Hallo @fk22
hast Du es mit dieser Datei versucht?
Der ganze Pfad ist dann /etc/security/packetfilter.d/50_local.sh
Danke für die Idee mit dem öffnen einer einzigen IP-Adresse. Das sieht so aus als könnte man das hin und wieder mal gebrauchen 
VG,
Bernd
Hallo @lebernd
danke für den Tipp, das hat prima geklappt.
Weil ich Angst hatte mir den Rückweg zu verbauen haben ich die security/packetfilter/package/ Regeln erstmal nur auf REJECT gesetzt. Dabei habe ich Kopano4UCS Variablen ausgelassen.
Danach meldete der UCS Master, dass er die öffentliche IP des Slaves nicht mehr als Namensserver erreichen kann. Habe den dann auf die VPN IP geändert und alles sieht grün aus.
VG
FK