Externe NTP-Abfrage von "ntp.pool.org" auf interne IP leiten

[fildercom]

Hallo zusammen,

folgendes Problem:
Die IP-Steckdosenleisten eines namhaften deutschen Herstellers können entweder nur manuell die Uhrzeit einstellen oder "mit dem Internet synchronisieren". Eine Angabe einer IP oder eines DNS-Namens für den NTP-Server ist nicht möglich.

Der Support hat mir empfohlen, dies durch ein "Anpassen" der DNS-Informationen zu "erledigen".

Jedenfalls gleicht die Leiste die Zeit mit "ntp.pool.org" ab.

Nun hatte ich probiert, in der DNS-Stations-Liste "ntp.pool.org" einzutragen und mit einer internen IP eines Gerätes mit aktivem NTP-Server zu lösen. Anschließend mit SSH auf der CLI ein Ping an "ntp.pool.org": Fehlanzeige, es wird die offizielle externe IP angepingt. Zudem gibt es ein zweites Netz mit abweichendem Routing-Tag, welches die eingetragene IP nicht auflösen könnte, weil der Router in diesem Netz ja eine andere IP hat. Wäre 127.0.0.1 möglich, damit es der Router aus jedem Netz mit sich selbst beantwortet?

Wie lassen sich beide "Probleme" lösen?

Wäre über Tipps dankbar.

Gruß
fildercom.

[GrandDixence]

Code: Alles auswählen

ls Setup/DNS/DNS-Liste
ntp.pool.org <RTag> <IPv4-Adresse interner NTP-Server> ::

Die Verbiegung der DNS-Anfrage mit dem Befehl:

Code: Alles auswählen

nslookup ntp.pool.org

von einem Computer aus testen. Nicht auf dem LANCOM-Gerät testen!

Bei Android-Geräten müssen Anfragen auf "2.android.pool.ntp.org" auf die IP-Adresse des Heimnetzwerk-internen NTP-Server umgebogen werden. Bei Windows 8 Phone- oder Windows 10 Mobile-Geräten müssen Anfragen auf "time.windows.com" auf die IP-Adresse des Heimnetzwerk-internen NTP-Server umgebogen werden. Solange für die umzubiegende DNS-Anfrage kein DNSSEC eingesetzt wird, ist das Umbiegen von DNS-Anfragen kein Problem.

[fildercom]

Code: Alles auswählen

ls Setup/DNS/DNS-Liste
ntp.pool.org <RTag> <IPv4-Adresse interner NTP-Server> ::

Die Verbiegung der DNS-Anfrage mit dem Befehl:

Code: Alles auswählen

nslookup ntp.pool.org

von einem Computer aus testen. Nicht auf dem LANCOM-Gerät testen!

Bei Android-Geräten müssen Anfragen auf "2.android.pool.ntp.org" auf die IP-Adresse des Heimnetzwerk-internen NTP-Server umgebogen werden. Bei Windows 8 Phone- oder Windows 10 Mobile-Geräten müssen Anfragen auf "time.windows.com" auf die IP-Adresse des Heimnetzwerk-internen NTP-Server umgebogen werden. Solange für die umzubiegende DNS-Anfrage kein DNSSEC eingesetzt wird, ist das Umbiegen von DNS-Anfragen kein Problem.

Danke! Jetzt klappt es! Ich hatte allerdings einen Tippfehler drin: Es muss "pool.ntp.org" heißen.

Was allerdings leider nicht klappt:
Die Routing-Tags werden ignoriert.

Problem:
Netz 1 (Haupt-Netz, Routing-Tag 0): IP des NTP 192.168.1.10
Netz 2 (Netz für mobile Devices, Routing-Tag 2): IP des NTP 192.168.2.10

Folgendes habe ich gesetzt:
pool.ntp.org 0 192.168.1.10 ::
time.windows.com 2 192.168.2.10 ::

Mache ich nun aus Netz 1 (Haupt-Netz) ein nslookup für time.windows.com, bekomme ich die IP 192.168.2.10 zurück. Dabei sollte in diesem Netz ja die externe richtige IP von time.windows.com genutzt werden.

In Netz 2 gibt es nur Windows Mobile 10/Windows Phone 8 und Blackberry-Devices. Weißt du zufällig, welcher NTP-Server bei Blackberry genutzt wird (also BB-OS, nicht Android)?

Wenn nun eine Abfrage aus Netz 2 für pool.ntp.org kommt, wird diese aufgrund Routing-Tag 0 auch mit der IP 192.168.1.10 beantwortet, die aus Netz 2 aber gar nicht erreichbar ist.

Gibt es irgend welche Lösungsansätze, wie sich das beheben lässt?

Viele Grüße und herzlichen Dank
fildercom.

[fildercom]

Ich habe mal noch eine andere Frage:
Wenn ich unter IPv4 > DNS > Dienst-Tabelle einen Eintrag wie folgt erstelle, werden dann alle NTP-Anfragen aus allen Netzen grundsätzlich von diesem Router selbst beantwortet? Also egal, ob pool.ntp.org, time.windows.com, ptbtime1.ptb.de usw.?

Dienst: NTP
Tag: 0
Station: [self]
Port: 123

Der Router selbst muss jedoch weiterhin mit einem externen NTP-Server synchronisieren können, das ist klar.

Oder habe ich da einen Denkfehler?

Kann man das irgendwie mit einem Kommando überprüfen? Oder tracen?

[GrandDixence]

In meinem Heimnetzwerk arbeite ich aus Sicherheitsgründen mit VLAN und Advanced Routing and Forwarding (ARF). Gerade IoT-Anwendungen wie IP-Steckdosenleiste würde ich aus Sicherheitsgründen von allen anderen Netzwerkteilnehmern "abschotten". Mit VLAN und ARF ist es möglich, jeden Netzwerkteilnehmer im Heimnetz und im Firmennetz von jedem anderen Netzwerkteilnehmer "abzuschotten". Nur noch die per Firewall-Regel explizit erwünschten Dienste und Kommunikationspfade sind im Heimnetzwerk möglich.

Bedingung für den Einsatz von VLAN ist, dass alle Ethernetkabel auf mindestens einen VLAN-fähigen Switch oder LANCOM-Router geführt werden. Ein guter Einstieg in das Thema "VLAN im Heimnetzwerk" bietet:

https://www.heise.de/ct/artikel/VLAN-Vi ... 21621.html

Für jeden Netzwerkteilnehmer habe ich ein eigenes Subnetz definiert. Der LANCOM-Router ist so konfiguriert, dass er für jedes Subnetz den DNS-Proxy auf einer Subnetz-spezifischen IP-Adresse anbietet (mit angepasster DNS-Anfrage-Umleitung) und für jedes Subnetz den LANCOM-internen NTP-Server anbietet. Die Heimnetzwerk-Teilnehmer müssen alle DNS-Anfragen an den LANCOM-internen DNS-Proxy senden. Die Heimnetzwerk-Teilnehmer können die Uhrzeit nur mit dem LANCOM-internen NTP-Server abgleichen. Der LANCOM-interne NTP-Server synchronisiert natürlich die Zeit von einem NTP-Server im Internet. Zum Beispiel:

Eltern-PC: 192.168.1.2 => LANCOM-Router: 192.168.1.1 (für Gateway, NTP-Server und DNS-Proxy) => (VLAN-)Tag 1
Kinder-PC: 192.168.2.3 => LANCOM-Router: 192.168.2.1 (für Gateway, NTP-Server und DNS-Proxy) => (VLAN-)Tag 2
Tablet (WLAN "Tablet"): 192.168.3.4 => LANCOM-Router: 192.168.3.1 (für Gateway, NTP-Server und DNS-Proxy) => (VLAN-)Tag 3
Smartphone (WLAN "Smartphone"): 192.168.4.5 => LANCOM-Router: 192.168.4.1 (für Gateway, NTP-Server und DNS-Proxy) => (VLAN-)Tag 4

Für das WLAN ist ein VLAN-fähiger WLAN Access Points erforderlich. Im Beispiel strahlt der WLAN Access Point das Signal für zwei WLAN's (SSID) aus (Bezeichnung: "Tablet" und "Smartphone"). Die Datenpakete für das WLAN "Tablet" erhalten vom LANCOM-Router das Tag 3 und werden über Ethernet-Netzwerkkabel an den WLAN Access Point übertragen. Die Datenpakete vom WLAN "Smartphone" werden vom WLAN Access Point mit dem Tag 4 über das Ethernet-Netzwerkkabel an den LANCOM-Router übertragen usw.

