NTP server voor freedom klanten

Ik zie nog geen NTP server in de FAQ algemene instellingen.
Is er een ntp server?

2 likes

@Noci
Wat is het voordeel van een NTP server bij Freedom?
Ik gebruik op dit moment nl.pool.ntp.org in mijn pc

In de fritzbox staat hier nl.pool.ntp.org; 2.europe.pool.ntp.org
Maar in plaats van de tijd bij alle servers op te vragen, kiest Fritz er maar 1

1 like

Er is een voordeel voor NTP servers die met minder netwerk hops bereikbaar zijn.
Daarom zou een NTP server farm vanuit Freedom beter zijn voor freedom abonnee’s/leden.
Naast besparing op bandbreedte.

Freedom is gehost bij bit.
Als ik hun NTP server test is het tijdverschil wat minder en constanter dan mijn huidige server.
Voor mij als simpele gebruiker heeft dat geen meerwaarde.
Een verschil van 0.01s

Dat er 2 in de fritzbox staan bij mij, is gekomen nadat er ooit 1 uit de lucht was.
Maar dat gebeurt ook niet ieder jaar.

Ik denk dat het gebruik van nl.pool.ntp.org of 1.nl.pool.ntp.org (etc) goed genoeg is voor de meeste Freedom gebruikers. Wanneer iemand snellere antwoorden nodig heeft, dan weet die persoon meestal ook wel waar die dat kan krijgen.
Het zou wel netjes zijn als Freedom de NTP servers van de pool op de helpdesk pagina’s noemt.

1 like

En dan meteen erbij zetten dat het prettig is om alle apparaten in huis de tijd op te laten vragen bij je eigen FritzBox

1 like

Je kunt TimeNL geruiken, ter beschikking gesteld door Stichting Internet Domain Registratie (SIDN). Zie https://time.nl/ voor details.

1 like

Maar dan heb je nog maar 1 NTP bron en het zou fijn zijn als er minimaal nog 2 goede bronnen bij zouden komen.

het ntp protocol houdt rekening met de netwerkafstand. Dus snellere antwoorden zijn in principe niet nodig. Een eigen NTP server staat wel op de todo-list, maar er zijn een heleboel zaken die op dit moment belangrijker zijn. Zoals op https://www.pool.ntp.org/nl/zone/nl staat uitgelegd:

To use this specific pool zone, add the following to your ntp.conf file:

   server 0.nl.pool.ntp.org
   server 1.nl.pool.ntp.org
   server 2.nl.pool.ntp.org
   server 3.nl.pool.ntp.org

In most cases it’s best to use pool.ntp.org to find an NTP server (or 0.pool.ntp.org, 1.pool.ntp.org, etc if you need multiple server names). The system will try finding the closest available servers for you.

1 like

Ja, over het algemeen klopt dat wel. Voor NTP is het echter niet zo heel erg kritisch; de kans dat er iets catastrofaals mis gaat als NTP even onbeschikbaar is, is niet zo heel groot.

SIDN Labs experimenteert met een anycast oplossing, maar die is nog niet beschikbaar voor zover ik weet.

de kans dat er iets catastrofaals mis gaat als NTP even onbeschikbaar is, is niet zo heel groot.

Behalve dat logins met TOTP niet meer werken als je klok gaat scheeflopen. Voorheen gebruikte ik een enkele NTP server. Tot die ineens een langdurige storing had en ik op een aantal belangrijke accounts niet meer kon inloggen.

Het is beter om te synchroniseren met zo’n drie targets in verschillende netwerken. Ergens dit jaar was er een DNS storing bij NTP.org, dan heb je niets aan de pools.

1 like

Maar dat soort zaken gaat niet meteen mis als ntp even niet beschikbaar is.

@reinoud Ik ben het niet helemaal met je eens.
Een VM guest kan al snel redelijk scheef lopen als die geen sync heeft, zeker als de host het wat druk heeft en er meerdere actieve guests draaien. (Niet voor alle OS’en is er een integratie kit beschikbaar).
Het is dan ook verstandig om de maxpoll parameter te beperken tot 6 of 7 voor dergelijke machines.

Niet alleen TOTP maar ook Kerberos kan hier gevoelig voor zijn. (Windows domain logins zijn bv. op Kerberos gebaseerd dan is het wel handig als de server en client klokken redelijk gelijk lopen)

Ik heb me er ook nog eens in verdiept.
De SIDN waarschuwt ook dat sommige time servers gewoon een alias zijn van een der groten.
Het is dus niet handig dat je 2e timeserver exact dezelfde blijkt te zijn dan de eerste.

1 like

De publieke NTP pools worden op grote schaal gebruikt om bereikbare ipv6 adressen te harvesten, en die vervolgens te scannen. (zie oa http://netpatterns.blogspot.com/2016/01/the-rising-sophistication-of-network.html)

Uit het oogpunt van privacy en security is het daarom absoluut af te raden om publieke NTP pools te gebruiken, het gebruik van andere publieke NTP servers kan het zelfde risico met zich mee brengen, afhankelijk van wie deze beheert, en hoe betrouwbaar deze partij is.

