[[Feature Request] Bypass DoT/DoH for NTP servers]

Hello!

Currently I’m experiencing the problem with NTP and DoT/DoH on my Keenetic Speedster (KN-3010) v3.6.10.

Sometimes I turn off the router before the night or weekend. I believe it is normal for consumer grade hardware to not forced to be on 24/7/365.

And when I turn it on sometimes, not always, there’s no internet access (websites are not working on any device in local network).

When I check the logs, there’s a repeating error about DoT/DoH not being able to validate TLS-certificate and NTP messages about unable to sync time with 0.pool, 1.pool and etc.

My assumption is that is a chicken and egg problem. So the loop is the following:

Local time is wrong on startup -> Need to sync NTP -> Need to start up DoT/DoH (at least for resolving NTP hostnames) -> Unable to do that (TLS-certificate for DoT/DoH services doesn’t validate because of wrong local time) -> Unable to sync time

Please, consider bypassing DoT/DoH for NTP servers.

Thank you!

[Сбой времени, проблема с NTP и сертификатами DoT/DoH]

16 minutes ago, vasek00 said:

NTP: исправлена валидация ответов от NTP-серверов при определенных условиях [NDM-1880]

Хорошо, если данный фикс как-то относится к ситуации, описанной мной.

Благодарю вас за подробный лог с комментариями.

У меня в целом тоже всегда, получается, нормальные условия присутствуют, и как я уже упомянул чуть выше, проблема проявляется крайне редко.

С начала лета раз 5 или 6 сбивалось время. Я как раз ушел тогда сначала с провайдерских DNS на просто публичные, а затем на DoT/DoH.

Собственно, до перехода на DoT/DoH время не сбивалось никогда. Вернее, оно, конечно, сбивалось, но роутер успешно синхронизировал его сам без проблем.

Просто замечать стал после перехода на DoT/DoH. Включишь роутер утром, и ни один сайт не открывается ни на одном устройстве в сети. Лезешь в логи, а там DoT/DoH не поднялись из-за сбившегося времени.

[Сбой времени, проблема с NTP и сертификатами DoT/DoH]

Очевидно, что данная проблема требует внесения изменений в одном из следующих обновлений прошивки.

Это явный баг, поскольку в настоящее время такая исключительная ситуация, как сбившееся время на роутере с включенным DoT/DoH просто не отрабатывается корректно. Предполагаю, что баг затрагивает абсолютно всю линейку устройств Keenetic.

Мое предложение разработчикам (репорт уже в тех.поддержке): резолвить NTP-сервера, указанные в настройках, в обход DoT/DoH.

На этом вопрос будет решен.

[Сбой времени, проблема с NTP и сертификатами DoT/DoH]

Добавил следующие IP-адреса в настройки NTP:

ntp.msk-ix.ru
194.190.168.1

time.apple.com
17.253.122.125

time.google.com
216.239.35.0

time.cloudflare.com
162.159.200.123

Буду наблюдать. Благодарю всех откликнувшихся!

[Сбой времени, проблема с NTP и сертификатами DoT/DoH]

2 minutes ago, TheBB said:

почему?

Наверное по той же причине, по которой, например, разработчики Keenetic не делают этого и по умолчанию прописывают именно пулы, а не какие-то IP?

Это ведь пул уже должен выбрать конкретный, доступный в настоящее время сервер из своего списка по нашему запросу.

А если мы укажем какие-то конкретные IP-адреса, и они перестанут отвечать или работать, то время мы опять не узнаем. Придется искать новые, менять.

И что мы получим? Ту же проблему, описанную выше.

Единственным решением сейчас видится не выключать роутер вообще.

[Сбой времени, проблема с NTP и сертификатами DoT/DoH]

4 minutes ago, Владимир Зуйков said:

Там нет ни какой батарейки, время синхронизируется NTP.

Суть в том, что при сбившемся времени, оно увы уже не синхронизируется, при включенном DoT/DoH. По причинам, описанным мной выше.

[Сбой времени, проблема с NTP и сертификатами DoT/DoH]

Sep 28 16:31:31 https-dns-proxy
TLS certificate verify error: Error
Sep 28 16:31:36 https-dns-proxy
Core::Syslog: last message repeated 17 times.
Sep 28 16:31:36 ndm
Ntp::Client: unable to communicate with "0.pool.ntp.org".
Sep 28 16:31:36 ndm
Ntp::Client: could not synchronize, waiting...
Sep 28 16:31:36 https-dns-proxy
TLS certificate verify error: Error
Sep 28 16:32:00 https-dns-proxy
Core::Syslog: last message repeated 23 times.
Sep 28 16:32:04 ndm
Core::Ndss: [513] cannot connect to the server.
Sep 28 16:32:10 https-dns-proxy
TLS certificate verify error: Error
Sep 28 16:32:35 https-dns-proxy
Core::Syslog: last message repeated 46 times.

Я уже проанализировал свой лог. Вывод такой: при сбившемся времени на роутере сертификаты DoT/DoH проверить не возможно, поскольку время не корректное. Роутер не может обратиться к серверам NTP, поскольку для их разрешения необходимо установить подключение DoT/DoH. Которое также установить не возможно.

Это замкнутый круг, ошибка, на которую следует обратить внимание разработчикам.

У меня все тот же вопрос к представителям Keenetic: по какой причине может сбиваться время на роутере? Там какая-то батарейка находится, которая уже села за несколько месяцев использования?

[Сбой времени, проблема с NTP и сертификатами DoT/DoH]

Здравствуйте! Имеется роутер Keenetic Speedster, который, как правило, выключаем на ночь.
На роутере настроены DoT/DoH. Сейчас это Google, но проблема проявлялась и с Cloudflare.

Иногда при включении роутера утром он не может подключиться к интернету. При заходе в админку в системном журнале вижу повторяющиеся ошибки:

Sep 28 16:32:37 https-dns-proxy
TLS certificate verify error: Error
Sep 28 16:32:39 https-dns-proxy
Core::Syslog: last message repeated 7 times.

То есть проблема следующая: по какой-то причине сбилось время – не может подключиться к интернету, так как DoT/DoH не валидирует сертификаты из-за сбившегося времени на устройстве. Лезет обновлять время – не получается, поскольку нет доступа к интернету из-за предыдущей ошибки, и не удается, видимо, резолвить 0.pool.ntp.org и прочие. И так по кругу.

Помогает только вручную выставлять время в админке. После чего роутер подключается успешно.
Хотелось бы понять, почему может периодически сбиваться время на устройстве?

Также есть предложение. Может быть в одном из следующих обновлений прошивки разработчики подумают, как решить эту проблему? Например, вносить адреса серверов NTP, указанные в настройках, в список исключений модуля DoT/DoH?

Или же есть какой-то способ избежать подобного сценария путем изменения существующих настроек?
Варианты отключить DoT/DoH совсем или прописывать какие-то конкретные IP-адреса серверов NTP вряд ли будут правильным решением.

Заранее благодарю за любые отклики и мысли.