Mikrotik Windows NPS und Azure MFA
Hallo zusammen,
ich habe habe den halben Abend versucht, meinen Mikrotik mit Radius gegen einen Windows NPS (Network Policy Server) mit installiertem "NPS extension for Azure AD Multi-Factor Authentication" zum laufen zu bekommen.
Irgendwie komme ich hier nicht weiter. Ziel ist es Multifaktor beim Aufbau einer VPN Verbindung (SSTP / IPSec/L2tp) über AzureAD MFA hinzubekommen.
Ohne die NPS extension for Azure AD Multi-Factor Authentication funktioniert die VPN Verbindung über den RADIUS / NPS Server ohne Probleme.
Sofern ich aber die extensions installiere und konfiguriere geht es nicht mehr.
Ich bekomme eine SMS von Microsoft mit nem Token. Hier wäre es gut statt der SMS die Authenticator App zu verwenden aber gut erstmal zweitranige Baustelle, denn die VPN Verbindung ist schon beendet, bevor das Handy die SMS anzeigt.
Habe auch diverse Werte bzgl. Timeout hochgedreht, aber es hat nichts geholfen.
Nun zum Setup:
RADIUS am Mikrotik
Timeout hier auf 60 Sekunden wie MS das empfiehlt hochgedreht.
Auszug aus de NPS Log:
"HOSTNAME","IAS",06/28/2023,21:24:58,1,"USER@domain.de",,"192.168.240.254","8X.187.67.125",,,"HOSTNAME","10.0.100.X",15728685,0,"10.0.100.X","HOSTNAME",,,5,,1,2,8,,0,"311 1 10.0.100.XX 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,"DOMAIN.de",,,,,,,,
"HOSTNAME","IAS",06/28/2023,21:24:58,3,,,,,,,,,,0,"10.0.100.x","HOSTNAME",,,,,,,8,,21,"311 1 10.0.100.xx 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Die NPS Log in der Ereignisanzeige:
Fehlermeldung am Client
Hat jemand von euch Azure MFA mit Mikrotik erfolgreich am laufen und kann helfen?
Vielen Dank.
Schönen Abend.
Mit freundlichen Grüßen
nEmEsIs
ich habe habe den halben Abend versucht, meinen Mikrotik mit Radius gegen einen Windows NPS (Network Policy Server) mit installiertem "NPS extension for Azure AD Multi-Factor Authentication" zum laufen zu bekommen.
Irgendwie komme ich hier nicht weiter. Ziel ist es Multifaktor beim Aufbau einer VPN Verbindung (SSTP / IPSec/L2tp) über AzureAD MFA hinzubekommen.
Ohne die NPS extension for Azure AD Multi-Factor Authentication funktioniert die VPN Verbindung über den RADIUS / NPS Server ohne Probleme.
Sofern ich aber die extensions installiere und konfiguriere geht es nicht mehr.
Ich bekomme eine SMS von Microsoft mit nem Token. Hier wäre es gut statt der SMS die Authenticator App zu verwenden aber gut erstmal zweitranige Baustelle, denn die VPN Verbindung ist schon beendet, bevor das Handy die SMS anzeigt.
Habe auch diverse Werte bzgl. Timeout hochgedreht, aber es hat nichts geholfen.
Nun zum Setup:
RADIUS am Mikrotik
Timeout hier auf 60 Sekunden wie MS das empfiehlt hochgedreht.
Auszug aus de NPS Log:
"HOSTNAME","IAS",06/28/2023,21:24:58,1,"USER@domain.de",,"192.168.240.254","8X.187.67.125",,,"HOSTNAME","10.0.100.X",15728685,0,"10.0.100.X","HOSTNAME",,,5,,1,2,8,,0,"311 1 10.0.100.XX 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,"DOMAIN.de",,,,,,,,
"HOSTNAME","IAS",06/28/2023,21:24:58,3,,,,,,,,,,0,"10.0.100.x","HOSTNAME",,,,,,,8,,21,"311 1 10.0.100.xx 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Die NPS Log in der Ereignisanzeige:
Fehlermeldung am Client
Hat jemand von euch Azure MFA mit Mikrotik erfolgreich am laufen und kann helfen?
