настройка времени на Микротик

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Sertik
Сообщения: 634
Зарегистрирован: 15 сен 2017, 09:03

03 фев 2019, 11:09

После сброса питания роутера постоянно сбивается правильное время.

Подскажите как правильно установить время на роутере, учитывая что в Микротик практически есть три возможности получать время:

- опция clock в sysem - в том числе не понятна в ней галка Time Zone autodetect - с чем автодедект происходит ?
- возможность получать время как NTP-клиент от серверов времени
- синхронизация времени в /Ip Cloud - галка Update time

Тем более становится непонятно, как работает получение времени, когда на роутере установлен настроен и включен NTP-клиент и включены возможности синхронизации времени в Cloud.
Или нужно выбирать что-то одно ?


Чего не знаем то нагуглим
vladislav.granovskiy
Сообщения: 11
Зарегистрирован: 25 июл 2018, 21:12

03 фев 2019, 11:44

у меня сделано так, в /Ip Cloud - галка Update time
настроен и включен NTP-клиент
 скрипт настройки нтп клиента
:local ipntpnew [:resolve time.windows.com]
:local ipntpold [ /system ntp client get primary-ntp ]
:if ($ipntpnew != $ipntpold) do {
:log warning ("Changing NTP IP to $ipntpnew and reconnecting!!")
/system ntp client set primary-ntp=$ipntpnew
}


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1957
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

03 фев 2019, 12:47

Sertik писал(а):
03 фев 2019, 11:09
После сброса питания роутера постоянно сбивается правильное время.
Это норма, даже в какой-то степени это их маленький плюс(где-то писалось).
За счёт отсутствие встроенного элемента питания, диапазон
рабочих эксплуатационных температур у микротика достаточно
широкий, минус 10...минус 20, да и плюсовая тоже с запасом.
Sertik писал(а):
03 фев 2019, 11:09
- опция clock в sysem - в том числе не понятна в ней галка Time Zone autodetect - с чем автодедект происходит ?
В большей части и в ситуациях, у меня автодетект показывал Красноярс город.
Убираю авто и руками ставлю зону. Это важно. А важно так как NTP это
всего лишь синхронизация, а время берётся согласно часовому поясу.
Sertik писал(а):
03 фев 2019, 11:09
- возможность получать время как NTP-клиент от серверов времени
Этот режим я и использую, если роутер уже является частью сети и там есть
выделенный или готовый внутренний сервер NTP - то достаточно в настройках
пункта SNTP включить его и явно указать его, или просто включить, а сервер
там может быть уже прописан (пришёл с настройками DHCP).
Если микротик у пользователя дома, или на нём поднят DHCP, то тогда я ставлю
NTP сервер, и тогда пункт SNTP пропадает, а появляются два других NTP Client и
NTP Server. Процедура не меняется, в NTP Client прописываем адреса с которых
берём время, а в NTP Server включаем и разрешаем ряд параметров.
Sertik писал(а):
03 фев 2019, 11:09
- синхронизация времени в /Ip Cloud - галка Update time
Оставлюя эту функцию включенной, но явно её не тестировал.
Sertik писал(а):
03 фев 2019, 11:09
Тем более становится непонятно, как работает получение времени, когда на роутере установлен настроен и включен NTP-клиент и включены возможности синхронизации времени в Cloud.
Или нужно выбирать что-то одно ?
Всё таки у меня и NTP сервер стоит и в Cloud включено, проблем не замечал,
думаю что локальная служба NTP приоритетная, а в Cloud это как резерв.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1604
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

03 фев 2019, 13:53

1) В Cloud я галочку снимаю всегда.
2) Ставлю пакет ntp, который включает в себя адекватный NTP клиент и сервер.
3) Настраиваю клиент и настраиваю сервер.
4) !Важный момент! необходимо в ip f f создать правило, которое дропает все внешние запросы на 123 порт, кроме адресов ваших NTP серверов, указанные в пункте 3, в противном случае мы превращаем наш роутер в ботнет сеть. Баг схож с уязвимостью dns.
5) Прописываю адрес локального (в микротике) ntp сервера в настроках dhcp, что-бы клиенты получили его (винда как обычно выделяется и не умеет так из коробки, поэтому там использую SP TimeSync и вручную прописываю IP сервера)



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Sertik
Сообщения: 634
Зарегистрирован: 15 сен 2017, 09:03

03 фев 2019, 14:58

1. Вот Вам, пожалуйста, иное мнение (насчет cloud time). Почему не используете - убираете галку - не объяснили. Нельзя использовать вместе с "другими способами получения времени" ?

2.
!Важный момент! необходимо в ip f f создать правило, которое дропает все внешние запросы на 123 порт, кроме адресов ваших NTP серверов, указанные в пункте 3, в противном случае мы превращаем наш роутер в ботнет сеть. Баг схож с уязвимостью dns.
поясните - Вы запрещаете прохождение пакетов на 123 порт в цепочке INPUT роутера Микротик NTP-сервера для всех scr-nat кроме NTP-серверов прописанных у него в NTP-клиенте - я правильно понял ? Чтобы только c этими серверами была "связь", а ботнеты на этот порт не долбили - так ?

