ATNEL tech-forum

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2019-01-02T11:56:42+01:00

mirekk36 napisał(a):

Tym bardziej, że najczęściej taki admin jest nie na miejscu a dochodzący, a często "na telefon" i najczęściej to gdy go pilnie potrzeba to? ... to go nie ma ... albo zarobiony jest i poczekajcie tatka latka - aż wam kiedyś zrobię.

No tu Mirku trafiłeś w sedno sprawy z tymi Adminami ja teraz pracuję w małej firmie gdzie mamy w sumie z 15 kompów i własnie takiego admina z zewnątrz to prawda jest taka, że faktycznie wszystko jest po blokowane a jak potrzeba coś od niego to jedynie przez TeamViewera i tak ciężko coś załatwić a jak już ma przyjechać to trza z 10 razy dzwonić przypominać się i jeszcze czekać bo zawsze się spóźni.
Wcześniej przepracowałem 17lat w fabryce Loreal w Pruszkowie (jedna z największych w europie) tam był dział IT na miejscu pracowało chyba z 8 informatyków a i tak było czasem ciężko z nimi coś załatwić. Tyle, że w porównaniu do tych na telefon to można było się przejść osobiście do nich i coś załatwić.

Pozdrawiam Paweł.

Statystyki: Napisane przez P3ndz3l3k — 2 sty 2019, o 11:56

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2019-01-02T11:24:39+01:00

rskup napisał(a):

Mirku, to nie takie he, he. Jak porozmawiasz sobie z dowolną osobą która zajmuje się bezpieczeństwem, to powie Ci że ZAWSZE blokuje się wszystko co nie jest w danym momencie potrzebne.

rskup napisał(a):

Tak więc standardowe jest podejście w stylu "blokujemy a jak ktoś się zgłosi, to wtedy mu odblokujemy" - i jest to, patrząc się na zalecenia dotyczące bezpieczeństwa sieci, preferowany model.

sorki ale to nie jest żaden model ... to jest antymodel ... Tak to może sobie robić jakiś admin w małej firmie, w której on jeden jest tzw bogiem (przez małe b) odnośnie bezpieczeństwa. Bo prawdziwy model zakłada najpierw badania i określenie podstawowych potrzeb danej organizacji czy sieci i to musi być nie dobrze ale bardzo dobrze przemyślany model i ktoś się pod tym podpisuje i ktoś bierze odpowiedzialność itp itd - i nigdy w takim modelu nie zakłada się zablokowania wszystkiego poza jakąś jedną usługa - a później latami dziobanie admina na życzenie - żeby komuś coś podłączać. Oczywiście to też kwestia skali bo mała firemka i kilka kompów to sobie można pozwolić na takiego ala admina co wszystko poblokuje - a później gdy coś nie działa to lata jak poparzony od kompa do kompa i coś tam grzebie na serwerze linuxowym albo w jakimś rozbudowanym routerze. Tyle że to jest hmmm nazwałbym to dziecinada a nie adminowanie. Tym bardziej, że najczęściej taki admin jest nie na miejscu a dochodzący, a często "na telefon" i najczęściej to gdy go pilnie potrzeba to? ... to go nie ma ... albo zarobiony jest i poczekajcie tatka latka - aż wam kiedyś zrobię.

Więc powiem jeszcze raz, gdyby w takich dużych firmach oferujących net jak: UPC, Orange i inne - były takie modele "kasujta wszystko co się rusza" a później klienci będą nam zgłaszali co jest nie tak .... to chyba nawet nie trzeba pisać.

Statystyki: Napisane przez mirekk36 — 2 sty 2019, o 11:24

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2019-01-02T11:04:35+01:00

Quote:

Hehehehe dobre dobre ... zależy dla kogo i jakiego bezpieczeństwa to jest niestety troszkę dziecinne podejście do bezpieczeństwa a szczególnie do modelu biznesowego działania firmy i obsługi klienta niestety.

Mirku, to nie takie he, he. Jak porozmawiasz sobie z dowolną osobą która zajmuje się bezpieczeństwem, to powie Ci że ZAWSZE blokuje się wszystko co nie jest w danym momencie potrzebne. A odblokowuje świadomie w razie potrzeby, tylko co w danym momencie jest potrzebne. I to jest święta reguła działań bezpieczeństwa.
Oczywiście do wszystkiego trzeba podejść z rozsądkiem. A często małym siecią osiedlowym tego brakuje.

