IP Frage, KV-SaveNet Router
Hallöchen an die Profis,
ich muss in Kürze einen Router mit meiner Fritzbox verbinden um eine VPN-Verbindung herzustellen. (Stichwort KV-SaveNet)
Nun meine Frage. Der „KV“Router benötigt eine feste IP.
Deshalb möchte ich noch einen dritten Nic im Hauptrechner installieren und den Router zwischen Rechner Nic3 (neu) und Fritzbox „klemmen“.
Wie muss ich mein Netz konfigurieren?
Aktuell sieht es so aus: Fritzbox am IP Anschluss 192.168.2.1
Nic1 Hauptrechner mit Fritzbox verbunden:192.168.2.107
Nic2 Hauptrechner mit Internet:192.168.0.1..zweite Rechner 192.168.0.2 usw.
Nic1 u Nic2 über statische Route verbunden f Internet.
Telefon an Fritzbox 192.168.2.101
Drucker/Fax an fritzbox 192.168.2.109
Drucker und Telefon könnten bestimmt auch mit einer anderen Adresse an den Switch aber
es funktioniert gerade alles super.
Also SaveNet Router IP xxx zwischen Fritzbox 192.168.2.1 und neuen Nic3 IP xxx in Hauptrechner.
Wenn ich dem SaveNetRouter die IP 192.168.2.105 gebe wie lautet dann die IP für den neuen Nic3 Hauptrechner?
Hoffe es ist einigermaßen verständlich.
Gruß
Andreas
ich muss in Kürze einen Router mit meiner Fritzbox verbinden um eine VPN-Verbindung herzustellen. (Stichwort KV-SaveNet)
Nun meine Frage. Der „KV“Router benötigt eine feste IP.
Deshalb möchte ich noch einen dritten Nic im Hauptrechner installieren und den Router zwischen Rechner Nic3 (neu) und Fritzbox „klemmen“.
Wie muss ich mein Netz konfigurieren?
Aktuell sieht es so aus: Fritzbox am IP Anschluss 192.168.2.1
Nic1 Hauptrechner mit Fritzbox verbunden:192.168.2.107
Nic2 Hauptrechner mit Internet:192.168.0.1..zweite Rechner 192.168.0.2 usw.
Nic1 u Nic2 über statische Route verbunden f Internet.
Telefon an Fritzbox 192.168.2.101
Drucker/Fax an fritzbox 192.168.2.109
Drucker und Telefon könnten bestimmt auch mit einer anderen Adresse an den Switch aber
es funktioniert gerade alles super.
Also SaveNet Router IP xxx zwischen Fritzbox 192.168.2.1 und neuen Nic3 IP xxx in Hauptrechner.
Wenn ich dem SaveNetRouter die IP 192.168.2.105 gebe wie lautet dann die IP für den neuen Nic3 Hauptrechner?
Hoffe es ist einigermaßen verständlich.
Gruß
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265811
Url: https://administrator.de/forum/ip-frage-kv-savenet-router-265811.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
46 Kommentare
Neuester Kommentar
Moin,
Arztpraxis und Fritte ...? Auch Hallöchen
Und nochmal im Ernst, Herr Kollege (?) - Du hast von IT sowas von keine-ahnung, lass das ausschliesslich den Service Deines KV-Safenet-Anbieters machen (die bringen Dir für grosses Geld auch einen billigen Desktop-Switch mit), da IMHO der Rechner, mit dem KV-safenet-Anwendungen gefahren werden, auch keinen anderen connect ins Netz haben darf - ich vermute mal, dass der in ein eigenes VLAN gepackt werden muss und der VPN-Router das dann routet.
Steht bei mir aber erst im nächsten Quartal an, momentan bin ich da auch erst am Recherchieren.
Nix für ungut, Thomas
Arztpraxis und Fritte ...? Auch Hallöchen
Der „KV“Router benötigt eine feste IP. Deshalb möchte ich noch einen dritten Nic im Hauptrechner installieren
Der Trend geht zur CeBIT 2015 sogar zum 4. NIC pro Rechner . Im Ernst: was soll das werden ...???Aktuell sieht es so aus: Fritzbox am IP Anschluss 192.168.2.1
am IP-Anschluss?? Oder ist das nicht eher die Adresse der Fritte? Prinzipiell kannst Du den VPN-Router irgendwo ins LAN hängen, den Rest werden eh die Service-Fritzen machen, da Du auf die Konfiguration keinen Einfluss hast und nicht einmal ins GUI illern darfstWenn ich dem SaveNetRouter die IP 192.168.2.105 gebe wie lautet dann die IP für den neuen Nic3 Hauptrechner?
Einfach mal Pi und jut is ...Und nochmal im Ernst, Herr Kollege (?) - Du hast von IT sowas von keine-ahnung, lass das ausschliesslich den Service Deines KV-Safenet-Anbieters machen (die bringen Dir für grosses Geld auch einen billigen Desktop-Switch mit), da IMHO der Rechner, mit dem KV-safenet-Anwendungen gefahren werden, auch keinen anderen connect ins Netz haben darf - ich vermute mal, dass der in ein eigenes VLAN gepackt werden muss und der VPN-Router das dann routet.
Steht bei mir aber erst im nächsten Quartal an, momentan bin ich da auch erst am Recherchieren.
Nix für ungut, Thomas
Der „KV“Router benötigt eine feste IP.
Wie es bei Routern ja auch so üblich ist... den Router zwischen Rechner Nic3 (neu) und Fritzbox „klemmen“. Wie muss ich mein Netz konfigurieren?
Dieses Forumstutorial beantwortet dir alle Fragen zu diesem Design:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
bzw. hier was die Kaskade anbetrifft:
Kopplung von 2 Routern am DSL Port
Drucker und Telefon könnten bestimmt auch mit einer anderen Adresse an den Switch
Kannst du halten wie ein "Dachdecker" und egal wo anklemmen. Es spielt für dein Design und die Fragestellung hier keinerlei Rolle...Wenn ich dem SaveNetRouter die IP 192.168.2.105 gebe wie lautet dann die IP für den neuen Nic3 Hauptrechner?
Das ist vollkommen "Latte" such dir eine schöne IP Adresse bzw. Netz im RFC 1918 IP Bereich aus:http://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Bei einem VPN solltest du allerdings zwingend das hier beachten: !!
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Der Rest ist simpler Standard.
Hi,
Ich bin mittlerweile soweit, das der KV-safenet-Router auch hinter meinem Gateway sitzen darf ... aber was passiert mit dem/den Büchsen, die auf das KV-Safenet zugreifen dürfen? Eigenes VLAN?
LG, Thomas
GUSbox oder nen Lancom ?
hast Du Ahnung von dem Mist? Ich habe das noch nicht mal in Betrieb gesehen ... Ich habe mal mit einem Anbieter telefoniert, der wollte meinen LANCOM dicht machen. Irgendwie war das Gespräch aber schnell beendet, nach dem ich ihm verklickert habe, das Internisten zwar keine amputierten Hände sachgemäss wieder anhäkeln können, Hände abhacken aber schon. Wenn auch nicht lege artis .Ich bin mittlerweile soweit, das der KV-safenet-Router auch hinter meinem Gateway sitzen darf ... aber was passiert mit dem/den Büchsen, die auf das KV-Safenet zugreifen dürfen? Eigenes VLAN?
LG, Thomas
Hallo,
ist schon etwas länger her. Manche haben wirklich umgestöpselt, damit dann Client im Netz des KV-Safenet Router ist. Was ist es denn? Terra Mini Blackdwarf, auf der man ein Spiegelei braten kann?
Was ist mit DNS? Normal steht doch in den Anleitungen URL, die - so mein ich zumindest - nur im Safenet aufgelöst wird. Statt URL IP zu verwenden macht ggf. später Probleme, wenn dort intern was umgestellt wird.
Wenn ich dich richtig verstehe, willst du ernsthaft einen PC mit NICs aufmonitionieren, damit er mit den jeweiligen Beinchen in LAN, "Internet" und Safenet steht - richtig?
Normal reicht doch für einen Klienten (Laptop oder Desktop-PC) ein NIC. Wenn die Netze richtig verbunden sind (Routing, DNS-Server, etc.) dann sollte es auch so gehen.
Im Prinzip stellt doch die Blackdwarf nur Verbindung über VPN her. Heisst man gibt was am Rechner ein und es soll dann irgendwie über den Tunenl gehen - richtig? Bin zu lange da raus. Deine Beschreibung ist grottig! Mal es doch mal auf. Wir wollen keine internen daten hier. Aber schreib doch mal z.B. die URL als http://hier-zur-kasse.de/porta.php .... dann soll dat über Safenet laufen. ....
Was haben die anderen Rechner? Scheint mir, als wenn der "Hauptrechner" im Internet Spielen darf. Die Kollegen, Arzthelferinnen o.ä. haben Nezt ohne I-net. Können vlt. noch Solitaire zocken... Richtig?
mfg Crusher
ist schon etwas länger her. Manche haben wirklich umgestöpselt, damit dann Client im Netz des KV-Safenet Router ist. Was ist es denn? Terra Mini Blackdwarf, auf der man ein Spiegelei braten kann?
Was ist mit DNS? Normal steht doch in den Anleitungen URL, die - so mein ich zumindest - nur im Safenet aufgelöst wird. Statt URL IP zu verwenden macht ggf. später Probleme, wenn dort intern was umgestellt wird.
Wenn ich dich richtig verstehe, willst du ernsthaft einen PC mit NICs aufmonitionieren, damit er mit den jeweiligen Beinchen in LAN, "Internet" und Safenet steht - richtig?
Normal reicht doch für einen Klienten (Laptop oder Desktop-PC) ein NIC. Wenn die Netze richtig verbunden sind (Routing, DNS-Server, etc.) dann sollte es auch so gehen.
