Folgende Ausgangslage:
- Swisscom BCON Kunde mit 4 fixen öffentlichen IP-Adressen (= 1 IP frei nutzbar)
- DMZ auf Centro Business Router eingerichtet
- am DMZ Port hängt Firewall mit fixer IP-Konfiguration innerhalb des von Swisscom zugeteilten Subnets
- Default-Route für Firewall zeigt auf Swisscom Router
- sämtlicher Traffic vom LAN via Firewall ins Internet wird via NAT auf öffentliche IP der Firewall übersetzt
Um die Sache etwas besser zu veranschaulichen nehmen wir mal an die erwähnte Firewall hat die Public-IP 1.1.1.1/30 und der Centro Business Router die IP 1.1.1.2/30. Das heisst auf Grund meiner NAT-Regel auf der Firewall erscheint sämtlicher Verkehr aus dem LAN gegenüber dem Internet mit der IP 1.1.1.1. Interessanterweise scheint das aber seit Anfangs September nicht mehr für DNS-Abfragen zu gelten. Gegenüber dem DNS-Server im Internet lautet die Quell-IP Adresse der DNS-Abfrage nicht wie zu erwarten 1.1.1.1 sondern neu 1.1.1.2. Ich kann das Phänomen bei 4 BCON-Kunden exakt so reproduzieren. Ergo muss ich davon ausgehen, dass Swisscom seit einiger Zeit (in meinem Fall scheint das bei 4 Kunden seit Anfangs September der Fall zu sein) die DNS-Pakete manipuliert.
Ich kann nachvollziehen, das DNS-Antworten (nicht Anfragen) im Zuge der Einführung des Internet Guards bewusst verändert werden. Dass nun aber selbst der DNS-Request IP-mässig verändert wird, wäre mir neu und ist nicht ganz unproblematisch.
Wir haben bei diversen Kunden OpenDNS resp. Cisco Umbrella im Einsatz. Dort ist jeweils die Public-IP der Firewall (in unserem Beispiel die 1.1.1.1) hinterlegt. Nun funktionieren diverse Filterregeln nicht mehr, weil der DNS-Request ganz offensichtlich von der IP 1.1.1.2 daher kommt. Mit der Erfassung der IP 1.1.1.2 bei OpenDNS ist das Problem natürlich gelöst. Nichtsdestotrotz finde ich es höchst verwunderlich, dass die Quell-IP der DNS-Anfrage verändert wird. Wie erwähnt muss das erst kürzlich eingeführt worden sein.
Ich konnte kein offizielles Statement oder Information von Swisscom zu diesem Thema finden und wende mich deshalb hier mal an die Community. Evtl. kann mir hier jemand bestätigen/erklären, dass dies bewusst so geändert wurde und weshalb.
