Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problème de NTP (openntpd) sur pfSense 2.0

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      geranium
      last edited by

      Bonjour à tous,

      J'utilise pfSense 2.0 RC3.

      Dans « System: General Setup », j'ai indiqué le serveur NTP de strate 1 suivant : ntp-p1.obspm.fr (qui se résoud en 145.238.203.14).

      Dans « Services : NTP server », le service est bien activé et il écoute sur les interfaces LAN et loopback.

      Les règles de firewall sont celles par défaut après installation.

      Sur pfSense :

      • la patte LAN a l'adresse 10.1.1.254 (réseau 10.1.1.0/24)

      • la patte WAN a l'adresse XX.XX.XX.XX

      Sur le LAN, j'ai un client Ubuntu natty avec le paquet ntp 1:4.2.6.p2+dfsg-1ubuntu5.1 à l'adresse 10.1.1.1.

      La configuration de ntp sur 10.1.1.1 est la suivante (/etc/ntp.conf) :

      driftfile /var/lib/ntp/ntp.drift
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 10.1.1.254
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1

      Afin de vérifier que tout fonctionne correctement, j'exécute les commandes suivantes sur 10.1.1.1 :

      $ ntptrace
      localhost.localdomain: stratum 3, offset 0.099028, synch distance 0.017055
      10.1.1.254: timed out, nothing received
      ***Request timed out

      $ ntpq -p -n
          remote           refid      st t when poll reach   delay   offset  jitter

      *10.1.1.254      71.83.72.185     2 u  135  256  377    0.342   99.028  74.275

      Je constate 2 problèmes :

      • Le message « ***Request timed out » pour ntptrace.

      • Le fait que le « refid » du serveur NTP de pfSense soit « 71.83.72.185 » alors que cela ne correspond pas à l'adresse IP du serveurs NTP indiqué. Si je multiplie les essais, l'adresse IP indiquée n'est pas toujours la même.

      Sur pfSense, la configuration de NTP est la suivante (/var/etc/ntpd.conf) :

      
servers ntp-p1.obspm.fr
listen on 10.1.1.254
listen on 127.0.0.1

      Quelques tests sur pfSense :

      netstat -p udp -n | grep -E '.123 '

      udp4       0      0 XX.XX.XX.XX.9501    145.238.203.14.123
      udp4       0      0 127.0.0.1.123       .
      udp4       0      0 10.1.1.254.123      .

      ntpq -p -n

      localhost: timed out, nothing received

      J'ai essayé d'indiquer plutôt l'adresse IP du serveur NTP dans pfSense mais le résultat identique. Cela devrait donc éliminer d'éventuels problèmes de résolution.

      Ayant lu qu'il pouvait y avoir dans certaines circonstances quelques problèmes avec NTP sur pfSense 2.0 RC et que les logs de OpenNTPD sous pfSense ne sont pas bavarde (il n'y a rien), j'ai essayé de démarrer ntpd manuellement et de le laisser fonctionner quelques minutes :

      killall ntpd

      /usr/local/sbin/ntpd -d -f /var/etc/ntpd.conf > & /root/ntpd.log

      ^C

      Voici ce que j'obtiens (/root/ntpd.log) :

      
listening on 10.1.1.254
listening on 127.0.0.1
ntp engine ready
reply from 145.238.203.14: offset -0.199347 delay 0.028923, next query 7s
reply from 145.238.203.14: offset -0.200206 delay 0.028770, next query 5s
reply from 145.238.203.14: offset -0.200877 delay 0.028835, next query 5s
peer 145.238.203.14 now valid
reply from 145.238.203.14: offset -0.201890 delay 0.028094, next query 8s
reply from 145.238.203.14: offset -0.202871 delay 0.027882, next query 5s
reply from 145.238.203.14: offset -0.204005 delay 0.028000, next query 9s
reply from 145.238.203.14: offset -0.204312 delay 0.028947, next query 33s
reply from 145.238.203.14: offset -0.209456 delay 0.028109, next query 32s
adjusting local clock by -0.202871s
ntp engine exiting
Lost child: child exited
Terminating

      Tout semble se passer correctement et c'est bien le serveur indiqué qui est utilisé.

      Qu'en penses-vous ?

      Merci de votre attention et au plaisir de vous lire.

      1 Reply Last reply Reply Quote 0
      • J
        Juve
        last edited by

        Il faut d'abord créer une règle de firewall permettant a la machine client de joindre la patte LAN de pfsense sur le port 123/UDP.

        1 Reply Last reply Reply Quote 0
        • G
          geranium
          last edited by

          Bonjour,

          Merci pour la réponse.

          Il y a déjà une règle par défaut « Default LAN -> any » qui autorise tout depuis le LAN.

          Sauf erreur de ma part, cette règle est créée par défaut à l'installation de pfSense.

          D'ailleurs, j'arrive à accéder depuis 10.1.1.1 à :

          • tcp/80 de 10.1.1.254 : interface de gestion de pfSense

          • icmp de 10.1.1.254 : ping

          Je ne vois pas pourquoi je n'arriverai pas à fairte du udp/123 ?

          D'autre part, cela n'explique pas :

          • l'absence de réponse à la commande ntpq en console sur pfSense

          • la valeur du champ « refid » de la commande ntpq depuis 10.1.1.1

          1 Reply Last reply Reply Quote 0
          • J
            Juve
            last edited by

            Ok,
            j'oubliais qu'il y avait par défaut cette règle ultra permissive…

            Pouvez vous faire une capture coté pfsense pour voir si votre client tente bien une connexion.

            tcpdump -i em0 -ttt -n proto UDP and port 123 and host 10.1.1.1

            ensuite redémarrez ntpd sur votre client.

            remplacer em0 par votre interface lan.
            Pour info, il faut attendre un certain temps avant que le serveur NTP de pfsense réponde favorablement à une demande de synchronisation. En effet lorsqu'il démarre il va attendre un certain nombre de synchronisations avec ses serveurs de référence afin de connaitre précisément son jitter. Généralement, au bout de 15 minutes il répond convenablement.

            J'ajoute qu'il y a effectivement eut des pb en 2.0 mais en RC3 tout devrait bien fonctionner pour ntp.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.