Problemas con NTP

Unanswered Question
Jan 17th, 2012

Buenas tardes a todos;

Estoy necesitando una solución NTP Server para windows de tal manera a usarlo en mi infraestructura con equipos Cisco y que soporte autenticación.

Estoy probando con la aplicación NTP 4.X, funciona sin autenticación pero no logro hacer funcionar con autenticación obligatoria.

Alguno de uds ya paso por esta necesidad? Como lo solucionaron?

Saludos

Edgar Servín

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (0 ratings)
itespino Mon, 01/23/2012 - 10:23

Hola Edgar,

-Cuál es la configuración de NTP que estás usando en el equipo Cisco?

- Cuándo corres un "show ntp association detail", el ntp aparece como insane , invalid?

- Tal vez sea necesario correr los siguientes show y debugs en el equipo Cisco para verificar que la comunicación se esté realizando correctamente.

shows

show ntp associations detail

show ntp status

show run | in ntp

Debugs:

debug ntp packet

debug ntp validity

debug ntp authentication

debug ntp events

Anexo información adicional acerca de NTP 4.x de Windows

http://www.eecis.udel.edu/~mills/ntp/html/hints/winnt.html

Saludos,

Itzcoatl

edgar.servin Mon, 01/23/2012 - 11:02

Hola Itzcoatl;

-Cuál es la configuración de NTP que estás usando en el equipo Cisco?

ntp server 10.100.11.10 version 3

ntp server 10.100.11.11 version 3

- Cuándo corres un "show ntp association detail", el ntp aparece como insane , invalid?

En el ROUTER1 que está en el inside de mi red con mi NTP me funciona correctamente sin autenticación NTP.

ROUTER1#sh ntp asso

       address         ref clock     st  when  poll reach  delay  offset    disp

*~10.100.11.11     127.127.1.0      13    21    64  177     2.1   -0.50   125.4

+~10.100.11.10     127.127.1.0      13    46    64  177     2.6  5427.0   125.5

* master (synced), # master (unsynced), + selected, - candidate, ~ configured

ROUTER1#sh ntp asso detail

10.100.11.11 configured, our_master, sane, valid, stratum 13

ref ID 127.127.1.0, time D2C827D8.1040F1EC (18:39:20.063 UTC Mon Jan 23 2012)

our mode client, peer mode server, our poll intvl 64, peer poll intvl 64

root delay 0.00 msec, root disp 11.44, reach 177, sync dist 137.848

delay 2.12 msec, offset -0.4987 msec, dispersion 125.35

precision 2**20, version 3

org time D2C827FA.BA270482 (18:39:54.727 UTC Mon Jan 23 2012)

rcv time D2C827FA.BA8D6FE7 (18:39:54.728 UTC Mon Jan 23 2012)

xmt time D2C827FA.B9FFF8A8 (18:39:54.726 UTC Mon Jan 23 2012)

filtdelay =     2.12    4.56    2.11    2.11    2.11    2.14    2.14    0.00

filtoffset =   -0.50   -1.64   -0.46   -0.35   -0.34   -0.31   -0.60    0.00

filterror =     0.02    0.99    1.97    2.94    3.92    4.90    5.87 16000.0

10.100.11.10 configured, selected, sane, valid, stratum 13

ref ID 127.127.1.0, time D2C827CC.3F56660F (18:39:08.247 UTC Mon Jan 23 2012)

our mode client, peer mode server, our poll intvl 64, peer poll intvl 64

root delay 0.00 msec, root disp 11.32, reach 177, sync dist 138.443

delay 2.56 msec, offset 5427.0647 msec, dispersion 125.46

precision 2**19, version 3

org time D2C827E7.27AD8E0E (18:39:35.154 UTC Mon Jan 23 2012)

rcv time D2C827E1.BAADD204 (18:39:29.729 UTC Mon Jan 23 2012)

xmt time D2C827E1.BA021EE7 (18:39:29.726 UTC Mon Jan 23 2012)

