NTP |
-
Hallo zusammen,
ich habe unter NTP folgende 3 Server eingetragen:
tutimea.tuwien.ac.at (prefer)
tutimeb.tuwien.ac.at
tutimec.tuwien.ac.atUnter „Status“ steht folgendes:
Status Server Ref ID Stratum Type When Poll Reach Delay Offset Jitter
Unreach/Pending 128.130.2.3 .INIT. 16 u - 512 0 0.000 0.000 0.000
Unreach/Pending 128.130.3.131 .INIT. 16 u - 512 0 0.000 0.000 0.000
Unreach/Pending 128.131.2.3 .INIT. 16 u - 512 0 0.000 0.000 0.000Da ich hier neu bin, keine Ahnung ob sich meine pfSense mit dem NTP synchronisiert oder nicht und was diese Meldung GENAU bedeutet …
Für mich sieht es aus als ob die 2 NTP Server auf der pfSense nicht ihre Arbeit verrichten ?Dank vorab für eure Unterstützung !!
-
Die PfSense scheint sich nicht mit dem NTP Servern verbinden zu können.
Steht ja schon da Unreach/PendingBei mir sieht das so aus:
Status Server Ref ID Stratum ▾ Type When Poll Reach Delay Offset Jitter
Active Peer 129.70.132.37 129.70.130.70 2 u 326 512 377 33.525 0.813 0.410müsstest mal prüfen ob die PfSense überhaupt diese IP's erreichen kann.
Kannst ja auch mal hinter der PfSense testen ob du dich da mit dem NTP Server verbinden kannst. -
Danke für dein Feedback …
Was ich nun entdeckt habe ist der FW-Log:
block/1000000103
Jan 12 09:32:48 WAN Icon Reverse Resolve with DNS Icon Easy Rule: Add to Block List 128.131.2.3 Icon Reverse Resolve with DNS Icon Easy Rule: Pass this traffic 192.168.0.21 ICMPblock/1000000103
Jan 12 09:33:39 WAN Icon Reverse Resolve with DNS Icon Easy Rule: Add to Block List 128.130.3.131 Icon Reverse Resolve with DNS Icon Easy Rule: Pass this traffic 192.168.0.21 ICMPDa ich aber noch nicht so in der Übung mit den FW-Regeln bin, sagt mir das nichts, außer dass anscheinend die zwei Server von der FW automatisch geblockt werden, der Grund erschließt sich mir nicht
Vielleicht kann ich hier aufgeklärt werden was dieser LOG genau bedeutet, bzw. ICMP (Ping?), und ob ich die zwei IP als PASS einrichten kann ?
DANKE vorab !!
-
Was hast du denn hier versucht?
Sieht so aus als würde ein ICMP Paket von der 128.131.2.3 auf die 192.168.0.21 geblockt.
Was ist da denn was? Die 192.168.0.21 ist deine WAN Adresse der PfSense?
Hast du schon irgendwelche Regeln angelegt oder ist noch alles im Default? -
Nichts, ich habe nur den LOG Ausschnitt gepostet …
Ja, die 192.168.0.21 ist der WAN der pfSense (ist leider so, der ISP Kabelmodem kann nicht „BRIDGE“).
Nein, der WAN ist default.Die frage ist, warum werden beide IP geblockt, wenn unter NAT eingetragen ?
UND ob der Zugriff notwendig ist um mein Problem in Post 1 zu lösen ?DANKE !
-
@coliflower
Es wäre praktischer wenn du die Log Einträge entweder als Screenshot postest oder abschreibst, aber das Copy&Paste mit den Icon Texten ist eher hinderlich ;)Ansonsten sollte zu den IPs der NTP Server (ICMP und) UDP/123 geöffnet sein, sonst wird die pfSense sie nicht erreichen können.
Was ist mit "unter NAT eingetragen" gemeint? Warum trägst du die IPs der NTP Server unter NAT ein!?
-
OK, danke :-) !
Dann werde ich eine PASS Regel erstellen in der beide Server ungehindert am WAN passieren dürfen (den IPs der TU-Wien sollte man ja vertrauen).
Ad. NAT, sorry, Schreibfehler, sollte natürlich NTP und nicht NAT heißen ::)
Dankeschön :-) !!
-
Ich wäre davon ausgegangen, dass wenn ich die NTP in der pfSense eintrage, dass die FW diese nicht blockt …
-
Es gibt auch Regeln, dass die FW sich abgehend erlaubt, aber da das Ganze hinter einem anderen Router steht, könnte hier ja noch ein Problem bestehen. Eine eingehende Regel musst du nicht erstellen, Synchronisation findet nur VON dir aus statt, nicht zu dir (im Normalfall).
