expiré, rien reçu

9

J'ai tout essayé et googlé beaucoup! Mais je ne peux pas faire fonctionner NTP sur mon serveur. Ce message est le dernier espoir! J'ai installé ntp sur le serveur debian avec cette configuration ( /etc/ntp.conf):

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1 noserve nomodify
restrict ::1

Maintenant, quand j'essaye:

ntpq -pn
127.0.0.1: timed out, nothing received
***Request timed out

Quand j'essaye:

ntpdate -q
9 Mar 18:08:01 ntpdate[27896]: no servers can be used, exiting

Mais avec:

ntpdate -d 0.it.pool.ntp.org

Je reçois les paquets entrants et règle le décalage horaire. Cela m'a conduit à une mauvaise configuration de ntp.conf .

Tout indice pourquoi cela se produit.

debian ntp Tester
la source
Quel fichier montrez-vous? C'est ça /etc/ntp.conf? Êtes-vous sûr de ces serveurs NTP? Essayez Debian, mon (travail) ntp.conf est ici .
terdon
Oui, c'est ntp.conf. Je vais essayer avec les serveurs de Debian. Merci
Test
Non, toujours les mêmes erreurs.
Test
En supposant que vous avez redémarré ntpd après avoir apporté ces modifications, est-ce correct? service ntpd restart.
slm
1
De plus, vos lignes de restriction sont étranges ... Regardez support.ntp.org/bin/view/Support/AccessRestrictions
derobert

Réponses:

3

Si aucun des serveurs NTP que vous essayez ne semble répondre, il est probable qu'un pare-feu bloque les demandes sortantes ou les réponses entrantes.

NTP utilise le port UDP 123. Vous pouvez vérifier si les demandes sortantes sont bloquées en exécutant traceroute sur ce port. En fonction de votre implémentation de traceroute, cela peut ressembler à quelque chose traceroute -p 123 0.it.pool.ntp.org(Debian inclut plusieurs implémentations de traceroute, check traceroute --helpou man traceroutesur votre système). Si les demandes entrantes sont bloquées mais que les demandes sortantes passent, je ne pense pas que vous puissiez diagnostiquer où elles sont bloquées sans accès à une machine en dehors de votre réseau (si vous avez accès à une telle machine, exécutez traceroute -p 123 your.ip.address). Notez que si vous avez une adresse IP privée , la possibilité d'utiliser NTP nécessite la coopération de votre administrateur réseau (en particulier, la prise en charge NTP dans l' appliance NAT ).

Si vous avez configuré un pare-feu sur votre machine, assurez-vous qu'il laisse passer NTP. Le moyen le plus simple est d'autoriser tout le trafic sur le port UDP 123:

iptables -A INPUT -p udp --sport 123 --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

(Vous souhaiterez peut-être ajouter des directives -d/ -spour restreindre à une adresse IP particulière ou à un ensemble d'adresses IP. Notez que si vous le faites, vous devrez mettre à jour ces règles si les serveurs NTP du pool que vous utilisez changent d'adresse IP. .)

Si le trafic NTP est bloqué quelque part entre votre appareil et Internet, contactez votre administrateur réseau. Il est probable qu'il existe une machine relais que vous pouvez utiliser comme serveur NTP.

Gilles 'SO- arrête d'être méchant'
la source
Le trafic NTP externe est probablement bloqué par votre fournisseur d'hébergement / FAI. Il s'agit d'une approche lourde pour empêcher DDOS. Demandez à votre FAI à quels serveurs ntp internes vous pouvez vous connecter.
dfc
1
@dfc D'après mon expérience, les pare-feu d'entreprise bloquent NTP dans le cadre du blocage de tous les UDP ou comme conséquence naturelle du NAT, mais les FAI ne le font pas (sauf ceux qui NAT). Mais en effet, si votre FAI bloque le NTP entrant, il doit fournir un serveur NTP sur son réseau.
Gilles 'SO- arrête d'être méchant'
J'avais déjà ajouté ces règles à iptables, mais toujours la même erreur. Étrangement avec: ntpdate -d 0.it.pool.ntp.org, cela fonctionne. Donc je crois que c'est ntp.conf.
Test du
@Gilles est "votre expérience" en tenant compte de la récente vague d'attaques DDoS utilisant ntp? Il y a un an, je serais d'accord avec votre commentaire. Cependant, après les récentes vagues d'attaques, le filtrage ntp de sortie est beaucoup plus courant que vous ne le pensez.
dfc
@BojanVidanovic Cela n'a aucun sens que cela fonctionne avec ntpdate et non avec ntp. Quand cela fonctionne avec ntpdate, vous devez noter l'adresse IP qui a renvoyé la réponse ann et essayer de la mettre dans ntp.conf. La réponse DNS pour l'adresse pool.ntp.org variera en fonction du nombre de serveurs que les trucs du moniteur de pool sont actuellement en bonne santé en plus d'une pseudo-randomisation dans le démon DNS.
dfc
3

Pour autant que je sache, votre question est "Pourquoi ne ntpq -pnfonctionne- t-il pas comme je m'y attendais?"

