6
Mikrotik Windows NPS und Azure MFA
Hallo zusammen,
ich habe habe den halben Abend versucht, meinen Mikrotik mit Radius gegen einen Windows NPS (Network Policy Server) mit installiertem "NPS extension for Azure AD Multi-Factor Authentication" zum laufen zu bekommen.
Irgendwie komme ich hier nicht weiter. Ziel ist es Multifaktor beim Aufbau einer VPN Verbindung (SSTP / IPSec/L2tp) über AzureAD MFA hinzubekommen.
Ohne die NPS extension for Azure AD Multi-Factor Authentication funktioniert die VPN Verbindung über den RADIUS / NPS Server ohne Probleme.
Sofern ich aber die extensions installiere und konfiguriere geht es nicht mehr.
Ich bekomme eine SMS von Microsoft mit nem Token. Hier wäre es gut statt der SMS die Authenticator App zu verwenden aber gut erstmal zweitranige Baustelle, denn die VPN Verbindung ist schon beendet, bevor das Handy die SMS anzeigt.
Habe auch diverse Werte bzgl. Timeout hochgedreht, aber es hat nichts geholfen.
Nun zum Setup:
RADIUS am Mikrotik
Timeout hier auf 60 Sekunden wie MS das empfiehlt hochgedreht.
Auszug aus de NPS Log:
"HOSTNAME","IAS",06/28/2023,21:24:58,1,"USER@domain.de",,"192.168.240.254","8X.187.67.125",,,"HOSTNAME","10.0.100.X",15728685,0,"10.0.100.X","HOSTNAME",,,5,,1,2,8,,0,"311 1 10.0.100.XX 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,"DOMAIN.de",,,,,,,,
"HOSTNAME","IAS",06/28/2023,21:24:58,3,,,,,,,,,,0,"10.0.100.x","HOSTNAME",,,,,,,8,,21,"311 1 10.0.100.xx 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Die NPS Log in der Ereignisanzeige:
Fehlermeldung am Client
Hat jemand von euch Azure MFA mit Mikrotik erfolgreich am laufen und kann helfen?
Vielen Dank.
Schönen Abend.
Mit freundlichen Grüßen
nEmEsIs
ich habe habe den halben Abend versucht, meinen Mikrotik mit Radius gegen einen Windows NPS (Network Policy Server) mit installiertem "NPS extension for Azure AD Multi-Factor Authentication" zum laufen zu bekommen.
Irgendwie komme ich hier nicht weiter. Ziel ist es Multifaktor beim Aufbau einer VPN Verbindung (SSTP / IPSec/L2tp) über AzureAD MFA hinzubekommen.
Ohne die NPS extension for Azure AD Multi-Factor Authentication funktioniert die VPN Verbindung über den RADIUS / NPS Server ohne Probleme.
Sofern ich aber die extensions installiere und konfiguriere geht es nicht mehr.
Ich bekomme eine SMS von Microsoft mit nem Token. Hier wäre es gut statt der SMS die Authenticator App zu verwenden aber gut erstmal zweitranige Baustelle, denn die VPN Verbindung ist schon beendet, bevor das Handy die SMS anzeigt.
Habe auch diverse Werte bzgl. Timeout hochgedreht, aber es hat nichts geholfen.
Nun zum Setup:
RADIUS am Mikrotik
Auszug aus de NPS Log:
"HOSTNAME","IAS",06/28/2023,21:24:58,1,"USER@domain.de",,"192.168.240.254","8X.187.67.125",,,"HOSTNAME","10.0.100.X",15728685,0,"10.0.100.X","HOSTNAME",,,5,,1,2,8,,0,"311 1 10.0.100.XX 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,"DOMAIN.de",,,,,,,,
"HOSTNAME","IAS",06/28/2023,21:24:58,3,,,,,,,,,,0,"10.0.100.x","HOSTNAME",,,,,,,8,,21,"311 1 10.0.100.xx 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Die NPS Log in der Ereignisanzeige:
Fehlermeldung am Client
Hat jemand von euch Azure MFA mit Mikrotik erfolgreich am laufen und kann helfen?
Vielen Dank.
Schönen Abend.
Mit freundlichen Grüßen
nEmEsIs
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7680006100
Url: https://administrator.de/contentid/7680006100
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Also ich denke nicht, dass es am Mikrotik liegt. Der ist hier ja nur Authenticator. Genau klären kannst Du das aber wohl, wenn Du das in System/Logging genauer erfasst und/oder Wireshark bzw. den Mikrotik Packet Sniffer darauf ansetzt.
Eher vermute ich, dass das ein Timeout des Supplicants ist. Dafür spendiert Google dann evtl. eine Lösung hier:
https://kb.waldron.net/content/15/1/en/extend-windows-10&sol11-vpn-c ...
Sniffen würde ich das trotzdem mal. Schließlich hat man das als Mikrotik-Besitzer eingebaut
Viele Grüße, commodity
Eher vermute ich, dass das ein Timeout des Supplicants ist. Dafür spendiert Google dann evtl. eine Lösung hier:
https://kb.waldron.net/content/15/1/en/extend-windows-10&sol11-vpn-c ...
