NTP-сервер в mikrotik

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
romsandj
Сообщения: 142
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

13 мар 2017, 11:08

Доброго всем! Почитал инфу в тырнете, скачал, установил соответствующий пакет. Настроил NTP-сервер на mikrotike. Вроде всё ок и гуд! НО...
При первом запуске синхронизации на ПК, все прошло удачно, время синхронизировалось. Изменение времени опроса в реестре не делал (не настолько точно мне нужно время). Однако, на днях решил еще раз проверить, и тут вываливается ошибка синхронизации. По найденной на просторах тырнета настроил/перенастроил.... нет синхры!!!
Т.к. есть проект по реализации "бесшовного роуменга" на микротиках (RB2011+ 6 hAP Lite), выполнил настройки как указано в манах тырнете на RB2011. Время на сАР (hAP Lite) с главным контролером CAPsMAN (RB2011) не синхронизируется. Долго читал, искал решение, вроде нашел. Нужно в NAT прописать "заворот" всех запросов по 123 порту из бриджа на микротик с NTP-сервереом.

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment=NTP dst-port=123 protocol=udp to-addresses=192.168.100.100

192.168.100.100 - это адрес микротика с NTP-сервером
Прописал и.... одна из сАР обновилась. Я уже за пивом побежать собрался, но не тут то было - другие сАР ни в какую не хотят синхронизироваться. Уже ХЗ куда еще лезть, гуглил, более 10 страниц поиска прочитал - везде одни и те же рекомендации.
Нифига не работает NTP-сервер на микротике, или только у меня!? (где то встречал на просторах тырнета, люди советуют не использовать RouterOS для сервера времени, правда, не описали почему, но видать тоже поимели геморой) Может у кого есть соображения? или опыт в данной теме (проблеме)?

ПыСы: Якобы, "...ROS не поддерживает динамические NTP-сервера типа ntp.org? Он их первый раз то резольвит в IP; но потенциально это будет вызывать проблемы"


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
gmx
Сообщения: 2304
Зарегистрирован: 01 окт 2012, 14:48

13 мар 2017, 11:30

Первый раз такое слышу. Все работает. И никогда не было проблем с синхронизацией времени.

По поводу CAPcMAN. Не совсем ясно для чего нужно синхронизировать, они и так отлично работают. Если точки имеют выход в интернет, то просто одной галкой включите Mikrotic Cloud и поставьте галку "синхронизировать время" и можно вполне обойтись без локального NTP сервера.
Проблема в NTP пакете в том, что после обновления ROS нужно его снова ставить и настраивать. А так сделал это один раз и забыл.

Да, еще совет, временно, на время экспериментов, отключите ВСЕ правила фаерволла на "главном" микротике.


Аватара пользователя
romsandj
Сообщения: 142
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

13 мар 2017, 13:07

для чего нужно синхронизировать, они и так отлично работают

На "главном" МК2011 SNTP-клиент настроен на получение времени "из вне" - все норм. И на нем же поднят NTP-сервер. На сАР - настроены NTP-клиенты на синхронизацию времени с "главным" МК2011.
На текущий момент, в режиме настройки и отладки системы в целом, интернета нет.
Если точки имеют выход в интернет
Нет, не имеют.... пока.
включите Mikrotic Cloud
На счет Mikrotik Cloud - что то читал негативное, там тоже не очень удобно. Какая то проблема тоже есть.
после обновления ROS нужно его снова ставить и настраивать.
это да, очень неудобно. Но на одном тике, главном, только это делать ведь.
отключите ВСЕ правила фаерволла на "главном" микротике.
я конечно только учусь, но основные аспекты, такие как выкл/вкл, перегрузить, переустановить, откатить, временно что то отключить и пр. я знаю :-) Конечно отключал!


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Аватара пользователя
podarok66
Модератор
Сообщения: 3756
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

13 мар 2017, 13:10

Тогда показывайте настройки, что переливать из пустого в порожнее


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
gmx
Сообщения: 2304
Зарегистрирован: 01 окт 2012, 14:48

13 мар 2017, 13:33

А что за проблемы с Mikrotik Cloud.

