NTP geblokkeerd bij EDPNet ?

[streulma]

Windows computers wouden niet synchroniseren met time.windows.com.
Andere NTP servers werkten wel, maar ik hoor van WalterB1 dat andere NTP servers ook niet zouden werken.

Ter info: Een melding maken bij EDPNet en ze zetten NTP voor u open.
Sindsdien geen problemen meer.

[Garpenlov]

Dit klopt, er zijn al enkele topics over gemaakt.EDPnet blokkeert poort 123.
Deze werdt misbruikt voor DDOS aanvallen.

Maar als je een ticket aanmaakt dan openen ze die voor u.
Zou misschien geen slecht idee zijn van edpnet om dit op hun website te zetten. Aangezien dit een standaard functie van Windows is.

[philippe_d]

Meeste EDPNet klanten gebruiken een Fritz!Box.

• De Fritz!Box verbindt correct met de externe time server (zonder poort 123) [zoals het hoort].
• Je kan in de Fritz!Box de (interne) time server activeren (Thuisnetwerk > Netwerk > Netwerkinstellingen > Tijdsynchronisatie > FRITZ!Box als tijdserver in het thuisnetwerk beschikbaar stellen)
• Je kan in Windows de Fritz!Box als timeserver instellen (fritz.box of 192.168.178.1)

time server.png

(36.29 KiB) Nog niet gedownload

[Garpenlov]

Wil dat niet zeggen dat je elke PC in je thuisnetwerk manueel moet instellen naar de fritzbox time server?

[CCatalyst]

Wil dat niet zeggen dat je elke PC in je thuisnetwerk manueel moet instellen naar de fritzbox time server?

Alles dat Windows draait toch. macOS/Linux/... kunnen wel zelf uit de slag.

DHCP optie 042 kan je gebruiken om NTP servers door te geven, maar ik weet niet of je dat op de FB kan instellen, en of Windows daar wel slim genoeg voor is of het gewoon negeert. Als het werkt is dit wel de meest "zuivere" optie.

Andere optie is evt NTP verkeer via firewall redirecten naar de Fritzbox of de hostnames van de standaard Windows time servers laten resolven naar de FB (mits deze DNS doet op uw netwerk).

[rmag]

• Je kan in Windows de Fritz!Box als timeserver instellen (fritz.box of 192.168.178.1)

Bedankt, werkt perfect

[TomMe]

Is dit de reden dat mijn klok in Windows al jaren niet wil synchroniseren met de server???

[Belgissschenaap]

Is dit de reden dat mijn klok in Windows al jaren niet wil synchroniseren met de server???

Ja

Gewoon aan edpnet vragen (via ticket) om poort 123 te openen voor die reden en het zal weer werken.

[TomMe]

Wauw.. En ik maar zoeken en zoeken in mijn firewall om te zien of ik iets verkeerd had ingesteld.. Weer een kopzorg minder, bedankt.

Zoals hierboven reeds gezegd, zou tof zijn van Edpnet om hun klanten hierover in te lichten.

Loop ik enig risico voor een attack indien ik poort 123 laat openen? Ik zal ondertussen eens zien of ik de Fritzbox kan gebruiken als time server, zoals hier en daar aangegeven..

[dovo]

Voor zover ik me kan bedenken is NTP in deze context misbruikbaar op twee manieren: wanneer je de fritzbox foutief instelt, en NTP requests komend vanaf het internet (dus niet je lan) beantwoord of wanneer je zelf een target voor ddos bent.
In de eerste situatie kan deze misbruikt worden voor ddos amplification; een bad actor kan jou modem laten antwoorden op gespoofde ip pakketjes en zo met 0,5 mbps jouw 40mbps upload gebruiken om een andere server te overbelasten.
Tweede situatie: iemand wil jouw verbinding overbelasten. Gebeurd wel is met online gaming.
Zelf zal je dus maar beperkt hinder ondervinden als jouw verbinding misbruikt wordt, maar dat praat het nog altijd niet goed om een misbruikbare configuratie in te stellen. In de tweede situatie situatie ga je wel heel veel hinder ondervinden en de operations mensen bij EDPnet een hoop miserie bezorgen. Dan hebben ze de keuze: oftewel een peperdure ddos scrubbing service betalen of een klant die klaagt en mogelijk moeilijk gaat doen bij de ombuds over slecht internet.
Het standaard blokkeren van ntp komende over transit is bijgevolg een correcte policy van edpnet. Apple devices maken meestal gebruik van apple’s eigen ntp, en die zou je dus perfect zonder ddos risico’s over peering kunnen binnenhalen. Windows niet - Azure wordt massaal misbruikt voor ddos aanvallen en Microsoft geeft er gene ene moer om. En als EDPnet zelf NTP servers heeft, dan is het uitdelen van de fritzbox ntp relay naar lan devices een perfecte oplossing.

[philippe_d]

Ik zal ondertussen eens zien of ik de Fritzbox kan gebruiken als time server, zoals hier en daar aangegeven..

Dat lijkt met eenvoudigste oplossing (en is alleen nodig voor jouw Windows PC's) ...

[TomMe]

Is gelukt via de Fritzbox. Naar aanleiding van bovenstaande uitleg..voor de rest dus best zo laten?

[nvdeynde]

Het eenvoudigde is om de fritzbox als NTP server te gebruiken. Tja goed dan moet je in je computers eenmalig het adres van de ntp server aanpassen naar het IP van de fritzbox maar erna werkt het probleemloos.

[krisken]

Het eenvoudigde is om de fritzbox als NTP server te gebruiken. Tja goed dan moet je in je computers eenmalig het adres van de ntp server aanpassen naar het IP van de fritzbox maar erna werkt het probleemloos.

Dat is zeker het eenvoudigste, en zal zeker werken met smartphones, tablets, laptops en desktops. Echter zijn sommige devices zo geprogrammeerd dat deze "hun" ngp server gebruiken. Deze kan staan op bvb pool.ntp.org, europe.pool.ntp.org of be.pool.ntp.org (ik zeg maar iets). Deze zullen de tijd dan niet correct doorkrijgen, terwijl jij dit niet altijd kan wijzigen.

[duizend]

Smartphones en laptops en Linux machines en al de rest synct wel.
Het is enkel Windows dat de time synchronisatie fout geïmplementeerd heeft…
Weer niet beginnen met er meer van te maken dan wat het is …

[TomMe]

Weer niet beginnen met er meer van te maken dan wat het is …

Voor mij was het in elk geval een grote frustratie. Voorlopig is het opgelost met de Fritzbox. Maar wat als ik een andere modem gebruik? En kan dit trucje ook toegepast worden met de Fritzbox als gewone router (achter een andere modem)?