LINUX.ORG.RU
решено ФорумAdmin

Поделитесь рабочим конфигом NTP в Debian (NTP-сервер для локальных клиентов)


0

1

Есть сервер на Debian, к внешнему интернету доступа пока не имеет. Локальные клиенты на Windows 7 Home Premium. Задача: Разрешить запросы на синхронизацию от локальных клиентов в ntp.conf. На данный момент не получается почему-то. nmap не показывает открытый 123 порт. Mikrotik показывает пролетающие пакеты на этот порт. Сеть имеет вид 192.168.101.0/24. Был бы благодарен заведомо рабочему конфигу тех, у кого работает локальное зеркало NTP. Код ниже не работает. Винда сообщает: Ошибка произошла при выполнении синхронизации с ххх.ххх.ххх.ххх. Возврат из операции произошел из-за превышения времени ожидания. 

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
server 0.debian.pool.ntp.org iburst
server 1.debian.pool.ntp.org iburst
server 2.debian.pool.ntp.org iburst
server 3.debian.pool.ntp.org iburst


# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details.  The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
restrict 192.168.1.0 mask 255.255.255.0


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines.  Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient


Если нет доступа к NTP серверам, а его судя по всему нет раз хост без инета, то можете указать себя же в кач-ве источника времени -

server 127.127.1.0
fudge 127.127.1.0 stratum 10

без этого работать не будет, т.к. в вашем случае ntp не знает где у него источник точного времени.

FreeBSD ★★★
()
Ответ на: комментарий от FreeBSD

Я думал что этого будет достаточно: 

restrict 192.168.1.0 mask 255.255.255.0

meklon
() автор топика
Ответ на: комментарий от meklon

Да, это добавить за место вот этого -

server 0.debian.pool.ntp.org iburst
server 1.debian.pool.ntp.org iburst
server 2.debian.pool.ntp.org iburst
server 3.debian.pool.ntp.org iburst
FreeBSD ★★★
()
Ответ на: комментарий от FreeBSD

Что странно, на домашнем сервере была аналогичная проблема. Даже с учетом того, что у него доступ в сеть есть. Но синхронизация заработала только после ваших строчек. Вот выхлоп: 

meklon@DebianSRV:~$ ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ns1.hsdn.org    41.56.176.218    2 u   46   64    3   35.230   -2.152   3.293
+ae0.ertelecom-a 41.56.176.218    2 u   46   64    3   39.456    0.422   1.548
То есть сервера внешние видит, но без строк 
server 127.127.1.0
fudge 127.127.1.0 stratum 10
не работал

meklon
() автор топика
Ответ на: комментарий от meklon

Глубоко не копал, но идея в том, что пока оно не засинхронизируется с надёжным источником, оно считает себя stratum с каким-то очень низким приоритетом, и клиенты от него время принимать не хотят.

Сталкивался с похожей проблемой, решилось само по прошествии нескольких часов, когда ему засинхронизироваться всё-таки удалось.

selivan ★★★
()
Ответ на: комментарий от selivan

Ждать надо несколько часов, чтоб был стратум 2, тоггда и будет отдавать время клиентам. Для того чтоб корректно работал НТП нужны следующие параметры: server ХХХ.ХХХ.ХХХ.ХХХ iburst (их чем больше тем лучше НТП сам выберет необходимый) driftfile /var/lib/ntp/drift/ntp.drift logfile /var/log/ntp.log restrict default ignore (Запретить всем получать время) restrict ХХХ.ХХХ.ХХХ.ХХХ (ХХХ.ХХХ.ХХХ.ХХХ - сеть кому розрешено получать время)

Для диагностики смотри ntpq -p ntptrace -n

CHIPOK ★★★
()
Ответ на: комментарий от meklon

Сразу не заметил, *ns1.hsdn.org 41.56.176.218 2 Ваш НТП использует ресурс 41.56.176.218 и имеет второй стратум, это уже максимум, лучше не будет, ваши клиенты должны синкатся. Эсли нужно более точное время тогда используйте gps тогда будет стратум 1

CHIPOK ★★★
()
Ответ на: комментарий от CHIPOK

Спасибо. На самом деле со вторым стратумом не хотел без ссылки на самого себя синхронизироваться.

meklon
() автор топика
Ответ на: комментарий от selivan

Да, сейчас отмечу, спасибо всем за помощь.

meklon
() автор топика
Ответ на: комментарий от undertaker

На хабре мне bsd-утилиту советовали какую-то. Вроде openntpd

meklon
() автор топика
Ответ на: комментарий от meklon

Не пробовал, в d-r@ посоветовали chrony, с тех пор его везде и использую.

undertaker ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin