Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Проблема с NTP трафиком

    Scheduled Pinned Locked Moved Russian
    24 Posts 4 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      workdub
      last edited by

      0_1539842425672_24513354-5a06-4590-8230-2734e76e6262-image.png

      Собственно вот картинка с правилами... Насчет настройки NTP на шлюзе пока не заморачивался, хотел всё-таки докопаться до истины.

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @workdub
        last edited by Konstanti

        @workdub Доброго дня
        так верно все
        Floating пуст ?
        Контроллер домена находится в той же сети ,что и PF ?
        Если уверены , что именно PF блокирует трафик - можно сделать на время после разрешающего правила запрещающее все и обязательно с логом , и потом уже в журнале смотреть , почему блокирует
        И еще вот что попробовать можно
        в разделе Status-Services - Ntpd запущен ?

        W 1 Reply Last reply Reply Quote 0
        • W
          workdub
          last edited by

          Да, floating я не использую, про контроллер домена с ролью PDC тоже самое - он в одной подсети со шлюзом. Сомнения то вызывает именно отсутствие трафика на порт 123 с рабочих станций вне домена, где уж точно
          ничего не должно влиять на его прохождение. К созданию запрещающего правила сейчас попробовать не могу (60 человек без интернета явно не порадуются )) это надо делать в нерабочее время, но как попробую отпишусь дополнительно.

          K 1 Reply Last reply Reply Quote 0
          • W
            workdub @Konstanti
            last edited by

            @konstanti 0_1539843415204_824f609f-fb30-48b2-8bcc-59f313eb4888-image.png

            Да, запущен.

            1 Reply Last reply Reply Quote 0
            • K
              Konstanti @workdub
              last edited by Konstanti

              @workdub Запрещающее правило поставите после разрешающего
              Инет не отрубится , просто вы будете видеть все пакеты , которые PF отбрасывает
              и причину , по которой он это делает
              Потом это правило можно удалить
              Я вот подумал , проверьте пож , запущен ли NTPD демон на PF
              Если его остановить , что будет ?
              По большому счету его работа не должна мешать , но все-таки , вдруг это причина
              Попробуйте указать при запущенном ntpd для контроллера домена что ntp сервер - это lan интерфейс pf .
              Прокси есть ?

              W 1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by werter

                У меня :

                1. Пф работает как ntp-сервер.
                2. Создано правило port forwrd на ЛАН, в к-ом все ntp-запросы заворачиваются на LAN addr UDP\123.
                3. Создано правило fw на ЛАН , разрешающее обращение из ЛАН к LAN addr UDP\123
                4. Опционально. Установлен Cron, в к-ом добавлено задание передергивать службу ntp каждые 15 мин. Без этого у меня время на пф прилично отставало.

                Имеется домен и раб. группы. Проблем с ntp нет.

                P.s. На 2-м скрине присутствуют правила port forwdr для гостевой wi-fi-сети. Организована она на самых простых tp-link-ах, перешитых openwrt (18.06.1 , kernel 4.9.x). При этом гостевая сеть полностью изолирована - доступа из нее ни к роутеру ни к ЛАН нет.
                Прошивку собирал сам. Кому интересно мое "творение" https://4pda.ru/forum/index.php?showtopic=911457&st=300#entry77635784

                3_1539844925575_1System_ General Setup.png

                2_1539844925575_2Firewall_ NAT_ Port Forward.png

                1_1539844925575_3Firewall_ Rules_ LAN.png

                0_1539844925575_4Services_ Cron.png

                1 Reply Last reply Reply Quote 0
                • W
                  workdub @Konstanti
                  last edited by workdub

                  @konstanti Останавливал NTPD, результат тот же, т.е. ничего не изменилось, указывал в качестве ntp сервера машину с pf - тоже ничего!!! Прокси нет. Сейчас обратил внимание на то, что телнета нет изнутри сети даже на шлюз на порт 123, говорит порт закрыт!!! Т.е. я делаю вывод, что как-будто бы реально писать правило что ли на явное разрешение этого трафика, есть резон в этом?

                  werterW K 2 Replies Last reply Reply Quote 0
                  • werterW
                    werter @workdub
                    last edited by werter

                    Сейчас обратил внимание на то, что телнета нет изнутри сети даже на шлюз на порт 123, говорит порт закрыт!!!

