Настройка NTP на MikroTik: клиент и сервер — шпаргалка для ROS 6 и 7

Ваш MikroTik показывает время из 1970 года? Сертификаты валятся, VPN отваливается, логи врут — и вы не понимаете почему? Диагноз поставлен: NTP не настроен.

В этом гайде разберём всё от и до: как настроить MikroTik NTP Client, поднять собственный MikroTik NTP Server для локальной сети, и разберём ключевые отличия RouterOS 6 от RouterOS 7. Готовые команды CLI — копируй и вставляй.

После прочтения вы получите: рабочую синхронизацию времени на роутере, раздачу точного времени клиентам в LAN, и понимание, почему это вообще важно.

Почему корректное время на MikroTik — это не опция, а необходимость

Многие администраторы настраивают NTP по остаточному принципу. «. Вот список того, что ломается при неправильном времени:

• TLS/SSL-сертификаты — браузер и клиент проверяют дату выдачи и срок действия. Расхождение более 5 минут = ошибка сертификата.
• Kerberos-аутентификация (Active Directory) — допускает максимальный дрейф 5 минут. Больше — пользователи не могут войти в домен.
• RADIUS и 802.1X — временны́е метки в пакетах используются для защиты от replay-атак. Плохое время = отказ авторизации.
• IPsec и OpenVPN — сессии разрываются из-за истёкших timestamp’ов.
• CAPsMAN — точки доступа, управляемые MikroTik, теряют синхронизацию с контроллером.
• Логи — невозможно коррелировать события с разных устройств. Расследование инцидентов превращается в квест.

Вывод: NTP — это фундамент инфраструктуры. Настраиваем правильно и один раз.

Что такое NTP и как он работает: теория за 3 минуты

NTP (Network Time Protocol) — протокол синхронизации времени по сети. Работает по UDP, порт 123. Разработан в 1985 году Дэвидом Миллсом и до сих пор является стандартом де-факто.

Stratum-уровни: иерархия времени

NTP строит иерархию источников времени, называемую stratum:

• Stratum 0 — атомные часы, GPS-приёмники, радиосигналы. Эталонные источники.
• Stratum 1 — серверы, напрямую подключённые к Stratum 0. Публичные NTP-серверы Google, Cloudflare.
• Stratum 2 — серверы, синхронизирующиеся от Stratum 1. Сюда попадёт ваш MikroTik после настройки.
• Stratum 3 и ниже — клиенты локальной сети, синхронизирующиеся от вашего MikroTik.

Чем ниже номер stratum — тем точнее время. MikroTik в роли сервера для офисной сети будет Stratum 2 или 3, и этого более чем достаточно.

SNTP vs NTP: в чём разница

SNTP (Simple NTP) — упрощённая версия протокола без алгоритмов коррекции дрейфа и статистической фильтрации. RouterOS 6 использует именно SNTP-клиент — он проще, но менее точен. RouterOS 7 получил полноценный NTP-клиент с поддержкой нескольких серверов и лучшей точностью синхронизации.

Таблица сравнения: RouterOS 6 vs RouterOS 7 в части NTP

Параметр	RouterOS 6	RouterOS 7
Тип клиента	SNTP	NTP (полный)
Путь в CLI	/system ntp client	/system/ntp/client
Несколько NTP-серверов	Нет (primary/secondary)	Да (список серверов)
NTP Server	/system ntp server	/system/ntp/server
Stratum в статусе	Не отображается	Отображается
Точность	Средняя (SNTP)	Высокая (NTPv4)
WinBox путь	System → SNTP Client	System → NTP Client

Настройка MikroTik NTP Client: пошаговая инструкция

Начнём с самого частого запроса: mikrotik ntp client настройка. Рассмотрим оба способа — через WinBox и через CLI — для обеих версий RouterOS.

Настройка NTP Client в RouterOS 7 через CLI

RouterOS 7 использует новый синтаксис с косой чертой в путях. Включаем клиент и добавляем серверы:

# Включаем NTP-клиент
/system/ntp/client set enabled=yes

# Добавляем серверы (можно несколько через запятую)
/system/ntp/client/servers add address=time.google.com
/system/ntp/client/servers add address=time.cloudflare.com
/system/ntp/client/servers add address=ntp1.vniiftri.ru

# Проверяем статус
/system/ntp/client print

После выполнения команд клиент сразу начнёт синхронизацию. Если DNS работает корректно, через 10–30 секунд время выровняется.

