nemesis
Goto Top

Mikrotik Windows NPS und Azure MFA

Hallo zusammen,

ich habe habe den halben Abend versucht, meinen Mikrotik mit Radius gegen einen Windows NPS (Network Policy Server) mit installiertem "NPS extension for Azure AD Multi-Factor Authentication" zum laufen zu bekommen.

Irgendwie komme ich hier nicht weiter. Ziel ist es Multifaktor beim Aufbau einer VPN Verbindung (SSTP / IPSec/L2tp) über AzureAD MFA hinzubekommen.

Ohne die NPS extension for Azure AD Multi-Factor Authentication funktioniert die VPN Verbindung über den RADIUS / NPS Server ohne Probleme.

Sofern ich aber die extensions installiere und konfiguriere geht es nicht mehr.
Ich bekomme eine SMS von Microsoft mit nem Token. Hier wäre es gut statt der SMS die Authenticator App zu verwenden aber gut erstmal zweitranige Baustelle, denn die VPN Verbindung ist schon beendet, bevor das Handy die SMS anzeigt.

Habe auch diverse Werte bzgl. Timeout hochgedreht, aber es hat nichts geholfen.

Nun zum Setup:
RADIUS am Mikrotik
2023-06-28 21_33_15-window
Timeout hier auf 60 Sekunden wie MS das empfiehlt hochgedreht.

Auszug aus de NPS Log:
"HOSTNAME","IAS",06/28/2023,21:24:58,1,"USER@domain.de",,"192.168.240.254","8X.187.67.125",,,"HOSTNAME","10.0.100.X",15728685,0,"10.0.100.X","HOSTNAME",,,5,,1,2,8,,0,"311 1 10.0.100.XX 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,"DOMAIN.de",,,,,,,,
"HOSTNAME","IAS",06/28/2023,21:24:58,3,,,,,,,,,,0,"10.0.100.x","HOSTNAME",,,,,,,8,,21,"311 1 10.0.100.xx 06/28/2023 19:11:56 3",,,,,,,,,"81e00029",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Die NPS Log in der Ereignisanzeige:
2023_06_28_21_39_16_window

2023_06_28_21_40_14_window

Fehlermeldung am Client
2023_06_28_21_41_18_window

Hat jemand von euch Azure MFA mit Mikrotik erfolgreich am laufen und kann helfen?

Vielen Dank.

Schönen Abend.
Mit freundlichen Grüßen
nEmEsIs

Content-ID: 7680006100

Url: https://administrator.de/forum/mikrotik-windows-nps-und-azure-mfa-7680006100.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

commodity
commodity 29.06.2023 um 00:11:45 Uhr
Goto Top
Also ich denke nicht, dass es am Mikrotik liegt. Der ist hier ja nur Authenticator. Genau klären kannst Du das aber wohl, wenn Du das in System/Logging genauer erfasst und/oder Wireshark bzw. den Mikrotik Packet Sniffer darauf ansetzt.

Eher vermute ich, dass das ein Timeout des Supplicants ist. Dafür spendiert Google dann evtl. eine Lösung hier:
https://kb.waldron.net/content/15/1/en/extend-windows-10&sol11-vpn-c ...

Sniffen würde ich das trotzdem mal. Schließlich hat man das als Mikrotik-Besitzer eingebaut face-smile

Viele Grüße, commodity
Mr-Gustav
Mr-Gustav 29.06.2023 um 15:21:25 Uhr
Goto Top
Also du willst eine VPN Verbindung von deinem Notebook ( als Bsp. ) zu deinem Mikrotik Router Zuhause oder sonst wo aufbauen? Richtig ?

Das wird so nicht funktionieren da hierfür ein Azure VPN Gateway benötigt wird - so mein Stand.

Ich habe das ganze mit NPS und der MFA AddOn bei einem meiner Kunden am laufen.Das Ziel von MS ist es das bei diesem Setup die lokale vorhandene Authentifizierungsinfrastruktur für die Cloud weiter genutzt werden kann.
Nebenbei braucht man da auch noch die passenden MS 365 Lizenzen dafür. Ohne die geht sowieso nix.
Ich glaube mindestens Azure AD P1 oder ggf höher.
nEmEsIs
nEmEsIs 29.06.2023 um 15:46:18 Uhr
Goto Top
Hi

Vielen Dank für die Rückmeldungen.
Regwert werde ich heute Abend testen.
Meine primäre Authentifizierung habe ich auf Authentication App umgestellt.
Business Premium Ist Vorhanden.
Wenn dem nicht so wäre würde ich keine SMS bekommen.
Das mit dem Azure VPN Gateway habe ich so nicht lesen können. Bitte Quellen.
P1 ist ja durch Business Premium vorhanden.

Mit freundlichen Grüßen
Nemesis
Mr-Gustav
Mr-Gustav 29.06.2023 aktualisiert um 17:04:06 Uhr
Goto Top
Die Anleitung die MS liefert ist zwar nur aus MS beschränkt und besagt das man ein RRAS braucht
https://learn.microsoft.com/de-de/azure/active-directory/authentication/ ...

aber der Ablauf der Radius Auth besagt das es eigentlich auch mit einem X Beliebigen Radius CLIENT gehtn sollte.
Es ist ja der Client der sich mit dem NPS unterhält.

Mal ins blau geraten.... Stell mal die Timeout´s auf 120 oder 60 Sec wie MS sagt
eventuell ist der MT einfach nur zu schnell fertig

Oder mal eben die Radius Messages mitschneiden und schauen wo es hängt
nEmEsIs
Lösung nEmEsIs 29.06.2023 aktualisiert um 17:51:23 Uhr
Goto Top
Hi habe es hinbekommen

Lag ab einem Regwert auf dem NPS Server:
img_4163

Dies scheint in der neusten Version auf True zu stehen und eigentliche müsste eine zweistellige Zahl kommen, was das VPN aber nicht durchreichen kann. Es geht nur die einfache Methode mit genehmigen oder ablehnen in der Authenticator App.


Sollte jemand Interesse bzgl meiner Konfig haben erstelle ich einen extra Eintrag bei Administrator.de

Mit freundlichen Grüßen Nemesis
commodity
commodity 29.06.2023 um 18:15:43 Uhr
Goto Top
Sollte jemand Interesse bzgl meiner Konfig haben erstelle ich einen extra Eintrag bei Administrator.de
Ich komme evtl. mal drauf zurück. Finde ich sehr interessant. Vorläufig steht das bei mir allerdings nicht an. Aber Danke!

Viele Grüße, commodity