--
Pozdrawiam,
Robert

Statystyki: Napisane przez rskup — 2 sty 2019, o 11:04

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2019-01-01T17:26:45+01:00

rskup napisał(a):

Duzi operatorzy mający setki tysięcy a nawet miliony użytkowników nie bawią się w indywidualne konfigurowanie per użytkownik, tylko stawiają na monitoring i prewencję.

I to jest normalne a nie to co opisujesz sam w tych sieciach, gdzie niestety - kompletny brak przemyślenia i blokowanie wszystkiego na początek. To jest moim zdaniem bzdura a nie żaden preferowany model bezpieczeństwa ... totalna bzdura i zero prawidłowego podejścia do klienta a poza tym tworzenie sobie samemu kupę niepotrzebnej później roboty i odejść klientów do innych sieci, bo jakiemuś młodemu administratorowi co ma chore podejście do bezpieczeństwa - zachciało się wszystko zablokować ... No ale taka jest ewolucja - to dlatego z tysięcy małych "siatek" osiedlowych wyłonili się duzi gracze ... i powoli ten plankton poznika za jakiś czas - wtedy każdy będzie miał normalny net

rskup napisał(a):

i jest to, patrząc się na zalecenia dotyczące bezpieczeństwa sieci, preferowany model.

Statystyki: Napisane przez mirekk36 — 1 sty 2019, o 17:26

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2019-01-01T14:47:06+01:00

mirekk36 napisał(a):

Ja się zawsze dziwię, dlaczego tylko takie (no niestety) kocie osiedlowe kablówki takie jakieś dzikie blokady robią

Bo lokalne osiedlowe kablówki mają kilkaset, maksimum kilka tysięcy użytkowników i w większości są to nieświadomi użytkownicy. Więc dla ich bezpieczeństwa i w celu ograniczenia możliwości dokonywania ataków przy wykorzystania ich sieci blokowane jest wszystko co się da. Permanentne wykorzystywania danej sieci do ataków, łączy się z blokowaniem tej puli IP przez dostawców różnych serwisów, a monitoring i zapobieganie takim działaniom to dodatkowa znaczna praca.
Tak więc standardowe jest podejście w stylu "blokujemy a jak ktoś się zgłosi, to wtedy mu odblokujemy" - i jest to, patrząc się na zalecenia dotyczące bezpieczeństwa sieci, preferowany model. Problem jest tylko, że często obsługa klienta nie wie o takiej polityce administratora i nie wie co ma robić jak użytkownik coś chce.
Są też administratorzy, którzy za wszelką cenę nie chcą odblokowywać by nie dawać szansy na jakieś problemy. Jakieś pół roku temu, znajomy w mieście ok. 12 tys. mieszkańców z jedną firmą pokrywającą siecią całe miasto, miał problem z odblokowaniem mu na publicznym IP, dostępu z internetu do portów serwera SIP, który chciał sobie w domu postawić. Dopiero podpis krwią, że wie co chce i czym grozi złe zabezpieczenie serwera SIP, spowodowało że mu administrator odblokował te porty. Czyli co firma to inna polityka administratora sieci .

Duzi operatorzy mający setki tysięcy a nawet miliony użytkowników nie bawią się w indywidualne konfigurowanie per użytkownik, tylko stawiają na monitoring i prewencję.

--
Pozdrawiam,
Robert

Statystyki: Napisane przez rskup — 1 sty 2019, o 14:47

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-31T19:02:11+01:00

mirekk36 napisał(a):

. nawet popularny w Polsce już dostawca jak UPC - tam nikomu nie wpada do głowy blokowanie portu 123

Akurat mam UPC i ostatnio przedłużałem umowę i ponownie mi w gratisie przeprogramowalili router na IPv6. Internet kuleje i człowiek się wkurza. Każda strona zanim zacznie się ładować to kilka sekund. Na szczeście jak 2 lata temu musiałem tego cholerstwa przez infolinię się pozbyć to teraz jest to przez asystenta pomocy możliwe.