Рекомендуемые публичные NTP-серверы для России:

• time.google.com — Google, Stratum 1, стабильный
• time.cloudflare.com — Cloudflare, Stratum 1, поддерживает NTS
• ntp1.vniiftri.ru и ntp2.vniiftri.ru — ВНИИФТРИ, российский Stratum 1
• 0.ru.pool.ntp.org — пул NTP.org для России

Настройка NTP Client в RouterOS 6 через CLI

В RouterOS 6 синтаксис немного отличается, и используется SNTP-клиент с двумя серверами:

# Включаем SNTP-клиент RouterOS 6
/system ntp client set enabled=yes \
  primary-ntp=time.google.com \
  secondary-ntp=time.cloudflare.com

# Проверяем статус
/system ntp client print

Важно: В ROS 6 нельзя указать более двух серверов. В ROS 7 это ограничение снято.

Настройка NTP Client через WinBox

Для тех, кто предпочитает графический интерфейс:

1. Откройте WinBox и подключитесь к роутеру.
2. В меню слева выберите System → NTP Client (в ROS 7) или System → SNTP Client (в ROS 6).
3. Поставьте галочку Enabled.
4. В поле NTP Servers (ROS 7) или Primary NTP / Secondary NTP (ROS 6) введите адреса серверов.
5. Нажмите Apply и OK.

Через несколько секунд в статусе появится информация о синхронизации: текущее время сервера, смещение (offset) и stratum.

Установка часового пояса

NTP синхронизирует UTC-время. Часовой пояс настраивается отдельно:

# Для Москвы (UTC+3)
/system clock set time-zone-name=Europe/Moscow

# Или вручную
/system clock set time-zone-autodetect=no
/system clock set time-zone-name=Europe/Moscow

# Проверка
/system clock print

Настройка MikroTik NTP Server: раздаём время в локальной сети

Это вторая по популярности задача. MikroTik настройка NTP сервера нужна, когда в сети есть устройства, которым нужен точный источник времени: IP-камеры, принтеры, серверы Windows, ПК на Linux, сетевое оборудование.

Когда нужен собственный NTP-сервер

• Устройства в изолированной сети без доступа к интернету.
• Нужно снизить задержку синхронизации для десятков/сотен клиентов.
• Требования безопасности (запрет внешних UDP-соединений).
• Active Directory — желательно иметь внутренний NTP-источник.

Включение NTP Server в RouterOS 7

# Включаем NTP-сервер
/system/ntp/server set enabled=yes

# Опционально: разрешить broadcast (для старых клиентов)
/system/ntp/server set broadcast=no manycast=no

# Проверяем статус сервера
/system/ntp/server print

Включение NTP Server в RouterOS 6

# Включаем NTP-сервер в RouterOS 6
/system ntp server set enabled=yes

# Проверка
/system ntp server print

Настройка Firewall для NTP-сервера (UDP 123)

Это критически важный шаг. Без правила firewall клиенты не смогут обратиться к серверу. Добавляем разрешающее правило в Input-цепочку:

# Разрешаем UDP 123 для локальной сети (замените 192.168.1.0/24 на вашу подсеть)
/ip firewall filter add \
  chain=input \
  protocol=udp \
  dst-port=123 \
  src-address=192.168.1.0/24 \
  action=accept \
  comment="Allow NTP from LAN" \
  place-before=0

# Проверяем правило
/ip firewall filter print where dst-port=123

Внимание: Правило нужно разместить до блокирующих правил в цепочке input. Параметр place-before=0 ставит правило в начало списка.