Das Tag 0 wird im Heimnetz eigentlich gar nicht mehr eingesetzt. Nur noch die Default-Route ins Internet trägt das Tag 0...

Für die ersten VLAN-Gehversuche sollte man brav Backup aller VLAN-fähigen Netzwerkkomponenten (Switch, Router, WLAN Access Point) machen. Früher oder später sperrt man sich selber vom Konfigurationszugriff (Webinterface) der VLAN-fähigen Netzwerkkomponente aus. Dann hilft nur noch die Büroklammer und die Reset-Taste der Netzwerkkomponente weiter. Bei LANCOM-Geräten muss man immer das Backup erstellen (Konfiguration herunterladen) und sofort danach testen, ob das Zurückspielen (Konfiguration hochladen) auch wirklich funktioniert!!!

[fildercom]

@ GrandDixence:
Vielen Dank für dein ausführliches Posting. Du hast dir wirklich viel Mühe gegeben, das detailliert zu beschreiben.

Die Netze sind jedoch bereits per VLAN und ARF virtualisiert und abgegrenzt. Beide eingesetzten LANCOM-Router stehen in allen Netzen mit separater IP zur Verfügung, auch mit DNS und NTP.

Nur: Wie schaffe ich es, dass der LANCOM in jedem Netz die DNS-Anfragen von "pool.ntp.org" entweder direkt mit der passenden IP eines NTP-Servers im LAN oder mit seiner eigenen IP beantwortet?

Für ein einzelnes Netz ist das kein Problem und funktioniert nun auch, aber in allen anderen Netzen wird es nun eben mit der falschen IP beantwortet, die nicht zum entsprechenden Netz gehört.

[GrandDixence]

In dem man auf den Einsatz vom Tag 0 verzichtet:

Netz 1 (Haupt-Netz, Routing-Tag 1): IP des NTP 192.168.1.10
Netz 2 (Netz für mobile Devices, Routing-Tag 2): IP des NTP 192.168.2.10

Folgendes habe ich gesetzt:
pool.ntp.org 1 192.168.1.10 ::
time.windows.com 2 192.168.2.10 ::

Angaben mit Tag 0 gelten immer auch für alle anderen Tags (> 0)! Siehe LCOS-Referenzhandbuch.

Achtung: Nach jeder Änderung der DNS-Proxy-Konfiguration muss zwingend das LANCOM-Gerät neugestartet werden!

[fildercom]

In dem man auf den Einsatz vom Tag 0 verzichtet:

Netz 1 (Haupt-Netz, Routing-Tag 1): IP des NTP 192.168.1.10
Netz 2 (Netz für mobile Devices, Routing-Tag 2): IP des NTP 192.168.2.10

Folgendes habe ich gesetzt:
pool.ntp.org 1 192.168.1.10 ::
time.windows.com 2 192.168.2.10 ::

Angaben mit Tag 0 gelten immer auch für alle anderen Tags (> 0)! Siehe LCOS-Referenzhandbuch.

Achtung: Nach jeder Änderung der DNS-Proxy-Konfiguration muss zwingend das LANCOM-Gerät neugestartet werden!

Danke dir.

Das mit dem Verbannen des Tag 0 ist keine gute Idee. So muss man für jede Kleinigkeit eine Firewall-Regel setzen, um Zugriff auf die anderen Netze (ungleich 0) zu erhalten.

Ich ging davon aus, dass es eine Möglichkeit gibt, in Netzen mit Tag ungleich 0 die Angaben der DNS-Stations-Liste zu verwenden, die denselben Tag enthalten (sprich diese gegenüber Tag 0 zu bevorzugen).

[backslash]

Hi fildercom,

Wenn ich unter IPv4 > DNS > Dienst-Tabelle einen Eintrag wie folgt erstelle, werden dann alle NTP-Anfragen aus allen Netzen grundsätzlich von diesem Router selbst beantwortet? Also egal, ob pool.ntp.org, time.windows.com, ptbtime1.ptb.de usw.?