Statystyki: Napisane przez uksta1024 — 31 gru 2018, o 19:02

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-31T13:49:33+01:00

Ja się zawsze dziwię, dlaczego tylko takie (no niestety) kocie osiedlowe kablówki takie jakieś dzikie blokady robią ... spotykam to nie pierwszy raz. Tymczasem jak ktoś ma możliwość mieć net od np Orange nie ważne czy światłowód, neostrada-kabel, DSL-kabel czy LTE albo ... nawet popularny w Polsce już dostawca jak UPC - tam nikomu nie wpada do głowy blokowanie portu 123

Statystyki: Napisane przez mirekk36 — 31 gru 2018, o 13:49

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-31T13:42:46+01:00

Witam wszystkich

Na razie czekam aż dostane powiadomienie od kablówki, że mam już te publiczne IP.
Zawsze będę bliżej wyjścia na świat.
Jak wtedy z przekierowanymi portami nie będzie działać to napisze do nich.
A być może oni maja jakiś swój serwer czasu i mogli by udostępnić.

Pozdrawiam Paweł.

Statystyki: Napisane przez P3ndz3l3k — 31 gru 2018, o 13:42

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-31T01:42:00+01:00

mirekk36 napisał(a):

zawsze działa na tym samym porcie i nie można tego zmienić, na tym na którym nadaje to też nasłuchuje

@P3ndz3l3k: Jak tak jest, to pozostaje zgłoszenie do dostawcy internetu, by odblokowali w całości ruch UDP na porcie 123.

xentis napisał(a):

Ale działa to na mechanizmie wbudowanym w windows czy na tym zainstalowanym programie do synchronizacji?

Mechanizmy wbudowane w Windows działają identycznie jak dodatkowe programy korzystające NTP. Więc powinno działać / niedziałać tak samo w obu tych wersjach.

--
Pozdrawiam,
Robert

Statystyki: Napisane przez rskup — 31 gru 2018, o 01:42

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-30T17:07:28+01:00

Panowie w modułach atnel-wifi nie można sobie w locie zmieniać portów. Są dostępne dwa SOCKETY i na sztywno skonfigurowane komendami AT, a kolejna zmiana wymaga restartu. Co więcej - SOCKET zawsze działa na tym samym porcie i nie można tego zmienić, na tym na którym nadaje to też nasłuchuje. Jest to od samego początku w dokumentacji, że nie wspomnę o poradnikach. W takich modułach są proste stosy TCP/IP a nie zaraz coś na kształt systemu operacyjnego typu windows/linux - więc no .... po prostu nie można się spodziewać cudów.

Statystyki: Napisane przez mirekk36 — 30 gru 2018, o 17:07

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-30T16:40:19+01:00

Witajcie ponownie

rskup napisał(a):

Dlatego czy możesz ustawić aby wysyłany pakiet NTP z modułu nie wychodził z portu źródłowego 123 a jakiegoś innego powyżej 1024?
Robert

Nie mogę zmienić tego portu bo podczas konfiguracji dla dawcy czasu muszę wpisać:
AT+NTPSER= tu IP serwera czasu
AT+SOCKB=UDP,123,IP serwera - tu się niby podaje rodzaj pakietu czyli UDP nr portu 123 i adres IP serwera.
Reszta jest zapewne zaszyta w firmwerze samego modułu.
Jeśli podczas konfiguracji podam tu jakiś inny numer portu wtedy nie działa w ogóle nawet na modemie LTE Orange.
Oczywiście jest to Mirkowy ATNEL-WiFi232T jak w temacie wątku.

Pozdrawiam Paweł.

Statystyki: Napisane przez P3ndz3l3k — 30 gru 2018, o 16:40

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-30T14:29:33+01:00

rskup napisał(a):

Najprościej jest to zrobić blokując ruch przychodzący na port 123 (ntp) do klienta. Taka blokada nie zablokuje na normalnych systemach (windows, linux, mac) możliwości korzystania z NTP, bo pakiet wracający wraca na port z którego był wysyłany a ten nie jest równy 123 tylko jakiś inny wysoki port.

No chyba nie do końca tak jest bo u mnie synchronizacja nie działała ani na leciwym XP ani na Win7, chyba że przypadkiem zablokowali port 123 w obu kierunkach.

------------------------ [ Dodano po: 17 minutach ]

P3ndz3l3k napisał(a):

Co do blokowania to okazuje się, że nie jest blokowany ruch na tym porcie bo program z komputera bez problemu dostaje odpowiedź od serwera NTP na tym porcie 123.
Program jednak działa całkiem innaczej bo wysyła rządanie na porcie innym a dostaje odpowiedź na tym 123 i działa bez problemowo.

