30 giugno 2026

2FA per l’accesso al router MikroTik: approvazione sul telefono per WinBox e SSH

Richiedete un’approvazione sul telefono per gli accessi WinBox, WebFig e SSH a un router MikroTik: lo stesso auth-proxy RADIUS, con service=login.

Se avete seguito la nostra guida 2FA VPN con RADIUS, disponete già di tutto il necessario per proteggere qualcos’altro: gli accessi al router stesso. WinBox, WebFig, SSH e l’API possono autenticarsi tutti via RADIUS; e poiché il Notakey auth-proxy è un RADIUS trasparente, dirigervi il servizio di accesso del router significa che ogni login di amministrazione richiede un’approvazione sul telefono, non più solo una password.

Il flusso è identico al caso della VPN:

Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server

                                 └──▶ push notification ──▶ admin's phone

Solo tre cose cambiano sul lato router, ed è quanto vediamo di seguito.

Prerequisiti

  • Un auth-proxy funzionante davanti a un server RADIUS, configurato esattamente come ai passaggi 1-3 della guida VPN. Va bene qualsiasi server RADIUS di destinazione: FreeRADIUS, Microsoft NPS, lo User Manager di MikroTik o il plugin RADIUS di Notakey.
  • Il nome utente dell’amministratore presente nel server RADIUS di destinazione e nel servizio Notakey, con un telefono registrato: il proxy indirizza la push per nome utente.

Passaggio 1: Decidete quale messaggio push vedranno gli amministratori

Il proxy invia il messaggio dalla propria configurazione: gli stessi message_title / message_description usati per gli accessi VPN. Avete due opzioni:

  • Riutilizzate il proxy VPN così com’è. È il metodo più rapido. Gli accessi di amministrazione mostreranno sul telefono il testo del VPN (ad esempio «VPN authentication — allow john login?»). Perfettamente valido per una piccola installazione.
  • Avviate una seconda istanza di proxy con una propria applicazione Notakey e un messaggio del tipo «Router admin login as {0}?». Con il proxy dockerizzato si tratta semplicemente di un secondo container in ascolto su un’altra porta (ad esempio 18120), con un NOTAKEY_ACCESS_ID diverso; il proxy integrato nell’appliance è un’istanza unica, quindi il secondo gira come container accanto ad esso.

Un messaggio dedicato vale bene i cinque minuti richiesti: un amministratore che vede «Router admin login» mentre non sta accedendo a un router capisce subito che qualcosa non va, e rifiuta.

Passaggio 2: Aggiungete il proxy come server RADIUS di login

Sul router, aggiungete il proxy come server RADIUS per il servizio login:

/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s

È la riga /radius della guida VPN in cui service=ppp è sostituito da service=login, e vale lo stesso avvertimento: il timeout RADIUS predefinito di MikroTik è di 300 millisecondi. Una persona che approva una push ha bisogno di almeno 30 secondi, quindi timeout=30s non è facoltativo. Senza di esso ogni accesso fallisce prima ancora che il telefono vibri.

Passaggio 3: Attivate RADIUS per gli utenti del router

/user aaa
set use-radius=yes default-group=full

Ecco fatto: RouterOS ora interroga RADIUS (tramite il proxy) per ogni accesso il cui nome utente non è nel database locale /user.

Due punti da impostare correttamente qui:

Scegliete default-group con criterio. Gli utenti autenticati via RADIUS ereditano i privilegi di questo gruppo (read, write o full), a meno che il vostro server RADIUS non restituisca un attributo del fornitore Mikrotik-Group per ciascun utente (vendor ID 14988). Se tutti coloro che passano da RADIUS sono amministratori completi, default-group=full va bene; in caso contrario, impostatelo sul privilegio più restrittivo che funzioni e assegnate Mikrotik-Group da RADIUS per le eccezioni.

Conservate un account amministratore locale. RouterOS controlla prima il database utenti locale e interroga RADIUS solo per i nomi che non conosce. Quell’ amministratore locale è la vostra soluzione di ripiego se il proxy, il server RADIUS o il servizio Notakey diventano irraggiungibili: senza di esso, un guasto vi blocca fuori dal vostro stesso router. Assegnategli una password unica e robusta e valutate di limitarlo a un indirizzo di gestione con /user set <name> address=<mgmt-subnet>.

Collaudatelo, con attenzione

Non chiudete ancora la vostra sessione di lavoro. Aprite una seconda sessione WinBox o SSH e accedete con un nome utente RADIUS:

  • La finestra di accesso attende: è il proxy che tiene aperto lo scambio.
  • La push arriva sul telefono. Approvate → siete dentro, con i privilegi del gruppo. Rifiutate o ignorate → l’accesso fallisce allo scadere del timeout.
  • Confermate che l’amministratore locale acceda ancora nel modo consueto.

Solo dopo che entrambe le verifiche sono riuscite, chiudete la sessione originale.

Se gli accessi falliscono all’istante pur arrivando la push, ricontrollate timeout=30s in /radius: il valore predefinito di 300 ms è l’errore più comune. Se non arriva alcuna push, quasi certamente il nome utente differisce tra RADIUS e il servizio Notakey.

Dove si colloca

Un solo proxy, un solo server RADIUS, e ora sia la VPN sia il piano di amministrazione del router richiedono un’approvazione sul telefono. Lo stesso schema si estende a qualunque altra cosa parli RADIUS.

Guide correlate

← Tutti gli articoli

Il vostro primo accesso senza password, già questa settimana

30 minuti con un ingegnere, non una presentazione commerciale. Insieme pianificheremo come avviare un progetto pilota funzionante nel vostro ambiente VPN, SSO o Windows.