas“, kai nesijungia prie maršrutizatoriaus, iš karto supranta, kad kažkas negerai – ir užklausą atmeta.

2 žingsnis: pridėkite proxy kaip login RADIUS serverį

Maršrutizatoriuje pridėkite proxy kaip RADIUS serverį login paslaugai:

/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s

Tai VPN vadovo /radius eilutė, kurioje service=ppp pakeista į service=login, ir galioja tas pats įspėjimas: numatytasis MikroTik RADIUS skirtasis laikas yra 300 milisekundžių. Žmogui, tvirtinančiam push pranešimą, reikia bent 30 sekundžių, tad timeout=30s nėra pasirenkamas dalykas. Be jo kiekvienas prisijungimas žlugs dar prieš telefonui suvibruojant.

3 žingsnis: įjunkite RADIUS maršrutizatoriaus naudotojams

/user aaa
set use-radius=yes default-group=full

Tiek ir tereikia. Nuo šiol RouterOS kreipiasi į RADIUS (per proxy) dėl kiekvieno prisijungimo, kurio naudotojo vardo nėra vietinėje /user duomenų bazėje.

Du dalykai, kuriuos čia svarbu padaryti teisingai:

default-group rinkitės sąmoningai. Per RADIUS autentifikuoti naudotojai gauna šios grupės teises (read, write arba full) nebent jūsų RADIUS serveris kiekvienam naudotojui grąžina gamintojo atributą Mikrotik-Group (gamintojo ID 14988). Jei visi, kurie jungiasi per RADIUS, yra visateisiai administratoriai, default-group=full tinka; jei ne, nustatykite mažiausias pakankamas teises, o išimtims Mikrotik-Group priskirkite iš RADIUS.

Išsaugokite vietinę administratoriaus paskyrą. RouterOS pirmiausia tikrina vietinę naudotojų duomenų bazę ir tik nežinomų naudotojų vardų klausia RADIUS. Ši vietinė paskyra yra jūsų atsarginis kelias, jei proxy, RADIUS serveris ar Notakey servisas kada nors taptų nepasiekiami; be jos sutrikimas užrakins jus už jūsų paties maršrutizatoriaus. Suteikite jai stiprų unikalų slaptažodį ir apsvarstykite galimybę apriboti ją valdymo adresu komanda /user set <name> address=<mgmt-subnet>.

Išbandykite atsargiai

Kol kas neuždarykite veikiančios sesijos. Atverkite antrą WinBox ar SSH sesiją ir prisijunkite su RADIUS naudotojo vardu:

  • Prisijungimo langas laukia; tai proxy laiko mainus atvirus.
  • Į telefoną atkeliauja push pranešimas. Patvirtinus → esate viduje su grupės teisėmis. Atmetus arba ignoruojant → pasibaigus skirtajam laikui prisijungimas nepavyksta.
  • Įsitikinkite, kad vietinis administratorius vis dar prisijungia įprastu būdu.

Pradinę sesiją uždarykite tik tada, kai pavyksta abi patikros.

Jei prisijungimai žlunga akimirksniu, nors push pranešimas atkeliauja, dar kartą patikrinkite timeout=30s skiltyje /radius; numatytosios 300 ms yra dažniausia klaida. Jei push pranešimas apskritai neatkeliauja, beveik neabejotinai naudotojo vardas skiriasi tarp RADIUS ir Notakey serviso.

Bendras vaizdas

Vienas proxy, vienas RADIUS serveris, ir dabar patvirtinimo telefone reikalauja tiek VPN, tiek ir maršrutizatoriaus valdymo plokštuma. Tas pats modelis pritaikomas viskam, kas kalba RADIUS.

Susiję vadovai

← Visi įrašai

Pirmasis prisijungimas be slaptažodžio – jau šią savaitę

30 minučių pokalbis su inžinieriumi, o ne pardavimų prezentacija. Kartu suplanuosime, kaip jūsų VPN, SSO ar Windows aplinkoje paleisti veikiantį bandomąjį projektą.