Проверка работы NTP-сервера

# Статус NTP-клиента (отсюда берётся время для раздачи)
/system/ntp/client print

# Статус NTP-сервера
/system/ntp/server print

# Посмотреть активные соединения на UDP 123
/ip firewall connection print where dst-port=123

На стороне Windows-клиента можно проверить синхронизацию командой:

w32tm /query /status
w32tm /stripchart /computer:192.168.1.1 /dataonly /samples:5

На Linux-клиенте:

ntpdate -q 192.168.1.1
chronyc tracking

Диагностика NTP на MikroTik: проверка конфигурации

После настройки убедитесь, что всё работает корректно. Вот чек-лист диагностики.

Команды проверки в RouterOS 7

# Полный статус NTP-клиента
/system/ntp/client print

# Список настроенных серверов и их статус
/system/ntp/client/servers print

# Системное время
/system clock print

# Логи NTP (фильтруем только NTP-события)
/log print where topics~"ntp"

Что должно быть в выводе /system/ntp/client print

Рабочий вывод выглядит примерно так:

enabled: yes
      mode: unicast
  vrf: main

# В статусе (status) должно быть:
synchronized: yes
# Offset должен быть небольшим (меньше 1000 мс в норме, меньше 100 мс - хорошо)

Если synchronized: no — читайте раздел про типовые ошибки ниже.

Команды проверки в RouterOS 6

# Статус SNTP-клиента
/system ntp client print

# Системное время
/system clock print

# Логи
/log print

Типовые ошибки при настройке NTP на MikroTik и как их исправить

Это самая «болезненная» часть. Разберём все грабли, на которые наступают при настройке NTP-сервера MikroTik.

Ошибка 1: Закрыт UDP 123 на firewall

Симптом: Клиент настроен, но synchronized: no. Логи молчат.

Лечение: Проверьте, не блокирует ли firewall исходящий UDP 123:

# Смотрим правила, которые могут блокировать исходящие соединения
/ip firewall filter print where chain=output

# Временно разрешаем всё исходящее (для диагностики)
/ip firewall filter add chain=output action=accept place-before=0

Также проверьте, не заблокирован ли UDP 123 у вашего провайдера. Некоторые ISP блокируют или перенаправляют этот порт.

Ошибка 2: Неправильный DNS или DNS не настроен

Симптом: NTP-сервер указан по доменному имени, но синхронизации нет. В логах — ошибки разрешения имён.

Лечение: Проверьте DNS и попробуйте указать IP-адрес вместо имени:

# Проверяем DNS
/ip dns print
/ip dns cache print

# Тестируем разрешение
/tool dns-lookup time.google.com

# Временно используем IP вместо домена
/system/ntp/client/servers add address=216.239.35.0

Ошибка 3: Нет маршрута до NTP-сервера

Симптом: DNS работает, но синхронизации нет. Роутер не может достучаться до сервера.

Лечение:

# Проверяем маршруты
/ip route print

# Пингуем NTP-сервер
/tool ping time.google.com count=5

# Проверяем traceroute
/tool traceroute time.google.com

Ошибка 4: Конфликт времени при виртуализации

Симптом: MikroTik запущен как виртуальная машина (CHR — Cloud Hosted Router). Время постоянно прыгает или не синхронизируется.

Лечение: Отключите синхронизацию времени от гипервизора (VMware Tools, VirtualBox Additions, Hyper-V Integration) и полностью положитесь на NTP. Или наоборот — используйте только время гипервизора, отключив NTP-клиент. Главное — не оба источника одновременно.

Ошибка 5: Устаревший RouterOS

Симптом: NTP работает нестабильно, большой дрейф, частые рассинхронизации.

Лечение: Обновите RouterOS. В старых версиях были баги в NTP/SNTP-клиенте.

# Проверяем текущую версию
/system resource print

# Обновляем через менеджер пакетов
/system package update check-for-updates
/system package update install

Ошибка 6: Большой offset при первом запуске

Симптом: Роутер давно без питания, время ушло далеко. NTP клиент не может синхронизировать время (некоторые реализации NTP не делают «step» при большом расхождении).