Om deze redenen lijkt het me juist voor een aanbieder zoals Freedom toch wel erg nuttig om zelf een setje NTP servers te hebben die klanten kunnen gebruiken.

2 likes

Daarom laat je op je eigen netwerk een (of twee) systeem NTP sync doen bv. je router, en moet de rest aan dat ene (of twee) systemen syncen.
Naast het instellen van Private IPv6 adressen in een wilde reeks met een retentie van zeg 1 uur oid.
(private adressen zijn geen speciale adressen, ze worden alleen slechts een beperkte tijd gebruikt, en worden regelmatig veranderd.
(actieve oude adressen werken nog wel tot de de laatste sockets met dat adres sluiten).

Mee eens, maar https://time.nl/ is een prima mogelijkheid. SIDN heeft geen commerciele doelstelling ermee, maar levert de dienst belangeloos. Van de website:

Antwoord: Privacy en de AVG hebben wij hoog in het vaandel staan. We slaan je gegevens ( = IP-adres) niet op en gebruiken deze niet voor andere doeleinden dan voor het optimaal in de lucht houden van deze dienst. Lees meer over hoe wij omgaan met je privacy.

Dat zit redelijk goed bij die club denk ik zo. Uiteraard zou Freedom ook een ntp dienst kunnen opzetten, maar tot het zover is, lijkt time.nl me prima.

Ik vraag me ook af of de Fritzbox als lokale NTP server verstandig is.
Als het ding op tilt gaat, is de datum 1970 totdat hij zelf weer sync is.
In de fritzbox staat nu. ntp.time.nl; ntp1.bit.nl; ntp.oma.be als time servers.

Een NTP daemon die geen accurate tijd heeft (een hoge stratum) zou geen tijd moeten/mogen afgeven. Dus de fritzbox zou helemaal geen tijd mogen uitserveren als de klok niet al aan de buitenkant gesynced is.
Maar je kan natuurlijk nog een tweede systeem inzetten achter de Frtizbox.

NTP is een zeer uitgebreid protocol waarbij niet alleen timestamps (dat kan het time protocol ook) , maar ook de kwaliteit van een time stamp weer geeft.
En hoe ver een time stamp van de bron is. (=stratum) stratum = 0 is een zeer betrouwbare tijdbron ie. een atoom klok.

     remote           refid          st t when poll reach   delay   offset  jitter 
    ==============================================================================
    *firewall.noci.l 193.67.79.202    2 u  167  256  377    0.165   +0.171   0.049

Dit verteld me: mijn firewall is een stratum 2 (ie connected naar een stratum 1) polled 167 secconden geleden, met interval = 256 seconden (ie maxpoll = 8), en firewall heeft als master klok de 193.67.69.202 (ntp0.nl.uu.net )
Bereikbaarheid is dat de 8 meest recente polls een antwoord opleverden. Er was een afstand van 0.165 ms. en een tijdsverschil et die server van 0.171 ms. de stabiliteit (het verschil in opeenvolgende tijdverschillen) is gemiddeld 0.049 ms.
En firewall is de geselecteerde bron.

Hier als de Firewall niet naar de buitenkant kan syncen, waarbij de firewall de Eigen klok op stratum 10 uitlevert.

     remote           refid      st t when poll reach   delay   offset  jitter
    ==============================================================================
    *firewall.noci.l LOCAL(0)        11 u   12  256  377    0.129   +0.045   0.128

Stratum is nu 11.

Zonder een LOCAL klok op de firewall:

     remote           refid          st t when poll reach   delay   offset  jitter
    ==============================================================================
     firewall.noci.l .INIT.          16 u   11   16    0    0.000   +0.000   0.000

Blijft de stratum 16 (uninitialised) en wordt er niet gesynced… (reach = 0…)

Ik heb geen Fritzbox dus ik kan niet testen hoe een Fritzbox hiermee om gaat.
Maar die zou op dezelfde manier moeten werken.

Ik heb eens 2 instellingen bekeken in mijn Windows.
Die PPI:17 heeft een waarschuwing.
Maar zelf synct Windows maar om de 9 uur?

PS C:\Users\Erik> w32tm /query /peers
#Peers: 1

Peer: fritz.box,0x9
State: Active
Time Remaining: 32677.9249803s
Mode: 3 (Client)
Stratum: 2 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 17 (out of valid range)
HostPoll Interval: 10 (1024s)
PS C:\Users\Erik>


PS C:\Users\Erik> w32tm /query /peers
#Peers: 1

Peer: ntp.time.nl,0x9
State: Active
Time Remaining: 32760.7442082s
Mode: 3 (Client)
Stratum: 1 (primary reference - syncd by radio clock)
PeerPoll Interval: 10 (1024s)
HostPoll Interval: 10 (1024s)
PS C:\Users\Erik>