NTP Server + přístup na MK do jiné sítě

[Hannnz2]

Dobrý den,

jsem tu nový, tak doufám, že mě hned někdo nebude kamenovat.

Ohledně konfigurace RouteOS mám základní (možná mírně pokročilé znalosti).

Mám tu RB433AH a RB435G. Oba mají v tuto chvíli verzi ROS 4.x. Udělám downgrade a úpravy co budou potřeba. Potřebuji na mikrotiku rozjet NTP server. Četl jsem všudemožně, že je na to potřeba balíček ntp. Ten jsem ale nebyl stavu najít a ty, co už jsem tady na foru našel, byly asi pro jiné platformy nebo verze RouteOS. Potřeboval bych tedy npk RouteOS a k němu balíček ntp, abych ten server mohl rozjet.

Jestli by někdo dal k dispozici, budu rád.


Pak okrajem druhý dotaz. Mám router na x86 RouteOS. Vstupní síťovku, dvě výstupní (rozsahy 192.168.253.x a 192.168.254.x). Na obou vnitřních sítích mám mikrotiky v režimu brigde (3x miniPCI karta + 1eth). Když na mikrotiky přistupuju ze stejného rozsahu, tak se dostanu bez problémů, ale přistoupit na mikrotik v druhém rozsahu se mi nedaří. Je na tohle nějaká možnost? Ve firewallu jsem zatím moc kouzlit nechtěl, ale pokud to bude třeba, tak kouzlit budeme.

Děkuju předem.

[hapi]

http://www.skylan.cz/mikrotik/

[Hannnz2]

A testoval někdo funkčnosti ve verzi 4.17? Povolil jsem NTP server, když si na patřičném ifacu přiřadím IP adresu, následně ji zadám do XP jako time server adress, pak to zkouší sychnronizovat, ale asi po 10ti sekundách to vypíše: "bla bla bla, Vrstva druhé strany je menší, než vrstva hostitele".

Nevíte někdo, co s tím?

[lwq]

Resilo se tu ... viewtopic.php?f=5&t=1218

Ale obecne ntp klienti proti tomu serveru behaji bez problemu, ale Widle zas budou nejak odlisne, nikdy mi to nijak spolehlive nechodilo ...

[Hannnz2]

Díky za reakci, jsem v koncích. Potřebuju, aby mikrotik vysílal multicastem ntp packety do zařízení, které ethernet má, ale IP ne.

link:

Kód: Vybrat vše

http://www.mobatime.cz/katalog/57-hlavni-hodiny-sitovy-interface-pro-hodiny-nci/116-zakladni-popis.html

Když jsme stáhli nějaký freeware NTP server, kde se do configure napsalo broadcast 239.192.54.1 (na tom zařízení se dá nastavit broadcast 239.192.54.x, kde x=0-15), tak to fungovalo.

Neví někdo?

[Majklik]

Přesně to stejné můžeš udělat v MKčku. V nastavení NTP serveru zapni podporu pro broadcast a jednu broadcast adresu si nastav na to 239.192.54.x. Funguje to.
Pokud zapneš jen vysílání po multicastu, tak to bude posílat na "normalizovanou"adresu 224.0.1.1, což ti nepomůže.
Může se ti stát, že to ten broadcast bude posílat jiným iface, než potřebuješ (pokud jich máš v MKčku aktivních víc), tak to řeší statický routing záznam posílající 239.192.54.x přímo na potřebný iface.

A testoval někdo funkčnosti ve verzi 4.17? Povolil jsem NTP server, když si na patřičném ifacu přiřadím IP adresu, následně ji zadám do XP jako time server adress, pak to zkouší sychnronizovat, ale asi po 10ti sekundách to vypíše: "bla bla bla, Vrstva druhé strany je menší, než vrstva hostitele".

Nevíte někdo, co s tím?

Zkoušel jsi to z klienta ve chvíli, kdy ten server v MKčku nebyl ještě synchronizován s nějakým serverem výše (pokud jsi to vůbec nastavil, aby se syncoval od něčeho jiného).

[Hannnz2]

Přesně to stejné můžeš udělat v MKčku. V nastavení NTP serveru zapni podporu pro broadcast a jednu broadcast adresu si nastav na to 239.192.54.x. Funguje to.
Pokud zapneš jen vysílání po multicastu, tak to bude posílat na "normalizovanou"adresu 224.0.1.1, což ti nepomůže.
Může se ti stát, že to ten broadcast bude posílat jiným iface, než potřebuješ (pokud jich máš v MKčku aktivních víc), tak to řeší statický routing záznam posílající 239.192.54.x přímo na potřebný iface.

NPT server dám tedy enlable + broadcast = yes. ostatní módy nechám vypnuté. eth1 má zapnutý DHCP klient a je připojený do internetu. Eth2 by měl vysílat ten NTP po broadcastu. takže na eth2 nastavím IP 239.192.54.10/24 (což mi nastaví network 239.192.54.0 a bcast 239.192.54.255) - bcast upravím na 239.192.54.1?

