Seit Umstieg von USG auf Cloud Gateway Ultra kein Zugriff von außen mehr möglich.

    Hallo Leute

    Hatte jahrelang einen USG und die Unifi Software auf einem normalen Windows PC installiert.

    Jetzt endlich mal aufgerüstet und beides durch ein CGU ersetzt.
    Das erste komische war, dass danach fast alle PC beim Neustart das Netzwerk von Privat auf öffentlich geändert haben bzw gefragt haben und das hat erstmal Probleme gemacht - immer noch keine Ahnung warum das war, sowas sollte ja eigentlich nicht passieren?

    Meine Config vom alten Controller hat es ja einwandfrei eingelesen und alles entsprechend eingerichtet aber die neue Firewall stellt mich vor ein Rätsel.


    Ich habe ein paar Ports weitergeleitet (noch in der alten Konfiguration) und scheinbar wird trotzdem alles blockiert.

    Die Firma die einen wichtigen Server administriert kommt nicht mehr drauf und wenn ich in den Insights schaue, stehen die Zugriffsversuche in der Firewall unter Block.

    Muss ich jetzt zusätlich zur Portweiterleitung/Freigabe noch etwas freigeben?

    Auch wenn ich mit einem Portchecker verschiedene eigentlich offene freigegebene Ports prüfe, erscheinen alle als "closed".

    So ganz verstehe ich das neue System noch nicht.


    Achja, aktuell hängt noch die FritzBox von unserem lokalen Anbieter vor dem CGU, die als Exposed Host in der FB eingetragen ist - so wie es eben schon Jahre funktioniert hat.

    Habe auch schon einen Draytek hier, das wird dann der nächste Schritt obwohl das doppelte NAT bisher noch nie ein Problem war.


    Danke euch.

    Edited once, last by Kaes (October 28, 2025 at 11:18 AM).

    Hallo und willkommen hier in der Community!

    Ein bisschen Feedback:

    Quote from Kaes

    Das erste komische war, dass danach fast alle PC beim Neustart das Netzwerk von Privat auf öffentlich geändert haben bzw gefragt haben und das hat erstmal Probleme gemacht - immer noch keine Ahnung warum das war, sowas sollte ja eigentlich nicht passieren?

    Das ist ganz normales Verhalten von Windows-Clients. Ihnen wird ein Gateway präsentiert, das sie noch nie gesehen haben (Identifikation über die MAC-Adresse) - ergo ist es aus ihrer Sicht ein neues Netzwerk und die Windows-Firewall fragt nach einem Profil für die Einstufung.


    Quote from Kaes

    Ich habe ein paar Ports weitergeleitet (noch in der alten Konfiguration) und scheinbar wird trotzdem alles blockiert.

    Die Firma die einen wichtigen Server administriert kommt nicht mehr drauf und wenn ich in den Insights schaue, stehen die Zugriffsversuche in der Firewall unter Block.

    Schlichte Portweiterleitungen in einer geschäftlichen Umgebung? Wer ist denn bei Euch für IT-Sicherheit verantwortlich? Stellt das am besten so schnell wie möglich auf VPN um, alles andere ist eine schlechte Idee, wenn man nicht zumindest mit strikten Filtern auf Quell-IP-Adressen arbeitet.


    Quote from Kaes

    Muss ich jetzt zusätlich zur Portweiterleitung/Freigabe noch etwas freigeben?

    Auch wenn ich mit einem Portchecker verschiedene eigentlich offene freigegebene Ports prüfe, erscheinen alle als "closed".

    Ohne genauere Infos dazu, was worauf genau zugreifen soll, welche Protokolle verwendet werden usw. ist eine Hilfe hier schlecht möglich. Aber wie gesagt: Dringend auf VPN umstellen!


    Quote from Kaes

    Habe auch schon einen Draytek hier, das wird dann der nächste Schritt obwohl das doppelte NAT bisher noch nie ein Problem war.

    Wenn der Exposed Host korrekt eingetragen ist, ist es auch definitiv nicht das doppelte NAT, das hier Probleme macht.

