Guten Tag
Der Post kann direkt nach diesem Post geschlossen werden. Er ist eine reine Information und für den 3 Level oder 4 Level Support der Swisscom gedacht. Selbstverständlich darf das Wissen auch weitergereicht werden an die zuständigen Personen.
Folgendes Szenario:
Kunde 1 -> Swisscom Kunde mit Public IP-Adresse (kein CGNAT)
Kunde 2 -> Swisscom Kunde mit IP-Adresse aus CGNAT
Kunde 1 betreibt eine Webseite (443 - https - TCP) und arbeitet mit einer Pfsense welche es erlaubt die Regel "Block bogon Networks" zu aktivieren. Diese ist aktiv geschaltet.
Kunde 2 Will auf die Webseite vom Kunden 1 zugreifen. Das funktioniert nicht er erhält die Meldung dass die Webseite nicht verfügbar ist. Via Mobile oder einem anderen Zugang welcher nicht von Swisscom ist funktioniert der Zugriff.
Lösung:
Kunde 1 schaut in das Log der Firewall und sieht die CGNAT Adresse von Kunde 2! Kunde 1 deaktiviert die Regel "Block bogon Networks".
Fakt:
Kunde 2 kann nun zugreifen und die Webseite ganz normal besuchen. Sobald die Regel wieder aktiviert funktioniert es nicht mehr.
Lessons learned?
Ja, die Swisscom setzt CGNAT nicht korrekt um und leitet CGNAT Adressen direkt intern weiter anstatt via Internet.
https://www.rfc-editor.org/rfc/rfc6598.html
https://datatracker.ietf.org/doc/html/rfc1918