Ale działa to na mechanizmie wbudowanym w windows czy na tym zainstalowanym programie do synchronizacji?
Zapewne machanizm wbudowany nie działa bo odbiera na porcie 123 (tak przynajmniej mi się wydaje), a te programy doinstalowane zostały właśnie po to napisane by można było synchronizować pomimo przyblokowanego portu 123 czyli wysyłają po 123 (a być może jako komunikację zapasową potrafią wysyłać również na innych), a odbierają na innym wysokim porcie, omijając tym samym filtr firewalla.

Statystyki: Napisane przez xentis — 30 gru 2018, o 14:29

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-30T14:04:57+01:00

Wiele protokołów opartych o UDP wykorzystywanych jest do ataków DDoS. Wykorzystuje się serwery, by one wysyłały jako odpowiedź dużo danych do atakowanego hosta. Atak polega na wysłaniu zapytania ze spoofowanego (podmienionego) adresu na który ma być atak, tak by odpowiedź była normalną poprawną odpowiedzią, ale zawierającą znacznie więcej danych niż zapytanie. Dzięki temu atakujący wysyłając kilkanaście bajtów powoduje, że odpowiedź trafia na atakowany serwer w wielości kilkuset a nawet więcej bajtów. Jest to atak nazywany amplification atack. I NTP jest także na niego podatne, a w dodatku niestety trudno jest go blokować nawet analizując ruch.
https://www.incapsula.com/ddos/attack-g ... ation.html

Dlatego dostawcy infrastruktury dla klientów indywidualnych blokują możliwość dostępu do serwerów NTP u swoich klientów z internetu. Najprościej jest to zrobić blokując ruch przychodzący na port 123 (ntp) do klienta. Taka blokada nie zablokuje na normalnych systemach (windows, linux, mac) możliwości korzystania z NTP, bo pakiet wracający wraca na port z którego był wysyłany a ten nie jest równy 123 tylko jakiś inny wysoki port.
Więc dlaczego Ci nie działa? Pewnie dlatego, że jak wcześniej pisałeś pakiety wysyłane są nie tylko na port docelowy 123, ale także używają takiego portu jako źródłowego. Więc wracający pakiet wygląda na warstwie IP jak pakiet kierowany do serwera (docelowy jest port 123), więc jest natychmiast blokowany przez firewalla.

Dlatego czy możesz ustawić aby wysyłany pakiet NTP z modułu nie wychodził z portu źródłowego 123 a jakiegoś innego powyżej 1024?

--
Pozdrawiam,
Robert

Statystyki: Napisane przez rskup — 30 gru 2018, o 14:04

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-30T08:38:04+01:00

Witajcie bardzo się cieszę, że aż tak się rozrósł mój wątek.

Co do blokowania to okazuje się, że nie jest blokowany ruch na tym porcie bo program z komputera bez problemu dostaje odpowiedź od serwera NTP na tym porcie 123.
Program jednak działa całkiem innaczej bo wysyła rządanie na porcie innym a dostaje odpowiedź na tym 123 i działa bez problemowo.

Moduł wysyła rządanie i odbiera na tym samym i być może nie zdąża się przełączyć w odbiór bo być może w kablówce odpowiedź przychodzi bardzo szybko.
Na modemie tym od Orange może jest jakieś opuźnienie kilka ms i wtedy jest ok.
Niestety nie mogę tego w sprawdzić.

P.S. pewnie w przyszłym tygodniu dostanę te publiczne IP może wtedy coś będzie można zrobić więcej.

Pozdrawiam Paweł.

Statystyki: Napisane przez P3ndz3l3k — 30 gru 2018, o 08:38

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-29T22:29:29+01:00

uksta1024 napisał(a):

Modem kablówki pracuje jako router i przydziela adresy prywatne. Powinna być możliwość przełączenia go do pracy jako modem i w takim razie na tym jedynym porcie lan będzie adres publiczny.

