30. Juni 2026

2FA für die MikroTik-Router-Anmeldung – Telefonbestätigung für WinBox und SSH

WinBox-, WebFig- und SSH-Anmeldungen am MikroTik-Router nur nach Telefonbestätigung: dasselbe Auth-Proxy-RADIUS-Setup, gerichtet auf service=login.

Wenn Sie unserer Anleitung VPN-2FA mit RADIUS gefolgt sind, haben Sie bereits alles, um noch etwas anderes zu schützen: die Anmeldung am Router selbst. WinBox, WebFig, SSH und die API können sich allesamt über RADIUS authentifizieren, und da der Notakey Auth-Proxy transparentes RADIUS spricht, genügt es, den Login-Dienst des Routers auf ihn zu richten: Jede Admin-Anmeldung erfordert dann eine Bestätigung auf dem Telefon, nicht nur ein Passwort.

Der Ablauf ist identisch mit dem VPN-Fall:

Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server

                                 └──▶ push notification ──▶ admin's phone

Auf der Router-Seite ändern sich nur drei Dinge; sie folgen unten.

Voraussetzungen

  • Ein funktionierender Auth-Proxy vor einem RADIUS-Server, eingerichtet genau wie in den Schritten 1–3 der VPN-Anleitung. Als nachgelagerter RADIUS-Server eignet sich jeder: FreeRADIUS, Microsoft NPS, MikroTiks eigener User Manager oder das Notakey-RADIUS-Plugin.
  • Der Benutzername des Admins muss im nachgelagerten RADIUS-Server und im Notakey-Dienst vorhanden sein, mit registriertem Telefon, denn der Proxy adressiert den Push über den Benutzernamen.

Schritt 1: Push-Nachricht für Admins festlegen

Der Proxy sendet die Nachricht aus seiner eigenen Konfiguration, dieselben message_title / message_description wie bei VPN-Anmeldungen. Sie haben zwei Möglichkeiten:

  • Den VPN-Proxy unverändert weiterverwenden. Der schnellste Weg. Admin-Anmeldungen zeigen dann auf dem Telefon den VPN-Wortlaut (z. B. „VPN authentication — allow john login?“). Für kleine Umgebungen völlig praktikabel.
  • Eine zweite Proxy-Instanz betreiben, mit eigener Notakey-Anwendung und einer Nachricht wie „Router admin login as {0}?“. Beim dockerisierten Proxy ist das nur ein zweiter Container, der auf einem anderen Port lauscht (etwa 18120) und eine andere NOTAKEY_ACCESS_ID erhält; der in die Appliance eingebaute Proxy ist eine Einzelinstanz, die zweite läuft also als Container daneben.

Die eigene Nachricht ist die fünf Minuten Aufwand wert: Ein Admin, der „Router admin login“ sieht, während er sich gerade nicht an einem Router anmeldet, weiß sofort, dass etwas nicht stimmt – und lehnt ab.

Schritt 2: Proxy als RADIUS-Server für den Login-Dienst eintragen

Tragen Sie den Proxy auf dem Router als RADIUS-Server für den Dienst login ein:

/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s

Das ist die /radius-Zeile aus der VPN-Anleitung, nur mit service=login statt service=ppp, und es gilt dieselbe Warnung: MikroTiks Standard-RADIUS-Timeout beträgt 300 Millisekunden. Ein Mensch, der einen Push bestätigt, braucht mindestens 30 Sekunden; timeout=30s ist also nicht optional. Ohne diese Einstellung schlägt jede Anmeldung fehl, bevor das Telefon überhaupt vibriert.

Schritt 3: RADIUS für Router-Benutzer aktivieren

/user aaa
set use-radius=yes default-group=full

Das war’s: RouterOS fragt jetzt (über den Proxy) bei RADIUS an, sobald sich jemand mit einem Benutzernamen anmeldet, der nicht in der lokalen /user-Datenbank steht.

Zwei Dinge gilt es hier richtig zu machen:

Wählen Sie default-group bewusst. Über RADIUS authentifizierte Benutzer erhalten die Rechte dieser Gruppe (read, write oder full), sofern Ihr RADIUS-Server nicht pro Benutzer ein Mikrotik-Group-Vendor-Attribut zurückliefert (Vendor-ID 14988). Wenn alle, die über RADIUS kommen, Voll-Admins sind, passt default-group=full; andernfalls setzen Sie die geringste Berechtigung, die ausreicht, und vergeben Mikrotik-Group über RADIUS für die Ausnahmen.

Behalten Sie ein lokales Admin-Konto. RouterOS prüft zuerst die lokale Benutzerdatenbank und fragt RADIUS nur nach Benutzernamen, die es nicht kennt. Dieses lokale Admin-Konto ist Ihr Rettungsanker, falls Proxy, RADIUS-Server oder der Notakey-Dienst einmal nicht erreichbar sind; ohne dieses Konto sperrt Sie ein Ausfall aus Ihrem eigenen Router aus. Geben Sie ihm ein starkes, einmaliges Passwort und erwägen Sie, es mit /user set <name> address=<mgmt-subnet> auf eine Management-Adresse zu beschränken.

Testen – mit Bedacht

Schließen Sie Ihre laufende Sitzung noch nicht. Öffnen Sie eine zweite WinBox- oder SSH-Sitzung und melden Sie sich mit einem RADIUS-Benutzernamen an:

  • Der Anmeldedialog wartet. Das ist der Proxy, der den Austausch offen hält.
  • Die Push-Benachrichtigung erscheint auf dem Telefon. Bestätigen → Sie sind drin, mit den Rechten der Gruppe. Ablehnen oder ignorieren → die Anmeldung schlägt nach dem Timeout fehl.
  • Vergewissern Sie sich, dass der lokale Admin weiterhin auf dem gewohnten Weg hineinkommt.

Schließen Sie die ursprüngliche Sitzung erst, wenn beide Prüfungen bestanden sind.

Schlagen Anmeldungen sofort fehl, obwohl der Push ankommt, prüfen Sie timeout=30s in /radius; der 300-ms-Standard ist der häufigste Fehler. Kommt gar kein Push an, unterscheidet sich der Benutzername mit ziemlicher Sicherheit zwischen RADIUS und dem Notakey-Dienst.

Einordnung

Ein Proxy, ein RADIUS-Server – und jetzt verlangen sowohl das VPN als auch die Admin-Ebene des Routers eine Bestätigung auf dem Telefon. Dasselbe Muster lässt sich auf alles Weitere übertragen, das RADIUS spricht.

Verwandte Anleitungen

← Alle Artikel

Ihre erste passwortlose Anmeldung – noch diese Woche

30 Minuten mit einem Ingenieur statt einer Vertriebspräsentation. Gemeinsam planen wir, wie in Ihrer VPN-, SSO- oder Windows-Umgebung ein funktionierendes Pilotprojekt an den Start geht.