Страница 2 из 2

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 17:50
Sertik
Спасибо ! Ларчик оказывается был проще:

У меня так всё и было настроено - первым сервером стоял мой Микротик, вторым вот этот 46.46.160.235
Видимо он перестал работать что-ли - не знаю. Только с него время не шло. Поставил тот, что Вы порекомендовали 88.147.254.232 и всё заработало. Если отключаю на первом Микротике NTP-сервер - второй Микротик теперь свободно время берет из secondary (88.147.254.232). Ну не пришло в голову проверить доступность 46.46.160.235.
Где-то читал, что временами NTP-серверы перестают работать по разным причинам ... Правда это ?

Насчет порта 123 уточните - он нужен только для Микротика NTP-сервера или клиента тоже ? Для клиента вероятно тоже - счетчики по правилам то бегают, значит обмен там идет ... Другое дело, если я получаю время от Микротика сервера в своей сети - чего его проверять от него флуда не будет и атаки тоже - на нем свой файерволл стоит - он за это отвечать должен. А если secondary (как в случае Выше) чужой с другого интерфейса идет - вот там вероятно нужно забанить инпут на 123 порт кроме scr-nat 88.147.254.232 правильно ведь ?
Но я тоже не видел флуда и атак через 123 порт - следил за этим раньше. Через порт на всех роутерах шел трафик только с указанных в NTP-клиенте primary и secondary серверов.

С темой завяжем после Вашего ответа. Теперь про DNS хочу спросить - создам соответствующую тему в этом же разделе.

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 17:57
Sertik
Вот KARaS'b спасибо Вам тоже ! Теперь еще понятнее стало - значит cloud всё же на фиг пока Микротик не доведет его до ума по крайней мере (функция то относительно новая и глючит вероятно, тем более для новых платформ)
Провайдеры не отдают время - тоже спасибо. Значит Use peer Time в dhcp-клиенте или ppoe -тоже на фиг.

То есть реально только NTP-клиент остается или SNTP-клиент.

Мнение других гуру ? и завяжем ...

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 18:47
Dragon_Knight
Я не использую Cloud потому что считаю это костылём. Для синхронизации времени есть протокол NTP, которому уже лет 35 и использовать какие-то свои реализации не вижу смысла.

Что касается ботнета.. Не они будут атаковать Вас, а Вы станете частью ботнета. NTP, как и DNS имеет проблему, когда можно отправить запрос размером (вроде 7 байт, не помню точно) а получить ответ несколько десятков КБ, при этом можно так-же подменить адрес источника. И таком образом осуществляются 99% всех DDoS атак. Поэтому я закрываю эту дырку так:

Код: Выделить всё

/ip firewall filter add action=drop chain=input comment="Drop external NTP connections" dst-port=123 in-interface-list=WANs protocol=udp src-address-list=!NTPServers

Re: настройка времени на Микротик

Добавлено: 03 фев 2019, 19:06
Sertik
Спасибо большое Дракон !

Для меня (как начинающего) приятно, что я сам закрыл дырку эту сегодня точно также как Вы предложили (даже имя адрес листу с NTP-серверами такое же дал :-): ) представляете ? еще до того, как Вы привели правило. Спасибо ! Надо так надо, закроем ботов.

Re: настройка времени на Микротик

Добавлено: 04 фев 2019, 07:22
Vlad-2
Sertik писал(а): 03 фев 2019, 17:50 Где-то читал, что временами NTP-серверы перестают работать по разным причинам ... Правда это ?
Есть разные причины, проверять изредка надо.....
Sertik писал(а): 03 фев 2019, 17:50 123 порт кроме scr-nat 88.147.254.232 правильно ведь ?
Но я тоже не видел флуда и атак через 123 порт - следил за этим раньше. Через порт на всех роутерах шел трафик только с указанных в NTP-клиенте primary и secondary серверов.
Было одно время, что когда пытался делать адрес-лист "белый" и привязывать его, не работало, правда давно это было,
да и сервер времени тоже с тех пор поправили, изредка и в нём ошибки бывают.
У меня CCRы - пока порт 123 держу открытым.....проблем нету...
Sertik писал(а): 03 фев 2019, 17:50 С темой завяжем после Вашего ответа. Теперь про DNS хочу спросить - создам соответствующую тему в этом же разделе.
:-) :-)

Re: настройка времени на Микротик

Добавлено: 29 май 2020, 17:37
Ca6ko
Апну тему, потому как тема cloud не раскрыта :-)
Это упрощенная до безобразия схема
По первоисточнику при включенной галке
Время обновляется после перезагрузки и при каждом обновлении DDNS (при изменении IP-адреса WAN маршрутизатора или после использования команды force-update)
Почти ни кому не мешает. При включении устройства устанавливает ему правильное время.
Сбоить может только если несколько внешних IP


https://wiki.mikrotik.com/wiki/Manual:IP/Cloud