To że przydziela adresy prywatne wcale nie oznacza że pracuje jako router. Poprostu operator kablówki ma stworzoną sieć lokalną i modemy podłączają klientów do niej a nie na zewnątrz.
A wracając do problemów to moim zdaniem pomóc tu może jedynie wsparcie techniczne kablówki, bo zapewne na modemie (lub może i faktycznie routerze) operatora uaktywniła się reguła na firewallu która wycina ruch na portach NTP. Gdzieś czytałem że operatorzy netu zaczęli blokować te porty bo hakerzy znaleźli lukę i jakoś w pewnych warunkach mogą się przedostać na ruchu NTP - co by zresztą wyjaśniało czemu u mnie również jakiś czas temu taka sytuacja miała miejsce.

Quote:

Ciekawostką jest jeszcze fakt, że jak już wcześniej pisałem jak połaczę się tym modułem do modemu LTE Orange to ile razy bym nie klikał za każdym razem dostaję odpowiedź a dla czego na kablówce to nie działa???
Choć dość długo działało wcześniej przez kilka miesięcy.

Być może u kolegi po zaniku prądu modem gdy wstawał pobrał nowy konfig w którym ruch na portach NTP jest ubijany.
Telefon/mail do supportu z prośba o odblokowanie (UWAGA odblokowanie, a nie przekierowanie) i po problemie.
Tu fragment odpowiedzi jaką ja otrzymałem od MultiMedii po zgłoszeniu problemu:

Quote:

Dzień Dobry,

Zmieniłem filtr na modemie i port 123 powinien być odblokowany.

W razie dodatkowych pytań proszę o ponowny kontakt.
Aby zachować ciągłość korespondencji, proszę skorzystać z opcji "Odpowiedz".

Inne możliwości kontaktu z nami:

http://www.multimedia.pl/kontakt

------------------------ [ Dodano po: 18 minutach ]

Jest pewna metoda by się upewnić czy blokowany jest port.
Mianowicie na kompie instalujesz oprogramowanie serwerowe (dowolne np serwer ftp, czy usługę do zdalnego zarządzania komputerem typu VNC) ważne by pozwalała dowolnie modyfikować port nasłuchu. W konfiguracji serwera wpisujesz port 123. Na swoim routerze robisz przekierowanie dla danego portu na adres ip swojego PC.
Szukasz w necie serwisów które potrafią przetestować komunikację na porcie np http://www.canyouseeme.org/
Wpisujesz 123 i test, jeżeli przejdzie pomyślnie to ISP nie blokuje, jeżeli nie to znaczy że blokuje.
Ja przed chwilą sprawdziłem u siebie tę procedurę i działa. Jako serwera użyłem TightVNC - czasem z niego korzystam jak chcę zdalnie pogmerać w kompie. Oczywiście normalnie działa on na innym porcie, ale dla testów ustawiłem 123, przekierowałem na routerze i test pomyślny.
Jedyny problem jest taki że musi być adres ip zewnętrzny

Statystyki: Napisane przez xentis — 29 gru 2018, o 22:29

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-29T15:00:37+01:00

Modem kablówki pracuje jako router i przydziela adresy prywatne. Powinna być możliwość przełączenia go do pracy jako modem i w takim razie na tym jedynym porcie lan będzie adres publiczny.

Statystyki: Napisane przez uksta1024 — 29 gru 2018, o 15:00

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-29T10:21:19+01:00

ant888 napisał(a):

a taki mały test jeszcze:
sprawdź któryś z tych serwerów na module:
3.au.pool.ntp.org
3.nz.pool.ntp.org
uy.pool.ntp.org

Z komputera wszystkie te serwery dają czas bez problemu.

na module:

3.au.pool.ntp.org -

z wifi kablówki
AT+GMT=2
+ok=unavailable
OK

NA LTE Orange
AT+GMT=2
+ok=2018-12-29 10:52:52
OK

-----------------------------------------------
nz.pool.ntp.org

z wifi kablówki
AT+GMT=2
+ok=unavailable
OK

NA LTE Orange
AT+GMT=2
+ok=2018-12-29 10:57:39
OK

----------------------------------------------
uy.pool.ntp.org

z wifi kablówki
AT+GMT=2
+ok=unavailable
OK

NA LTE Orange
AT+GMT=2
+ok=2018-12-29 11:05:49
OK

gizmo5418 napisał(a):

Masz 2 rozwiązania, z czego najprościej wykonać to drugie:
1. zmienić na module port źródłowy, którym wychodzą pakiety do serwerów NTP ( docelowy zostawić 123),
2. zalogować się do swojego routera i obniżyć poziom zabezpieczeń na firewallu. Może wówczas ruszy komunikacja po niskich portach.
.

