Рейтинг статьи: 2.833/5 
(36 голосов).
Спонсор этой страницы:
Причина возникновения ошибки
После некоторых тестов и манипуляций с wireshark выяснилось, что Белтелеком блокирует пакеты UDP с портом источника 123, поэтому запрос на синхронизацию времени не проходит.
Способ побороть ошибку NTP
Необходимо послать запрос на NTP сервер, где порт источник будет не 123. (спасибо, капитан Очевидность)
При прохождении запроса через NAT маршрутизатора создается запись (на примере Cisco)
Pro Inside global Inside local Outside local Outside global
udp 178.126.169.145:123 192.168.1.15:123 178.124.164.107:123 178.124.164.107:123
178.126.169.145 - Внешний IP маршрутизатора (cisco,ZTE и др)
178.124.164.107 - Сервер времени belgim.by
Как мы видим в Internet ушел запрос с адреса 178.126.169.145 и порта 123, и успешно умер.
Добавляем на маршрутизаторе сервер времени 178.124.164.107
Для cisco
ntp server 178.124.164.107
таким образом cisco займет пару UDP 178.126.169.145:123 178.124.164.107:123 и остальные запросы пойдут уже с других портов
sh ip nat tr | i 178.124.164.107
Pro Inside global Inside local Outside local Outside global
udp 178.126.169.145:3 192.168.1.17:123 178.124.164.107:123 178.124.164.107:123
udp 178.126.169.145:4 192.168.1.246:123 178.124.164.107:123 178.124.164.107:123
то есть источник 178.126.169.146:3 и синхронизация проходит.
Если очень хочется и cisco заставить синхронизироваться, можно добавить заставить cisco запрашивать время с разных интерфейсов E0 и E1
ntp server 178.124.164.107 source E0
ntp server 178.124.164.107 source E1
home#sh ip nat tr | i 178.124.164.107
udp 178.126.169.145:123 192.168.1.15:123 178.124.164.107:123 178.124.164.107:123
udp 178.126.169.145:5 192.168.14.1:123 178.124.164.107:123 178.124.164.107:123
home#sh ntp associations
address ref clock st when poll reach delay offset disp
~178.124.164.107 0.0.0.0 16 - 64 0 0.0 0.00 16000.
*~178.124.164.107 192.168.125.81 2 1 64 377 13.3 26.41 2.8
home#sh log
Jan 12 23:04:32: %NTP-5-PEERSYNC: NTP synced to peer 178.124.164.107
Jan 12 23:04:32: %NTP-6-PEERREACH: Peer 178.124.164.107 is reachable
p.s. Добавлено после некоторых экспериментов.
Исправление синхронизации на модеме
Как мы выяснили, ByFly режет трафик с исходящего порта UDP 123. При одновременном обращении нескольких компьютеров к одному и тому же серверу синхронизации произойдет следующее: Модем не сможет создать создать более одной пары трансляции NAT UDP:IP_WAN_модема:123 -> UDP:ntp-server:123, так как не будет знать, какому клиенту пришел ответ, поэтому следующим запросам порт источника будет даваться случайным образом. То есть, например одному компьютеру синхронизироваться не получится, остальные синхронизируются.
Для эксперимента пропишем на модеме NTP сервер belgim.by. Получим 2 варианта.
1) модем синхронизировался. (для примера ZTE M-200A не использует порт 123, а использует порты свыше 1024). В этом случае остальным придется брать время с модема, или искать дальше.
2) модем не синхронизировался. (Например ZXHN H108). В таком случае, он будет "козлом отпущения, держащим пару UDP:IP_WAN_модема:123 -> UDP:belgim.by:123 и позволяющий остальным безпроблемно синхронизироваться с belgim.by. Правда с других ntp серверов синхронизация не пройдет, но это и не важно.
Ветка обсуждения про NTP есть на forum.onliner.by
В общем, надеюсь кому нибудь помог.
Cisco Systems маршрутизатор ZTE Беларусь
Комментарии к статье:
-
2016-01-24 12:43:07, Гость :
vkt987 Может поможете? https://forum.onliner.by/viewtopic.php?t=15688449&start=20