Лечение: Установите время вручную, затем дайте NTP подхватить:

# Устанавливаем время вручную (формат: ЧЧ:ММ:СС)
/system clock set time=14:30:00 date=mar/04/2026

# Затем перезапускаем NTP-клиент
/system/ntp/client set enabled=no
/system/ntp/client set enabled=yes

Безопасность NTP: защита от атак и злоупотреблений

NTP-серверы могут использоваться для amplification-атак (NTP DRDoS). Публично открытый NTP-сервер с устаревшим ПО — лакомый кусок для злоумышленников. Вот что делать:

• Ограничьте доступ к NTP-серверу только из локальной сети. Не открывайте UDP 123 наружу без необходимости.
• Обновляйте RouterOS. В современных версиях уязвимые команды (monlist) отключены.
• Используйте firewall-правило с src-address — только ваши подсети могут обращаться к серверу.
• Для клиента — предпочтительно использовать серверы с поддержкой NTS (Network Time Security): time.cloudflare.com.

# Правило для блокировки NTP-запросов извне (входящие с WAN)
/ip firewall filter add \
  chain=input \
  protocol=udp \
  dst-port=123 \
  in-interface=ether1-wan \
  action=drop \
  comment="Block NTP from WAN"

Практические сценарии: реальные кейсы настройки NTP

Сценарий 1: MikroTik как центральный NTP-сервер в офисе

Задача: 50 рабочих станций Windows, сервер AD, IP-камеры — всем нужно единое время.

Решение: MikroTik синхронизируется от публичных серверов и раздаёт время внутри.

# Шаг 1: Настраиваем клиент (MikroTik получает время из интернета)
/system/ntp/client set enabled=yes
/system/ntp/client/servers add address=time.google.com
/system/ntp/client/servers add address=ntp1.vniiftri.ru

# Шаг 2: Включаем сервер
/system/ntp/server set enabled=yes

# Шаг 3: Разрешаем UDP 123 из LAN
/ip firewall filter add \
  chain=input protocol=udp dst-port=123 \
  src-address=192.168.0.0/16 action=accept \
  comment="NTP from LAN" place-before=0

# Шаг 4: Задаём часовой пояс
/system clock set time-zone-name=Europe/Moscow

На Windows-клиентах настраиваем через GPO или вручную:

w32tm /config /manualpeerlist:192.168.1.1 /syncfromflags:manual /reliable:YES /update
net stop w32tm && net start w32tm
w32tm /resync

Сценарий 2: Настройка NTP для IP-камер и NVR

Задача: IP-камеры и видеорегистратор должны иметь точное время для корректной записи и поиска.

Решение: Большинство камер и NVR имеют настройку NTP-сервера в веб-интерфейсе. Указываем IP MikroTik (например, 192.168.1.1) как NTP-сервер. Интервал синхронизации — 3600 секунд (1 час) достаточно.

Важно для VLAN: Если камеры в отдельном VLAN, добавьте правило firewall, разрешающее UDP 123 из VLAN камер до IP MikroTik:

/ip firewall filter add \
  chain=input protocol=udp dst-port=123 \
  src-address=10.10.20.0/24 \
  in-interface=vlan-cameras \
  action=accept \
  comment="NTP from cameras VLAN"

Сценарий 3: Настройка для домена Active Directory

Задача: PDC-эмулятор в AD должен синхронизироваться с внешним источником. Kerberos требует точного времени.

Решение: MikroTik как NTP-сервер + настройка PDC-эмулятора на синхронизацию с MikroTik:

# На PDC-эмуляторе (Windows Server, запускаем в cmd с правами администратора):
w32tm /config /manualpeerlist:"192.168.1.1,0x8" /syncfromflags:manual /reliable:YES /update
net stop w32tm
net start w32tm
w32tm /resync /force

# Проверка иерархии времени домена
w32tm /monitor

Остальные DC и рабочие станции получат время от PDC-эмулятора автоматически через Kerberos-механизм AD.

Сценарий 4: MikroTik за NAT (двойной NAT или провайдерский NAT)

Задача: Роутер за NAT провайдера, исходящий UDP 123 может быть заблокирован.

Решение: Используйте NTP-серверы, которые работают через нестандартные порты, или DNS-over-HTTPS для резолвинга + несколько fallback серверов. Также проверьте, не перехватывает ли провайдер UDP 123 и не подменяет ли время своим сервером.