1.Co do zmiany portu wyjsciowego na module to chyba nie ma mozliwości ale to Mirek powinien się wypowiedzieć.
2.Oczywiście, że mogę jednak :
firewall w ruterze mam wyłączony
mogę przekierować port 123 ale to nic nie zmienia.

Ponieważ w modemie kablowym lub na serwerze kablówki jest drugi firewall którego ja nie zmienię.
Sprawdziłem, że moje IP Publiczne to np. 185.153.35.129 modem kablowy ma tylko jedno wyjście LAN i mam podłączony ruter który od modemu kablówki dostaje
IP 100.72.60.122
Subnet mask 255.255.0.0
Gateway100.72.0.1

I w mojej sieci wewnętrznej LAN jak i WiFi mam adresy z puli 192.168.2.2 - 192.168.2.50 przyznawane z mojego DHCP.

Statystyki: Napisane przez P3ndz3l3k — 29 gru 2018, o 10:21

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T23:28:01+01:00

P3ndz3l3k napisał(a):

Choć dość długo działało wcześniej przez kilka miesięcy.

Jedna najważniejsza rzecz, którą należy zapamiętać bezwzględnie, chcąc bawić się komunikacją sieciową. Porty 0 do 1024 są zarezerwowane na usługi systemowe / sieciowe i nie mogą / nie powinny być używane jako porty źródłowe ( te z których wychodzą pakiety ). Więc nie ma się co dziwić, że masz problemy. Dziwne jest, że do tej pory to prawidłowo działało. Jeżeli się bawimy w swojej sieci wewnętrznej LAN, to nie ma to znaczenia - będziesz jedynie walczył z firewallami w windowsie.

P3ndz3l3k napisał(a):

I nie zastanawia Cię, dlaczego przez router LTE Orange przechodzą wracające pakiety, a przez router kablówki nie ?

Masz 2 rozwiązania, z czego najprościej wykonać to drugie:
1. zmienić na module port źródłowy, którym wychodzą pakiety do serwerów NTP ( docelowy zostawić 123),
2. zalogować się do swojego routera i obniżyć poziom zabezpieczeń na firewallu. Może wówczas ruszy komunikacja po niskich portach.

A jeżeli operator w swojej sieci ma postawiony / postawił ostatnio swój serwer NTP, to tym bardziej nie udostępni / przekieruje Ci portu 123 na adresacji NAT-owanej. Adres publiczny, to już inna bajka.

Statystyki: Napisane przez gizmo5418 — 28 gru 2018, o 23:28

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T22:52:13+01:00

Statystyki: Napisane przez P3ndz3l3k — 28 gru 2018, o 22:52

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T22:39:03+01:00

xentis napisał(a):

No własnie tak u mnie jest teraz działało i nagle przestało.

Sprawdziłem ten programik na kompie co podał link kolega

ant888 napisał(a):

http://www.timesynctool.com/

No i działa prawidłowo tzn. za każdym kliknięciem pobiera czas z serwera a z modułu Atnelowego nie.
Komputer z którego testuję to laptop połaczony do dokładnie tego samego routera co moduł przez WiFi.
Komputer ma IP 192.168.1.13
Moduł Atnel ma IP 192.168.1.6

Podejrzałem log z routera kiedy wysyła programik i kiedy moduł
okazuje się, że program wysyła żądanie na innym porcie a odpowiedź dostaje na innym
a moduł Atnel na tym samym wysyła i otrzymuje

[syntax=c]To z Komputera
Dec 28 22:21:38 unknown user.warn kernel: ACCEPT IN=br0 OUT=vlan2 SRC=192.168.2.13 DST=178.63.9.110 LEN=76 TOS=0x00 PREC=0x00 TTL=127 ID=24728 PROTO=UDP SPT=63929 DPT=123 LEN=56

To z Modułu
Dec 28 22:21:48 unknown user.warn kernel: ACCEPT IN=br0 OUT=vlan2 SRC=192.168.2.6 DST=91.212.242.21 LEN=76 TOS=0x00 PREC=0x00 TTL=254 ID=6 PROTO=UDP SPT=123 DPT=123 LEN=56[/syntax]

Sami zobaczcie czy może ja źle odczytuję ten log.
Jeśli dobrze widzę to innaczej działa programik innaczej działa moduł.
Może tu jest pies pogrzebany.

