Синхронизация самого Mikrotik с ntp и раздача времени в локалку

Тема в разделе "Общие вопросы", создана пользователем Pablo, 18 дек 2017.

  1. Pablo

    Pablo Новый участник

    Имеется RB2011UiASRM, Firmware 3.41, версия 6.40.5

    В разделе ntp client стоит enabled, broadcast, прописываю адрес ntp4.stratum2.ru - время на Микротике не меняется, статус показывает started.
    В разделе ntp server галки проставлены все 4, broadcast адрес прописан самого Микротика.
    На локальных прописываю адрес Микротика - пишет об ошибке синхронизации.

    Как сделать чтобы сам Микротик синхронизировался с ntp серверами и раздавал время в локалку?
     
  2. попробуйте так:
     

    Вложения:

    • ntp.png
      ntp.png
      Размер файла:
      4,2 КБ
      Просмотров:
      54
  3. Pablo

    Pablo Новый участник

    Не, то же самое - пишет что заданный узел недоступен. При этом Микротик пингуется. И указанный IP пингуется... Может что-то в правилах накосячил?
     

    Вложения:

    • fir_rules.jpg
      fir_rules.jpg
      Размер файла:
      91,6 КБ
      Просмотров:
      31
  4. Что-то не очень у вас фаервол, сделайте по аналогии с рекомендованным -

    /ip firewall filter
    add chain=input comment="defconf: accept ICMP" protocol=icmp
    add chain=input comment="defconf: accept established,related" connection-state=established,related
    add chain=input comment="accept WinBox port" dst-port=8291 protocol=tcp
    add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add chain=forward comment="defconf: accept established,related" connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
     
  5. Pablo

    Pablo Новый участник

  6. тогда примерно то что нужно, непонятно просто из скрина....
    дайте настройку ntp client
     
  7. Pablo

    Pablo Новый участник

    Настройки сервера и клиента
     

    Вложения:

    • ntp.jpg
      ntp.jpg
      Размер файла:
      48,3 КБ
      Просмотров:
      51
  8. Pablo

    Pablo Новый участник

    Сделал как указали - все заработало. Спасибо!
     
    Денис Друженков нравится это.
  9. Pablo

    Pablo Новый участник

    в этом фаерволе фасттрак получается 5 пунктом. Не надо ли его в самое начало поставить?

    И еще, заметил что не всегда проходят онлайн оплаты с карт и прочее. А если отключить правило
    add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
    то тогда оплата проходит.

    Или это связано с тем что устанавливается IPsec, а у меня фасттрак и они не работают?
     
    Последнее редактирование: 20 дек 2017
  10. Маловероятно, это точно с этим связано ? Никогда проблем не наблюдал...
    Можно отключить fasstrack, и перегрузить роутер, тогда динамические правила пропадут....
     
  11. Вот последняя версия рекомендованного фаервол.
    Тут в деталях описано все - https://spw.ru/educate/articles/routeros/

    /ip firewall filter
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
     
  12. Pablo

    Pablo Новый участник

    в том то и дело что вчера на 1 зарубежном и 1 российском платежных шлюзах сработало только после отключения правила, а на 2 российском прошло ровно...
     
  13. Так у вас как оплата происходит ? Через https ?
     
  14. Pablo

    Pablo Новый участник

    Да, через https
     
  15. а дайте фаервол ваш посмотреть ? Может где ошибка закралась ?
     
  16. Pablo

    Pablo Новый участник

    старый уже стер, залил новый рекомендованный конфиг что Вы написали. Пока платежей не проводил.
     
  17. Pablo

    Pablo Новый участник

    заменил на свои ether2-LAN и ether1-WAN 2 этих правила не могу через терминал прописать, пишет по обоим правилам input does not match any value of interface-list

    Разобрался. Надо было создать 2 листа LAN И WAN, в первый добавить локальный порт, во второй - внешний порт.
     
    Последнее редактирование: 20 дек 2017
  18. Да все правильно