-
DANKE !
Heißt das, dass ich am ISP Kabelrouter den Port 123 öffnen soll ?
Wenn ich in der Zukunft ein neues ISP Kabelmodem/Router mit „BRIDGE“ Funktion erhalte, dann sind eh alle Ports offen und die pfSense is auf sich alleine gestellt :-)
-
Hallo zusammen,
ich habe am Kabelrouter den Port 123 als Weiterleitung and die pfSene WAN eingerichtet …
Der Status des NTP ist noch immer „unreached/pending“ :-(Irgendwie weiß ich nicht weiter …
-
Die NTP Abfrage wird doch von der pfSense selbst initiiert, kommt also von keinem Interface, daher benötigt das keine Regel.
Geblockt wird bei dir, wie schon geklärt ein Ping, der, zumindest aus Sicht der pfSense, vom NTP-Server kommt. Habe noch nie gehört, dass ein NTP-Server einen Ping schickt, ehe er antwortet.Wie auch immer, ich habe eben deine 3 genannten Server abgefragt und keiner davon ist erreichbar.
Bist du dir sicher, dass die von außen ansprechbar sind?Ich verwende dieses Set (allerdings nicht auf der pfSense):
ts1.univie.ac.at
ts2.univie.ac.at
ptbtime1.ptb.de
time.tugraz.at -
Eben, war auch der Meinung, dass die pfSense es selbst tut und war irritiert über die Einträge in der LOG …
Ich habe mit den ZID der Uni gesprochen, die drei genannten Server sind tatsächlich nur aus den internen Netz erreichbar.
Ich werde mal deine Server probieren :-)
Uniserver sind mir irgendwie lieber als irgendwelche … ;-)Nochmals danke !
-
Die genannten sind alles UNI-Server!
2 x Uni Wien, Berlin, GrazNachtrag:
http://www.helmut.hullen.de/filebox/DCF77/ntpsrvr.html
https://zid.univie.ac.at/timeserver -
Danke dir !!
Weißt du vielleicht auch was das das unter der Spalte Ref.ID bedeutet ?
.GPS.
.PZF.
.PTB. -
Das sind die Referenzen, von denen der jeweilige Zeitserver seine Zeit bezieht. Was diese Abkürzungen aber genau bedeuten, weiß ich auch nicht. GPS dürfte ja klar sein, aber der Rest…
Hier die Infos dazu der Uni Wien: http://comment.univie.ac.at/10-1/31/
-
PTB dürfte für die Physikalisch Technische Bundesanstalt stehen. PZF dementsprechend das modulieren des DCF77 Signals mit einer Pseudo-zufälligem Bitfolge (Phasenrauschen).
Siehe: http://www.all-electronics.de/dcf77-empfang-im-zeitalter-von-gps/
BTW: Um genau das Problem zu vermeiden, dass alle Welt ein und dieselben NTP Server nutzt, wurde ja gerade der NTP Pool ins Leben gerufen:
http://www.pool.ntp.org/zone/de
Deshalb rotieren dort die Antworten, die man auf den DNS Namen bekommt durch, damit nicht ständig die gleichen paar tausend Endgeräte am gleichen NTP nuckeln ;) Zudem sollte man sich freundlicherweise an Stratum 2 Server ankoppeln, nicht direkt an Stratum 1 (ohne um Erlaubnis zu fragen).
Das war zumindest mein letzter Stand
-
Danke !
… dann ist PZF quasi eine „Funkuhr“ ;-) -
Vielleicht eine blöde Frage …
Unter Linux CentOS hab ich in der /etc/ntp.conf die Möglichkeit die NTP-Server einzutragen …
Da ich in der pfSense die Server bereits eingetragen habe, trage ich hier das pfSense Gateway oder etwas anderes ?DANE vorab !
-
Ja, nachdem die pfSense ohnehin ein NTP Service bereitstellt. Ggf. das noch in Services > NTP konfigurieren.
-
OK, in der ntp.conf steht z.B.:
server 0.centos.pool.ntp.org iburst
was müsste ich stattdessen eintragen damit pfSense den NTP zur Verfügung stellt …?
in der pfSense unter „Interfaces“ ist keines markiert, somit müssten all Clients sich des NTP bedienen können, oder ?
DANKE !
-
Anstatt dem CentOS Pool trag die IP des nächsten pfSense Interfaces (LAN?) ein.
-
DANKE, werde ich dann teste :-)