Использую с момента появления функции. Проблемы были только раз под новый 2016 год. После Нового года серверы починили. Больше ни разу проблем не было.


Аватара пользователя
romsandj
Сообщения: 142
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

13 мар 2017, 14:13

Вот настройки моего роутера, где так же на ПК не работает синхронизация времени с NTP-сервером на микротике: (настройки практически идентичны с RB2011)
 
[******@RB951] > export compact
# mar/13/2017 13:58:25 by RouterOS 6.38.3
# software id = 16F9-QN0N
#
/interface bridge
add arp=proxy-arp comment=Bridge name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n comment=Wireless disabled=no frequency=2422 mode=ap-bridge name=Wi-Fi ssid=LAN_7 \
wireless-protocol=802.11 wps-mode=disabled
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2 speed=1Gbps
/interface pppoe-client
add add-default-route=yes comment=Internet disabled=no interface=WAN keepalive-timeout=30 name=MTS password=********* use-peer-dns=yes \
user=*************
/interface wireless manual-tx-power-table
set Wi-Fi comment=Wireless
/interface wireless nstreme
set Wi-Fi comment=Wireless
/ip neighbor discovery
set WAN discover=no
set ether3 discover=no
set ether4 discover=no
set ether5 discover=no
set Wi-Fi discover=no
set MTS discover=no
set bridge discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik \
wpa-pre-shared-key=********** wpa2-pre-shared-key=***********
/ip pool
add name=dhcp_pool3 ranges=192.168.132.31-192.168.132.100
add name=WiFi_pool ranges=192.168.132.10-192.168.132.30
/ip dhcp-server
add address-pool=dhcp_pool3 disabled=no interface=bridge lease-time=3d name=dhcp1
/queue simple
add comment="Limit 1M" max-limit=2M/2M name=DEN target=192.168.132.96/32
/system logging action
add disk-file-count=20 disk-file-name=pppoe_log name=pppoefile target=disk
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=Wi-Fi
/interface pptp-server server
set authentication=mschap2
/ip address
add address=192.168.132.1/24 interface=bridge network=192.168.132.0
add address=192.168.5.77/24 disabled=yes interface=WAN network=192.168.5.0
add address=192.168.3.1/24 disabled=yes interface=bridge network=192.168.3.0
add address=192.168.1.7/24 disabled=yes interface=bridge network=192.168.1.0
add address=192.168.0.7/24 disabled=yes interface=bridge network=192.168.0.0
/ip arp
add address=192.168.132.200 interface=bridge mac-address=*****************
add address=192.168.132.168 interface=bridge mac-address=*****************
add address=192.168.132.167 interface=bridge mac-address=*****************
add address=192.168.132.166 interface=bridge mac-address=*****************
add address=192.168.132.165 interface=bridge mac-address=*****************
add address=192.168.132.161 interface=bridge mac-address=*****************
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid interface=WAN
/ip dhcp-server alert
add disabled=no interface=bridge valid-server=*****************
/ip dhcp-server lease
*
*
*
dhcp1
*
*
*
/ip dhcp-server network
add address=192.168.132.0/24 dns-server=80.80.111.244,80.80.111.254,192.168.132.1 gateway=192.168.132.1 ntp-server=192.168.132.1
add address=192.168.132.88/32 comment=YandexDNS dns-server=77.88.8.7,77.88.8.3 gateway=192.168.132.1
add address=192.168.132.93/32 dns-server=77.88.8.7,77.88.8.3 gateway=192.168.132.1
add address=192.168.132.96/32 dns-server=77.88.8.7,77.88.8.3 gateway=192.168.132.1
add address=192.168.132.97/32 dns-server=77.88.8.7,77.88.8.3 gateway=192.168.132.1
/ip dns
set allow-remote-requests=yes cache-size=10048KiB servers=77.88.8.8,77.88.8.1
/ip dns static
add address=192.168.132.1 comment="Static NTP-server" name=time.widows.com
/ip firewall filter
add action=drop chain=input comment="Drop input invalid to WAN" connection-state=invalid in-interface=MTS
add action=accept chain=input comment="Accep inputt ping to WAN" protocol=icmp
