[GTER] acesso A.NTP.BR/C.NTP.BR por ips de routers no PTT-SP

Frederico A C Neves fneves at registro.br
Thu Jun 15 13:45:14 -03 2017


Cristofer,

On Thu, Jun 15, 2017 at 12:22:11PM -0300, Cristofer Velloso wrote:
> Oi..
> Hoje fui configurar um ntp num router no ptt e deparei de novo com um
> problema que já tive.
> 
> A partir do ip do ptt não chega no a.ntp.br, para funcionar  tenho que
> forcar origem em outro ip do router, a rota é recebida do router do
> NIC.BR 187.16.217.2 . Acontece o mesmo pro c.ntp.br que roteia pelo
> router da RNP 187.16.220.208 .
> 
> Tem algum motivo para isso ?  Aparentemente não tem rota dele pros ips
> da rede 187.16.216.0/21 porque nem pinga, se forcar origem em outro ip
> publico do mesmo roteador vai. 

A rede do IX é de escopo local, não há nenhum ASN provendo trânsito
para a mesma.

Na fronteira de um ASN no IX é boa prática de segurança, entre outras,
reescrever o next hop dos anúncios eBGP que se aprende para o endereço
do seu router conectado ao IX via next-hop-self, antes de transmitir
via iBGP. Desta forma a sua rede não precisa injetar o prefixo do IX
no seu IGP.

> O b.ntp.br recebo rota pelos trânsitos e é ok quando tenho ips públicos
> pra ter origem pra chegar nele, mas tenho alguns casos de router no
> ptt-sp sem outro ip publico além dos ips do ptt, e sem default só
> roteia entre os blocos anunciados pra ele e os recebidos do ptt.
> 
> tenho usado dai outros ntp nesses casos, os do pool.ntp.br tem acesso a
> partir dos ips do ptt por exemplo, dos 4 que informam no site um tá no
> as do STF e os outros 3 na Amazon

Utilizar um endereço seu como cliente NTP é o mais seguro neste
caso. Seja ele uma interface interna ou uma loopback em seu espaço de
endereçamento.

> []os
> Cristofer

[]s
Fred



More information about the gter mailing list