3. Я столкнулся с такой проблемой - у меня LTE роутер, в котором был настроен NTP-клиент. Он при включении никак не хотел синхронизироваться с указанными серверами и всё время писал статуc "stopped" сколько я его не переключал. Я не сразу понял в чём дело - оказалось роутер получал WAN-адрес провайдера как DHCP-клиент и там стояла галка "USE peer NTP" - то есть время он тоже получал от провайдера. Как только я ее убрал и перезапустил DHCP-клиент и NTP-клиент дернул - он тут же написал "started" и потом "sinhronized". То есть пока использовались время шло от NTP провайдера пакет NTP-клиента Микротик работать не хотел. Это так правильно ?


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1957
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

03 фев 2019, 15:39

Sertik писал(а):
03 фев 2019, 14:58
1. Вот Вам, пожалуйста, иное мнение (насчет cloud time). Почему не используете - убираете галку - не объяснили. Нельзя использовать вместе с "другими способами получения времени" ?
Ну я же ответил явно: у меня стоит и сервер времени и галочка.

Оба не конфликтуют, а со своей стороны я высказался, что роутер
(система) отдаёт предпочтение серверу времени локальному (так будет называть пакет),
а уже если что...то предполагаю, потом подключиться сервер с облака.

Не вижу смысла тему мусолить, почти всегда ставлю сервер времени,
указываю 2-3 айпи (какой-то научный институт времени в Москве)
и отлично всё работают и синхронизируются.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 634
Зарегистрирован: 15 сен 2017, 09:03

03 фев 2019, 15:58

Да не мусолили бы если бы всё работало ...

А почему у Дракона другое мнение - я же не знаю может он специально не использует эту возможность потому, что считает ее ошибочно (криво работающей, портящей что-то) ? Вот и спрашиваю. Хорошо, пусть остановились на том что можно использовать одновременно и то и то.

Вот это нужно или нет ? Как Вы считаете ?
Важный момент! необходимо в ip f f создать правило, которое дропает все внешние запросы на 123 порт, кроме адресов ваших NTP серверов, указанные в пункте 3, в противном случае мы превращаем наш роутер в ботнет сеть. Баг схож с уязвимостью dns.


Чего не знаем то нагуглим
Sertik
Сообщения: 634
Зарегистрирован: 15 сен 2017, 09:03

03 фев 2019, 16:13

Насколько я понял из длительных сегодняшних опытов по крайней мере Мегафон не отдает по DHCP своим мобильным клиентам NTP. Поэтому ставь не ставь use peer time - динамические серверы в NTP оттуда не появляются. Работают только явно прописанные в primary и secondary.

У меня такая проблема - два роутера, один за другим. На первом настроен NTP полный пакет. Он получает ноормально время и его раздает. Второй роутер (который "за ним") по SNTP получает время от первого нормально - всё отлично. Пишет что именно от него получает нормально.
Но проблема в том, что бывают случаи, когда первый роутер физически выключен и время от него не получить никак естественно нельзя.
Второй роутер имеет ещё LTE-модем Hlink, работающий как "сетевая карта" с адресом 192.168.8.1. Модем дает роутеру адрес 192.168.8.100. На модеме настроен DMZ на этот адрес (192.168.8.100) и весь трафик нормально идет на роутер с модема и обратно. Пути всё прописаны с учетом pref source 192.168.8.100 и gateway 192.168.8.1 и всё отлично. Но время я с этого интерфейса модемного получить не могу ни по DHCP ни прямым указанием адресов внешних NTP-серверов в SNTP.
Почему ?


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1957
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

03 фев 2019, 17:01

На "втором" роутере, я так понял он только клиент (NTP), поэтому в настройках
SNTP прописать:
а) в качестве примари: айпи адрес первого роутера
б) в качестве секондари: айпи сервера времени с интернета (например ntp2.stratum2.ru)
И если первый узел будет не доступен, со второго возьмёт время.
Главное чтобы был доступ(Интернет) у самого роутера.

На счёт в файрвола и безопасности портов NTP - ну тут от задач надо отталкиваться.
а) если надо только синхронизацию делать, то есть берём время, порт наружу 123 вообще можно не открывать
б) если сервер надо наружу, то открываем порт 123, но и тут надо:
....1) всем - для всех (вдруг такая задача стоит)
....2) не для всех - скажем для района/региона....тогда по адресации или по адрес-листу делаем

Но честно, атак по 123 порту не замечал.....ниговоря про флуд вообще.

P.S.
Сайт где беру сервера времени:
https://www.ntp-servers.net/servers.html



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 947
Зарегистрирован: 29 сен 2011, 09:16

03 фев 2019, 17:20

Клаудом тоже не пользуюсь, во-первых он не на всех версиях ros есть, у меня была x86 машина и там такой фишки не было вообще, а во-вторых, после приобретения нового 4011 эта галка стояла по умолчанию и время у меня отображалось неверное, минут на 10 разница, а старый добрый ntp проверен годами и качество его работы зависит исключительно от ntp серверов которые выбираются настраивающим, плюс возможность задать несколько серверов, что уменьшает отказ, а в случае с клаудом, все зависит исключительно от микротиковцев, ляжет их оборудование, или заблокируют его и тю-тю, прощай нормальное время. Исходя из этого, поддерживаю Дракона - галку нафиг, только ntp, только хардкор)
А что до выдачи ntp провайдером, мне ха всю жизнь еще не встречалось ни одного проводного провайдера который такое бы выдавал.


Ответить