hardware:fortigate:ntp

Fortigate como servidor de tiempo

Para usar nuestro firewall como servidor de hora para nuestra red, lo primero que debemos hacer es configurarle la hora para que él a su vez tenga la hora sincronizada con un servidor externo.

Para ello vamos al menú System→Dashboard→Status y en el Widge de System Information . En el widge nos aparece la hora del sistema (System Time) pulsamos en Cambiar

Seleccionamos la opción de sincronizar con un servidor ntp y a su vez habilitamos los interfaces por los que estará disponible el servicio ntp.

Para comprobar si se está sincronizando ejecutamos en la consola

diag sys ntp status

el resultado será algo como

A master: yes, HA master ip: 169.254.0.2, management_vfid: 0 ha_direct=0, ha_mgmt_vfid=-1
synchronized: no, ntpsync: enabled, server-mode: enabled
 
ipv4 server(hora.roa.es) 150.214.94.5 -- reachable(0xf0) S:2 T:5 
	server-version=4, stratum=1
	reference time is dfbe35ac.742920b4 -- UTC Fri Dec 14 13:59:08 2018
	clock offset is -0.105044 sec, root delay is 0.000000 sec
	root dispersion is 0.001038 sec, peer dispersion is 255 msec
 
ipv4 server(minuto.roa.es) 150.214.94.10 -- reachable(0xf0) S:2 T:5 
	server-version=4, stratum=1
	reference time is dfbe35a3.fde35efc -- UTC Fri Dec 14 13:58:59 2018
	clock offset is -0.121409 sec, root delay is 0.000000 sec
	root dispersion is 0.001099 sec, peer dispersion is 520 msec
 
ipv4 server(130.206.3.166) 130.206.3.166 -- reachable(0xf0) S:2 T:5 
	server-version=4, stratum=1
	reference time is dfbe35b1.30dcfcc5 -- UTC Fri Dec 14 13:59:13 2018
	clock offset is -0.084606 sec, root delay is 0.000000 sec
	root dispersion is 0.000534 sec, peer dispersion is 294 msec

Normalmente utiliza el interface loopbackp para enviar las peticiones , pero también podemos nosotros definirlas. Por ejemplo

show system ntp

config system ntp
    set ntpsync enable
    set type custom
    set syncinterval 60
        config ntpserver
            edit 1
                set server "hora.roa.es"
            next
            edit 2
                set server "ipservidorntp2"
            next
        end
    set source-ip "xxx.xxx.xxx.xxx"
    set server-mode enable
    set interface "interfaz1 interfaz 2"
end

En xxx.xxx.xxx.xxx especificamos la ip por la que queremos que envíe las peticiones

Con la opción set iterface especificamos los puertos/vlans de nuestro fortigate por los que se permitirá recibir peticiones de sincronización de otros equipos de la red hacia el fortigate

Si queremos ver una captura de los paquetes ntp que enviamos ejecutamos

diagnose sniffer packet any 'port 123' 4 0 a

Si tenemos problemas con la sincronización y queremos ver que está pasando

diag debug application ntpd -1 
diag debug enable