Проблема с NTP трафиком

Konstanti

@werter По уму , если ntpd слушает LAN ( а он по умолчанию его слушает ) , вариант указать pf как ntp сервер должен был сработаь

werter

@Konstanti
@workdub
Ау, коллеги. Скрины выше. Не спим.
У страждущего нет на ЛАН разрешающего правила для доступа к NTP на пф.
Ферштейн?

Правило ставить на ЛАН выше всех.

0_1539846603139_Services_ NTP_ Settings.png

0_1539846621325_2Services_ NTP_ ACLs.png

Konstanti

@werter Проверил сейчас
прекрасно все работает без дополнительных разрешающих правил
0_1539846709601_732db1f4-3f8d-4401-b9ce-1e97e2b519fb-image.png

werter

@Konstanti
У меня не работало без него. ACL в NTP покажите. Может у вас там ваша сеть добавлена?

Konstanti

@werter 0_1539847002063_7726bf5d-6628-413a-9a20-fa8f2e34d58f-image.png

0_1539847096640_e4c099b1-d666-43b3-b74e-d72dc897f167-image.png

Я все-таки считаю , что , если ТС уверен , что проблема в PF, это посмотреть логи запрещающего правила

werter

Супер. Буду в курсе теперь. Спасибо.

@Konstanti
Если пф у вас в продакшене, то использование 192.168.1.0 для адресации вашей сети я бы крайне не рекомендовал. Есть др. классы и диапазоны в них для серых сетей.
Это может подвести в случае подкл. клиентов или филиалов с такой же адресацией к вам извне.

Konstanti

@werter Спс
Это не рабочая сеть ))) Это скрин с домашней . Тут снаружи нет подключений. Кроме VPN мобильных пользователей

werter

@workdub

В домене контроллер ни в какую не синхронизирует время с внешними источниками, в рабочих группах такая же проблема - синхронизации через интернет нет.

По умолч. Win берет время с time.windows.com (или как-то так)
У меня были с ним проблемы.
Изменил с пом. GP на пулы ntp.org
Проблема ушла.

workdub

@werter Это уже пройденный этап, делал, и через GP и через реестр... Сейчас соберу в кучу всю полученную инфу и как только заработает я отпишусь. Всем спасибо!

werter

@konstanti

Кроме VPN мобильных пользователей

Смоделируем.

У этих пол-лей может быть ви-фи роутер. Они через него доступ в Сеть получают. С адресом 192.168.1.1. На к-ый им надо будет зайти. При поднятом к вам туннеле. С маршрутом в 192.168.1.0, полученным от вашего пф при поднятии туннеля.
Дальше продолжать?

Зы. Не, ну есть надежда на ARP-запись у пол-лей в ОС.Но я бы надежд на это дело особо на возлагал.

werter

@workdub said in Проблема с NTP трафиком:

@werter Это уже пройденный этап, делал, и через GP и через реестр... Сейчас соберу в кучу всю полученную инфу и как только заработает я отпишусь. Всем спасибо!

Вкл. логирование на пф. Смотрите там, что блокирует доступ ко внешним ntp.

Bohdan

Очень долго не мог понять в чем дело. Перелопатил реестр, политики, множество форумов. Все без толку.
Оказалось что причиной всему был управляемый коммутатор.
Отключил в его настройках DoS Defender (DoS Features) и все заработало.
Отаке.