                    Приехали (
                    Какой телнет на udp?

                    Пробуйте как описал выше. Схема работает более 2-х лет.

                    W K 2 Replies Last reply Reply Quote 0
                    • K
                      Konstanti @workdub
                      last edited by

                      @workdub По телнету на udp порт не достучишься . Если пока советы не работают , попробуйте все-таки создать запрещающее правло с логом ( оно должно быть крайним в списке , не бойтесь , в э том случае инет не отвалится ). И посмотреть потом , есть ли в логах пакеты на 123 порту ,с различных хостов

                      1 Reply Last reply Reply Quote 0
                      • W
                        workdub @werter
                        last edited by

                        @werter Сорри, я тупанул, nc (netcat) заработался))

                        1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @werter
                          last edited by

                          @werter По уму , если ntpd слушает LAN ( а он по умолчанию его слушает ) , вариант указать pf как ntp сервер должен был сработаь

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by werter

                            @Konstanti
                            @workdub
                            Ау, коллеги. Скрины выше. Не спим.
                            У страждущего нет на ЛАН разрешающего правила для доступа к NTP на пф.
                            Ферштейн?

                            Правило ставить на ЛАН выше всех.

                            0_1539846372714_1.png

                            0_1539846603139_Services_ NTP_ Settings.png

                            0_1539846621325_2Services_ NTP_ ACLs.png

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @werter
                              last edited by

                              @werter Проверил сейчас
                              прекрасно все работает без дополнительных разрешающих правил
                              0_1539846709601_732db1f4-3f8d-4401-b9ce-1e97e2b519fb-image.png

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by werter

                                @Konstanti
                                У меня не работало без него. ACL в NTP покажите. Может у вас там ваша сеть добавлена?

                                K 1 Reply Last reply Reply Quote 0
                                • K
                                  Konstanti @werter
                                  last edited by Konstanti

                                  @werter 0_1539847002063_7726bf5d-6628-413a-9a20-fa8f2e34d58f-image.png

                                  0_1539847096640_e4c099b1-d666-43b3-b74e-d72dc897f167-image.png

                                  Я все-таки считаю , что , если ТС уверен , что проблема в PF, это посмотреть логи запрещающего правила

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by werter

                                    Супер. Буду в курсе теперь. Спасибо.

                                    @Konstanti
                                    Если пф у вас в продакшене, то использование 192.168.1.0 для адресации вашей сети я бы крайне не рекомендовал. Есть др. классы и диапазоны в них для серых сетей.
                                    Это может подвести в случае подкл. клиентов или филиалов с такой же адресацией к вам извне.

                                    K 1 Reply Last reply Reply Quote 1
                                    • K
                                      Konstanti @werter
                                      last edited by Konstanti

                                      @werter Спс
                                      Это не рабочая сеть ))) Это скрин с домашней . Тут снаружи нет подключений. Кроме VPN мобильных пользователей

                                      werterW 1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by werter

                                        @workdub

                                        В домене контроллер ни в какую не синхронизирует время с внешними источниками, в рабочих группах такая же проблема - синхронизации через интернет нет.

                                        По умолч. Win берет время с time.windows.com (или как-то так)
                                        У меня были с ним проблемы.
                                        Изменил с пом. GP на пулы ntp.org
                                        Проблема ушла.

                                        W 1 Reply Last reply Reply Quote 0
                                        • W
                                          workdub @werter
                                          last edited by

                                          @werter Это уже пройденный этап, делал, и через GP и через реестр... Сейчас соберу в кучу всю полученную инфу и как только заработает я отпишусь. Всем спасибо!

                                          werterW 1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter @Konstanti
                                            last edited by werter

                                            @konstanti

                                            Кроме VPN мобильных пользователей

                                            Смоделируем.

                                            У этих пол-лей может быть ви-фи роутер. Они через него доступ в Сеть получают. С адресом 192.168.1.1. На к-ый им надо будет зайти. При поднятом к вам туннеле. С маршрутом в 192.168.1.0, полученным от вашего пф при поднятии туннеля.
                                            Дальше продолжать?

                                            Зы. Не, ну есть надежда на ARP-запись у пол-лей в ОС.Но я бы надежд на это дело особо на возлагал.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.