Externe NTP-Abfrage von "ntp.pool.org" auf interne IP leiten

[fildercom]

Hallo fildercom,

All meine LANCOM-Geräte haben unter Konfiguration > Management > Allgemein > Gerätename keinen Namen hinterlegt.

also Du haust ja ab und an ein paar Sachen raus, da verschlägt es einem regelrecht die Sprache...

Viele Grüße,
Jirka

Warum? Wozu soll ich Dinge konfigurieren, die nicht benötigt werden? Wer konfiguriert heute z.B. noch WINS, wenn man DNS hat?

[Jirka]

Hi,

warum? Ja, warum hast Du einen Namen? Damit man Dich unterscheiden kann vielleicht?
Ich frage mich, wie Du Deine APs unterscheidest, wenn die nicht mal einen Namen haben. Du siehst doch gar nicht, welcher Client an welchem AP eingebucht ist. Wie willst Du denn da bitte Troubleshooting machen? Oder bei Deinen Routern, wie willst Du gesicherte Konfigs unterscheiden?

Viele Grüße,
Jirka

[fildercom]

Hallo Jirka,

die Geräte kann ich alle aufgrund des Standortes unterscheiden, den habe ich sehr wohl hinterlegt. Diese Info wird auch in die Config hinein geschrieben.

Gruß
fildercom.

[fildercom]

Hi fildercom,

irgendwie verstehe ich dein Problem mit dem Zeitzerver nicht so ganz. Zumindest wenn du eine Flatrate hast (was heutzutage eigentlcih immer der Fall ist) ist es doch egal, wenn ein Gerät sich die Zeit direkt aus dem Internet holt...

Wenn du trotzdem partout willst, daß eine Anfrage mit der IP des LANCOMs beantwortet wird, dann setze doch ein Alias, das dafür sorgt, daß der Zeitserver auf den Namen deines LANCOMs aufgelöst wird (unter IPv4 -> DNS-Filter/Aliase -> Alias-Liste)

Code: Alles auswählen

Alias-name                                                        Rtg-tag  Canonical-Name
===========================================================================----------------------------------------------------------------
pool.ntp.org                                                      0        <Name des Geräts>

das einzige Problem dabei ist, daß das LANCOM selbst diesen NTP-Server nicht verwenden darf, denn es löst ihn dann auch auf sich selbst auf...
Damit kannst du alle in deinem Netz gesuchten NTP-Server auf das LANCOM umleiten und zur Sicherheit in der Firewall noch den Zugriff auf UDP-Port 123 von allen Stationen auf alle Stationen sperren

Gruß
Backslash

Hallo backslash,

ich muss das Thema nochmals aufgreifen. Bis jetzt habe ich es noch nicht gelöst ABER folgende Möglichkeit müsste prinzipiell doch auch funktionieren:
1. DNS-Eintrag für "pool.ntp.org" setzen, welcher auf die IP des LANCOM im Haupt-Netz (Routing-Tag 0) verweist.
2. In der Firewall eine Regel anlegen, die es allen anderen Netzen erlaubt, Port 123 (UDP) auf der IP des LANCOM im Haupt-Netz zuzugreifen.

Die Fragen sind nur:
a) Müssen auch im Falle einer Firewall-Regel alle Geräte dasselbe Gateway nutzen, damit sie von einem ARF-Netz auf ein anderes ARF-Netz zugreifen müssen?
b) Wird das mit der Firewall-Regel wie gewünscht funktionieren oder müssen dafür noch mehr Ports geöffnet werden?

Viele Grüße und vielen Dank
fildercom.

[backslash]

Hi fildercom,

1. DNS-Eintrag für "pool.ntp.org" setzen, welcher auf die IP des LANCOM im Haupt-Netz (Routing-Tag 0) verweist.
2. In der Firewall eine Regel anlegen, die es allen anderen Netzen erlaubt, Port 123 (UDP) auf der IP des LANCOM im Haupt-Netz zuzugreifen.

das Problem dabei ist, daß die Firewall des LANCOMs keine Inbound-Regeln hat. Dennoch könnte das funktionieren, weil der Zugriff auf ein anderes ARF-Netz erstmal in den Forwardingzweig rennt und das Ganze erst durch das Umtaggen zum Inboundfall wird...