Sniffen würde ich das trotzdem mal. Schließlich hat man das als Mikrotik-Besitzer eingebaut
Viele Grüße, commodity
Also du willst eine VPN Verbindung von deinem Notebook ( als Bsp. ) zu deinem Mikrotik Router Zuhause oder sonst wo aufbauen? Richtig ?
Das wird so nicht funktionieren da hierfür ein Azure VPN Gateway benötigt wird - so mein Stand.
Ich habe das ganze mit NPS und der MFA AddOn bei einem meiner Kunden am laufen.Das Ziel von MS ist es das bei diesem Setup die lokale vorhandene Authentifizierungsinfrastruktur für die Cloud weiter genutzt werden kann.
Nebenbei braucht man da auch noch die passenden MS 365 Lizenzen dafür. Ohne die geht sowieso nix.
Ich glaube mindestens Azure AD P1 oder ggf höher.
Das wird so nicht funktionieren da hierfür ein Azure VPN Gateway benötigt wird - so mein Stand.
Ich habe das ganze mit NPS und der MFA AddOn bei einem meiner Kunden am laufen.Das Ziel von MS ist es das bei diesem Setup die lokale vorhandene Authentifizierungsinfrastruktur für die Cloud weiter genutzt werden kann.
Nebenbei braucht man da auch noch die passenden MS 365 Lizenzen dafür. Ohne die geht sowieso nix.
Ich glaube mindestens Azure AD P1 oder ggf höher.
Hi
Vielen Dank für die Rückmeldungen.
Regwert werde ich heute Abend testen.
Meine primäre Authentifizierung habe ich auf Authentication App umgestellt.
Business Premium Ist Vorhanden.
Wenn dem nicht so wäre würde ich keine SMS bekommen.
Das mit dem Azure VPN Gateway habe ich so nicht lesen können. Bitte Quellen.
P1 ist ja durch Business Premium vorhanden.
Mit freundlichen Grüßen
Nemesis
Vielen Dank für die Rückmeldungen.
Regwert werde ich heute Abend testen.
Meine primäre Authentifizierung habe ich auf Authentication App umgestellt.
Business Premium Ist Vorhanden.
Wenn dem nicht so wäre würde ich keine SMS bekommen.
Das mit dem Azure VPN Gateway habe ich so nicht lesen können. Bitte Quellen.
P1 ist ja durch Business Premium vorhanden.
Mit freundlichen Grüßen
Nemesis
Die Anleitung die MS liefert ist zwar nur aus MS beschränkt und besagt das man ein RRAS braucht
https://learn.microsoft.com/de-de/azure/active-directory/authentication/ ...
aber der Ablauf der Radius Auth besagt das es eigentlich auch mit einem X Beliebigen Radius CLIENT gehtn sollte.
Es ist ja der Client der sich mit dem NPS unterhält.
Mal ins blau geraten.... Stell mal die Timeout´s auf 120 oder 60 Sec wie MS sagt
eventuell ist der MT einfach nur zu schnell fertig
Oder mal eben die Radius Messages mitschneiden und schauen wo es hängt
https://learn.microsoft.com/de-de/azure/active-directory/authentication/ ...
aber der Ablauf der Radius Auth besagt das es eigentlich auch mit einem X Beliebigen Radius CLIENT gehtn sollte.
Es ist ja der Client der sich mit dem NPS unterhält.
Mal ins blau geraten.... Stell mal die Timeout´s auf 120 oder 60 Sec wie MS sagt
eventuell ist der MT einfach nur zu schnell fertig
Oder mal eben die Radius Messages mitschneiden und schauen wo es hängt
Hi habe es hinbekommen
Lag ab einem Regwert auf dem NPS Server:
Dies scheint in der neusten Version auf True zu stehen und eigentliche müsste eine zweistellige Zahl kommen, was das VPN aber nicht durchreichen kann. Es geht nur die einfache Methode mit genehmigen oder ablehnen in der Authenticator App.
Sollte jemand Interesse bzgl meiner Konfig haben erstelle ich einen extra Eintrag bei Administrator.de
Mit freundlichen Grüßen Nemesis
Lag ab einem Regwert auf dem NPS Server:
Dies scheint in der neusten Version auf True zu stehen und eigentliche müsste eine zweistellige Zahl kommen, was das VPN aber nicht durchreichen kann. Es geht nur die einfache Methode mit genehmigen oder ablehnen in der Authenticator App.
Sollte jemand Interesse bzgl meiner Konfig haben erstelle ich einen extra Eintrag bei Administrator.de
Mit freundlichen Grüßen Nemesis
1Sollte jemand Interesse bzgl meiner Konfig haben erstelle ich einen extra Eintrag bei Administrator.de
Ich komme evtl. mal drauf zurück. Finde ich sehr interessant. Vorläufig steht das bei mir allerdings nicht an. Aber Danke!Viele Grüße, commodity
