Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3752 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL not letting XP update time

digital_1
I am using ASL 6.02.  

In Windows XP (on non-domain machines), if you click on Start-->Control Panel-->Date & Time there will be a tab labeled "Internet Time".  If you click on that tab, and choose time.windows.com (or any other external time server), ASL does something that causes the time update to fail.  This does not happen on a stand alone linksys router.

I have worked several hours to find the exact cause, but I can't find any packets dropped in the packet filter's live log.  I have enabled a basic Any-Any-Allow-Any (with log) rule in the packet filter but that doesn't seem to help.  I've got everything else (surf protection, IPS, etc. turned off).

Anyone experiencing anything similar?

Here's the reason why I need windows.com to work:  I have 2 media PCs and they attempt to download an electronic program guide.  If the call to time.windows.com fails, then the guide is not downloaded.  

Any help at all is appreciated.


This thread was automatically locked due to age.
Parents
  • 0
     [ QUOTE ]
     I have worked several hours to find the exact cause, but I can't find any packets dropped in the packet filter's live log. I have enabled a basic Any-Any-Allow-Any (with log) rule in the packet filter but that doesn't seem to help. 

    [/ QUOTE ] 

    The rule Any-Any-Allow-Any (with log) is a big no no in firewalls. You are basically allowing anybody from the internet to bypass your firewall and let them into your network. Disable it NOW!
    To allow windows time to update you need to allow your INTERNAL network NTP service to ANY network.

    Packet filter rule:

    Source = Internal network
    Destination = ANY
    Service = NTP
    Action = Allow

    You may also want to enable NTP Async.

    Packet filter rule:

    Source = Internal Network
    Destination = Any
    Service = NTP Async
    Action = Allow

    I hope this helps. I would have hoped ASL would have incorporated a NTP server in V6 which would do the syncing for the entire network. But definitely get rid of that any any packet filter rule.
  • 0 in reply to dayne1432
    Thanks very much for the reply.

    Actually, I do understand the ramifications of the any-any-allow-any rule.  I did that intentionally to illustrate that ASL 6.02 is not allowing XP PCs to contact time.windows.com from the clock control panel applet.

    It is my (newbie) understanding that if I enabled that rule, it should have allowed time sych traffic in and out.  It did not.

    This is easy to replicate if your on a non-domain Windows XP machine.  Just bring up the clock applet from the control panel and click on the Internet Time tab.   

    Thanks for any further assistance you or anyone else may have.
Reply
  • 0 in reply to dayne1432
    Thanks very much for the reply.

    Actually, I do understand the ramifications of the any-any-allow-any rule.  I did that intentionally to illustrate that ASL 6.02 is not allowing XP PCs to contact time.windows.com from the clock control panel applet.

    It is my (newbie) understanding that if I enabled that rule, it should have allowed time sych traffic in and out.  It did not.

    This is easy to replicate if your on a non-domain Windows XP machine.  Just bring up the clock applet from the control panel and click on the Internet Time tab.   

    Thanks for any further assistance you or anyone else may have.
Children
  • 0 in reply to digital_1
    i can't do this from outside the firewall. I opened xp firewall ports 123 udp and tcp and still no go. I can't even ping time.microsoft.com. time.nist.gov is pingable, but i still get the error.
  • 0 in reply to Philmee95
    [ QUOTE ]
    I can't even ping time.microsoft.com

    [/ QUOTE ]Microsoft's servers do not respond to ping packets. They disabled ping many years ago, in response to the "Ping of Death" vulnerability that existed at that time.
  • 0 in reply to VelvetFog
    More to the point, it seems Astaro will NOT let XP synch (using the clock applet's Internet time tab) to time servers no matter what the packet filter rules are set for.  Moreover, there is no indication on what is going wrong in the live log.

    Are there any steps I can take to see why this is happening since livelog isn't showing anything?
  • 0 in reply to digital_1
    Hi,

    you could try to define a packet-filter rule as the topmost rule, which allows traffic from internal network to ANY:NTP. And for this rule you could then explicitly activate logging. I expect with this rule your astaro will show ANY NTP-traffic in the live log, to show if there's really any NTP-traffic.

    If it doesn't show NTP-traffic, maybe you have a NAT-rule, which prevents this?

    Or your WinXP SP2 personal firewall is blocking? You could switch it off for testing or use one of the many tiny freeware NTP tools (see e.g. http://www.nonags.com/nonags/timec32.html)
  • 0 in reply to thtran
    [ QUOTE ]
    Hi,

    you could try to define a packet-filter rule as the topmost rule, which allows traffic from internal network to ANY:NTP. And for this rule you could then explicitly activate logging. I expect with this rule your astaro will show ANY NTP-traffic in the live log, to show if there's really any NTP-traffic.

    If it doesn't show NTP-traffic, maybe you have a NAT-rule, which prevents this?

    Or your WinXP SP2 personal firewall is blocking? You could switch it off for testing or use one of the many tiny freeware NTP tools (see e.g. http://www.nonags.com/nonags/timec32.html) 

    [/ QUOTE ]Instead of messing with xp's timekeeping STF for automachron..much eaiser to manage..[:)]