Sistema e alta affidabilitàIntermedio

NTP Server interno: distribuire l'ora alla tua rete

Come trasformare un router MikroTik in server NTP per la rete locale del WISP, così che apparati, CPE e server prendano l'ora da una sorgente interna controllata, senza esporre il servizio su Internet.

In una rete WISP è prassi avere un singolo riferimento temporale: un router core sincronizza l'ora da Internet (client NTP) e la ridistribuisce a tutti gli altri apparati come server NTP interno. In questo modo eviti che ogni CPE/AP/switch interroghi direttamente Internet, riduci il traffico e mantieni log coerenti su tutta l'infrastruttura.

Prerequisito: il router deve essere già sincronizzato

Il router che fa da server NTP deve prima essere un buon client NTP (vedi sys-ntp-client) con almeno 3 peer upstream. Solo quando è sincronizzato distribuirà un'ora affidabile. Se perde gli upstream, NON deve propagare l'orologio locale derivato: per questo si tiene use-local-clock=no.

Abilitare il server NTP

/system/ntp/server

# Abilita il server NTP unicast (risponde alle query dei client)
/system/ntp/server set enabled=yes

# NON usare l'orologio locale come sorgente: serve solo l'ora
# sincronizzata via NTP upstream. Evita di propagare un'ora errata.
/system/ntp/server set use-local-clock=no

# (Opzionale) abilita broadcast/multicast verso una subnet di gestione
# /system/ntp/server set broadcast=yes broadcast-addresses=10.0.0.255
# /system/ntp/server set multicast=yes

# Verifica
/system/ntp/server print

Configurare i client a puntare al server interno

Lato CPE / AP / switch RouterOS

# Su ogni apparato della rete, punta il client NTP al router core
/system/ntp/client set enabled=yes mode=unicast
/system/ntp/client/servers add address=10.0.0.1 iburst=yes

# Verifica la sincronizzazione
/system/ntp/client print

Proteggere il server NTP dall'esterno

Firewall: NTP solo dalla rete interna

# Consenti NTP (UDP 123) SOLO dalla tua rete di gestione
/ip/firewall/filter add chain=input protocol=udp dst-port=123 \
    src-address=10.0.0.0/24 action=accept comment="NTP interno"

# Blocca NTP da WAN/Internet (previene abuso come amplificatore DDoS)
/ip/firewall/filter add chain=input protocol=udp dst-port=123 \
    in-interface-list=WAN action=drop comment="Blocca NTP da WAN"

ATTENZIONE alla sicurezza: un server NTP esposto su IP pubblico può essere abusato come amplificatore di attacchi DDoS (NTP reflection). Esponi NTP SOLO sulla rete interna e droppa la porta UDP 123 in input da WAN. Tieni sempre use-local-clock=no: se gli upstream cadono, è meglio che i client non sincronizzino piuttosto che ricevere un'ora derivata e instabile.

ntp serverserver ntp internotime serveruse-local-clockstratumbroadcastmulticastddos amplification ntpsincronizzazione ora reteRouterOS

Continua con

Orologio di sistema: impostare data, ora e fuso orario NTP Client: sincronizzazione automatica dell'ora Identity e hardening dei servizi di gestione Utenti e gruppi: policy, chiavi SSH e accesso sicuro

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS