Проблема с NTP трафиком

workdub

Собственно вот картинка с правилами... Насчет настройки NTP на шлюзе пока не заморачивался, хотел всё-таки докопаться до истины.

Konstanti

@workdub Доброго дня
так верно все
Floating пуст ?
Контроллер домена находится в той же сети ,что и PF ?
Если уверены , что именно PF блокирует трафик - можно сделать на время после разрешающего правила запрещающее все и обязательно с логом , и потом уже в журнале смотреть , почему блокирует
И еще вот что попробовать можно
в разделе Status-Services - Ntpd запущен ?

workdub

Да, floating я не использую, про контроллер домена с ролью PDC тоже самое - он в одной подсети со шлюзом. Сомнения то вызывает именно отсутствие трафика на порт 123 с рабочих станций вне домена, где уж точно
ничего не должно влиять на его прохождение. К созданию запрещающего правила сейчас попробовать не могу (60 человек без интернета явно не порадуются )) это надо делать в нерабочее время, но как попробую отпишусь дополнительно.

workdub

@konstanti

Да, запущен.

Konstanti

@workdub Запрещающее правило поставите после разрешающего
Инет не отрубится , просто вы будете видеть все пакеты , которые PF отбрасывает
и причину , по которой он это делает
Потом это правило можно удалить
Я вот подумал , проверьте пож , запущен ли NTPD демон на PF
Если его остановить , что будет ?
По большому счету его работа не должна мешать , но все-таки , вдруг это причина
Попробуйте указать при запущенном ntpd для контроллера домена что ntp сервер - это lan интерфейс pf .
Прокси есть ?

werter

У меня :

1. Пф работает как ntp-сервер.
2. Создано правило port forwrd на ЛАН, в к-ом все ntp-запросы заворачиваются на LAN addr UDP\123.
3. Создано правило fw на ЛАН , разрешающее обращение из ЛАН к LAN addr UDP\123
4. Опционально. Установлен Cron, в к-ом добавлено задание передергивать службу ntp каждые 15 мин. Без этого у меня время на пф прилично отставало.

Имеется домен и раб. группы. Проблем с ntp нет.

P.s. На 2-м скрине присутствуют правила port forwdr для гостевой wi-fi-сети. Организована она на самых простых tp-link-ах, перешитых openwrt (18.06.1 , kernel 4.9.x). При этом гостевая сеть полностью изолирована - доступа из нее ни к роутеру ни к ЛАН нет.
Прошивку собирал сам. Кому интересно мое "творение" https://4pda.ru/forum/index.php?showtopic=911457&st=300#entry77635784

workdub

@konstanti Останавливал NTPD, результат тот же, т.е. ничего не изменилось, указывал в качестве ntp сервера машину с pf - тоже ничего!!! Прокси нет. Сейчас обратил внимание на то, что телнета нет изнутри сети даже на шлюз на порт 123, говорит порт закрыт!!! Т.е. я делаю вывод, что как-будто бы реально писать правило что ли на явное разрешение этого трафика, есть резон в этом?

werter

Сейчас обратил внимание на то, что телнета нет изнутри сети даже на шлюз на порт 123, говорит порт закрыт!!!

Приехали (
Какой телнет на udp?

Пробуйте как описал выше. Схема работает более 2-х лет.

Konstanti

@workdub По телнету на udp порт не достучишься . Если пока советы не работают , попробуйте все-таки создать запрещающее правло с логом ( оно должно быть крайним в списке , не бойтесь , в э том случае инет не отвалится ). И посмотреть потом , есть ли в логах пакеты на 123 порту ,с различных хостов

workdub

@werter Сорри, я тупанул, nc (netcat) заработался))

Konstanti

@werter По уму , если ntpd слушает LAN ( а он по умолчанию его слушает ) , вариант указать pf как ntp сервер должен был сработаь

werter

@Konstanti
@workdub
Ау, коллеги. Скрины выше. Не спим.
У страждущего нет на ЛАН разрешающего правила для доступа к NTP на пф.
Ферштейн?

Правило ставить на ЛАН выше всех.

Konstanti

@werter Проверил сейчас
прекрасно все работает без дополнительных разрешающих правил

werter

@Konstanti
У меня не работало без него. ACL в NTP покажите. Может у вас там ваша сеть добавлена?

Konstanti

@werter

Я все-таки считаю , что , если ТС уверен , что проблема в PF, это посмотреть логи запрещающего правила

werter

Супер. Буду в курсе теперь. Спасибо.

@Konstanti
Если пф у вас в продакшене, то использование 192.168.1.0 для адресации вашей сети я бы крайне не рекомендовал. Есть др. классы и диапазоны в них для серых сетей.
Это может подвести в случае подкл. клиентов или филиалов с такой же адресацией к вам извне.

Konstanti

@werter Спс
Это не рабочая сеть ))) Это скрин с домашней . Тут снаружи нет подключений. Кроме VPN мобильных пользователей

werter

@workdub

В домене контроллер ни в какую не синхронизирует время с внешними источниками, в рабочих группах такая же проблема - синхронизации через интернет нет.

По умолч. Win берет время с time.windows.com (или как-то так)
У меня были с ним проблемы.
Изменил с пом. GP на пулы ntp.org
Проблема ушла.

workdub

@werter Это уже пройденный этап, делал, и через GP и через реестр... Сейчас соберу в кучу всю полученную инфу и как только заработает я отпишусь. Всем спасибо!

werter

@konstanti

Кроме VPN мобильных пользователей

Смоделируем.

У этих пол-лей может быть ви-фи роутер. Они через него доступ в Сеть получают. С адресом 192.168.1.1. На к-ый им надо будет зайти. При поднятом к вам туннеле. С маршрутом в 192.168.1.0, полученным от вашего пф при поднятии туннеля.
Дальше продолжать?

Зы. Не, ну есть надежда на ARP-запись у пол-лей в ОС.Но я бы надежд на это дело особо на возлагал.