# Проверяем, с какого IP фактически отвечает time.google.com
/tool dns-lookup time.google.com

# Добавляем несколько серверов как fallback
/system/ntp/client/servers add address=time.google.com
/system/ntp/client/servers add address=216.239.35.0
/system/ntp/client/servers add address=ntp1.vniiftri.ru
/system/ntp/client/servers add address=77.88.8.2

Сценарий 5: Использование пулов NTP.org

Задача: Хотите распределённый пул серверов без привязки к одному вендору.

NTP Pool Project — это добровольческая сеть из тысяч серверов по всему миру. Для России рекомендуемые адреса:

/system/ntp/client/servers add address=0.ru.pool.ntp.org
/system/ntp/client/servers add address=1.ru.pool.ntp.org
/system/ntp/client/servers add address=2.ru.pool.ntp.org
/system/ntp/client/servers add address=3.ru.pool.ntp.org

Плюсы: Высокая доступность, автоматическая балансировка. Минусы: Нет гарантии SLA, адреса меняются при каждом резолвинге (что для NTP нормально).

Профилактика и лучшие практики

Чтобы NTP работал надёжно годами, следуйте этим правилам:

• Используйте минимум 2–3 NTP-сервера — при недоступности одного клиент переключится на другой.
• Смешивайте источники — Google + Cloudflare + национальный сервер. Не кладите все яйца в одну корзину.
• Мониторьте время на роутере — добавьте скрипт в Scheduler для периодической проверки синхронизации.
• Регулярно обновляйте RouterOS — баги в NTP-стеке периодически исправляются.
• Документируйте конфигурацию — сохраняйте бэкап конфига после каждого изменения.

# Скрипт мониторинга NTP (добавить в System → Scripts)
# Запускать раз в час через Scheduler
:local ntpStatus [/system/ntp/client get status]
:if ($ntpStatus != "synchronized") do={
  /log warning "NTP NOT SYNCHRONIZED! Check NTP settings."
}

FAQ: Часто задаваемые вопросы по NTP на MikroTik

Q: Нужно ли перезагружать MikroTik после настройки NTP?
A: Нет. Изменения применяются немедленно. Синхронизация начинается через несколько секунд после включения клиента.

Q: Почему после настройки NTP время на MikroTik показывает UTC, а не московское?
A: NTP синхронизирует UTC. Нужно отдельно установить часовой пояс командой /system clock set time-zone-name=Europe/Moscow.

Q: Можно ли использовать MikroTik как NTP-сервер без интернета?
A: Можно, но тогда MikroTik будет источником «свободно плавающего» времени без привязки к реальному. Для изолированных сетей это иногда приемлемо. Установите время вручную один раз, и оно будет дрейфовать незначительно.

Q: Сколько NTP-серверов можно добавить в RouterOS 7?
A: Список серверов неограничен, но 3–4 сервера более чем достаточно. Клиент выбирает наилучший по алгоритму Marzullo.

Q: Как проверить, синхронизировались ли Windows-клиенты с моим MikroTik?
A: Выполните на Windows-клиенте: w32tm /query /status. В поле «Source» должен быть IP вашего MikroTik. Или: w32tm /stripchart /computer:192.168.1.1 — должен показывать небольшое смещение в миллисекундах.

Вывод: прогноз после лечения

Мы разобрали полный цикл настройки NTP на MikroTik: от теории stratum-уровней до конкретных CLI-команд для RouterOS 6 и RouterOS 7. Вы теперь знаете, как настроить NTP Client, поднять собственный NTP Server, защитить его файрволлом и применить это в реальных сценариях — для офисной сети, IP-камер, Active Directory и изолированных сред.

Итог по шагам:

1. Настроить NTP Client на MikroTik с 2–3 серверами.
2. Установить корректный часовой пояс.
3. Включить NTP Server для раздачи времени в LAN.
4. Добавить firewall-правило для UDP 123.
5. Настроить клиентов (Windows, Linux, камеры) на использование MikroTik как NTP-источника.
6. Проверить синхронизацию и добавить мониторинг.

Правильно настроенный NTP — это тихий герой вашей инфраструктуры. Он не виден, пока не ломается. Настройте один раз и забудьте об этой головной боли навсегда.