filtdelay =     2.56    3.17    2.88    2.35    2.09    3.40    3.08    0.00

filtoffset = 5427.06 5426.42 5426.75 5426.99 5427.62 5427.23 5426.96    0.00

filterror =     0.02    0.99    1.97    2.94    3.92    4.90    5.87 16000.0

ROUTER1#sh ntp status

Clock is synchronized, stratum 14, reference is 10.100.11.11

nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**18

reference time is D2C827FA.BA8D6FE7 (18:39:54.728 UTC Mon Jan 23 2012)

clock offset is 2713.2830 msec, root delay is 2.12 msec

root dispersion is 4207.96 msec, peer dispersion is 4196.01 msec

En el ROUTER2 que está detrás de mi firewall PIX me da error.

ROUTER2#sh ntp status

Clock is unsynchronized, stratum 16, no reference clock

nominal freq is 250.0000 Hz, actual freq is 249.9999 Hz, precision is 2**32

reference time is D2C7CDAE.700ED71C (12:14:38.437 UTC Mon Jan 23 2012)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 0.33 msec, peer dispersion is 0.00 msec

loopfilter state is 'CTRL' (Normal Controlled Loop), drift is 0.000000117 s/s

system poll interval is 64, last update was 22951 sec ago.

ROUTER2#sh ntp asso

  address         ref clock       st   when   poll reach  delay  offset   disp

x~10.100.11.10    127.127.1.0     13     20     64   377  2.070 5629.20  3.041

x~10.100.11.11    127.127.1.0     13     20     64   377  1.502 199.800  3.344

* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

ROUTER2# sh ntp asso det

10.100.11.10 configured, sane, invalid, stratum 13

ref ID 127.127.1.0   , time D2C8274C.3F573CEC (18:37:00.247 UTC Mon Jan 23 2012)

our mode client, peer mode server, our poll intvl 64, peer poll intvl 64

root delay 0.00 msec, root disp 11.01, reach 377, sync dist 21.20

delay 2.07 msec, offset 5629.2091 msec, dispersion 3.04

precision 2**19, version 3

org time D2C82752.143F0521 (18:37:06.079 UTC Mon Jan 23 2012)

rec time D2C8274C.73507604 (18:37:00.450 UTC Mon Jan 23 2012)

xmt time D2C8274C.72AA25EB (18:37:00.447 UTC Mon Jan 23 2012)

filtdelay =     2.49    2.07    2.32   20.18    2.58    2.15    2.07    2.23

filtoffset = 5629.88 5629.20 5628.64 5619.25 5627.48 5626.84 5626.48 5625.91

filterror =     0.00    0.94    1.93    2.88    3.84    4.80    5.77    6.75

minpoll = 6, maxpoll = 10

10.100.11.11 configured, sane, invalid, stratum 13

ref ID 127.127.1.0   , time D2C82716.1040D9F0 (18:36:06.063 UTC Mon Jan 23 2012)

our mode client, peer mode server, our poll intvl 64, peer poll intvl 64

root delay 0.00 msec, root disp 11.73, reach 377, sync dist 19.72

delay 1.50 msec, offset 199.8003 msec, dispersion 3.34

precision 2**20, version 3

org time D2C8274C.A6D584EC (18:37:00.651 UTC Mon Jan 23 2012)

rec time D2C8274C.732C6E00 (18:37:00.449 UTC Mon Jan 23 2012)

xmt time D2C8274C.72B7948A (18:37:00.448 UTC Mon Jan 23 2012)

filtdelay =     1.75    1.61    1.52    1.57    1.50    1.66    1.60    1.63

filtoffset =  202.67  201.92  201.21  200.53  199.80  199.16  198.46  197.79

filterror =     0.00    0.99    1.96    2.91    3.90    4.86    5.82    6.78

minpoll = 6, maxpoll = 10

¿por qué da falseticker en el router detrás del PIX?

