Problem gelöst
Mein NATO zertifizierter Sicherheitstechniker für meine Firewall / VPN hat mit Swisscom Kontakt aufgenommen. Es hat daran gelegen dass Swisscom stillschweigend auf CG NAT umgestellt hat.
Im First level support wusste dies niemand und ich habe an drei Abenden Stunden in der Hotline verplempert.
Die Lösung ist dass sie wieder eine NAT einrichten und ich eine öffentlich IPv4 Adresse wieder habe.
Zusätzlich hatte sich noch der VPN Dienst während den endlosen Versuchen auf der Firewall verabschiedet.
Eine neue IPv4 Adresse bekommt man nur zugewiesen wenn man laut Support den Ruter 3 mal hinterenander neu startet oder den Router min. 24h ausschaltet (was wohl kaum zuzumuten ist).
Fazit der Swisscom Aktion: Aufwand im Umfang von fast einen Arbeitstag.
Für NIX !