Hallo,
ich habe auf der MD7 als NTP-Server mein Gateway angegeben.
Trotzdem sehe ich im Live-Protokoll meiner Firewall, daß die MD auf Port 123 (NTP) von Arcor, Hetzner, Strato (laut Domain-Lookup) zugreifen will.
Was läuft denn da falsch?
MfG
Christoph
Hallo Christoph,
hast Du eine statische IP-Adresse vergeben oder wird DHCP benutzt ?
Grüße
Maik
Hallo Maik,
die MD hat statisch die 192.168.2.2, mein Gateway 192.168.2.1. Im Reiter NTP-Server habe ich die Gateway-Adresse eingetragen.
MfG
Christoph
Hallo Christoph,
unter TRC050502 (Appliance -> Dienste) bitte einmal auf den Reiter NTP-Server klicken und den Output des Feldes aktueller Zustand posten. Dann sehen wir weiter.
Grüße
Maik
Hallo Christoph,
das sieht eigentlich gut aus. Der NTP Server der Mobydick hat als externe Referenz die 192.168.2.1 (die Du auch konfiguriert hast). Ich kann hier erst mal KEINEN Fehler feststellen.
Grüße
Maik
Hallo Maik,
das steht zwar unter “Aktueller Zustand”, aber schaue mal auf das Bildschirmfoto im ersten Post. Das ist das Live-Protokoll meiner Firewall. Dort werden die NTP-Anfragen der MobyDick gedroppt, da diese direkt ins Internet gehen.
MfG
Christoph
Hallo Maik,
hier nochmal das Live-Protokoll in etwas größerer Darstellung. Es fragt sich, wo die NTP angefragten IP-Adressen herkommen?!
MfG
Christoph
Hallo Maik,
anbei nochmal ein Screenshot des Dienste Status
In dem letzten Eintrag sieht man, daß der NTP-Server nicht antwortet. Passt also zu den gedroppten Paketen der Firewall, allerdings nicht zu “aktueller Status”.
Mögen sich die Programmierer das mal anschauen?
MfG
Christoph
Hallo Christoph,
poste einmal den output von ntpq -p als root von der Konsole.
Meckert die Firewall immer noch wenn der NTP gestoppt ist ?
Stoppen kannst Du den ntp mit /etc/init.d/ntp stop
Jetzt muss auch als Antwort ntpq: read: Connection refused zum Befehl ntpq-p kommen.
Grüße
Maik
Hallo Maik,
bei laufendem NTP-Dienst liefert “ntpq -p”:
*192.168.2.1 46.4.28.250 3 u 516 1024 377 0.313 0.295 0.387
Bei gestopptem NTP-Dienst liefert “ntpq -p”:
root@md7:/etc/admin# ntpq -p
ntpq: read: Connection refused
aber:
Die Firewall droppt immer noch Pakete, die von der IP 192.168.2.2 von der MobyDick kommen:
Gibt es denn noch andere Dienste der MobyDick, die auf Port 123 Anfragen senden? Dürfte doch eigentlich nicht sein.
Ich habe keine Erklärung dafür…
Was können wir denn noch weiter prüfen?
MfG
Christoph
Hallo Christoph,
wenn der NTP gestoppt ist, droppt dann die Firewall immer noch ?
Grüße
Maik
Hallo Maik,
ja, das ist ja der Witz. Im Live-Protokoll steht eindeutig die IP-Adresse der MobyDick. Und diese will auf diversen Servern von Arcor, Hetzner usw. auf Port 123 Informationen haben…
-> siehe das Bild mit dem Ausschnitt des Live-Protokolls aus meinem vorherigen Post.
Habt Ihr eine Möglichkeit, dieses Problem in einer Testumgebung mal nachzuvollziehen?
MfG
Christoph
Hallo Christoph,
wenn der NTP gestoppt ist, dann kann dieser NICHT mehr fragen ! Ziehe bitte das Netzwerkkabel der Mobydick ab und beobachte die Firewall. Dies ist die “harte” Methode, alternativ kannst Du mit Wireshark den Netzwerkverkehr tracen … aber ich denke Kabel ziehen ist schneller und einfacher.
Viel Erfolg
Maik
Hallo Maik,
tja, ohne gestecktes Kabel kommen auch keine Anfragen mehr. Habe ich mir fast gedacht. Kabel wieder angesteckt und es erfolgen wieder Einträge im Live-Protokoll von der IP der MobyDick.
Ich will Euch hier wirklich nicht veräppeln, aber irgendwo her müssen die NTP-Anfragen aus der MobyDick kommen…
Ich bin ratlos.
Ich könnte mal z.B. Starface installieren und schauen, ob es dort auch so ist. Da diese auch auf Asterisk basiert, könnte man evtl. feststellen, ob das Problem aus dem eigentlichen Kern kommt und nicht aus dem drumherum programmierten Teil…
Was hälst Du davon?
MfG
Christoph
Hallo Christoph,
kommen die Anfragen eventuell von deinen Telefonen ? Welchen NTP-Server hast Du dort eingetragen ? Hast ein eigenständiges IP-Netz für die VOIP Technik bzw. macht die MObydick hier das Routing ? Der NTP Dienst auch der Mobydick ist es nicht.
Grüße
Maik
Hallo Maik,
mein Rechnernetz befindet sich in 192.168.1.0, die MobyDick befindet sich in 192.168.2.0 und die Telefone in 192.168.3.0. Der DHCP-Server der MD ist ausgeschaltet. In den Telefonen ist die IP 192.168.2.2 der MobyDick eingetragen. In den Telefonen habe ich keinen NTP-Server eingetragen, es sei denn, die MobyDick hat durch die Provisionierung dort einen eingetragen.
MfG
Christoph
Hallo Christoph,
dann teste bitte noch einmal ohne Telefone.
Grüße
Maik
Hallo Maik,
so, Telefone physikalisch abgeklemmt und den NTPServer mit localhost angegeben. Anfragen kommen immer noch. Siehe Screenshot. Das Problem ist einfach nicht nachvollziehbar.
Es werden immer 4 IPs angefragt. Jetzt gerade:
085.214.052.061 h2087711.stratoserver.net
129.250.035.251 y.ns.gin.ntt.net
131.234.137.024 net2.uni-paderborn.de
144.076.002.120 citadel.noetech.net
Wenn nach exakt 5 Minuten die nächste Anfragewelle kommt, dann sind es andere 4 IPs. Dieser Block von 4 Adressen wird immer 7x hintereinander angefragt. Dann wieder 5 Minuten Pause.
Was ja noch merkwürdig ist:
Unter dem Reiter NTP-Server “Aktuelle Ansicht” der Moby Dick wird ja angezeigt, daß per NTP die Zeit empfangen wird:
aber unter der Dienste-Ansicht meldet NTP einen Critical-Error:
Wenn ich das so sagen darf: Da kann intern im System etwas nicht stimmen, oder?!
MfG
Christoph
Hallo Christoph,
poste einmal bitte die Dateien /etc/ntp.conf und (wenn vorhanden) /var/lib/ntp/ntp.conf.dhcp.
Bitte poste auch den Output des Befehls ps ax |grep ntpd einmal bei laufenden NTP-Server und einmal bei gestoppten NTP.Server.
Liebe Grüße
Maik
