Evitar MFA en casa con Authentik

Introducción

Evitar que Authentik pida el segundo factor en casa, donde es una molestia constante. Se aplica solo bajo una IP fija, y sin comprometer la seguridad externa.

Características

Requisitos previos

IP pública fija o semiestable (por rango).
Caddy como reverse proxy.
Outpost de Authentik funcionando.
Dominio configurado en Cloudflare con API activa.

Flujo general

Navegador ─▶ Cloudflare ─▶ Caddy ─▶ Authentik Outpost ─▶ App
                 ▲ IP real via X-Forwarded-For     ▲
                 └─────────────────────────────────┘

Caddy extrae la IP real con {client_ip} y la pasa como cabecera.
Authentik la lee en ak_client_ip y salta el MFA si coincide con la IP marcada.

Caddyfile adaptado

Importante: este ejemplo solo aplica a aplicaciones que estén protegidas por Authentik. Si una app no utiliza Authentik como sistema de autenticación, este snippet no tendrá efecto sobre ella.

Antes de modificar nada, se recomienda hacer una copia de seguridad de tu Caddyfile actual. Por la naturaleza de los cambios (cabeceras, autenticación, DNS...), un error puede dejarte sin acceso a tus servicios.

Ejemplo con datos falsos para documentar el flujo.

{
	email     ejemplo@dominio.com
	acme_dns  cloudflare "API_KEY_FAKE123"

	servers {
		trusted_proxies static private_ranges \
			203.0.113.0/24 198.51.100.0/24 192.0.2.0/24
	}
}

(authentik) {
	reverse_proxy /outpost.goauthentik.io/* http://10.0.0.3:15500

	forward_auth http://10.0.0.3:15500 {
		uri /outpost.goauthentik.io/auth/caddy

		copy_headers {
			X-Authentik-Username
			X-Authentik-Email
			X-Authentik-Groups
			X-Authentik-Name
			X-Authentik-Uid
		}

		header_up X-Real-IP   {client_ip}
		header_up X-Client-IP {client_ip}
	}
}

# Cada app que requiera autenticación debe seguir este mismo patrón.
# Primero importamos el snippet de Authentik, luego definimos el reverse_proxy de la app.

app.midominio.com {
	log {
		output file /var/log/caddy/app-access.log
		format transform "{request>headers>X-Forwarded-For>[0]:request>remote_ip} - {user_id} [{ts}] \"{request>method} {request>uri} {request>proto}\" {status} {size}" {
			time_format "02/Jan/2006:15:04:05 -0700"
		}
	}

	route {
		# 1) Llama al snippet que gestiona la autenticación
		import authentik

		# 2) Redirige a la app protegida
		reverse_proxy http://10.0.0.3:8080
	}
}

Policy en Authentik

Expression Policy Nombre: Skip-Home-IP

from ipaddress import ip_address
return ak_client_ip == ip_address("203.0.113.42")

Aplica la policy Ruta: Flows and Stages → Flows → default-authentication-flow → Stage Bindings → default-authentication-mfa-validation Bindea: la policy Skip-Home-IP Orden: 0 Negate: desactivado

Si tienes IP dinámica pero dentro de un rango:

from ipaddress import ip_network
return ak_client_ip in ip_network("203.0.113.0/24")

Verificación

Prueba	Esperado
Desde casa	Sin MFA.
Fuera de casa	MFA/login normal.
Audit → Requests	`ALLOW (policy)` y IP correcta en `Client-IP`.
`caddy validate`	Configuración válida.

Ventajas

Qué	Por qué
Sin MFA en casa	Nada de abrir el móvil cada dos por tres.
IP real protegida	`trusted_proxies` evita que te cuelen cabeceras falsas.
Mantenimiento mínimo	Solo un snippet + una policy.
Logs decentes	Se ve quién accedió, desde dónde, sin cosas raras.
Reversible fácil	Borra la policy o el `import`, y listo.

Resumen breve

trusted_proxies + {client_ip} → IP real segura.
Policy de tipo Expression comparando ak_client_ip.
Todo controlado desde Caddy con un solo snippet.
Flujo transparente, sin MFA en casa pero con seguridad fuera.

Referencias

Rangos IP de Cloudflare — Para configurar trusted_proxies según los saltos reales desde el proxy.

Caddy:

Authentik: