Se avete seguito la nostra guida 2FA VPN con RADIUS, disponete già di tutto il necessario per proteggere qualcos’altro: gli accessi al router stesso. WinBox, WebFig, SSH e l’API possono autenticarsi tutti via RADIUS; e poiché il Notakey auth-proxy è un RADIUS trasparente, dirigervi il servizio di accesso del router significa che ogni login di amministrazione richiede un’approvazione sul telefono, non più solo una password.
Il flusso è identico al caso della VPN:
Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server
│
└──▶ push notification ──▶ admin's phone
Solo tre cose cambiano sul lato router, ed è quanto vediamo di seguito.
Prerequisiti
- Un auth-proxy funzionante davanti a un server RADIUS, configurato esattamente come ai passaggi 1-3 della guida VPN. Va bene qualsiasi server RADIUS di destinazione: FreeRADIUS, Microsoft NPS, lo User Manager di MikroTik o il plugin RADIUS di Notakey.
- Il nome utente dell’amministratore presente nel server RADIUS di destinazione e nel servizio Notakey, con un telefono registrato: il proxy indirizza la push per nome utente.
Passaggio 1: Decidete quale messaggio push vedranno gli amministratori
Il proxy invia il messaggio dalla propria configurazione: gli stessi
message_title / message_description usati per gli accessi VPN. Avete due
opzioni:
- Riutilizzate il proxy VPN così com’è. È il metodo più rapido. Gli accessi di amministrazione mostreranno sul telefono il testo del VPN (ad esempio «VPN authentication — allow john login?»). Perfettamente valido per una piccola installazione.
- Avviate una seconda istanza di proxy con una propria applicazione Notakey e
un messaggio del tipo «Router admin login as {0}?». Con il proxy dockerizzato
si tratta semplicemente di un secondo container in ascolto su un’altra porta
(ad esempio
18120), con unNOTAKEY_ACCESS_IDdiverso; il proxy integrato nell’appliance è un’istanza unica, quindi il secondo gira come container accanto ad esso.
Un messaggio dedicato vale bene i cinque minuti richiesti: un amministratore che vede «Router admin login» mentre non sta accedendo a un router capisce subito che qualcosa non va, e rifiuta.
Passaggio 2: Aggiungete il proxy come server RADIUS di login
Sul router, aggiungete il proxy come server RADIUS per il servizio login:
/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s
È la riga /radius della guida VPN in cui service=ppp è sostituito da
service=login, e vale lo stesso avvertimento: il timeout RADIUS predefinito
di MikroTik è di 300 millisecondi. Una persona che approva una push ha bisogno
di almeno 30 secondi, quindi timeout=30s non è facoltativo. Senza di esso ogni
accesso fallisce prima ancora che il telefono vibri.
Passaggio 3: Attivate RADIUS per gli utenti del router
/user aaa
set use-radius=yes default-group=full
Ecco fatto: RouterOS ora interroga RADIUS (tramite il proxy) per ogni accesso il
cui nome utente non è nel database locale /user.
Due punti da impostare correttamente qui:
Scegliete default-group con criterio. Gli utenti autenticati via RADIUS
ereditano i privilegi di questo gruppo (read, write o full), a meno che il
vostro server RADIUS non restituisca un attributo del fornitore Mikrotik-Group
per ciascun utente (vendor ID 14988). Se tutti coloro che passano da RADIUS sono
amministratori completi, default-group=full va bene; in caso contrario,
impostatelo sul privilegio più restrittivo che funzioni e assegnate
Mikrotik-Group da RADIUS per le eccezioni.
Conservate un account amministratore locale. RouterOS controlla prima il
database utenti locale e interroga RADIUS solo per i nomi che non conosce. Quell’
amministratore locale è la vostra soluzione di ripiego se il proxy, il server
RADIUS o il servizio Notakey diventano irraggiungibili: senza di esso, un guasto
vi blocca fuori dal vostro stesso router. Assegnategli una password unica e
robusta e valutate di limitarlo a un indirizzo di gestione con
/user set <name> address=<mgmt-subnet>.
Collaudatelo, con attenzione
Non chiudete ancora la vostra sessione di lavoro. Aprite una seconda sessione WinBox o SSH e accedete con un nome utente RADIUS:
- La finestra di accesso attende: è il proxy che tiene aperto lo scambio.
- La push arriva sul telefono. Approvate → siete dentro, con i privilegi del gruppo. Rifiutate o ignorate → l’accesso fallisce allo scadere del timeout.
- Confermate che l’amministratore locale acceda ancora nel modo consueto.
Solo dopo che entrambe le verifiche sono riuscite, chiudete la sessione originale.
Se gli accessi falliscono all’istante pur arrivando la push, ricontrollate
timeout=30s in /radius: il valore predefinito di 300 ms è l’errore più
comune. Se non arriva alcuna push, quasi certamente il nome utente differisce tra
RADIUS e il servizio Notakey.
Dove si colloca
Un solo proxy, un solo server RADIUS, e ora sia la VPN sia il piano di amministrazione del router richiedono un’approvazione sul telefono. Lo stesso schema si estende a qualunque altra cosa parli RADIUS.
Guide correlate
- 2FA VPN con RADIUS: la configurazione completa dell’auth-proxy, la configurazione del proxy su cui si basa questa guida
- 2FA per SSH su Linux con pam_radius: lo stesso proxy che protegge SSH, sudo e su
- 2FA VPN MikroTik: la configurazione completa basata su script, un’alternativa senza RADIUS per la VPN stessa