Modifiez cette ligne:

restrict 127.0.0.1 noserve nomodify

retour à ce qu'il était à l'origine: 

restrict 127.0.0.1

ntpq -pnva maintenant fonctionner.

FYI: ::1est la version IPv6 de127.0.0.1

Config mise à jour:

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1
restrict ::1
dfc
la source
127.0.0.1: délai dépassé, rien reçu *** Délai dépassé
Test
Vous avez mis à jour votre /etc/ntp.conf vers ce qui est indiqué ci-dessus et redémarré ntp et vous avez reçu le message de délai d'attente? quelle est la sortie de netstat -laun?
dfc
Merci beaucoup! J'ai également ajouté "restrict localhost" à la fin des restrictions
Vagner do Carmo
1

Votre problème semble être dans la sélection de ces 2 serveurs dans ces 2 lignes de votre fichier de configuration:

server ntp1.inrim.it iburst
server ntp2.inrim.it iburst

Lorsque j'essaie d'interroger l'un d'eux, j'obtiens également votre erreur:

$ sudo ntpq -p ntp1.inrim.it
ntp1.inrim.it: timed out, nothing received
***Request timed out

$ sudo ntpq -p ntp2.inrim.it
ntp2.inrim.it: timed out, nothing received
***Request timed out

J'essaierais de sélectionner des serveurs différents pour commencer.

Ces serveurs?

Lorsque je recherche leur nom sur Google, je suis tombé sur cette page intitulée: Come configurare il vostro NTP . Il y avait un autre serveur qui ne fonctionnait pas non plus:

$ sudo ntpq -p host2.miaditta.it 
host2.miaditta.it: timed out, nothing received
***Request timed out

Ces serveurs semblent être le problème.

Chiffrement?

Si vous regardez plus bas cette URL ci-dessus que j'ai mentionnée, ils discutent de l'utilisation du cryptage, vous devrez peut-être l'activer pour accéder à ces serveurs NTP.

Conseils de débogage

J'ai pu me connecter avec succès à vos deux iburstserveurs en utilisant cette commande:

$ ntpdate -d <server>
Exemple 
$ ntpdate -d ntp1.inrim.it
 9 Mar 21:01:37 ntpdate[20739]: ntpdate [email protected] Tue Apr  2 17:47:01 UTC 2013 (1)
Looking for host ntp1.inrim.it and service ntp
host found : ntp1.inrim.it
transmit(193.204.114.232)
receive(193.204.114.232)
...
server 193.204.114.232, port 123
stratum 1, precision -22, leap 00, trust 000
refid [CTD], delay 0.19319, dispersion 0.00084
transmitted 4, in filter 4
reference time:    d6c78d79.f0206119  Sun, Mar  9 2014 21:01:45.937
originate timestamp: d6c78d7e.55ab5b4b  Sun, Mar  9 2014 21:01:50.334
transmit timestamp:  d6c78d77.7e9b8296  Sun, Mar  9 2014 21:01:43.494
filter delay:  0.19460  0.19710  0.19453  0.19319 
         0.00000  0.00000  0.00000  0.00000 
filter offset: 6.755368 6.757349 6.755239 6.756265
         0.000000 0.000000 0.000000 0.000000
delay 0.19319, dispersion 0.00084
offset 6.756265

 9 Mar 21:01:43 ntpdate[20739]: step time server 193.204.114.232 offset 6.756265 sec

Il semblerait donc que votre problème soit en fait quelque chose de mal avec votre ntp.conffichier. Veuillez confirmer que c'est le cas et nous pouvons poursuivre le débogage.

slm
la source
Oui, je n'utiliserai pas ces serveurs, mais j'ai ajouté debian.pool.ntp.org, et je reçois toujours: expiré. Ou it.pool.ntp.org, qui fonctionne me donne la même erreur. À ce stade, je pense que quelque chose bloque NTP.
Test
si j'essaye: ntpdate 0.debian.pool.ntp.org, cela fonctionne.
Test
Oui, avec: ntpdate -d ntp1.inrim.it je vois les mêmes résultats que les vôtres. Alors probablement c'est ntp.conf.
Test du
1
@BojanVidanovic - oui oui, le problème est probablement le vôtre ntp.conf. C'est donc un bon progrès. Je retirerais la plupart des lignes, à l'exception de celles du serveur pour déboguer davantage.
slm
1
Les commutateurs vers ntpd, l'ajout d' -doptions ajouteront plus et -D level
activeront
0

Dans mon cas, l'adaptateur de bouclage a été désactivé dans le système. Après l'avoir activé, le problème a été résolu. Voir le fichier / etc / network / interfaces.

lehab
la source
0

D'après ce que je vois, vous avez configuré un SERVEUR NTP mais vous le pointez vers une PISCINE

server 0.pool.ntp.org

Essayer:

pool 0.pool.ntp.org

à la place ou utilisez "serveur" avec un serveur dédié, pas un pool.

ronator
la source