CGNAT bei Wingo

Seit knapp zwei Monaten bin ich nun mit meinem Glasfaser-Internet nicht mehr bei der Swisscom sondern bei deren günstigerem Tochterunternehmen Wingo. Auch dort verwende ich meine eigene Hardware. Das Internet selber hat einwandfrei funktioniert, jedoch wurde mein DNS Name nicht mehr sauber aufgelöst. Nachdem ich alle Geräte kontrolliert hatte, fiel mir auf einmal auf, dass ich keine „normale“ IPv4-Adresse mehr erhalten habe, sondern eine aus dem CGNAT Range.

Auf Wikipedia findet man zum Thema CGNAT folgendes:

Carrier-grade NAT (CGN; deutsch NAT auf Betreiber-Ebene), auch bekannt als large-scale NAT (LSN) ist ein Entwurf für ein IPv4-Netzwerkdesign, welches Endstellen (meistens private Netzwerke) mit speziellen privaten IPv4-Adressen ausstattet, um diese dann über ein NAT-Verfahren auf Betreiber-Ebene in öffentliche IPv4-Adressen zu übersetzen. Dies soll einen Pool von wenigen IP-Adressen für viele Endnutzer nutzbar machen.

https://de.wikipedia.org/wiki/Carrier-grade_NAT

Unter normalen Umständen würde mich das nicht stören; aber mit CGNAT konnte ich meine eigene VPN-Lösung nicht betreiben. Was also tun? Bei Wingo selber kann man sich keine fixe IPv4 besorgen.

Das ganze hätte mir natürlich auffallen sollen, wenn ich den entsprechenden Support-Beitrag auf der Wingo-Seite gelesen hätte. Natürlich habe ich das erst im Nachhinein. Dort steht nämlich:

Deine Wingo Internet-Box erhält von uns eine dynamisch zugewiesene, private IPv4-Adresse. Wenn du unter myWingo Port Forwarding oder DMZ aktivierst, wirst du eine neue, öffentliche IPv4-Adresse erhalten. Diese Änderung kann bis zu 20 Minuten dauern.

https://www.wingo.ch/de/hilfe/installation-support?open=faq-100053

Der Eintrag hatte es in sich und folgende Konsequenzen für mich:

  1. Möchte ich eine „richtige“ IPv4-Adresse, so musste ich diese im Admin-Center aktivieren (das geht aber nur, wenn die Wingo Internet-Box angeschlossen ist)
  2. Ich verzichte auf meine bisherige Lösung und verwende die Internet-Box
  3. Ich schliesse meine Firewall hinter der Internet Box an.

Alle drei Möglichkeiten waren nicht das, was ich mir wünschte. So setzte ich mich auf Twitter mit dem freundlichen Support von Wingo in Verbindung.

Die Lösung war relativ „simpel“ und funktioniert seither immer noch: Der Support riet mir, die Wingo Internet Box kurz einzustöppseln und im Admin-Center meine gewünschte Option zu aktivieren und danach wieder meine Hardware anzuschliessen. Gesagt, getan. Seither habe ich auch mit meiner eigenen Hardware eine „normale“ Adresse und kann beispielsweise über mein eigenes VPN auf meine Infrastruktur zugreifen.

Swisscom Fiber mit Fremdrouter

Für Neukunden lassen sich die Provider allerhand einfallen und so konnte aus einer Reihe von Angeboten auswählen. Letztlich bin ich (mal wieder) bei der Swisscom gelandet.

Möchte man dort seine eigene Infrastruktur einsetzen, muss man einige Dinge beachten damit alles reibungslos läuft. Ich verwende als Firewall bzw. Herzstück meines Netzwerkes OPNsense.

Swisscom gibt hierfür einige wenige Informationen für Fremdrouter preis.

Das Setzen eines VLAN mit der ID 10 hat bei mir nicht gereicht. Es musste ebenso auf der WAN-Schnittstelle die DHCP Option 60 eingerichtet werden.

Anleitung

VLAN erstellen mInterfaces -> Other Types -> VLAN
Parent Interface: WAN Interface
VLAN Tag: 10

VLAN zuordnen: Interfaces -> Assignments
Dort das neue VLAN zuordnen.

WAN konfigurieren: Interfaces -> WAN
IPv4 Configuration Type: DHCP
Lease Requirements -> Send Options:

dhcp-class-identifier "100008,0001,,fantasiename"

Mit diesem Wert setzt man den von Swisscom geforderten Option 60 Wert.

Ich habe anschliessend die Firewall neugestartet und konnte mich dann direkt auf der Swisscom-Seite registrieren und mit der vollen Geschwindigkeit surfen.

Das Erstellen einer eigenen Config-Datei ist hier offenbar nicht mehr notwendig.