DSM 6.x und darunter Uhrzeit falsch, 2FA Problem

[Black_Rider]

Hallo zusammen

Ich kam gerade nicht mehr in mein Admin Konto rein, 2FA Verifizierungscode falsch.

Ursache --> Systemzeit ging 1 Minute nach, auf dem NAS. Mittels "Regionale Optionen" --> "Jetzt aktualisieren" simmt sie nun wieder.

Zeiteinstellung ist auf: "Mit einem NTP-Server synchronisieren": time.google.com

1. Wie kann das passieren? Idee?
2. Was kann ich machen dass das nicht mehr passiert? Oder das Risiko minimieren?

Danke für Eure Zeit.

Gruss

Black

 

[Kurt-oe1kyw]

Port 123 hast du aber nicht blockiert in der Firewall?
Denn normalerweise wenn "Mit einem NTP-Server synchronisieren" aktiv ist, sollte die Zeit immer stimmen.
Ausser der NTP-Zeitserver ist nicht erreichbar und/oder blockiert.

 

[Black_Rider]

Hallo Kurt

Danke für den Tipp.

Nein, der Port ist nicht blockiert. Eine manuelle Aktualisierung über den Button hatte auch funktioniert.

In welchem Intervall synchronisiert dieser denn? Kann man das einstellen?

Gruss

Black

 

[Kurt-oe1kyw]

Die Synchronisation ist abhängig von den Betriebseinstellungen deiner Diskstation. Wenn du zB nur jeden Morgen die DS hochfahren lässt und Abends wieder herunter, dann erfolgt die Synchronisation mit dem Zeitserver immer nach dem Hochfahren und Starten.
Wenn die DS permanent 24/7 durchläuft, dann weiß ich es allerdings nicht.
Ich gehe davon aus mindestens 1 x pro Tag, aber wie erwähnt reine Vermutung von mir.
Eventuell weiß da jemand anderer genaueres darüber?

Das einzige was mir in deinem Fall noch Einfallen würde, es gab ja unter der Woche im deutschsprachigen Raum zum Teil massive Probleme mit DNS Servern, möglicherweise konnte deine DS daher den DNS Namen nicht auflösen und so wurde die Synchronisation unterbrochen?
Ist aber ebenfalls nur eine reine Vermutung von mir.
Begonnen hatte das ganze ja am 04. Oktober 2021 mit Ausfällen bekannter Internetdienste und dabei waren auch viele Provider und DNS betroffen.
Siehe zB auch:
https://www.netzwelt.de/ist-down/194215-vodafone-internetprovider-kaempft-stoerungen.html
nur als Beispiel.

Von Wien aus ist mir selbst nichts aufgefallen, da lief es "normal" weiter, ausser die bekannten Internetdienste waren teilweise weg.
Ich habe gerade nachgesehen NTP arbeitet hier ganz normal, Zeit stimmt.

 

[Black_Rider]

Hallo Kurt

Danke für die ausführliche Antwort. Der NAS läuft 24/7.

Aber das mit den DNS Server scheint möglich zu sein.

Gruss

Black

 

[Black_Rider]

Hallo zusammen

Als kleiner Endbericht. Die Fehlerursache konnte ich nicht herausfinden. Die Differenz hat sich immer mehr gesteigert, konnte von Minute zu Minute eine grössere Abweichung feststellen. Beobachtet habe ich das ganze mittels aktiviertem NTP Dienst auf dem NAS und einem Bacht Script (Windows) welches wie folgt aussieht:

w32tm /stripchart /computer:192.168.1.140 /dataonly /samples:500
pause


Das Problem gelöst habe ich jedoch mit folgender Befehlszeile als root im Aufgabenplaner vom NAS täglich ausgeführt: ntpdate -u time.google.com

Eventuell hat ja mal jemand das gleiche Problem.

Gruss Black_Rider

 

[Fusion]

Im Standard steht die Abfrage auf minpoll 6 und maxpoll 10, also zwischen 64s und 1024s (1-17 min) für time.google.com

Die Hardware-Abweichung in /run/ntp/drift
Bei mir z.B. 12469 (Einheit PartsPerMillion), ca. 1.27s pro Tag

In /etc/synoinfo.conf steht bei mir eine ntpdate Periode "täglich" für das Neusetzen der Uhrzeit.
Nutze pool.ntp.org

 

[megakeule]

Habe das Problem auch. Meine (Backup) DS läuft nur am Wochenende. Sich mit dem Teil zu verbinden ist ein Drama.
1.) Vergisst die jedesmal, dass sie meinen Browser "vertrauen" soll
2.) Wenn ich dann den 2FA eingeben, muss ich den Login-Screen zig mal neu laden und den Login versuchen, bis es mla klappt. Bin kurz davor 2FA zu deaktivieren...

Ich glaube, die Timeserver Abfrage findet eben NICHT nach jedem Neustart statt....

