Cloud Gateway Max NTP-poorten geblokkeerd door KPN

[deetlej1]

Ik heb een nieuwe Cloud Gateway Max gekocht, maar de installatie mislukt omdat de tijd niet op het apparaat kan worden bijgewerkt. Na meerdere supporttickets met Ubiquiti blijkt dat mijn ISP (KPN) het verkeer blokkeert. Ik heb KPN gebeld en zij verwezen me naar de forums, omdat ze voor particuliere gebruikers geen poorten kunnen openzetten. Heeft iemand tips hoe ik de tijd op mijn apparaat kan laten bijwerken? Ik heb diverse aansluitingen geprobeerd: rechtstreeks van de FTU naar mijn CGMax en van de CGMax naar mijn KPN Box 12.

 

[Hofstede]

Heb je de ExperiaBox er nog tussen zitten? Dan staat daar de firewall waarschijnlijk te streng.

Heb overigens nog nooit gehoord / gezien dat KPN NTP blokkeert op de WAN aansluiting.

 

[deetlej1]

Nee, ik heb de CGMax rechtstreeks aangesloten op de FTU.

Ik heb het probleem opgelost door met SSH in te loggen op de CGMax en de tijd en datum handmatig bij te werken. Het apparaat is nu aangesloten op mijn FTU.

 

[Davey400]

Ik heb een nieuwe Cloud Gateway Max gekocht, maar de installatie mislukt omdat de tijd niet op het apparaat kan worden bijgewerkt. Na meerdere supporttickets met Ubiquiti blijkt dat mijn ISP (KPN) het verkeer blokkeert.

123 blokkeren zou wel heel raar zijn; dan kan geen enkel device (inclusief pc’s) een timesync doen.

 

[S1KRR]

Volgens mij blokkeerd KPN op de experia. Niet op de WAN naar de klant zelf.
je kan hiermee wellicht wat: https://pentest-tools.com/network-vulnerability-scanning/port-scanner-online-nmap

 

[edwin2019]

En dan nog. Werkelijk nog nooit meegemaakt dat een vertrouwde NTP server geblokkeerd werd, laat staan de poort. Wel meermaals meegemaakt dat implementatie in de (oude) hardware onjuist is maar kan mij dat met de gateway max eigenlijk niet voorstellen.

 

[Davey400]

Inbound zou wel geblokkeerd kunnen zijn, dat kan ik me nog wel voorstellen.
Maar in dit geval doet het verhaal zich voorkomen alsof een NTP client van KPN niet ‘op het internet’ zou mogen kijken hoe laat het is, en dat gaat echt nooit het geval zijn.
Alles wat certificaat-gebaseerd is loopt het risico om om te vallen als de tijd niet klopt.

 

[S1KRR]

2FA ook. Maar ik zit al een jaartje of 30 in de (internet) netwerken en NTP is eigenlijk altijd gewoon toegestaan.

 

[edwin2019]

2FA ook. Maar ik zit al een jaartje of 30 in de (internet) netwerken en NTP is eigenlijk altijd gewoon toegestaan.

Hm, niet altijd. Sommige netwerken (zorg) hebben hun eigen NTP server.

 

[Davey400]

We wijken een beetje af van het originele probleem, maar juist omdat NTP/123 bijna altijd toegankelijk is (en wij hadden veel ziekenhuizen als klanten) gebruikte ik juist die poort voor toegang tot mijn RDGateway thuis. Op 443 was vaak DPI of moet je (de horror) via een proxy, op 3389 rechtstreeks RDP kun je sowieso meestal wel schudden, maar 123 was bijna altijd wel succesvol.