Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 5848 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NTP Server

Alvin
Hi

I do enable the Astaro NTP Server and set all my advices to get from it which is really cool.

But one problem I face is laptops, I need to keep changing it from Internal Astaro to External NTP Servers.

Is there a way to make it like a Transparent Proxy?

I think it would be cool since 

1) Laptops can simply configure to use External NTP Servers but automatically get response from Astaro when on the network.

2) Conserves Bandwidth ( Hey it does eats 50Mb a day, just realised it from the nice daily report.

3) "Auto Fail Over" as if the ABC.NTP.ORG configured on laptop is down, because Astaro is able to be configured to poll numerous NTP Servers and hijack the client request, it is transparent to users.
* This was from a real experience whereby a local time server simply decided to stop their services *.


This thread was automatically locked due to age.
  • 0
    I'd just leave it set to the Astaro address so that it stays on the same time as the rest of your infrastructure.  It's unlikely to lose its time, and it will try every hour, so, if you're often connected to your Astaro locally or via VPN, you should get synced more often than you need.

    Cheers - Bob
  • 0
    At this time, the best way to achieve this would be to define the Astaro as primary time server and an Internet server as secondary on all clients, then create a packet filter rule allowing NTP requests from the LAN to the Internet.

    I would suggest using the ntp pool (pool.ntp.org), ideally with your country prefix (such as us.pool.ntp.org) for both the Astaro's NTP server and as the secondary NTP server on the client systems.
  • 0
    Balfson and Jack

    - My Astaro has a DynDNS for example Astaro.DynDNS.org
    - I setup a Static DNS inside Astaro so that internally it will resolve to LAN IP.
    - On Windows XP, I set the Time Server to Astaro.DynDNS.org
    - This works fine via my LAN and over SSL VPN as they are on the NTP Allowed Networks.

    But when I am on Internet only, it would not work.

    Please advice 

    1) I like the idea from Jack on having Primary Time Server as Astaro.DynDNS.org and Secondary Time Server as pool.ntp.org in my laptop so that it works nicely both in my network and on Internet but Windows XP Clock seems to select one only.

    2) Under Astaro NTP Server, if I open it up to the Internet by setting ANY in the allowed network, is that a Security Issue?

    ** For now, I set my time server to the Internet pool.ntp.org and have a packet filter rule **
  • 0 in reply to Alvin
    Balfson and Jack

    - My Astaro has a DynDNS for example Astaro.DynDNS.org
    - I setup a Static DNS inside Astaro so that internally it will resolve to LAN IP.
    - On Windows XP, I set the Time Server to Astaro.DynDNS.org
    - This works fine via my LAN and over SSL VPN as they are on the NTP Allowed Networks.

    But when I am on Internet only, it would not work.

    Please advice 

    1) I like the idea from Jack on having Primary Time Server as Astaro.DynDNS.org and Secondary Time Server as pool.ntp.org in my laptop so that it works nicely both in my network and on Internet but Windows XP Clock seems to select one only.

    2) Under Astaro NTP Server, if I open it up to the Internet by setting ANY in the allowed network, is that a Security Issue?

    ** For now, I set my time server to the Internet pool.ntp.org and have a packet filter rule **



    Thanks for starting this discussion - I'd never given much thought to the subject.

    From a bit of research (and Jack's very helpful suggestions) it seems that this would be the preferable configuration method on WinXP: 

    > w32tm /config /manualpeerlist:"Astaro.DynDNS.org 0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 2.pool.ntp.org" /syncfromflags:manual /update

    or for your specific country (in this example Germany): 

    > w32tm /config /manualpeerlist:"Astaro.DynDNS.org 0.de.pool.ntp.org 1.de.pool.ntp.org 2.de.pool.ntp.org 3.de.pool.ntp.org" /syncfromflags:manual /update

     

    The following command will assist you to query the current (and new) configurations for the ntp client on WinXP: 

    > w32tm /monitor

     

    > net time /querysntp

     

    > reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters


    Regarding the security implications of pemitting 'ANY' traffic on UDP port 123, I'd suggest that the greatest threat may be that it would expose a denial of service (DoS) vector to malicious external parties - but as with most gateway/firewall discussions it's a matter of personal preference and perceived threat & risk.
    If you do leave that port open, of course your roaming WinXP client will try to use your time server in preference to the other 'pool.ntp' servers, which may not be desirable due to your geographical roaming location.

    Jack - I'd be interested to hear your thoughts on the security question, if any?
  • 0 in reply to eFrisky
    Hi All,

    Just want to share a work around to this problem.

    Assuming you use pool.ntp.org on your laptop and you want it to use Astaro when on your LAN / VPN, else talk to the servers directly when not talking to Astaro.

    On the Astaro, Create a Static DNS for pool.net.org to point to Astaro IP Address.

    Tested to work but it would be good if they can do it like how they intercept traffic for smtp / pop proxy etc.
  • 0
    Just to correct my point above that creating a Static DNS for example

    pool.ntp.org to 192.168.1.1  

    Initially it does solve the problem of my laptop will resolve the pool.ntp.org to 192.168.1.1 and that makes it get the time from Astaro.

    The very same laptop when on the internet outside directly, it will resolve to the real pool.ntp.org

    But I forget that on Astaro it would also resolve to 192.168.1.1 and not the Real Internet IP Address thus it would no longer update from the real Internet IP Address.

    Hopefully there would be a NTP Transparent Proxy in the near future.