Ich hatte bereits mehrfach von einem merkwürdigem Phänomen gehört. Es ging darum dass User berichteten, dass Sie nicht auf eine Webseite zugreifen könnten. Es war mir immer ein Rätsel, welches ich nun endlich lösen konnte. Danke der Hilfe eines Benutzer habe ich das Problem herausgefunden. Der Benutzer konnte auch nicht auf eine Webseite zugreifen. Ich habe dann herausgefunden dass die Anfragen aus dem CGNAT Netzwerk von Swisscom stammt. Da ich die IP-Adresse auf der Firewall gesehen habe und ich nun wusste, dass es sich tatsächlich um ein IT Problem handelt machte ich mich auf die Ursachensuche.

Auf der Pfsense oder vermutlich auch Opensense, kann man die Option “Block bogon Networks” aktivieren. Das hört sich für den Laien sowie für Sicherheitsfanatiker gut an und man aktiviert diese Option relativ schnell. Die Option ist eigentlich auch kein Problem, wenn alle Ihren Job richtig machen würden. Man kann sich dazu auch tiefer einlesen, was da überhaupt gemacht wird und um was es geht. Das ist aber nicht unbedingt nötig aber dennoch interessant.

Das folgende Szenario traf für mich zu in diesem Fall:

Kunde 1 -> Swisscom Kunde mit Public IP-Adresse (kein CGNAT) (Betreiber einer Webseite)

Kunde 2 -> Swisscom Kunde mit IP-Adresse aus CGNAT (Anwender, Kunde)

Kunde 1 betreibt eine Webseite (443 – https – TCP) und arbeitet mit einer Pfsense welche es erlaubt die Regel “Block bogon Networks” zu aktivieren. Diese ist aktiv geschaltet.

Kunde 2 Will auf die Webseite vom Kunden 1 zugreifen. Das funktioniert nicht er erhält die Meldung dass die Webseite nicht verfügbar ist. Via Mobile oder einem anderen Zugang welcher nicht von Swisscom ist funktioniert der Zugriff.

Wird die Regel “Block bogon Networks” nun vom Kunden 1 deaktiviert kann der Kunde 2 auf die Webseite zugreifen. Das bedeutet nichts geringeres als, dass die Swisscom CGNAT Swisscom Kunden nicht richtig ins Internet umleitet falls der Servicebetreiber (Kunde 1) auch Swisscom Kunde ist. Denn der Betreiber sieht nun die CGNAT Adresse, das dürfte so nicht passieren.