CGNAT bei Wingo
Seit knapp zwei Monaten bin ich nun mit meinem Glasfaser-Internet nicht mehr bei der Swisscom sondern bei deren günstigerem Tochterunternehmen Wingo. Auch dort verwende ich meine eigene Hardware. Das Internet selber hat einwandfrei funktioniert, jedoch wurde mein DNS Name nicht mehr sauber aufgelöst. Nachdem ich alle Geräte kontrolliert hatte, fiel mir auf einmal auf, dass ich keine „normale“ IPv4-Adresse mehr erhalten habe, sondern eine aus dem CGNAT Range.
Auf Wikipedia findet man zum Thema CGNAT folgendes:
Carrier-grade NAT (CGN; deutsch NAT auf Betreiber-Ebene), auch bekannt als large-scale NAT (LSN) ist ein Entwurf für ein IPv4-Netzwerkdesign, welches Endstellen (meistens private Netzwerke) mit speziellen privaten IPv4-Adressen ausstattet, um diese dann über ein NAT-Verfahren auf Betreiber-Ebene in öffentliche IPv4-Adressen zu übersetzen. Dies soll einen Pool von wenigen IP-Adressen für viele Endnutzer nutzbar machen.
https://de.wikipedia.org/wiki/Carrier-grade_NAT
Unter normalen Umständen würde mich das nicht stören; aber mit CGNAT konnte ich meine eigene VPN-Lösung nicht betreiben. Was also tun? Bei Wingo selber kann man sich keine fixe IPv4 besorgen.
Das ganze hätte mir natürlich auffallen sollen, wenn ich den entsprechenden Support-Beitrag auf der Wingo-Seite gelesen hätte. Natürlich habe ich das erst im Nachhinein. Dort steht nämlich:
Deine Wingo Internet-Box erhält von uns eine dynamisch zugewiesene, private IPv4-Adresse. Wenn du unter myWingo Port Forwarding oder DMZ aktivierst, wirst du eine neue, öffentliche IPv4-Adresse erhalten. Diese Änderung kann bis zu 20 Minuten dauern.
https://www.wingo.ch/de/hilfe/installation-support?open=faq-100053
Der Eintrag hatte es in sich und folgende Konsequenzen für mich:
- Möchte ich eine „richtige“ IPv4-Adresse, so musste ich diese im Admin-Center aktivieren (das geht aber nur, wenn die Wingo Internet-Box angeschlossen ist)
- Ich verzichte auf meine bisherige Lösung und verwende die Internet-Box
- Ich schliesse meine Firewall hinter der Internet Box an.
Alle drei Möglichkeiten waren nicht das, was ich mir wünschte. So setzte ich mich auf Twitter mit dem freundlichen Support von Wingo in Verbindung.
Die Lösung war relativ „simpel“ und funktioniert seither immer noch: Der Support riet mir, die Wingo Internet Box kurz einzustöppseln und im Admin-Center meine gewünschte Option zu aktivieren und danach wieder meine Hardware anzuschliessen. Gesagt, getan. Seither habe ich auch mit meiner eigenen Hardware eine „normale“ Adresse und kann beispielsweise über mein eigenes VPN auf meine Infrastruktur zugreifen.
Vielen Dank für Deinen Beitrag, genau das Problem hatte ich auch! ;-)
Mich würde noch Interessieren, ob du auf my.wingo.ch alle gewünschten Ports freigeschaltet hast oder einfach einen DMZ-Eintrag auf die IP Deiner Firewall eingetragen hast?
Gibt es einen Nachteil mit dem DMZ-Eintrag?
Liebe Grüsse
Daniel
Hallo Daniel,
vielen Dank für deinen Kommentar und entschuldige bitte die verspätete Antwort: Ich habe extra nochmals nachgeguckt: Auf Wingo habe ich gar keine Ports, etc. mehr freigegeben. Ich habe ja auch kein Gerät mehr von Wingo/Swisscom in Betrieb.
Einstellungen habe ich nur noch im Router vorgenommen. M. E. gibt es keinen Nachteil, ist halt eine Konfigurationssache. Aber das macht man für gewöhnlich nur einmal.
Liebe Grüsse,
Abhijit