ntp zu externem Zeitserver klappt nicht (?)

[knebb]

Moin!

Bei meiner OPNSense (aktueller Stand) habe ich den ntp-Dienst (Netzwerk-Zeit) aktiviert. Zwei externe Zeitserver sind konfiguriert und als "Bevorzugt" eingetragen:
```
0.opnsense.pool.ntp.org
1.opnsense.pool.ntp.org
```
Bei beiden zeigt er im Status "Unerreichbar/ Ausstehend" an :( Einen anderen Server hat er dagegen als "Aktiver Peer" gelistet- vermutlich ein Server aus dem Pool.

Fragen:

• Ist das normal, dass er die beiden Pool-Aliase als "Unerreichbar/ Ausstehend" anzeigt?
• Warum synct er sich mit nur einem Rechner, obwohl ja eigentlich zwei angegeben sind?

Die Namensauflösung der Sense ist einwandfrie, gerade direkt auf der ssh-Konsole bei Pool-Aliase problemlos auflösen (und pingen) können.
Und nein, es sind keine Regeln definiert, die den ausgehenden Verkehr beschränken...

Danke für Tipps!

/KNEBB

[meyergru]

Das sind keine Rechner, sondern Pools, d.h. Listen von Rechnern, die dynamisch zusammengestellt werden. Die Synchronisation dauert mitunter sehr lange, ehe NTPD sich auf bestimmte Server einschießt.

Ich nutze inzwischen lieber os-chrony.

[knebb]

Das bringt mich jetzt nicht weiter :D

Verstehe halt nicht, warum er immer nur einen als "Aktiver Peer" nutzt und die anderen alle als "Ausreißer" (bzw. einer "Kandidat") markiert sind...


Dann holt er sich doch die Zeit nur von einem? Sollte er nicht wenigstens zwei haben?

[meyergru]

Nochmal: Das sind Pools mit vielen Adressen, nicht zwei verschiedene Server. Wie viele Kandidaten aus dem Pool oder der Liste von Servern genutzt werden, wird durch die anderen Konfigurationsparameter bestimmt, wie in den Hilfetexten dazu erläutert wird (u.a. Maxclock).

Ansonsten ist das ein hochkomplexer Auswahlprozess, der zu N Kandidaten und einem "System Peer" (Activer Peer) führt, siehe:

https://kb.meinbergglobal.com/kb/time_sync/ntp/ntp_basics
https://docs.ntpsec.org/latest/ntp_conf.html

Die Synchronisation wird nach erfolgter Auswahl auch mit den Kandidaten durchgeführt. Der "System Peer" ist eigentlich als der Haupt-Kandidat gemeint, das kann z.B. auch eine lokale GPS-Quelle sein.

Natürlich müssen die Peers alle erreichbar sein und das WAN-Interface sollte aktiviert werden. Was nämlich bei Dir komisch ist, ist, dass Du gar keine Kandidaten hast. Bei mir sieht das so aus (+ ist Kandidat, * ist System Peer):

Code Select Expand

# ntpq -pn
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 0.opnsense.pool .POOL.          16 p    -   64    0    0.000   +0.000   0.000
 1.opnsense.pool .POOL.          16 p    -   64    0    0.000   +0.000   0.000
-167.235.70.245  195.176.26.204   2 u   50   64  377    8.227   +1.809   0.717
-94.130.23.46    192.53.103.104   2 u   55   64  377   10.171   +1.528   1.480
+129.70.132.35   129.70.137.82    2 u   45   64  377   14.946   +0.132   1.790
#195.201.19.162  118.163.81.62    2 u   49   64  377    7.501   +3.352   0.813
#217.160.19.219  10.50.0.2        2 u   50   64  377   17.507   +0.239   1.564
+130.162.220.39  169.254.169.254  3 u   46   64  377    8.524   +0.076   2.188
-109.230.228.196 131.188.3.220    2 u   42   64  377    9.220   +0.843   1.463
+185.194.239.35  192.53.103.108   2 u   41   64  377    8.808   +0.315   1.492
*178.215.228.24  189.97.54.122    2 u   43   64  377    6.900   -0.361   0.951
+217.144.138.234 192.53.103.108   2 u   41   64  377   12.266   +0.149   1.294
-167.235.139.237 237.17.204.95    2 u  103  128  377    8.148   +1.826   4.177
+192.248.187.154 91.135.4.191     2 u   30   64  377    6.800   +0.014   1.238
+109.123.244.54  79.143.250.33    2 u   37   64  377    9.491   -0.388   1.525
-157.90.24.29    193.79.237.14    2 u   99  128  377    8.435   +1.922   1.585
-217.91.44.17    237.17.204.95    2 u   95  128  377   22.769   +2.087   0.746

Zeig mal die komplette NTPD-Konfiguration.

Wenn Dir das zu kompliziert ist, nimm Chrony, dort kannst Du eine konkrete Liste von Peers angeben. Der kann auch NTS. NTPD ist halt einfach uraltes, gewachsenes Zeug: https://chrony-project.org/comparison.html

[knebb]

Ja, das mit den Pools ist mir schon klar... ich dachte halt nur, der betrachtet die dann als einen. Aber nein, er greift sich ein paar davon raus. Verstanden.

So sieht das aktuell aus:

Code Select Expand

root@router:~ # ntpq -pn
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 0.opnsense.pool .POOL.          16 p    -   64    0    0.000   +0.000   0.000
 1.opnsense.pool .POOL.          16 p    -   64    0    0.000   +0.000   0.000
-185.252.140.126 218.73.139.35    2 u  493  512  377   25.704   -0.404   0.432
+152.70.19.169   169.254.169.254  3 u  248  512  377   22.091   +0.289  12.878
-31.209.85.242   .GPS.            1 u  393  512  377   21.890   +3.028   0.272
*78.47.168.188   17.253.14.123    2 u  488  512  377   26.540   +0.170   0.124
-148.251.5.46    192.53.103.103   2 u  491  512  377   25.612   -0.229   0.103
-77.90.40.94     3.227.217.39     4 u  379  512  377   20.700   -0.159   0.473
-49.13.14.46     205.46.178.169   2 u  466  512  377   26.436   +0.392   0.123
-85.214.83.151   192.53.103.104   2 u  342  512  377   26.057   +1.241   0.595
-212.132.97.26   192.53.103.104   2 u  434  512  377   15.758   -3.255   0.698
+158.180.28.150  169.254.169.254  3 u  422  512  377   22.092   +0.298  13.660
-5.45.97.204     68.126.43.53     2 u  193  512  377   25.851   -0.022   0.259


[meyergru]

Ja, passt doch. Zwei mit + und einer mit *, reicht.