 

[DrDeath]

Und selbst wenn die Abfrage stattfindet, springt die Uhrzeit nicht sofort auf die korrekte Uhrzeit, sondern die interne Uhr wird "langsamer" bzw. schneller gestellt, bis der "Drift" überwunden wurde.

mit:

ntpq -nc peers

kannst du die Drifts darstellen......

So wäre es perfekt:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 pool.ntp.org    .POOL.          16 p    -   64    0    0.000   +0.000   0.000

Kein Offset, kein Jitter


Der NTP-Client präsentiert eine Auflistung der IP-Adressen der zufällig eingesetzten Zeitserver aus dem Pool. Ist einer dieser Server mit einem Stern (*) markiert, wird die Systemzeit fortan wie gewünscht synchronisiert.

 

[peterhoffmann]

Danke für den Gedankenanstoß.

Ich habe mich noch nie wirklich mit dem Zeitabgleich beschäftigt. Ich dachte immer, dass der einfach die Zeit abfragt und die Zeit auf dem Endgerät danach stellt. Fertig.
An einen Drift bzw. dem stückweisen Anpassen habe ich gar nicht gedacht. Vielleicht kann da jemand ein etwas tieferen Einblick geben, warum das so ist.

Hier mal meine Werte:

root@DS716+ / $ ntpq -np
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 pool.ntp.org    .POOL.          16 p    -   64    0    0.000    0.000   0.000
+129.70.132.36   129.70.137.82    2 u   32   64  377   26.971    0.182   3.509
-94.16.116.137   130.149.17.21    2 u   98  128  377   18.304   -1.711   3.343
*130.255.77.87   79.133.44.131    2 u   38   64  377   14.313    2.022   0.549
-3.64.117.201    131.188.3.221    2 u   27   64  377   14.851    1.675   0.555
-171.66.97.126   171.64.7.73      2 u  105  128  377  158.306    1.230   0.540
+103.219.22.112  193.62.22.82     2 u   28   64  377   26.940   -2.184   1.730
-185.122.238.196 192.33.96.101    2 u   25  128  375   34.405   -0.624   0.729
-83.162.177.33   193.67.79.202    2 u   97  128  377   22.514    1.794   3.894
-94.247.111.10   46.254.241.74    2 u   26   64  377  102.985    2.772   0.744

Was ich noch gefunden habe, ist die Abfrage der Systemvariablen:

root@DS716+ / $ ntpq -c rv
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p11@1.3773-o Thu Mar  4 10:59:20 UTC 2021 (1)",
processor="x86_64", system="Linux/3.10.105", leap=00, stratum=3,
precision=-23, rootdelay=27.023, rootdisp=6.685, refid=129.70.132.36,
reftime=e5a38605.fbc2ac39  Tue, Feb  1 2022 11:12:21.983,
clock=e5a38634.f52fc8c3  Tue, Feb  1 2022 11:13:08.957, peer=14803, tc=7,
mintc=3, offset=0.696703, frequency=-21.080, sys_jitter=2.206232,
clk_jitter=0.505, clk_wander=0.124

---

Kleiner Nachtrag:
Ich habe die Abfrage vom NAS auf die Fritzbox umgestellt, sowie in der Fritzbox zwei Zeitserver angegeben (pool.ntp.org u. ptbtime3.ptb.de).

Nun sieht die Abfrage so aus:

root@DS716+ / $ ntpq -np
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.0.1     192.53.103.103   2 u   42   64  377    0.276    0.059   0.492

192.168.0.1 => Fritzbox
192.53.103.103 => ptbtime3.ptb.de (Atomzeit der PTB der TU Braunschweig)
Jetzt schaue ich die Tage noch mal wie sich der Offsett u. Jitter entwickeln.

---

2. Nachtrag:
Nun frage ich mich, ob es überhaupt so schlau ist einmal einen deutschen und einen internationalen Zeitserver anzugeben. *grübel*

 

[megakeule]

Das heißt also, wenn die Büchse ein Paar Tage aus war und dann gestartet wurde, dauert es X Minuten/Stunden/Tage bis die Uhrzeit wieder stimmt?
Das widerspricht aber meiner Erfahrung, dass es nach ein paar Versuchen (mit Reload der Login Page) dann doch irgendwie geht und dass das Problem unabhängig davon auftritt, wie lange nach dem Start ich warte, bis ich mich das erste Mal einlogge.

 

[peterhoffmann]

@megakeule
Hast du die Spannung deiner CMOS-Knopfzelle mal geprüft bzw. sie mal ausgewechselt?
Hintergrund ist, dass bei NASen, die oft ausgeschaltet sind, die Knopfzelle schnell leer wird. Ich hatte das schon nach 1,5 Jahren mit einem Backupgerät.

 

[megakeule]

Das wäre ein Punkt, ich glaube aber, dass die länger hält, solange die Stromversorgung dran bleibt.
Meine DS211+ schaltet sich ja auch immernoch pünktlich timergesteuert an.

 

[Fink]

Hab ebenfalls auf meiner DS218 nach dem Update auf DSM 7 ein Problem mit 2Factor. Es wird immer gesagt, das der Code nicht stimmt. Der Code funktioniert nur in den erst 5-10 Sekunden. Auch bei mir ging die Uhr um ca. 1 Minute falsch. Aber auch nach Update mit dem Zeitserver und korrekter Zeitanzeige ist es nicht viel besser.

 

[Kurt-oe1kyw]

Womit lässt du deine Code generieren?

 

[Fink]

1Password. Auf meiner DS415+ unter DSM7 besteht das Problem nicht und unter DSM6 hatte ich ebenfalls nie Probleme.

 

[Kurt-oe1kyw]

ok, also ich kann hier für DSM 7 auch nur von der DS118 sprechen da funktioniert es ebenfalls einwandfrei.
Die DS218+ läuft hier noch unter DSM 6.2.4 und da hatte ich seit dem Kauf der DS noch nie Probleme mit 2FA.

Wenn du auf der DS im DSM unter Info-Center nachschaust, wird dir dort die richtige Systemuhrzeit angezeigt?

 

[Fink]

Wenn du auf der DS im DSM unter Info-Center nachschaust, wird dir dort die richtige Systemuhrzeit angezeigt?

Die Uhrzeit scheint mit der Zeit an Genauigkeit zu verlieren, obwohl ich einen NTP Server hinterlegt habe. Nach einem manuellen Sync geht die Zeit dann korrekt. Dauert es nach einem Sync eine gewisse Zeit bis 2Faktor wieder korrekt funktioniert? Habe es direkt nach dem Sync probiert und bin aufs gleiche Problem gestoßen. Nun ca. 1 Stunde später hat der Code direkt funktioniert (eventuell Zufall). Habe nun beim Login mal „Auf diesem Gerät nicht mehr fragen“ angewählt. Nicht das ich mich aussperre. Wo sieht man im DSM die Clients, für welche kein 2Faktor mehr abgefragt wird?

Update: Schon selbst die Stelle gefunden, wo vertrauenswürdige Geräte aufgelistet werden.

 

[jfknyc]

HI,

ich hoffe, ich darf mich hier mal dran hängen..

Ich habe auch das Problem mit der Zeit..2FA geht so gut wie gar nicht..Syno wird für eine halbe Stunde gesperrt, dann kann ich es wieder versuchen..Was nützt mir die 2FA, wenn ich nicht reinkomme?
Ich habe eine DS114, zwar schon älter aber sie läuft einwandfrei..bis auf dieses 2FA Gedöns..Kann man es nicht so einstellen, das ich eine Email mit dem Code direkt abfragen kann?Ich bekomme auch gar nicht die Abfrage, nach dem Codes falsch sind, da sich mein Endgerät verlegt habe und somit einen Code per Email bekomme..
Von obigen scripts etc verstehe ich leider nicht so viel..und ehrlich gesagt, will ich das es einfach gelöst wird seitens Synology und nicht noch mit irgendwlechen Scripts gearbeitet werden muss. Als Authenticator App funktioniert die App von Syno "Secure Sign in" sowie mein Iphone.
Habe auch schon den Google Authenticator versucht, gleiches Problem..Bei anderen Internetseiten, wo ich den Authenticator benutze, klappt es..
Das Ganze ist ziemlich nervig..

Dank Euch

 

[megakeule]

Ich nehme mal an, das beim Sync die Uhrzeit nicht "abrupt" umgestellt wird, das würde für Inkonsistenzen sorgen. Die Diskstation wird wohl die korrekte Uhrzeit nach einiger Zeit "einholen". Außerdem kann auch die Uhrzeit auf den Gerät, auf dem die Auth-App läuft, falsch sein. Früher, also in der Zeit als TimeBased2FA aufkam, waren die Zeitfenster mal großzügiger bemessen (1 Minute, und der Code jeweils davor und danach wurde auch noch akzeptiert). Das hat man wohl aus Sicherheitsgründe aufgegeben.

Die besagte Diskstation wird übrigens jeweils frisch hochgefahren, bzw. läuft erst seit einem Tag, wenn das Problem auftritt. Im ausgeschalteten Zustand kann die RealTimeClock natürlich nicht synchronisiert werden. Wenn das mit der "sanften" Korrektur stimmt, dann ist das Ausschalten hier wohl kontraproduktiv.

Mehrmals anmelden hilft bei mir. Aber nur, wenn ich den LogIn-Screen neu lade (also Username und PW neu eingebe).
Ich kann damit immer eine erfolgreiche Anmeldung erreichen, egal zu welchem Zeitpunkt nach dem Start der DS. Das würde gegen die Theorie sprechen, dass die Zeit-Korrektur eine gewisse Zeit braucht. Kann aber auch sein, dass die DS nach mehrmaligen Versuchen, auch Codes akzeptiert die zeitlich leicht daneben liegen....