Müssen auch im Falle einer Firewall-Regel alle Geräte dasselbe Gateway nutzen, damit sie von einem ARF-Netz auf ein anderes ARF-Netz zugreifen müssen?

Die Geräte müssen natürlich die IP des LANCOMs in ihrem ARF-Netz als Gateway verwenden - sonst bekommt das LANCOM die Pakete nicht...

Wird das mit der Firewall-Regel wie gewünscht funktionieren oder müssen dafür noch mehr Ports geöffnet werden?

wie gesagt: es könnte funktionieren... Bedenke, daß du in diesem Falll als Tag 65535 verwenden mußt, da ein Tag 0 in der Regel bedeutet, daß ein etwaig vorhandenes Tag nicht geändert wird.

Gruß
Backslash

[fildercom]

Hallo backslash,

danke dir!

Ich habe die FW-Regel mal erstellt:


Zum Testen bin ich noch nicht gekommen, da ich dafür erst einen Test-PC in ein anderes ARF-Netz hängen muss, was ich vermutlich erst im Laufe der Woche machen kann.

Aber vorab die Frage:
Könnte es so klappen, wie ich die Regel konfiguriert habe? Oder habe ich etwas übersehen? Für mich unklar ist vor allem, ob Quell-Dienst und Ziel-Dienst jeweils NTP sein müssen?

Viele Grüße und vielen Dank
fildercom.

[backslash]

Hi fildercom,

Könnte es so klappen, wie ich die Regel konfiguriert habe?

nein

Oder habe ich etwas übersehen?

ja, und zwar genau das:

Für mich unklar ist vor allem, ob Quell-Dienst und Ziel-Dienst jeweils NTP sein müssen?

... der Quelldienst muß leer bleiben - dann funktioniert's auch (zumindest stimmt dann die Regel, ob's wirklich funktioniert, mußt du ausprobieren)


Gruß
Backslash

[fildercom]

@ backslash:
Danke dir, habe es angepasst. Ich werde testen, sobald es hier etwas ruhiger zugeht (wird wohl aber vor Freitag oder Samstag nicht der Fall sein).

Sollte es funktionieren, könnte man auf diese Weise andere Dienste ebenfalls selektiv von einem ARF-Netz in andere "freischalten", oder sehe ich das falsch?

Viele Grüße und vielen Dank
fildercom.

[fildercom]

So, ich habe es soeben getestet und kann ERFOLG vermelden.

Mit der Firewall-Regel habe ich Zugriff auf den NTP-Server des LANCOM im Haupt-Netz.

Sollte dann doch sicher mit anderen Diensten genauso funktionieren, oder?

Viele Grüße und vielen Dank
fildercom.

[backslash]

Hi fildercom,

Sollte dann doch sicher mit anderen Diensten genauso funktionieren, oder?

prinzipiell ja... Das ersetzt aber keinen Inbound-Regelsatz, über den du einen Dienst auf einem ARF-Netz verbieten kannst. Die Dienste des LANCOMs werden auf allen ARF-Netzen angeboten. Du kannst damit nur dafür sorgen, daß erstmal voneinander getrennte ARF-Nete sich doch gegenseitig sehen...

Gruß
Backslash

[fildercom]

Du kannst damit nur dafür sorgen, daß erstmal voneinander getrennte ARF-Nete sich doch gegenseitig sehen...

Aber doch nicht das "ganze Netz", sondern nur einzelne Dienste auf einzelnen IP-Adressen (je nachdem, wie ich was in der Firewall erlaube).

[backslash]

Hi fildercom,

ja natürlich nur der Dienst - es ging mit nur darum, daß du darüber keine Deny-Regeln für die Dienste des LANCOMs erstellen kannst, da da LANCOM seine Dienste auf allen ARF-Netzen anbietet...

Gruß
Backslash

[fildercom]

(...) da da LANCOM seine Dienste auf allen ARF-Netzen anbietet...

Das ist klar. Den Verwaltungszugriff z.B. kann ich aber auf bestimmte Netze oder IP-Adressen einschränken.