Firewall Regel für NTP

Es gibt 17 Antworten in diesem Thema, welches 2.203 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

  • Hallo


    seit ein paar Tagen habe ich jetzt einen VDSL 250 Anschluss, der auch gut funktioniert.


    Mein Modem ist ein DrayTek Vigor 166, in welchem NTP aktiviert ist. Leider zeigt das Modem eine komplett falsche Zeit an (Jahr 2000), selbst wenn ich auf "Inquire Time" klicke. Es passiert nichts.

    Ich denke,ioch benötige im meinem USG eine Firewall Regel und habe da auch etwas herumprobiert, es passiert aber immer noch nichts.

    Meine Regel: LAN Eingehend, Source: Alles, Destination: IP des DrayTek auf Port 123, Accept, Regel am Anfang vor allen anderen


    Was mache ich falsch?
    Wie müsste die Regel aussehen und klappt das mit NTP bei anderen DrayTek/USG Nutzern?


    Danke Euch!

    Micha

  • Hallo,


    ich habe da gerade eine Verständnisproblem:


    Das DrayTek Vigor 166 ist doch ein DSL-Modem und hängt am DSL-Anschluss, die USG dahinter Richtung zu deinem Netzwerk.

    Wozu willst du dann eine Firewall-Regel auf der USG einrichten ?


    Das Modem holt sich die Zeit von einem Zeitserver im Internet - kannst du den ggf. auf dem Modem ändern, dann trag dort mal einen anderen ein.


    z.B. 0.de.pool.ntp.org und 1.de.pool.ntp.org


    Vielleicht ist der Zeitserver nicht mehr verfügbar.

    • Offizieller Beitrag

    Hallo mklein ,


    schau' Dir mal meinen wiki-Beitrag an, "Da werden Sie geholfen :winking_face: ": DSL-Modem erreichen (USG-only).


    Vielleicht erst lesen, dann umsetzen und nicht einfach drauf los. :winking_face:

  • Hallöchen,


    ich habe an meinem Vigor 166 zwei LAN-Buchsen sowie den DSL-EIngang (RJ11). Am ersten LAN hängt die USG und am zweiten LAN gehrt es direkt auf meinen Switch, so dass ich das Modem auch im LAN erreichen kann.

    Das klappt auch wunderbar und ohne die "Frickelei", die Razor verlinkt hat. Mein Problem ist, dass das Modem sich keine aktuelle Zeit zieht, Ich habe bereits mehrere Server ausprobiert, auch die von Tuxtom genannten.

    Die Idee mit der Firewall Rule kam mir in den Sinn, da ich ja über den USG und mein LAN auf das Modem zugreife.


    Cheers,

    Micha

  • Hallöchen,


    ich habe an meinem Vigor 166 zwei LAN-Buchsen sowie den DSL-EIngang (RJ11). Am ersten LAN hängt die USG und am zweiten LAN gehrt es direkt auf meinen Switch, so dass ich das Modem auch im LAN erreichen kann.

    Ja, ok verstanden.

    ( Über die Sinnhaftigkeit reden wir mal nicht und hoffentlich hat das du das ganze mit VLAN angetrennt )


    Stellt sich aber immer noch die Frage: Warum willst du auf der USG eine Firewallregeln anlegen, wenn das Modem kein NTP macht ?


    Das Modem holt sich die Zeit aus dem Internet und nicht aus deinem lokalen Netz - die USG ist vollkommen raus.

    Dort brauchst du Regeln, um aus deinem Netz auf das Modem als NTP-Server zugreifen zu können.



    Trage mal anstelle der Domainamen die IP-Adressen von NTP-Servern und probiere das nochmal.

    Hier vom PTB:

    192.53.103.103

    192.53.103.104

    192.53.103.108


    Wenn das nicht hilft, würde ich mal den Provider anrufen und fragen, ob ggf. NTP bei denen im Netz geblockt wird ( machen Provider traue ich mitlerweile alles zu )

    • Offizieller Beitrag

    Ich denke, dass sich das Modem nur dann die Zeit holt, wenn es auch die Verbindung selbst herstellt. Und wahrscheinlich wird das Modem auf LAN2 keine NTP-Anfragen raussenden. Kannst ja mal nachsehen, was auf Port 123 so alles passier, mklein .

    Verteilt denn das USG brav eine Zeit im LAN oder holst Du Dir die Zeit sowieso von extern? Ich hole sie mir für alle Cients vom USG.

    Wenn das nicht hilft, würde ich mal den Provider anrufen und fragen, ob ggf. NTP bei denen im Netz geblockt wird ( machen Provider traue ich mitlerweile alles zu )

    Das würde mich allerdings entsetzen... :pouting_face::face_with_symbols_on_mouth:

  • Ich denke, dass sich das Modem nur dann die Zeit holt, wenn es auch die Verbindung selbst herstellt. Und wahrscheinlich wird das Modem auf LAN2 keine NTP-Anfragen raussenden. Kannst ja mal nachsehen, was auf Port 123 so alles passier, mklein .

    Wieso auf LAN2 - wenn überhaupt auf der WAN-Seite - Das Modem holt sich die NTP-Daten nicht aus dem LAN sondern vom Internet.


    Von der LAN-Seite wird der nur Client-Anfragen beantworten, was nun mal der Sinn eine Zeitservers im lokalen Netz ist.