add action=accept chain=input comment="Accept input establiched, related to WAN" connection-state=established,related
add action=accept chain=forward comment="FTP in LAN" dst-port=**** in-interface=MTS protocol=tcp
add action=accept chain=input comment=NTP-Client in-interface=MTS protocol=udp src-port=123
add action=accept chain=input comment="Accept input VPN" dst-port=1723 in-interface=MTS protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="WinBox " dst-port=******* in-interface=MTS protocol=tcp
add action=accept chain=forward dst-port=****** in-interface=MTS protocol=tcp
add action=accept chain=forward comment="uVNC in LAN" dst-port=***** in-interface=MTS protocol=tcp
add action=accept chain=forward comment="VideoReg and VideoKam in LAN" dst-port=**** in-interface=MTS protocol=tcp
add action=accept chain=forward dst-port=****** in-interface=MTS protocol=tcp
add action=accept chain=forward disabled=yes dst-port=**** in-interface=MTS protocol=tcp
add action=accept chain=forward disabled=yes dst-port=**** in-interface=MTS protocol=tcp
add action=accept chain=forward comment="Accept forward establiched, related to WAN" connection-state=established,related
add action=drop chain=forward comment="Drop all packets to WAN" in-interface=MTS
add action=drop chain=input in-interface=MTS
/ip firewall nat
add action=masquerade chain=srcnat comment="192.168.5.77 for SXT" out-interface=WAN
add action=dst-nat chain=dstnat comment=NTP-Server dst-port=123 in-interface=bridge protocol=udp to-addresses=192.168.132.1
add action=masquerade chain=srcnat comment=Internet out-interface=MTS
add action=dst-nat chain=dstnat comment=VideoReg dst-port=***** in-interface=MTS protocol=tcp to-addresses=192.168.132.200 to-ports=****
add action=dst-nat chain=dstnat dst-port=***** in-interface=MTS protocol=tcp to-addresses=192.168.132.200 to-ports=*****
add action=dst-nat chain=dstnat comment=VideoKam disabled=yes dst-port=***** in-interface=MTS protocol=tcp to-addresses=192.168.132.161 \
to-ports=****
add action=dst-nat chain=dstnat disabled=yes dst-port=**** in-interface=MTS protocol=tcp to-addresses=192.168.132.161 to-ports=*****
add action=dst-nat chain=dstnat comment=uVNC dst-port=**** in-interface=MTS protocol=tcp to-addresses=192.168.132.87 to-ports=****
add action=dst-nat chain=dstnat comment=FTP dst-port=***** in-interface=MTS protocol=tcp to-addresses=192.168.132.50 to-ports=*****
add action=dst-nat chain=dstnat comment="Access to AP SXT Lite 5" dst-port=***** in-interface=MTS protocol=tcp to-addresses=192.168.5.10 \
to-ports=******
add action=dst-nat chain=dstnat dst-port=****** in-interface=MTS protocol=tcp to-addresses=192.168.5.11 to-ports=*******
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=MTS type=internal
add interface=bridge type=internal
/ppp secret
add local-address=192.168.10.1 name=****** password=********** profile=default-encryption remote-address=192.168.10.2 routes=\
"192.168.32.0/24 192.168.10.2" service=pptp
add disabled=yes local-address=192.168.10.1 name=****** password=******* profile=default-encryption remote-address=192.168.10.3 service=\
pptp
add local-address=192.168.10.1 name=****** password=******* profile=default-encryption remote-address=192.168.10.145 routes=\
"192.168.1.0/24 192.168.10.145" service=pptp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 disabled=yes interface=MTS upstream=yes
add disabled=yes interface=ether5
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=RB951
/system logging
add disabled=yes topics=pptp
add disabled=yes topics=ntp
add action=pppoefile topics=pppoe,debug
/system ntp client
set enabled=yes primary-ntp=193.171.23.163 secondary-ntp=85.114.26.194
/system ntp server
set broadcast=yes broadcast-addresses=192.168.132.255 enabled=yes multicast=yes
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
[******@RB951] >