Dienst: NTP
Tag: 0
Station: [self]
Port: 123

nein... bzw. nur, wenn der NTP-Client eine SRV-Anfrage für ntp.<deine-domain> stellen würde... (sinnvollerweise latuet der Eintrag _ntp._udp - dann kann ein
Client auch RFC-Konform den Dienst _ntp._udp.<deine-domain> anfragen)

Gruß
Backslash

[fildercom]

Danke, backslash.

Dann bleibt wohl nur, die regulären Timeserver für Netz 1 mit Routing-Tag 0 lokal "umzubiegen" und eine Firewall-Regel für die anderen Netze anzulegen, damit der NTP-Server auch erreichbar ist.

[backslash]

Hi fildercom,

irgendwie verstehe ich dein Problem mit dem Zeitzerver nicht so ganz. Zumindest wenn du eine Flatrate hast (was heutzutage eigentlcih immer der Fall ist) ist es doch egal, wenn ein Gerät sich die Zeit direkt aus dem Internet holt...

Wenn du trotzdem partout willst, daß eine Anfrage mit der IP des LANCOMs beantwortet wird, dann setze doch ein Alias, das dafür sorgt, daß der Zeitserver auf den Namen deines LANCOMs aufgelöst wird (unter IPv4 -> DNS-Filter/Aliase -> Alias-Liste)

Code: Alles auswählen

Alias-name                                                        Rtg-tag  Canonical-Name
===========================================================================----------------------------------------------------------------
pool.ntp.org                                                      0        <Name des Geräts>

das einzige Problem dabei ist, daß das LANCOM selbst diesen NTP-Server nicht verwenden darf, denn es löst ihn dann auch auf sich selbst auf...
Damit kannst du alle in deinem Netz gesuchten NTP-Server auf das LANCOM umleiten und zur Sicherheit in der Firewall noch den Zugriff auf UDP-Port 123 von allen Stationen auf alle Stationen sperren

Gruß
Backslash

[fildercom]

Hallo backslash,

danke für den Tipp!

Da es in der Vergangenheit immer mal wieder Sicherheitsprobleme mit dem NTP-Protokoll gab möchte ich auf keinen Fall, dass irgendwelche IoT-Gerät sich die Uhrzeit aus dem Web holen. Diese Geräte sollen ausschließlich im LAN kommunizieren dürfen. NTP ist das einzige, was ich per Konfiguration nicht einschränken kann.

Deshalb die Sache, den Zeitserver per DNS "umzubiegen".

Mal eine ganz blöde Frage zu der Alias-Liste:
Was muss ich da als "Name des Geräts" für den LANCOM eintragen?

All meine LANCOM-Geräte haben unter Konfiguration > Management > Allgemein > Gerätename keinen Namen hinterlegt. Muss dort ein DNS-Name eingetragen werden? Oder wieder ganz wo anders?

Bei meinen Juniper-Switches hingegen gibt es in der Tat einen DNS-Namen...

Vielen Dank und viele Grüße
fildercom.

[GrandDixence]

Mal eine ganz blöde Frage zu der Alias-Liste:
Was muss ich da als "Name des Geräts" für den LANCOM eintragen?

Diese Frage beantwortet die LCOS Menüreferenz gerne:

https://www.lancom.de/docs/LCOS-Menu/9. ... 17_16.html

[backslash]

Hi fildercom,

All meine LANCOM-Geräte haben unter Konfiguration > Management > Allgemein > Gerätename keinen Namen hinterlegt. Muss dort ein DNS-Name eingetragen werden?

ja - aber ohne Domain, denn die steht bildet sich ja aus der Subdomain pro ARF-Netz und der globalen eigenen Domain, also DNS-Name = Gerätename.ARF-Subdomain.Eigene-Domain... In die Alias-Tabelle trägst du den Namen auch ohne Domain ein - die wird passend zur Quelle des Anfragenden ergänzt...

Gruß
Backslash

[Jirka]

Hallo fildercom,

All meine LANCOM-Geräte haben unter Konfiguration > Management > Allgemein > Gerätename keinen Namen hinterlegt.

also Du haust ja ab und an ein paar Sachen raus, da verschlägt es einem regelrecht die Sprache...

Viele Grüße,
Jirka