    Danke dir schonmal - das mit dem neuen Gateway anhand der Mac war mir nicht bewusst, dann ist mir das auch klar.


    Ja, tatsächlich administriere ich das System nebenher (typischer Kleinbetrieb eben...).

    Bisher habe ich drei Portfreigaben, zwei auf die Brandmeldeanlage und eben den auf den Server.

    Alle drei mit festen incoming IPs von den jeweiligen Firmen, weswegen ich das jetzt nicht bedenklich gesehen habe.

    Zudem waren die Portfreigaben die Vorgabe der Firma die die Brandmeldeanlage installiert hat (vermute die Kommunikation läuft da verschlüsselt soweit ich gelesen habe).


    Allerdings habe ich am Freitag als ich mit dem Support der Firma mit dem Server telefoniert habe, eh schon besprochen den internen VPN der CGU zukünftig zu nutzen - damit wollte ich mich auch die nächsten Tage noch auseinandersetzen. Wireguard würde für den jetzigen Fall reichen, da nur UDP benötigt.

    Quote from Kaes

    Ja, tatsächlich administriere ich das System nebenher (typischer Kleinbetrieb eben...).

    So läuft es oft, ich weiß... ;)


    Quote from Kaes

    Alle drei mit festen incoming IPs von den jeweiligen Firmen, weswegen ich das jetzt nicht bedenklich gesehen habe.

    Es wäre dann etwas weniger bedenklich, wenn Deine Firewall auch wirklich nur diese IP-Adressen reinlässt, das muss aber expliziert konfiguriert werden. Nur der Umstand, dass der Zugriff über immer dieselben Adressen erfolgt, ist auf Deiner Seite noch kein Sicherheitsgewinn. VPN ist aber, wie gesagt, in jedem Fall deutlich besser.


    Quote from Kaes

    Zudem waren die Portfreigaben die Vorgabe der Firma die die Brandmeldeanlage installiert hat (vermute die Kommunikation läuft da verschlüsselt soweit ich gelesen habe).

    Ist leider auch nicht ungewöhnlich, aber solche Betriebe haben dann ausschließlich die Funktion ihres eigenen Produkts im Blick und nicht die IT-Sicherheit ihres Kunden. Ein bisschen ironisch, da sie ja zumindest auf anderem Gebiet gerade für mehr Sicherheit sorgen sollen...

    Dass die Kommunikation verschlüsselt läuft, ist schön und gut, es geht aber um das Problem, dass Du mit ungefilterten Portfreigaben Dein Netzwerk für das gesamte Internet öffnest. Da wäre dann bei einem Angriff das Auslesen der Kommunikation einer Brandmeldeanlage das kleinste Problem.

    ;)


    Bei den Portfreigaben habe ich schon explizit die feste IP der jeweiligen Firma eingetragen.

    Nur für aktuelle Tests sprich um über Online Tools die Ports zu testen, habe ich temporär auf "Any" umgestellt.

    Habe auch vorhin den Installateur der BMA angeschrieben ob auch eine Lösung über VPN möglich wäre.


    Grundsätzlich würde mich aber trotzdem interessieren, warum das jetzt konkret geblockt wird, welche Rule müsste ich in der Policy erstellen um einer expliziten IP den Zugriff zu gewähren?

    In der Policy sehe ich ja, dass Standard Rules dafür existieren alles von external auf alles innerhalb zu blockieren.

    Auch wenn ich da zum Test kurz explizit eine Regel erstelle alles von außen nach innen zu erlauben, geht nichts - vermutlich muss ich da gewisse Reihenfolgen berücksichtigen?


    Edit: Vermutlich ist der beste Weg alle Regeln zu löschen und sauber neu anzufangen.

    Habe gerade gelesen, dass es nicht möglich ist die Grundeinstellungen der Firewall zu löschen sprich ein Firewall "Reset" funktioniert am besten, alle "Policies" zu löschen und dann korrekt neu anzufangen - stimmt das?

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login