Страница 1 из 2

настройка времени на Микротик

Добавлено: 03 фев 2019, 11:09
Sertik
После сброса питания роутера постоянно сбивается правильное время.

Подскажите как правильно установить время на роутере, учитывая что в Микротик практически есть три возможности получать время:

- опция clock в sysem - в том числе не понятна в ней галка Time Zone autodetect - с чем автодедект происходит ?
- возможность получать время как NTP-клиент от серверов времени
- синхронизация времени в /Ip Cloud - галка Update time

Тем более становится непонятно, как работает получение времени, когда на роутере установлен настроен и включен NTP-клиент и включены возможности синхронизации времени в Cloud.
Или нужно выбирать что-то одно ?

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 11:44
vladislav.granovskiy
у меня сделано так, в /Ip Cloud - галка Update time
настроен и включен NTP-клиент
 скрипт настройки нтп клиента
:local ipntpnew [:resolve time.windows.com]
:local ipntpold [ /system ntp client get primary-ntp ]
:if ($ipntpnew != $ipntpold) do {
:log warning ("Changing NTP IP to $ipntpnew and reconnecting!!")
/system ntp client set primary-ntp=$ipntpnew
}

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 12:47
Vlad-2
Sertik писал(а): 03 фев 2019, 11:09 После сброса питания роутера постоянно сбивается правильное время.
Это норма, даже в какой-то степени это их маленький плюс(где-то писалось).
За счёт отсутствие встроенного элемента питания, диапазон
рабочих эксплуатационных температур у микротика достаточно
широкий, минус 10...минус 20, да и плюсовая тоже с запасом.
Sertik писал(а): 03 фев 2019, 11:09 - опция clock в sysem - в том числе не понятна в ней галка Time Zone autodetect - с чем автодедект происходит ?
В большей части и в ситуациях, у меня автодетект показывал Красноярс город.
Убираю авто и руками ставлю зону. Это важно. А важно так как NTP это
всего лишь синхронизация, а время берётся согласно часовому поясу.
Sertik писал(а): 03 фев 2019, 11:09 - возможность получать время как NTP-клиент от серверов времени
Этот режим я и использую, если роутер уже является частью сети и там есть
выделенный или готовый внутренний сервер NTP - то достаточно в настройках
пункта SNTP включить его и явно указать его, или просто включить, а сервер
там может быть уже прописан (пришёл с настройками DHCP).
Если микротик у пользователя дома, или на нём поднят DHCP, то тогда я ставлю
NTP сервер, и тогда пункт SNTP пропадает, а появляются два других NTP Client и
NTP Server. Процедура не меняется, в NTP Client прописываем адреса с которых
берём время, а в NTP Server включаем и разрешаем ряд параметров.
Sertik писал(а): 03 фев 2019, 11:09 - синхронизация времени в /Ip Cloud - галка Update time
Оставлюя эту функцию включенной, но явно её не тестировал.
Sertik писал(а): 03 фев 2019, 11:09 Тем более становится непонятно, как работает получение времени, когда на роутере установлен настроен и включен NTP-клиент и включены возможности синхронизации времени в Cloud.
Или нужно выбирать что-то одно ?
Всё таки у меня и NTP сервер стоит и в Cloud включено, проблем не замечал,
думаю что локальная служба NTP приоритетная, а в Cloud это как резерв.

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 13:53
Dragon_Knight
1) В Cloud я галочку снимаю всегда.
2) Ставлю пакет ntp, который включает в себя адекватный NTP клиент и сервер.
3) Настраиваю клиент и настраиваю сервер.
4) !Важный момент! необходимо в ip f f создать правило, которое дропает все внешние запросы на 123 порт, кроме адресов ваших NTP серверов, указанные в пункте 3, в противном случае мы превращаем наш роутер в ботнет сеть. Баг схож с уязвимостью dns.
5) Прописываю адрес локального (в микротике) ntp сервера в настроках dhcp, что-бы клиенты получили его (винда как обычно выделяется и не умеет так из коробки, поэтому там использую SP TimeSync и вручную прописываю IP сервера)

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 14:58
Sertik
1. Вот Вам, пожалуйста, иное мнение (насчет cloud time). Почему не используете - убираете галку - не объяснили. Нельзя использовать вместе с "другими способами получения времени" ?

2.
!Важный момент! необходимо в ip f f создать правило, которое дропает все внешние запросы на 123 порт, кроме адресов ваших NTP серверов, указанные в пункте 3, в противном случае мы превращаем наш роутер в ботнет сеть. Баг схож с уязвимостью dns.
поясните - Вы запрещаете прохождение пакетов на 123 порт в цепочке INPUT роутера Микротик NTP-сервера для всех scr-nat кроме NTP-серверов прописанных у него в NTP-клиенте - я правильно понял ? Чтобы только c этими серверами была "связь", а ботнеты на этот порт не долбили - так ?