Vielen Dank.
Schönen Abend.
Mit freundlichen Grüßen
nEmEsIs
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7680006100
Url: https://administrator.de/forum/mikrotik-windows-nps-und-azure-mfa-7680006100.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
6 Kommentare
Neuester Kommentar
Also ich denke nicht, dass es am Mikrotik liegt. Der ist hier ja nur Authenticator. Genau klären kannst Du das aber wohl, wenn Du das in System/Logging genauer erfasst und/oder Wireshark bzw. den Mikrotik Packet Sniffer darauf ansetzt.
Eher vermute ich, dass das ein Timeout des Supplicants ist. Dafür spendiert Google dann evtl. eine Lösung hier:
https://kb.waldron.net/content/15/1/en/extend-windows-10&sol11-vpn-c ...
Sniffen würde ich das trotzdem mal. Schließlich hat man das als Mikrotik-Besitzer eingebaut
Viele Grüße, commodity
Eher vermute ich, dass das ein Timeout des Supplicants ist. Dafür spendiert Google dann evtl. eine Lösung hier:
https://kb.waldron.net/content/15/1/en/extend-windows-10&sol11-vpn-c ...
Sniffen würde ich das trotzdem mal. Schließlich hat man das als Mikrotik-Besitzer eingebaut
Viele Grüße, commodity
Also du willst eine VPN Verbindung von deinem Notebook ( als Bsp. ) zu deinem Mikrotik Router Zuhause oder sonst wo aufbauen? Richtig ?
Das wird so nicht funktionieren da hierfür ein Azure VPN Gateway benötigt wird - so mein Stand.
Ich habe das ganze mit NPS und der MFA AddOn bei einem meiner Kunden am laufen.Das Ziel von MS ist es das bei diesem Setup die lokale vorhandene Authentifizierungsinfrastruktur für die Cloud weiter genutzt werden kann.
Nebenbei braucht man da auch noch die passenden MS 365 Lizenzen dafür. Ohne die geht sowieso nix.
Ich glaube mindestens Azure AD P1 oder ggf höher.
Das wird so nicht funktionieren da hierfür ein Azure VPN Gateway benötigt wird - so mein Stand.
Ich habe das ganze mit NPS und der MFA AddOn bei einem meiner Kunden am laufen.Das Ziel von MS ist es das bei diesem Setup die lokale vorhandene Authentifizierungsinfrastruktur für die Cloud weiter genutzt werden kann.
Nebenbei braucht man da auch noch die passenden MS 365 Lizenzen dafür. Ohne die geht sowieso nix.
Ich glaube mindestens Azure AD P1 oder ggf höher.
Die Anleitung die MS liefert ist zwar nur aus MS beschränkt und besagt das man ein RRAS braucht
https://learn.microsoft.com/de-de/azure/active-directory/authentication/ ...
aber der Ablauf der Radius Auth besagt das es eigentlich auch mit einem X Beliebigen Radius CLIENT gehtn sollte.
Es ist ja der Client der sich mit dem NPS unterhält.
Mal ins blau geraten.... Stell mal die Timeout´s auf 120 oder 60 Sec wie MS sagt
eventuell ist der MT einfach nur zu schnell fertig
Oder mal eben die Radius Messages mitschneiden und schauen wo es hängt
https://learn.microsoft.com/de-de/azure/active-directory/authentication/ ...
aber der Ablauf der Radius Auth besagt das es eigentlich auch mit einem X Beliebigen Radius CLIENT gehtn sollte.
Es ist ja der Client der sich mit dem NPS unterhält.
Mal ins blau geraten.... Stell mal die Timeout´s auf 120 oder 60 Sec wie MS sagt
eventuell ist der MT einfach nur zu schnell fertig
Oder mal eben die Radius Messages mitschneiden und schauen wo es hängt