Проблема с NTP трафиком
-
Доброго времени суток. Возникла следующая проблема: имеется шлюз PFSence 2.4.3-RELEASE-p1 за ним сеть из компьютеров домена и рабочих групп. В домене контроллер ни в какую не синхронизирует время с внешними источниками, в рабочих группах такая же проблема - синхронизации через интернет нет. Выяснилось, что PFSence блочит абсолютно всё что пытается пролезть по порту 123. Несколько дней танцев с бубном и различные вариации отслеживания куда-же девается трафик и что его режет ни к чему не привели. Отсюда вопрос: может быть кто-то подскажет как заставить шлюз таки пропускать NTP трафик, поскольку других проблем с любыми другими сервисами нет. Может кто-то сталкивался с подобной проблемой и сможет дать ответ. Заранее спасибо.
-
@workdub Не пробовали pfsense использовать как ntp сервер? Services->ntp, интерфейс, к примеру, lan?и в качестве ntp сервера для хостов будет pfsense.
При этом , ради интереса , запустил tcpdump у себя
вот картинка
Никаких ограничений в передаче NTP запросов нет
Покажите пож правила на LAN интерфейсе -
Собственно вот картинка с правилами... Насчет настройки NTP на шлюзе пока не заморачивался, хотел всё-таки докопаться до истины.
-
@workdub Доброго дня
так верно все
Floating пуст ?
Контроллер домена находится в той же сети ,что и PF ?
Если уверены , что именно PF блокирует трафик - можно сделать на время после разрешающего правила запрещающее все и обязательно с логом , и потом уже в журнале смотреть , почему блокирует
И еще вот что попробовать можно
в разделе Status-Services - Ntpd запущен ? -
Да, floating я не использую, про контроллер домена с ролью PDC тоже самое - он в одной подсети со шлюзом. Сомнения то вызывает именно отсутствие трафика на порт 123 с рабочих станций вне домена, где уж точно
ничего не должно влиять на его прохождение. К созданию запрещающего правила сейчас попробовать не могу (60 человек без интернета явно не порадуются )) это надо делать в нерабочее время, но как попробую отпишусь дополнительно. -
Да, запущен.
-
@workdub Запрещающее правило поставите после разрешающего
Инет не отрубится , просто вы будете видеть все пакеты , которые PF отбрасывает
и причину , по которой он это делает
Потом это правило можно удалить
Я вот подумал , проверьте пож , запущен ли NTPD демон на PF
Если его остановить , что будет ?
По большому счету его работа не должна мешать , но все-таки , вдруг это причина
Попробуйте указать при запущенном ntpd для контроллера домена что ntp сервер - это lan интерфейс pf .
Прокси есть ? -
У меня :
- Пф работает как ntp-сервер.
- Создано правило port forwrd на ЛАН, в к-ом все ntp-запросы заворачиваются на LAN addr UDP\123.
- Создано правило fw на ЛАН , разрешающее обращение из ЛАН к LAN addr UDP\123
- Опционально. Установлен Cron, в к-ом добавлено задание передергивать службу ntp каждые 15 мин. Без этого у меня время на пф прилично отставало.
Имеется домен и раб. группы. Проблем с ntp нет.
P.s. На 2-м скрине присутствуют правила port forwdr для гостевой wi-fi-сети. Организована она на самых простых tp-link-ах, перешитых openwrt (18.06.1 , kernel 4.9.x). При этом гостевая сеть полностью изолирована - доступа из нее ни к роутеру ни к ЛАН нет.
Прошивку собирал сам. Кому интересно мое "творение" https://4pda.ru/forum/index.php?showtopic=911457&st=300#entry77635784 -
@konstanti Останавливал NTPD, результат тот же, т.е. ничего не изменилось, указывал в качестве ntp сервера машину с pf - тоже ничего!!! Прокси нет. Сейчас обратил внимание на то, что телнета нет изнутри сети даже на шлюз на порт 123, говорит порт закрыт!!! Т.е. я делаю вывод, что как-будто бы реально писать правило что ли на явное разрешение этого трафика, есть резон в этом?
-
Сейчас обратил внимание на то, что телнета нет изнутри сети даже на шлюз на порт 123, говорит порт закрыт!!!
Приехали (
Какой телнет на udp?Пробуйте как описал выше. Схема работает более 2-х лет.
-
@workdub По телнету на udp порт не достучишься . Если пока советы не работают , попробуйте все-таки создать запрещающее правло с логом ( оно должно быть крайним в списке , не бойтесь , в э том случае инет не отвалится ). И посмотреть потом , есть ли в логах пакеты на 123 порту ,с различных хостов
-
@werter Сорри, я тупанул, nc (netcat) заработался))
-
@werter По уму , если ntpd слушает LAN ( а он по умолчанию его слушает ) , вариант указать pf как ntp сервер должен был сработаь
-
@Konstanti
@workdub
Ау, коллеги. Скрины выше. Не спим.
У страждущего нет на ЛАН разрешающего правила для доступа к NTP на пф.
Ферштейн?Правило ставить на ЛАН выше всех.
-
@werter Проверил сейчас
прекрасно все работает без дополнительных разрешающих правил
-
@Konstanti
У меня не работало без него. ACL в NTP покажите. Может у вас там ваша сеть добавлена? -
Я все-таки считаю , что , если ТС уверен , что проблема в PF, это посмотреть логи запрещающего правила
-
Супер. Буду в курсе теперь. Спасибо.
@Konstanti
Если пф у вас в продакшене, то использование 192.168.1.0 для адресации вашей сети я бы крайне не рекомендовал. Есть др. классы и диапазоны в них для серых сетей.
Это может подвести в случае подкл. клиентов или филиалов с такой же адресацией к вам извне. -
@werter Спс
Это не рабочая сеть ))) Это скрин с домашней . Тут снаружи нет подключений. Кроме VPN мобильных пользователей -
В домене контроллер ни в какую не синхронизирует время с внешними источниками, в рабочих группах такая же проблема - синхронизации через интернет нет.
По умолч. Win берет время с time.windows.com (или как-то так)
У меня были с ним проблемы.
Изменил с пом. GP на пулы ntp.org
Проблема ушла. -
@werter Это уже пройденный этап, делал, и через GP и через реестр... Сейчас соберу в кучу всю полученную инфу и как только заработает я отпишусь. Всем спасибо!
-
Кроме VPN мобильных пользователей
Смоделируем.
У этих пол-лей может быть ви-фи роутер. Они через него доступ в Сеть получают. С адресом 192.168.1.1. На к-ый им надо будет зайти. При поднятом к вам туннеле. С маршрутом в 192.168.1.0, полученным от вашего пф при поднятии туннеля.
Дальше продолжать?Зы. Не, ну есть надежда на ARP-запись у пол-лей в ОС.Но я бы надежд на это дело особо на возлагал.
-
@workdub said in Проблема с NTP трафиком:
@werter Это уже пройденный этап, делал, и через GP и через реестр... Сейчас соберу в кучу всю полученную инфу и как только заработает я отпишусь. Всем спасибо!
Вкл. логирование на пф. Смотрите там, что блокирует доступ ко внешним ntp.
-
Очень долго не мог понять в чем дело. Перелопатил реестр, политики, множество форумов. Все без толку.
Оказалось что причиной всему был управляемый коммутатор.
Отключил в его настройках DoS Defender (DoS Features) и все заработало.
Отаке.