3. Я столкнулся с такой проблемой - у меня LTE роутер, в котором был настроен NTP-клиент. Он при включении никак не хотел синхронизироваться с указанными серверами и всё время писал статуc "stopped" сколько я его не переключал. Я не сразу понял в чём дело - оказалось роутер получал WAN-адрес провайдера как DHCP-клиент и там стояла галка "USE peer NTP" - то есть время он тоже получал от провайдера. Как только я ее убрал и перезапустил DHCP-клиент и NTP-клиент дернул - он тут же написал "started" и потом "sinhronized". То есть пока использовались время шло от NTP провайдера пакет NTP-клиента Микротик работать не хотел. Это так правильно ?

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 15:39
Vlad-2
Sertik писал(а): 03 фев 2019, 14:58 1. Вот Вам, пожалуйста, иное мнение (насчет cloud time). Почему не используете - убираете галку - не объяснили. Нельзя использовать вместе с "другими способами получения времени" ?
Ну я же ответил явно: у меня стоит и сервер времени и галочка.

Оба не конфликтуют, а со своей стороны я высказался, что роутер
(система) отдаёт предпочтение серверу времени локальному (так будет называть пакет),
а уже если что...то предполагаю, потом подключиться сервер с облака.

Не вижу смысла тему мусолить, почти всегда ставлю сервер времени,
указываю 2-3 айпи (какой-то научный институт времени в Москве)
и отлично всё работают и синхронизируются.

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 15:58
Sertik
Да не мусолили бы если бы всё работало ...

А почему у Дракона другое мнение - я же не знаю может он специально не использует эту возможность потому, что считает ее ошибочно (криво работающей, портящей что-то) ? Вот и спрашиваю. Хорошо, пусть остановились на том что можно использовать одновременно и то и то.

Вот это нужно или нет ? Как Вы считаете ?
Важный момент! необходимо в ip f f создать правило, которое дропает все внешние запросы на 123 порт, кроме адресов ваших NTP серверов, указанные в пункте 3, в противном случае мы превращаем наш роутер в ботнет сеть. Баг схож с уязвимостью dns.

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 16:13
Sertik
Насколько я понял из длительных сегодняшних опытов по крайней мере Мегафон не отдает по DHCP своим мобильным клиентам NTP. Поэтому ставь не ставь use peer time - динамические серверы в NTP оттуда не появляются. Работают только явно прописанные в primary и secondary.

У меня такая проблема - два роутера, один за другим. На первом настроен NTP полный пакет. Он получает ноормально время и его раздает. Второй роутер (который "за ним") по SNTP получает время от первого нормально - всё отлично. Пишет что именно от него получает нормально.
Но проблема в том, что бывают случаи, когда первый роутер физически выключен и время от него не получить никак естественно нельзя.
Второй роутер имеет ещё LTE-модем Hlink, работающий как "сетевая карта" с адресом 192.168.8.1. Модем дает роутеру адрес 192.168.8.100. На модеме настроен DMZ на этот адрес (192.168.8.100) и весь трафик нормально идет на роутер с модема и обратно. Пути всё прописаны с учетом pref source 192.168.8.100 и gateway 192.168.8.1 и всё отлично. Но время я с этого интерфейса модемного получить не могу ни по DHCP ни прямым указанием адресов внешних NTP-серверов в SNTP.
Почему ?

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 17:01
Vlad-2
На "втором" роутере, я так понял он только клиент (NTP), поэтому в настройках
SNTP прописать:
а) в качестве примари: айпи адрес первого роутера
б) в качестве секондари: айпи сервера времени с интернета (например ntp2.stratum2.ru)
И если первый узел будет не доступен, со второго возьмёт время.
Главное чтобы был доступ(Интернет) у самого роутера.

На счёт в файрвола и безопасности портов NTP - ну тут от задач надо отталкиваться.
а) если надо только синхронизацию делать, то есть берём время, порт наружу 123 вообще можно не открывать
б) если сервер надо наружу, то открываем порт 123, но и тут надо:
....1) всем - для всех (вдруг такая задача стоит)
....2) не для всех - скажем для района/региона....тогда по адресации или по адрес-листу делаем

Но честно, атак по 123 порту не замечал.....ниговоря про флуд вообще.

P.S.
Сайт где беру сервера времени:
https://www.ntp-servers.net/servers.html

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 17:20
KARaS'b
Клаудом тоже не пользуюсь, во-первых он не на всех версиях ros есть, у меня была x86 машина и там такой фишки не было вообще, а во-вторых, после приобретения нового 4011 эта галка стояла по умолчанию и время у меня отображалось неверное, минут на 10 разница, а старый добрый ntp проверен годами и качество его работы зависит исключительно от ntp серверов которые выбираются настраивающим, плюс возможность задать несколько серверов, что уменьшает отказ, а в случае с клаудом, все зависит исключительно от микротиковцев, ляжет их оборудование, или заблокируют его и тю-тю, прощай нормальное время. Исходя из этого, поддерживаю Дракона - галку нафиг, только ntp, только хардкор)
А что до выдачи ntp провайдером, мне ха всю жизнь еще не встречалось ни одного проводного провайдера который такое бы выдавал.