Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 110271 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NTP not working??

martindw
I'm having a problem getting NTP packets to pass through my firewall.  My NTP client (MRTech ClockAlign) has three options for protocol to use. . .SNMP, which works fine, and standard NTP via UDP or TCP, neither of which does.  The downer on this is that SNMP NTP requests have the least info of all types, I'm told.

I have defined NTP on my definitions as dest. port 37 UDP/TCP, send.port 1024:65535.  I have then created a rule in the packet filters that says "Any" NTP from "Any" allow.

Nevertheless, when I try to sync my clock using MRTech on TCP or UDP the packet filter shows the following:

11:51:30 192.168.0.33 2008  ->  192.5.41.40 37 TCP SYN  
11:51:30 192.168.0.33 2009  ->  192.5.41.40 37 TCP SYN  
11:51:34 192.168.0.33 2009  ->  192.5.41.40 37 TCP SYN  
11:51:34 192.168.0.33 2010  ->  192.5.41.40 37 TCP SYN  

and with UDP:

11:54:02 192.168.0.33 2074  ->  192.5.41.40 37 UDP  
11:54:06 192.168.0.33 2076  ->  192.5.41.40 37 UDP  
11:54:10 192.168.0.33 2079  ->  192.5.41.40 37 UDP  
11:54:14 192.168.0.33 2081  ->  192.5.41.40 37 UDP  
11:54:18 192.168.0.33 2083  ->  192.5.41.40 37 UDP 

Switch it to SNMP and it's fat & happy.

Any clues?

Thanks

Dan  


This thread was automatically locked due to age.
Parents
  • 0
    Code:

    Incidentaly have you looked at the protocol definition?

    	See the RFC @ http://www.faqs.org/rfcs/rfc868.html

    You will see that you will need a service defined for TIME as below


    Definitions / Services
    	TIME-UDP	udp  	37  		37  	 	
    	TIME-TCP 	tcp 	37 		37


    Definitions / Service Groups
    	time
    		TIME-UDP
    		TIME-TCP

    So simply substitute the { ntp } entry for { time } and that is all you will need.

    If your not seeing rules appear in the iptables output then that is a matter for Astaro
    to investigate, but I see no reason why they should not appear.

    If they are not appearing, then I wonder if you have edited the config files by hand and
    have an unbalanced quote or similar. Or you have managed to introduce a non-printing character
    into your configuration due to a flaw in the input field validation of the backend module
    that handles this data.

    Hope you find a solution soon, you must be running out of "time" by now. :-)


    Regards
    kr8

    PS. I have no more time to help you I'm afraid. ;-)
       
  • 0 in reply to kr8
    Thanks, kr8, for all the bad uses of my "time"  [;)]

    Actually, I *do* have both "NTP" 123 and "Time" 37 defined on the WebAdmin page and opened on the filters.  I'm thinking maybe I should delete and re-create them and see whether WebAdmin wakes up and smells the coffee.  Come to think of it, let's do that right now. . . .

    Yup!  Deleting and re-creating the filter rule seems to have opened the door!  Must've been a bad import of data from 3.x to 4.x.  Case closed! 

    Cheers to all,

    Dan  
  • 0 in reply to martindw
    Code:

    Excellent news!

    

    So Mr.Astaro company! - A little more diligence on your export/import/migration tools please!!!

    

    Actually Dan, did you remove the rules or disable and re-enable them?

    

    I would be just as keen to know if disabling the rule and re-enableing it also fixed it.

    It would certainly help me as a developer to know as it would give me some direction for

    trouble shooting the process, ie having a general clue of where to start examining the process.

    

    Do you have a copy of your 3.x import and initial 4.x backups, pre delete re-add?

    

    Might be worthwhile passing them over to Astaro for interrogation...

    

    I love this sort of problem, because it's almost always a fundamental mistake that is the cause.

    Although not one of the user _this_ time!

    

    I'm warming to ASL, I only installed it Saturday, and already I have acheived a lot - except

    IPSec passthrough, but thats for another channel - I am also seeing the need for many improvements.

    I used Smoothwall previously, which was fine (I had to hack it for IPSec passthrough though) but

    ASL looked interesting enough to try.

    

    To be fair though, I have yet to install ASL 4.x as my f/w is only a PI200 at home.

    

    If ASL don't rebuild the distro to support it then I will!

    

    Well I'm glad your "mystery" loss of "time" has been resolved, I bet you feel like a time-traveler now eh? :-)

    

    If you fancy running anything by me directly, no problem, bring it on! ;-)

    

    Right, time for food and to do the damn washing up.... again.

    

    

    Cheers,

    kr8

    

    PS. Astaro are you hiring? I can't speak German, but I'm willing to learn. :-)
        
  • 0 in reply to kr8
    Hey Kr8,

    I tried disabling and re-enabling several times to no avail; it was deleting and re-installing that succeeded.

    Just got an email from Marcel offline that provided the final clue.  Turns out (though I hadn't noticed it) that ASL 4.x has a static service defined for NTP.  3.x did not, so I had created my own which, as I pointed out at the beginning, worked just fine.

    Unfortunately, when I upgraded to 4.x and restored my 3.x backup to bring in all my settings, a few things didn't import properly.  One was this; I wound up having two NTP services defined with the same name 'NTP' -- one was the static one and the other was my import.  Naturally, this created a conflict, which ASL solved by ignoring my rule!   

    So when I deleted & re-created the service, I gave it a different name, just so I could tell whether I was looking at my old thing not fully dead  [:O]  had not yet detected!

    So the take-home message is that the upgrade-restore tool could use a few more error checks!

    Now, if I could just get the damn PPTP to work. . .but that's another thread!

    Dan  
Reply
  • 0 in reply to kr8
    Hey Kr8,

    I tried disabling and re-enabling several times to no avail; it was deleting and re-installing that succeeded.

    Just got an email from Marcel offline that provided the final clue.  Turns out (though I hadn't noticed it) that ASL 4.x has a static service defined for NTP.  3.x did not, so I had created my own which, as I pointed out at the beginning, worked just fine.

    Unfortunately, when I upgraded to 4.x and restored my 3.x backup to bring in all my settings, a few things didn't import properly.  One was this; I wound up having two NTP services defined with the same name 'NTP' -- one was the static one and the other was my import.  Naturally, this created a conflict, which ASL solved by ignoring my rule!   

    So when I deleted & re-created the service, I gave it a different name, just so I could tell whether I was looking at my old thing not fully dead  [:O]  had not yet detected!

    So the take-home message is that the upgrade-restore tool could use a few more error checks!

    Now, if I could just get the damn PPTP to work. . .but that's another thread!

    Dan  
Children
No Data