  • Ich habe mit dem DrayTek Support gesprochen. NTP wird nur verwendet, wenn das Modem selbst die Verbindung aufbaut und nicht der USG, daher kann das nicht funktionieren.

    Gleiches gilt für die Uptime im Dashboard, die ist bei mit auch 00:00:00. Damit ist das für mich geklärt. Danke Euch!

  • Ich habe mit dem DrayTek Support gesprochen. NTP wird nur verwendet, wenn das Modem selbst die Verbindung aufbaut und nicht der USG, daher kann das nicht funktionieren.

    Gleiches gilt für die Uptime im Dashboard, die ist bei mit auch 00:00:00. Damit ist das für mich geklärt. Danke Euch!

    Sehr interessant.


    Über den Sinn reden wir da mal nicht, ich würde das mal als "Unzulänglichkeit der Software" ablegen

  • Ich habe als NTP Server die IP der USG (mittlerweile UDR) eingeben und den zweiten Port des Vigors in mein LAN gehängt mit einer IP aus meinem Netz. Dann holt der Vigor sich auch ohne Problem die Zeit. Brauchen tut man es aber nicht wirklich.

    • Offizieller Beitrag

    Wieso auf LAN2 - wenn überhaupt auf der WAN-Seite - Das Modem holt sich die NTP-Daten nicht aus dem LAN sondern vom Internet.


    Von der LAN-Seite wird der nur Client-Anfragen beantworten, was nun mal der Sinn eine Zeitservers im lokalen Netz ist.

    Aber nur, wenn es auch eine Verbindung zum Internet aufbaut (PPPoE o.ä.) und nicht, wenn die Einwahl ein anderes Gerät macht. Das hatte ich so auch erwartet. Daher hole ich mir ja meine Zeit auch vom USG.

  • Aber nur, wenn es auch eine Verbindung zum Internet aufbaut (PPPoE o.ä.) und nicht, wenn die Einwahl ein anderes Gerät macht. Das hatte ich so auch erwartet. Daher hole ich mir ja meine Zeit auch vom USG.

    Ich machs mir noch einfacher, meine beidne PiHoles sind gleichzeitig NTP-Server und verteilen die Zeit im Netz - demnächst macht es die OPNSense, sogar mit DCF77 Modul dran.

  • Ich habe als NTP Server die IP der USG (mittlerweile UDR) eingeben und den zweiten Port des Vigors in mein LAN gehängt mit einer IP aus meinem Netz. Dann holt der Vigor sich auch ohne Problem die Zeit. Brauchen tut man es aber nicht wirklich.

    Das hat bei mir jetzt auch geklappt, besten Dank für den Tipp!

  • Trage mal anstelle der Domainamen die IP-Adressen von NTP-Servern und probiere das nochmal.

    Hier vom PTB:

    192.53.103.103

    192.53.103.104

    192.53.103.108

    Hallo Tuxtomm007,


    bei mir war der Zeitserver über die Namen nicht erreichbar, da habe ich es mit der IP Adresse probiert und es hat auf anhieb funktioniert.


    DNS habe ich im USG auf AUTO stehen, wo könnte denn bei mir das Problem her kommen?

  • Hallo Tuxtomm007,


    bei mir war der Zeitserver über die Namen nicht erreichbar, da habe ich es mit der IP Adresse probiert und es hat auf anhieb funktioniert.


    DNS habe ich im USG auf AUTO stehen, wo könnte denn bei mir das Problem her kommen?

    Nach meiner Erfahrung funktioniert NTP mit DNS nicht so richtig. Daher verwundert es mich nicht, dass es mit der IP auf Anhieb funktioniert hat.

    Kannst Du den DNS-Namen von einem Client via nslookup 0.de.pool.ntp.org oder nslookup 1.de.pool.ntp.org aus Deinem UniFi-LAN heraus korrekt auflösen?

  • Kannst Du den DNS-Namen von einem Client via nslookup 0.de.pool.ntp.org oder nslookup 1.de.pool.ntp.org aus Deinem UniFi-LAN heraus korrekt auflösen?

    Sieht so aus:


    C:\Users\Matthias>nslookup 0.de.pool.ntp.org

    Server: ubnt

    Address: 192.168.40.254


    Nicht autorisierende Antwort:

    Name: 0.de.pool.ntp.org

    Addresses: 144.76.0.164

    185.104.163.42

    136.243.7.20

    212.227.8.137



    C:\Users\Matthias>nslookup 1.de.pool.ntp.org

    Server: ubnt

    Address: 192.168.40.254


    Nicht autorisierende Antwort:

    Name: 1.de.pool.ntp.org

    Addresses: 46.4.54.78

    116.203.151.74

    167.86.115.96

    173.249.58.145

  • Sieht so aus:


    Das sieht doch gut aus.

    bei mir war der Zeitserver über die Namen nicht erreichbar, da habe ich es mit der IP Adresse probiert und es hat auf anhieb funktioniert.

    Wenn es jetzt (mit IPs) funktioniert, dann lass' es besser so.

    DNS habe ich im USG auf AUTO stehen, wo könnte denn bei mir das Problem her kommen?

    Kannst Du bitte ein Bild der genannten Einstellungen posten? Es gibt ja ein paar Stellen, an denen sich DNS auf AUTO stellen lässt.