2026. gada 30. jūnijs

MikroTik maršrutētāja pieteikšanās 2FA — tālruņa apstiprinājums WinBox un SSH pieslēgumiem

Pieprasiet tālruņa apstiprinājumu WinBox, WebFig un SSH pieslēgumiem MikroTik maršrutētājā: tā pati auth-proxy RADIUS shēma ar service=login.

Ja esat iestatījis VPN 2FA ar RADIUS pēc mūsu ceļveža, jums jau ir viss nepieciešamais, lai aizsargātu vēl vienu lietu: pieteikšanos pašā maršrutētājā. Gan WinBox, gan WebFig, gan SSH un API prot autentificēties caur RADIUS. Notakey auth-proxy ir caurspīdīgs RADIUS starpniekserveris, tāpēc pietiek novirzīt maršrutētāja pieteikšanās pakalpojumu caur to, un katra administratora pieteikšanās papildus parolei prasīs arī tālruņa apstiprinājumu.

Shēma ir tā pati, kas VPN gadījumā:

Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server

                                 └──▶ push notification ──▶ admin's phone

Maršrutētāja pusē jāmaina tikai trīs lietas, tās aprakstītas tālāk.

Prasības

  • Auth-proxy, kas jau darbojas jūsu RADIUS servera priekšā un ir iestatīts tāpat kā VPN ceļveža 1.–3. solī. Der jebkurš RADIUS serveris aiz tā: FreeRADIUS, Microsoft NPS, paša MikroTik User Manager vai Notakey RADIUS spraudnis.
  • Administratora lietotājvārds, kas ir viens un tas pats gan RADIUS serverī, gan Notakey servisā ar reģistrētu tālruni; paziņojumu starpniekserveris adresē pēc lietotājvārda.

1. solis: izlemiet, kādu paziņojumu redzēs administratori

Paziņojuma saturu nosaka starpniekservera konfigurācija: tie paši message_title / message_description, kas tiek rādīti VPN pieteikšanās brīdī. Iespējas ir divas:

  • Izmantojiet to pašu VPN starpniekserveri. Tas ir ātrākais ceļš: administratora pieteikšanās brīdī tālrunī parādīsies VPN teksts (piemēram, “VPN authentication — allow john login?”). Nelielā vidē ar to pilnīgi pietiek.
  • Palaidiet otru starpniekservera instanci ar savu Notakey lietotni un savu ziņojumu, piemēram, “Router admin login as {0}?”. Konteinerizētā vidē tas nozīmē vienkārši vēl vienu konteineru, kas klausās citā portā (teiksim, 18120) un izmanto citu NOTAKEY_ACCESS_ID; iekārtas (appliance) iebūvētais starpniekserveris ir tikai viena instance, tāpēc otro palaiž kā konteineru tai blakus.

Atsevišķs ziņojums ir piecu minūšu darbs, kas atmaksājas: administrators, kurš saņem “Router admin login”, lai gan pats maršrutētājā nepiesakās, uzreiz saprot, ka kaut kas nav kārtībā, un pieprasījumu noraida.

2. solis: pievienojiet starpniekserveri kā RADIUS serveri pieteikšanās pakalpojumam

Maršrutētājā reģistrējiet starpniekserveri kā RADIUS serveri login pakalpojumam:

/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s

Tā ir tā pati /radius rinda no VPN ceļveža, tikai service=ppp vietā ir service=login, un spēkā paliek tas pats brīdinājums: MikroTik noklusējuma RADIUS noildze ir 300 milisekundes. Cilvēkam paziņojuma apstiprināšanai vajag vismaz 30 sekundes, tāpēc timeout=30s ir obligāts. Bez tā ikviena pieteikšanās cietīs neveiksmi, pirms tālrunis vispār paspēs nopīkstēt.

3. solis: iespējojiet RADIUS maršrutētāja lietotājiem

/user aaa
set use-radius=yes default-group=full

Tas arī viss. Turpmāk RouterOS par katru pieteikšanos, kuras lietotājvārda nav lokālajā /user datubāzē, vaicās RADIUS serverim (caur starpniekserveri).

Šeit svarīgas divas lietas.

Izvēlieties default-group apzināti. Ar RADIUS autentificētie lietotāji saņem šīs grupas tiesības (read, write vai full), ja vien RADIUS serveris konkrētam lietotājam nenorāda ražotāja atribūtu Mikrotik-Group (vendor ID 14988). Ja visi, kas nāk caur RADIUS, ir pilntiesīgi administratori, der default-group=full; ja ne, izvēlieties mazāko tiesību līmeni, ar ko pietiek ikdienas darbam, un izņēmumiem tiesības piešķiriet ar Mikrotik-Group no RADIUS.

Saglabājiet lokālu administratora kontu. RouterOS vispirms pārbauda lokālo lietotāju datubāzi un RADIUS vaicā tikai par lietotājvārdiem, kurus pats nepazīst. Šis lokālais administrators ir jūsu rezerves izeja gadījumam, ja starpniekserveris, RADIUS serveris vai Notakey serviss kādreiz nav sasniedzams. Bez tā šāda dīkstāve nozīmētu, ka savā maršrutētājā vairs netiekat iekšā. Piešķiriet kontam spēcīgu, unikālu paroli un, ja iespējams, atļaujiet tam pieslēgties tikai no pārvaldības tīkla: /user set <name> address=<mgmt-subnet>.

Pārbaudiet piesardzīgi

Pagaidām neaizveriet sesiju, kurā strādājat. Atveriet otru WinBox vai SSH sesiju un piesakieties ar RADIUS lietotājvārdu:

  • Pieteikšanās logs brīdi gaida; starpniekserveris RADIUS apmaiņu tur atvērtu, kamēr gaida jūsu atbildi.
  • Tālrunī pienāk paziņojums. Apstiprināt → esat pieteicies ar grupas tiesībām. Noraidīt vai ignorēt → pieteikšanās pēc noildzes tiek noraidīta.
  • Pārliecinieties, ka lokālais administrators joprojām var pieteikties kā ierasts.

Sākotnējo sesiju aizveriet tikai tad, kad abas pārbaudes izdevušās.

Ja paziņojums pienāk, bet pieteikšanās tik un tā neizdodas, vēlreiz pārbaudiet timeout=30s sadaļā /radius; 300 ms noklusējuma vērtība ir visbiežākā kļūda. Ja paziņojums nepienāk vispār, lietotājvārds RADIUS serverī un Notakey servisā gandrīz noteikti atšķiras.

Kā tas iekļaujas kopainā

Viens starpniekserveris, viens RADIUS serveris, un tālruņa apstiprinājums tagad sargā gan VPN, gan maršrutētāja administrēšanu. Pēc tā paša parauga var aizsargāt jebko citu, kas prot sazināties ar RADIUS.

Saistītie ceļveži

← Visi raksti

Pirmā pieteikšanās bez paroles — jau šonedēļ

30 minūšu saruna ar inženieri, nevis pārdošanas prezentācija. Kopīgi izplānosim, kā jūsu VPN, SSO vai Windows vidē palaist strādājošu pilotprojektu.