Alex M

Hello! Currently I’m experiencing the problem with NTP and DoT/DoH on my Keenetic Speedster (KN-3010) v3.6.10. Sometimes I turn off the router before the night or weekend. I believe it is normal for consumer grade hardware to not forced to be on 24/7/365. And when I turn it on sometimes, not always, there’s no internet access (websites are not working on any device in local network). When I check the logs, there’s a repeating error about DoT/DoH not being able to validate TLS-certificate and NTP messages about unable to sync time with 0.pool, 1.pool and etc. My assumption is that is a chicken and egg problem. So the loop is the following: Local time is wrong on startup -> Need to sync NTP -> Need to start up DoT/DoH (at least for resolving NTP hostnames) -> Unable to do that (TLS-certificate for DoT/DoH services doesn’t validate because of wrong local time) -> Unable to sync time Please, consider bypassing DoT/DoH for NTP servers. Thank you!

Хорошо, если данный фикс как-то относится к ситуации, описанной мной. Благодарю вас за подробный лог с комментариями. У меня в целом тоже всегда, получается, нормальные условия присутствуют, и как я уже упомянул чуть выше, проблема проявляется крайне редко. С начала лета раз 5 или 6 сбивалось время. Я как раз ушел тогда сначала с провайдерских DNS на просто публичные, а затем на DoT/DoH. Собственно, до перехода на DoT/DoH время не сбивалось никогда. Вернее, оно, конечно, сбивалось, но роутер успешно синхронизировал его сам без проблем. Просто замечать стал после перехода на DoT/DoH. Включишь роутер утром, и ни один сайт не открывается ни на одном устройстве в сети. Лезешь в логи, а там DoT/DoH не поднялись из-за сбившегося времени.

Очевидно, что данная проблема требует внесения изменений в одном из следующих обновлений прошивки. Это явный баг, поскольку в настоящее время такая исключительная ситуация, как сбившееся время на роутере с включенным DoT/DoH просто не отрабатывается корректно. Предполагаю, что баг затрагивает абсолютно всю линейку устройств Keenetic. Мое предложение разработчикам (репорт уже в тех.поддержке): резолвить NTP-сервера, указанные в настройках, в обход DoT/DoH. На этом вопрос будет решен.

Добавил следующие IP-адреса в настройки NTP: ntp.msk-ix.ru 194.190.168.1 time.apple.com 17.253.122.125 time.google.com 216.239.35.0 time.cloudflare.com 162.159.200.123 Буду наблюдать. Благодарю всех откликнувшихся!

Наверное по той же причине, по которой, например, разработчики Keenetic не делают этого и по умолчанию прописывают именно пулы, а не какие-то IP? Это ведь пул уже должен выбрать конкретный, доступный в настоящее время сервер из своего списка по нашему запросу. А если мы укажем какие-то конкретные IP-адреса, и они перестанут отвечать или работать, то время мы опять не узнаем. Придется искать новые, менять. И что мы получим? Ту же проблему, описанную выше. Единственным решением сейчас видится не выключать роутер вообще.

Суть в том, что при сбившемся времени, оно увы уже не синхронизируется, при включенном DoT/DoH. По причинам, описанным мной выше.

Sep 28 16:31:31 https-dns-proxy TLS certificate verify error: Error Sep 28 16:31:36 https-dns-proxy Core::Syslog: last message repeated 17 times. Sep 28 16:31:36 ndm Ntp::Client: unable to communicate with "0.pool.ntp.org". Sep 28 16:31:36 ndm Ntp::Client: could not synchronize, waiting... Sep 28 16:31:36 https-dns-proxy TLS certificate verify error: Error Sep 28 16:32:00 https-dns-proxy Core::Syslog: last message repeated 23 times. Sep 28 16:32:04 ndm Core::Ndss: [513] cannot connect to the server. Sep 28 16:32:10 https-dns-proxy TLS certificate verify error: Error Sep 28 16:32:35 https-dns-proxy Core::Syslog: last message repeated 46 times. Я уже проанализировал свой лог. Вывод такой: при сбившемся времени на роутере сертификаты DoT/DoH проверить не возможно, поскольку время не корректное. Роутер не может обратиться к серверам NTP, поскольку для их разрешения необходимо установить подключение DoT/DoH. Которое также установить не возможно. Это замкнутый круг, ошибка, на которую следует обратить внимание разработчикам. У меня все тот же вопрос к представителям Keenetic: по какой причине может сбиваться время на роутере? Там какая-то батарейка находится, которая уже села за несколько месяцев использования?

Здравствуйте! Имеется роутер Keenetic Speedster, который, как правило, выключаем на ночь. На роутере настроены DoT/DoH. Сейчас это Google, но проблема проявлялась и с Cloudflare. Иногда при включении роутера утром он не может подключиться к интернету. При заходе в админку в системном журнале вижу повторяющиеся ошибки: Sep 28 16:32:37 https-dns-proxy TLS certificate verify error: Error Sep 28 16:32:39 https-dns-proxy Core::Syslog: last message repeated 7 times. То есть проблема следующая: по какой-то причине сбилось время – не может подключиться к интернету, так как DoT/DoH не валидирует сертификаты из-за сбившегося времени на устройстве. Лезет обновлять время – не получается, поскольку нет доступа к интернету из-за предыдущей ошибки, и не удается, видимо, резолвить 0.pool.ntp.org и прочие. И так по кругу. Помогает только вручную выставлять время в админке. После чего роутер подключается успешно. Хотелось бы понять, почему может периодически сбиваться время на устройстве? Также есть предложение. Может быть в одном из следующих обновлений прошивки разработчики подумают, как решить эту проблему? Например, вносить адреса серверов NTP, указанные в настройках, в список исключений модуля DoT/DoH? Или же есть какой-то способ избежать подобного сценария путем изменения существующих настроек? Варианты отключить DoT/DoH совсем или прописывать какие-то конкретные IP-адреса серверов NTP вряд ли будут правильным решением. Заранее благодарю за любые отклики и мысли.