Всем привет!!!
В этой статье я расскажу как настроил NTP сервер на Mikrotik и завернул весь трафик NTP на роутер.
Статья началась после того как на хабре сначала подняли панику, справедливую, а затем Яндекс быстро починили свои девайсы и ситуация нормализовалась. Обо всем об этом я уведомлял своих подписчиков в телеграмм и ВК. Вкратце было так: В Российском сегменте начали пропадать NTP сервера, ситуация дошла до критической когда их осталось всего 3. Проблема была в нереально большом трафике NTP, который не могли выдержать пользовательские устройства. После публикации первой статьи к решению подключились разработчики яндекс и оказалось причина в их баге. Все яндекс станции постоянно генерили NTP трафик в очень большом количестве. Разработчики это проблему решили.
Один из подписчиков моего телеграм канала предложил простую идею, что бы в будущем не участвовать в такой NTP DDOS атаке )))). Нужно на Mikrotik создать правило и завернуть весь трафик NTP на роутер. Таким образом единственным сервером NTP в локальной сети будет роутер да и интернет канал не будет забиваться этим трафиком.
Но для начала нужно настроить NTP клиент и сервер на самом роутере Mikrotik
Настроим NTP клиент, что бы Mikrotik располагал точным временем. На сайте ntppool.org возьмем нужные NTP сервера. Я из России, поэтому возьму соответствующие:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Сервер pool.ntp.org я оставил на всякий случай, вдруг опять какая напасть на Российский сегмент будет ))). Ну в общем через какое-то время роутер вычислит наилучший для него сервер и переключится на него, в моем случаи это сервер 1.ru.pool.ntp.org
Теперь идем в настройки времени и устанавливаем правильный часовой пояс для вашего региона
Следующим этапом включаем NTP сервер как на картинке ниже. Нужно задействовать Multicast и Manycast
В настройках DHCP сервера включаем NTP сервер и указываем адрес нашего роутера Mikrotik как на картинке ниже.
После этих действий клиенты получат по DHCP сервер времени и будут синхронизировать время от вашего роутера Mikrotik. Проблема только в том, что так будут делать не все. В основном Linux устройства подчинятся, другие же проигнорируют данную опцию. В таких случаях лучше конечно вручную на клиентах прописать NTP сервер IP адрес вашего роутера.
Но статья затевалась ради другого. На роутере Mikrotik можно принудительно завернуть трафик NTP на самого себя. Делается это так:
Поднимите правило по выше, согласно логике настроенной у вас на роутере Mikrotik
/ip firewall nat
add action=redirect chain=dstnat comment="transparent proxy all NTP queries from your LAN" dst-address=!192.168.68.1 dst-port=123 in-interface=bridge-lan protocol=udp
Замените на ваш IP адрес и входящий интерфейс LAN (локальной сети)
Весь трафик NTP гарантированно будет приходить на роутер Mikrotik и все устройства в сети будут получать точное время от него.
Теперь вы знаете как настроить Mikrotik NTP сервер