Ahora estoy haciendo debug para ver si tira algún error.

itespino Mon, 01/23/2012 - 11:25

Hola Edgar,

Detrás de que interfaz del PIX está el router?. Puede ser que se necesite agregar una traducción estática  y una ACL (permitiendo puerto udp 123). Puedes correr capturas en las interfaces de entrada y salida del  PIX para verificar que los paquetes estén siendo mandandos y recibidos.

Gracias,

Itzcoatl Espinosa

edgar.servin Mon, 01/23/2012 - 11:47

El router está en el una interfaz llamada "externa" y tengo el siguiente NAT en el PIX.

static (inside,externa) 10.100.11.10 10.100.11.10 netmask 255.255.255.255 10000 10000

static (inside,externa) 10.100.11.11 10.100.11.11 netmask 255.255.255.255 10000 10000

y tengo el permiso:

access-list externa_in permit udp host 10.4.1.2 host 10.100.11.10 eq ntp

access-list externa_in permit udp host 10.4.1.2 host 10.100.11.11 eq ntp

edgar.servin Mon, 01/23/2012 - 11:32

En el debug me da este mensaje.

ROUTER2#

006594: .Jan 23 19:22:16.447 UTC: NTP message received from 10.100.11.10 on interface 'FastEthernet0.40' (10.4.1.2).

006595: .Jan 23 19:22:16.447 UTC: NTP Core(DEBUG): ntp_receive: message received

006596: .Jan 23 19:22:16.447 UTC: NTP Core(DEBUG): ntp_receive: peer is 0x8388D298, next action is 1.

006597: .Jan 23 19:22:16.447 UTC: NTP Core(DEBUG): receive: packet given to process_packet

sin embargo me marca como

ROUTER2# sh ntp asso det

10.100.11.10 configured, sane, invalid, stratum 13

10.100.11.11 configured, sane, invalid, stratum 13

x falseticker

Por que podría ser este inconveniente?

itespino Mon, 01/23/2012 - 12:09

Edgar,

El ntp aparece como invalido, ya que al parecer el router no reconoce que el tiempo del servidor sea el correcto. El X Falseticker aparece cuando existe un offset / dispersión entre los dos ntp servers que están configurados.

-El 10.100.11.10 y 10.100.11.11 tienen exactamente la misma hora? Un offset de un par de segundos podría causar el problema.

Como workaround se podría agregar la palabra prefer al final del comando  de ntp server y verificar si el tiempo se sincroniza.

En caso de esto no funcione, remover un ntp server y esperar a que sincronize.Existen algunos defectos que podría estar relacionados a este comportamiento.

CSCeg79613    NTP sync toggle between 2 ntp server of same stratum 

CSCte91471    NTP v4 takes several hours to sync when multiple servers are configured

Saludos,

Itzcoatl Espinosa

edgar.servin Tue, 01/24/2012 - 03:24

Hola Itzcoatl,

Verifiqué que ambos NTPs tengan exactamente la misma hora (estaban desfasados por 10 segundos aprox.) y procedí a quitar de la configuración uno de ellos y efectivamente el router recibe la hora correctamente.

Muchas gracias!

Retomando el tema de la configuración del NTP de Meinberg, ya estuve usando con anterioridad el link que me pasaste:

http://www.eecis.udel.edu/~mills/ntp/html/hints/winnt.html

Siguiendo el procedimiento de configuración del manual no logro hacer que funcione el NTP con autenticación. Y me es necesario por recomendaciones de tips de seguridad.

Ud. tiene experiencia con dicha aplicación?

itespino Tue, 01/24/2012 - 06:59

Edgar,

Me alegra que el router reciba el reloj apropiadamente. Sinceramente yo no tengo mucha experiencia con esa aplicacion. Tal vez un debug ntp authentication te pueda ayudar a determinar la causa.

Cual es la configuraci[on completa de ntp que usas en el router?

Saludos,

Itzcoatl

Actions

Login or Register to take actions

This Discussion

Posted January 17, 2012 at 9:13 AM
Stats:
Replies:8 Avg. Rating:
Views:1454 Votes:0
Shares:0
Tags: ntp
+

Discussions Leaderboard