Перейти к содержимому
Калькуляторы

ASR1001 NTP ACL

На ASR1001 asr1000-rommon-155-3r.S1.pkg включили NTP сервер. Без ACL всё работает.

Навешиваем ACL 

ntp access-group peer NTP
ntp access-group serve-only NTPQ
 

В NTP список серверов откуда берём. Время берётся норм, часы синхронизируются. 

В NTPQ даже если разрешить всем — время никому не отдаётся. Во включенном debug циска на каждый запрос пишет, что запрос есть и на этом всё.

 

Куда ещё копать? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

#sh ip access-list NTPQ
Standard IP access list NTPQ
    10 permit any (124520 matches)
#sh ip access-list NTP
Standard IP access list NTP
    10 permit 162.XXX.XXX.XXX (818 matches)
    20 permit 145.XXX.XXX.XXX (823 matches)
    30 permit 88.XXXX.XXX.XXX (820 matches)
    40 permit 89.XXX.XXX.XXX (816 matches)
    50 permit 185.XXX.XXX.XXX (818 matches)
    60 permit 193.XXX.XXX.XXX (820 matches)
#
 

ntpdate ntp.XXXXXXXXX.com
13 Jul 20:26:17 ntpdate[79276]: no server suitable for synchronization found
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ntp logging

пробуете синхронизироваться и 

show logging | include NTP

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip access-list standard ntp-peer
 permit 10.10.10.1
 permit 10.10.10.2
ip access-list standard ntp-serve-only
 permit 10.0.0.0 0.255.255.255


 ntp access-group peer ntp-peer
 ntp access-group serve-only ntp-serve-only
 ntp master
 ntp update-calendar
 ntp server 10.10.10.1 source Loopback0
 ntp server 10.10.10.2 source Loopback0

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 часов назад, jffulcrum сказал:

ntp logging

пробуете синхронизироваться и 

show logging | include NTP

 

#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
(config)#ntp lo
(config)#ntp logging
(config)#^Z
#sh log | inc ntp
#sh log
Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 145 flushes, 0 overruns, xml disabled, filtering disabled)

No Active Message Discriminator.

No Inactive Message Discriminator.


    Console logging: level debugging, 6041 messages logged, xml disabled,
                     filtering disabled
    Monitor logging: level debugging, 0 messages logged, xml disabled,
                     filtering disabled
    Buffer logging:  level debugging, 5037 messages logged, xml disabled,
                    filtering disabled
    Exception Logging: size (4096 bytes)
    Count and timestamp logging messages: disabled
    Persistent logging: disabled

No active filter modules.

    Trap logging: level informational, 759 message lines logged
        Logging Source-Interface:       VRF Name:

Log Buffer (4096 bytes):
-cbc
Jul 14 13:38:24 CY-S: %SYS-5-CONFIG_I: Configured from console by XXXXX on vty0 ()
Jul 14 13:40:07 CY-S: %SYS-5-CONFIG_I: Configured from console by XXXXX on vty0 ()
#
 

 

Попытка синхронизации(разница в два часовых пояса):

 

root@XXXXXXXXXX:/home/niko # ntpdate ntp.XXXXXXXXX.com
14 Jul 15:40:19 ntpdate[87157]: no server suitable for synchronization found
 

 

@Butch3r 

Это всё тоже есть:

ntp logging
ntp access-group peer NTP
ntp access-group serve-only NTPQ
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sh ntp status
Clock is synchronized, stratum 2, reference is XXX.XXX.XXX.XXX
nominal freq is 250.0000 Hz, actual freq is 249.9937 Hz, precision is 2**10
reference time is E2B80B25.E6E97B50 (13:44:53.902 CY-S Tue Jul 14 2020)
clock offset is 2.1652 msec, root delay is 47.59 msec
root dispersion is 12.17 msec, peer dispersion is 1.03 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is 0.000025010 s/s
system poll interval is 1024, last update was 521 sec ago.
 

 

Попробовал с access-l с одним адресом(с которого тестирую)

 

Standard IP access list NTPQt
    10 permit XXX.XXX.XXX.XXX (4 matches)
 

 

#sh run | inc NTPQt
ip access-list standard NTPQt
ntp access-group serve-only NTPQt
 

4 запроса пролетело на циску, но клиент не синхронизировался. 

Изменено пользователем nevzorofff

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Склоняюсь к тому, что что-то не так с source-интерфейсами и маршрутизацией.

Возможно запросы по пути где-то проходят через NAT.

Если убрать ACL и включить подробный лог, то что в логах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кусок debug ntp all:

 

Jul 14 11:14:16.544: NTP message received from 109.65.22.230 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:16.544: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:16.544: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:16.703: NTP message received from 79.176.105.175 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:16.703: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:16.703: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:16.944: NTP message received from 216.241.131.213 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:16.944: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:16.944: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:16.945: NTP message received from 109.66.58.14 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:16.945: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:16.945: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:16.945: NTP message received from 109.65.49.127 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:16.945: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:16.945: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:17.326: NTP message received from 109.66.85.60 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:17.326: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:17.326: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:17.326: NTP message received from 94.73.3.192 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:17.326: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:17.326: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:17.326: NTP message received from 172.16.103.67 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:17.327: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:17.327: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:17.676: NTP message received from YYY.YYY.YYY.YYY on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:17.676: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:17.676: NTP message received from 87.70.186.140 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:17.676: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:17.676: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
Jul 14 11:14:17.676: NTP message received from 79.181.92.6 on interface 'Eth1' (XXX.XXX.XXX.XXX).
Jul 14 11:14:17.676: NTP Core(DEBUG): ntp_receive: message received
Jul 14 11:14:17.676: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.
 

Жирным выделен тот единственный IP из NTPQt

 

5 минут назад, alibek сказал:

Склоняюсь к тому, что что-то не так с source-интерфейсами и маршрутизацией.

Возможно запросы по пути где-то проходят через NAT.

Если убрать ACL и включить подробный лог, то что в логах?

Если убрать обе ACL или в peer ACL добавить permit any, то всё работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте перейти на extended ACL, добавьте log в "any any". Может там соурс или дестинейшен странные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

extended прилип к конфигурации NTP

 

#sh ip access-l NTPt
Extended IP access list NTPt
    10 permit ip any any log (660 matches)
 

 

sh log:

Jul 15 20:34:20 CY-S: %SEC-6-IPACCESSLOGP: list NTPt permitted udp XX.XX.XX.86(0) -> YY.YY.YY.1(0), 1 packet
 

Ответы от сервера в ACL не попадают. Все строки в именно в таком виде от клиента к серверу. На мой взгляд так и должно быть. 

Изменено пользователем nevzorofff

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну а добавить конкретных хостов? Также не работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 минут назад, ShyLion сказал:

Ну а добавить конкретных хостов? Также не работает?

Ага.

Тут писал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 minutes ago, nevzorofff said:

там стандартный лист, а я предлагаю попробовать extended

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, ShyLion сказал:

а я предлагаю попробовать extended

Тоже самое:

 

sh ip access-l NTPt
Extended IP access list NTPt
    10 permit ip host XXX.XXX.XXX.86 host YYY.YYY.YYY.1 (4 matches)
    20 permit ip host YYY.YYY.YYY.1 host XX.XXX.XXX.86
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.