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2493
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 мар 2017, 10:03

romsandj писал(а):Вот настройки моего роутера, где так же на ПК не работает синхронизация времени с NTP-сервером на микротике: (настройки практически идентичны с RB2011)

А можете кроме конфига рассказать как Вы синхронизируете время на Винде ?

Просто у меня тут была ситуация, когда сервер времени я на микротике поднял, а админ говорит - не могу время взять и всё....
Я проверил всё, всё нормально, у них был линукс сервер, командой запросил время с микротика - отдаёт...
я уже не знал что делать, и тут я его и попросил уточнить как он то время синхронизирует, а он оказывается
команду в винде подавал NET TIME , а это команда работает и синхронизирует время лишь по SMB(CIFS) протоколу,
и протокол NTP тут ни как (ни сбоку, не в профиль).
И кстати, у него стоят ещё старые виндоусы - WinXP, так что возможно WinXP не понимает NTP в том контексте,
что понимают вин7,вин8 и вин10.

Поэтому уточните вышеописанный момент, попробуйте с других устройств, с других систем время взять с микротика!?

P.S.
если есть управляемый свитч, попробуйте в нём айпи микротика как сервер времени задать и посмотрите, произойдёт синхронизация то?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
romsandj
Сообщения: 142
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

14 мар 2017, 10:36

ОС Win7x64. Жму на часы (справа внизу) захожу в Изменение настроек даты и времени->Время по интернету->Изменить параметры. В открывшемся окне, прописан сервер time.windows.com Стоит галка Синхронизировать с сервером времени в Интернете. Жму Обновить сейчас.... Пишет, "Подождите, выполняется синхронизация с time.windows.com и висим.... по истечении примерно минуты, выдает сообщение об ошибке синхронизации. Но если не нажимать Обновить сейчас, а сразу в данном окне нажать ОК, то окно закроется а в предыдущем окне будет запись, что последняя синхронизация только что прошла.
Меня больше интересует почему одна cАР вроде как синхронизировалась, а другие сАР не синхронизируются!?

ПыСы: Поставил логирование на NTP, так вот, в моей сети домашней, есть видеорегистратор, он каждый час стабильно синхронизируется с NTP-сервером на микротике без проблем.


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2493
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 мар 2017, 11:13

romsandj писал(а):ПыСы: Поставил логирование на NTP, так вот, в моей сети домашней, есть видеорегистратор, он каждый час стабильно синхронизируется с NTP-сервером на микротике без проблем.

а попробуйте в Винде, в поле где у Вас вбит адрес " time.windows.com" прямо туда вместе этого вбейте айпи адрес Вашего роутера (именно вместо), сохраните, может даже перезагрузите и попробуйте,
и попробовать обновить (нажимать кнопку) надо раза 2-4 точно.

Ну и как второй подход к решению задача - это делать на чём-то сервер времени для вин-машин и пусть по сети синхронизируются,
и это "на чём-то" уже он напрямую будет брать время с микротика.
Промежуточное звено - это минус, но зато рабочая схема.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
romsandj
Сообщения: 142
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

14 мар 2017, 13:04

попробуйте в Винде, в поле где у Вас вбит адрес " time.windows.com" прямо туда вместе этого вбейте айпи адрес Вашего роутера (именно вместо)

ну не на столько я дилетант... конешно пробовал.
ПК с виндой меня меньше всего беспокоит. Мне интересно, почему 1 сАР обновилась, а другие не хотят? Ну да ладно, в принципе поставлю систему, подам тырнет, пропишу на сАР-ах NTP-клиенты в сеть.
Спасибо за внимание.


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Ответить