A bym zapomniał ruter to NETGEAR 3500L V2 z wgranym "Tomato Firmware 1.28.0000 MIPSR2-117 K26 USB AIO"

Statystyki: Napisane przez P3ndz3l3k — 28 gru 2018, o 22:39

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T20:55:57+01:00

Od siebie dodam że u mnie kilka miesięcy temu zauważyłem podobną sytuację: żadne urządzenie, komputer z dowolnym systemem czy inne pobierające czas z NTP urządzenia po domyślnym porcie 123 nie potrafiły pobrać czasu. Dodam że wcześniej z tym problemu nie było, a internet od wielu lat mam z kablówki MultiMedia i ani modem ani router nie był zmieniany od paru lat.
Przeprowadziłem wiele testów. Najpierw zmieniałem adresy serwerów NTP - bez poprawy. Podłączyłem do routera modem z internetem od t-mobile - i pomimo niepublicznego adresu NTP zaczęły działać. Potem testowałem aplikacje które potrafią komunikować się z NTP-ami na innych portach - tu również sukces, synchronizacja czasu działa.
W ostateczności naskrobałem maila do operatora z opisem problemu i wynikami moich testów. Następnego dnia wszystko zaczęło działać jak trzeba. Otrzymałem też odpowiedź z działu technicznego kablówki iż musieli zmodyfikować ustawienia firewalla na modemie który blokował port 123. Próbowałem jeszcze pociągnąć ich za język by powiedzieli co było przyczyną że wcześniej działało i nagle przestało ale nie potrafili (lub nie chcieli) wyjaśnić tej tajemniczej sprawy.
Natomiast z mojego osobistego doświadczenia przypuszczam że znam przyczynę. Otóż urządzenia dostępowe które operatorzy "wypożyczają" klientom do celów świadczenia usług, mają możliwość zdalnej aktualizacji oprogramowania (dodam że bez wiedzy użytkownika). Niestety niekiedy po takiej aktualizacji parametry pracy zostają pozmieniane (nie mam pojęcia czy jest to efekt zamierzony czy nie). Jako przykład mogę tu podać mój zakład pracy gdzie operator internetu jako urządzenie dostępowe dostarczył router. W firmie stoi kilka serwerów które muszą być widziane z zewnątrz, dodatkowo są zbudowane dwie sieci - w każdym razie bez wnikania w szczegóły na routerze jest zbudowana właściwa konfiguracją adresowa i przekierowania portów. Niestety wiele razy zdarzyło się tak, że cała konfiguracja wracała do fabrycznej paraliżując pracę firmy. Za każdym razem dzwoniłem do operatora, oni przysyłali technika który nic nie stwierdzał a za tydzień, dwa czasem trzy znów to samo. W końcu za którymś razem na infolini pani się wygadała opisując powyższy problem autoaktualizacji podczas której cała konfigóracja wracała do default-a. A najgorsze w tym wszystkim jest to że ten router nie posiadał nawet opcji zrzutu backupu ustawień więc po każdym takim incydencie musiałem wszystko "na piechotę" wklepywać do routera.. Sprawa skończyła się tak, że wymienili w końcu router na starszy model który albo się nie aktualizuje, albo potrafi to zrobić bez rozwalania ustawień, aczkolwiek raz się też zdarzyło że ustawienia wyparowały, no ale to jednostkowy przypadek już od dłuższego czasu.

P3ndz3l3k napisał(a):

Okazało się, że moja kablówka ma internet tylko z IP klasy prywatnej (dla tego nie pomagało przekierowanie portów na moim routerze).

Tak jak już koledzy pisali publiczne IP nie ma tu znaczenia, tak jak przekierowywanie portów w routerze, przecież przekierowanie nie jest tu konieczne bo nie serwer NTP inicjuje transmisje tylko urządzenie z wnętrza Twojej sieci, więc odpowiedź powinna wrócić drogą zwrotną do urządzenia pytającego bez przeszkód - chyba że operator na firewallu ma włączone wycinanie ruchu na tym porcie.