Je to tak? pokud to dobře chápu

Akorát si nejsem jistej, jak mám nastavit ten statický routing. Nikdy jsem ho nepotřeboval. :-X (jestli poradíš, jak na to, požadovaný výstup je ether2)

[Hannnz2]

Jinak, zkusil jsem to, vytvořil jsem route, kde dst adress je 239.192.54.1 (ono to zařízení nemá vlastní IP jen naslouchá broacastovým packetům, které nesou NTP a následně je zpracuje), gateway jsem dal ehter2, type unicast, pref.source 239.192.54.5 (.5 jsem nastavil jako IP na mikrotiku na ether2) - stále to nefunguje

[Majklik]

Uff, trošku zajimavě kombinováno. Ta broadcast adresa se nastuvuje v konfiguraci NTP serveru, ne přes IPčko na port.
/system ntp server set broadcast=yes broadcast-addresses=239.192.54.1 enabled=yes manycast=yes multicast=no

A ten routing do portu je klasika:
/ip route add dst-address=239.192.54.0/24 gateway=ether2

A nezapomeň si nastavit i NTP klient a jak se má to RBčko syncovat podle něčeo jiného, jinak bude vysílat, že není syncnuté a klient na to bude pravděpodobně kašlat.

[Hannnz2]

Tak, teď mi to hlásí tohle (pro jakou verzi RouteOS to píšeš? Mám tam 4.17, když si ve winboxu rozkliknu nastavení NTP serveru, tak tam mám jen 4 monžnosti a to broadcast,manycast,multicast,enlable - nic o IP adresách.) Když to zkouším přes terminál, tak končím takto:

Kód: Vybrat vše

[admin@Mikrotik] >> /system ntp server set broadcast=yes broadcast-addresses=
239.192.54.1 enabled=yes manycast=yes multicast=no
expected end of command (line 1 column 38)


[hapi]

hod ten text do nějakýho textáku a srovnej všechno do řádku.

[Hannnz2]

OK, nahrál jsem verzi 5.9 . Najednou je tam možnost zadat IP broadcastu v nastavení ntp serveru. U té 4.17 to určitě nebylo.

eth1 mám dhcp klienta jen pro tuto chvíli, aby si od někud mohl tahat čas. eth2 mám zapojený do těch hodin.

Nastavil jsem tam i to statický routování, ale stále nic

[Majklik]

Je možné, že v 4.x to nebylo, mám tu už jen 5.11 a spol.

Důvodů nefunkčnosti může být tak od boku několik:
a) Ten ROS není suynchronozován a tak ti na to kašlou hodiny. Kontorla v "/system ntp client print" a položka status: synchronized.
b) Seknul jsi se a posílá ti to někam jinam. Klidně si pusť torch a mrkni, zda ti to posílá na správný port (nebo tam připoj PC šmejd s nahozeným wireshark a také uvidíš), ten paket se posílá cca 1x za minutu/dvě.
c) Blbej případ je, že ty hodiny si hlídjaí MAC adresu. Tím, že to falšuješ přes broadcast, tak v paketu je jako cílová MAC broadcastová místo příslušné multicastové a může to zařezávat na tom ten krám. Záleží co umí. Asi by šel udělat podvod typu, že na ethernet píchneš SW bridge v mikrotiku a na něm použiješ L2 NAT a budeš MAC adresu přepisovat nebo by možná šlo udělat i to, že v NTP serveru zapneš multicast a zkusíš normálním dst-nat ve firewallu přepsat tu multicast adresu z 224.0.1.1 na 239.192... (nezkoušel jsem v ROSu, ale kdysi v linuxu jsem něco takového i dělal).

[Hannnz2]

mac si asi hlídat nebudou, oni nemají ani vlastní IP adresu asi web rozhraní. jediné, co mají jsou DIPswitche pro nastavení adresy toho broadcastu a časového pásma. Dneska se k tomu zkusím vrátit a budu informovat o případném úspěchu. Díky za pomoc.

[Hannnz2]

Ahoj,

takže...měl jsi pravdu. Ono to vysílá ethernetem1, na kterém mám přívod internetu.

Půjde to přesvědčit, aby to vysílalo jiným eth? případně když by to nešlo, jak nastavit firewall, aby eth1 mohl jen na nějaký NTP server, u kterého budu znát IP + ty broadcasty, co bude mikrotik vysílat z NTP serveru? Jestli to píšu pochopitelně

Případně jen dotaz - pokud budu mít eth1 zapojený do sítě s netem a do stejné sítě bych připojil ty NCI hodiny - nebudou ty broadcasty vysíláné mikrotikem zahlcovat síť? dle wiki mikrotik to posílá jen 1x/min.