Statystyki: Napisane przez xentis — 28 gru 2018, o 20:55

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T20:42:16+01:00

P3ndz3l3k napisał(a):

Jeśli net przechodzi przez serwery kablówki to mogą blokować bez problemu ruch sieciowy.
Ale wczoraj sprawdziłem z synem on u siebie (ma internet w UPC i ma IP publiczne na router) nasłuchiwał na porcie UDP 123
i wszystko co wysłałem z modułu ATB-WiFi do niego dotarło bez problemu.
Jednak jak on próbował do mnie wysłać niestety nic nie docierało.

To, że nic nie dotarło do Ciebie, to jest poprawne zachowanie.

Kiedy wysłałeś pakiet na port 123 do syna na jego publiczne IP, to abyś Ty otrzymał odpowiedź na niego, to syn musiał by wysłać pakiet na adres IP oraz port źródłowy z którego nadszedł pakiet. Taka bowiem ścieżka pakietu została zapamiętana na czas życia wysłanego pakietu, przechodząc przez routery, NAT-y i firewalle. Po upływie czasu życia pakietu, jeśli nie wróci odpowiedź, to ścieżka zostaje na routerach usunięta / zamknięta, a odpowiedź staje się nie możliwa.

Najszybciej i nie czekając na odpowiedź od operatora, aby sprawdzić czy wszystko Ci działa, to ze swojego komputera ( który używa tego samego routera, co moduł wifi ) wejdź w ustawienia daty i czasu, kliknij aby zsynchronizował czas z serwerem NTP.

Statystyki: Napisane przez gizmo5418 — 28 gru 2018, o 20:42

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T20:16:15+01:00

ant888 napisał(a):

A to czy ruch jest blokowany czy nie sprawdź czy komputer łączy się z podanymi przez ciebie adresami serwerów NTP bo dla siebie (routera) to bez znaczenia czy łączysz się telfonem, komputerem czy jakimś modułem wifi.

Problem jest taki, że w jaki sposób sprawdzić właśnie czy w dokładnie taki sposób czyli przez UDP na porcie 123 serwer odpowiada.
Jedyne co potrafię to pingować serwer i wtedy pingi są ok. na byle jakim serwerze.

Jesli ktoś wie dokładnie w jaki sposób (dokładnie tak samo jak robi to moduł Atnel-WiFi) można z komputera PC wysłać żądanie do serwera NTP
to prosił bym o podpowiedź.

Generalnie mniej więcej ogarniam sprawy działanie routerów NAT-ów bo jak miałem neostradę to bawiłem się w stawianie serwerów np. FTP czy graliśmy w sieci w Unreal Tournament i wtedy też trza było przekierowywać porty.

Pozdrawiam Paweł.

Statystyki: Napisane przez P3ndz3l3k — 28 gru 2018, o 20:16

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T19:40:28+01:00

ale bądźmy dobrej myśli może nie będą blokować portu 123 jak dadzą publiczne IP

Statystyki: Napisane przez mirekk36 — 28 gru 2018, o 19:40

Re: SERWER NTP AKTUALNY DZIAŁAJĄCY ATNEL-WIFI232-T

2018-12-28T19:35:00+01:00

P3ndz3l3k napisał(a):

Jednak jak on próbował do mnie wysłać niestety nic nie docierało.

Jak mówię troszkę mieszasz jakby sprawy. Bo jeśli jesteś za NAT'em to żaden pakiet do ciebie nie dojdzie bo jak ? na jakie IP

ALE CAŁKIEM inną rzeczą jest udzielenie odpowiedzi na wysłane żądanie rozumiesz? I nie ważne czy to będzie UDP czy TCP, jeśli z twojego kompa za NAT'em zostanie wysłane żądanie to serwer może zawsze udzielić na nie odpowiedzi, która jest poniekąd kierowana najpierw na adres publiczny twojego NAT'a a później NAT przekazuje ją dalej do konkretnego wewnętrznego IP dzięki MAC Adresowi karty sieciowej (to tak bardzo ogólnie).

Więc zrozum - publiczne IP nie gwarantuje ci uzyskania przesyłu przez port 123 jeśli operator go globalnie blokuje albo i twój router jak pisze wyżej słusznie gizmo5418.

Statystyki: Napisane przez mirekk36 — 28 gru 2018, o 19:35