Im Prinzip stellt doch die Blackdwarf nur Verbindung über VPN her. Heisst man gibt was am Rechner ein und es soll dann irgendwie über den Tunenl gehen - richtig? Bin zu lange da raus. Deine Beschreibung ist grottig! Mal es doch mal auf. Wir wollen keine internen daten hier. Aber schreib doch mal z.B. die URL als http://hier-zur-kasse.de/porta.php .... dann soll dat über Safenet laufen. ....
Was haben die anderen Rechner? Scheint mir, als wenn der "Hauptrechner" im Internet Spielen darf. Die Kollegen, Arzthelferinnen o.ä. haben Nezt ohne I-net. Können vlt. noch Solitaire zocken... Richtig?
mfg Crusher
Hört sich doch brauchbar an.
Und ggf. die Box für DNS verwenden?!? Wie wir denn aufgerufen? URL, IP? Wenn URL, kann Safnet mal den Eintrag ändern. Würde es dynmaisch halten. In der Beschreibung steht doch irgendwo drin, was aufgerufen werden muss oder? Probier das übers normale I-net. Wird wahrscheinlich nicht gehen....
Genau hier würd ich drauf achten, dass der Aufruf so wie in der Doku beschrieben ist läuft.
Und ggf. die Box für DNS verwenden?!? Wie wir denn aufgerufen? URL, IP? Wenn URL, kann Safnet mal den Eintrag ändern. Würde es dynmaisch halten. In der Beschreibung steht doch irgendwo drin, was aufgerufen werden muss oder? Probier das übers normale I-net. Wird wahrscheinlich nicht gehen....
Genau hier würd ich drauf achten, dass der Aufruf so wie in der Doku beschrieben ist läuft.
Zitat von @keine-ahnung:
Hi,
> GUSbox oder nen Lancom ?
hast Du Ahnung von dem Mist? Ich habe das noch nicht mal in Betrieb gesehen ... Ich habe mal mit einem Anbieter telefoniert, der
wollte meinen LANCOM dicht machen. Irgendwie war das Gespräch aber schnell beendet, nach dem ich ihm verklickert habe, das
Internisten zwar keine amputierten Hände sachgemäss wieder anhäkeln können, Hände abhacken aber schon.
Wenn auch nicht lege artis .
jo- etwas plan habe ich...Hi,
> GUSbox oder nen Lancom ?
hast Du Ahnung von dem Mist? Ich habe das noch nicht mal in Betrieb gesehen ... Ich habe mal mit einem Anbieter telefoniert, der
wollte meinen LANCOM dicht machen. Irgendwie war das Gespräch aber schnell beendet, nach dem ich ihm verklickert habe, das
Internisten zwar keine amputierten Hände sachgemäss wieder anhäkeln können, Hände abhacken aber schon.
Wenn auch nicht lege artis .
deinen lancom machen die nur dicht, wenn er nicht mehr geht (alte Firmware) sollange deine config noch geht ist alles gut... wenn da jemand rann soll- wird die kiste getauscht... preis ca. 500,- euro + support... den darfst du eigentlich nicht selber aufbauen... (KV Regel)
Ich bin mittlerweile soweit, das der KV-safenet-Router auch hinter meinem Gateway sitzen darf ... aber was passiert mit dem/den
Büchsen, die auf das KV-Safenet zugreifen dürfen? Eigenes VLAN?
eine route legen und ein host eintrag reicht..
LG, Thomas
V
Zitat von @Andreas12:
> Zitat von @Crusher79:
>
>
>
>
>
> Was haben die anderen Rechner? Scheint mir, als wenn der "Hauptrechner" im Internet Spielen darf. Die Kollegen,
> Arzthelferinnen o.ä. haben Nezt ohne I-net. Können vlt. noch Solitaire zocken... Richtig?
>
> mfg Crusher
Das läuft über Routing mit einer statischen Route von Nic1 am Router (Internet) nach Nic2internes Netzwerk, Switch
Verbund aller Rechner.
Habe jetzt in jedem Raum mehrere LanDosen, könnte jetzt auch direkt über den Switch ohne statische Route.
Also Router an den Seitch wäre auch möglich.
Ist noch meine alte Konfig, lief ja alles bis jetzt.
Gruß
> Zitat von @Crusher79:
>
>
>
>
>
> Was haben die anderen Rechner? Scheint mir, als wenn der "Hauptrechner" im Internet Spielen darf. Die Kollegen,
> Arzthelferinnen o.ä. haben Nezt ohne I-net. Können vlt. noch Solitaire zocken... Richtig?
>
> mfg Crusher
Das läuft über Routing mit einer statischen Route von Nic1 am Router (Internet) nach Nic2internes Netzwerk, Switch
Verbund aller Rechner.
Habe jetzt in jedem Raum mehrere LanDosen, könnte jetzt auch direkt über den Switch ohne statische Route.
Also Router an den Seitch wäre auch möglich.
Ist noch meine alte Konfig, lief ja alles bis jetzt.
Gruß
du machst ja sachen....
Bald steigt hier keine Sau mehr durch.
@Vision2015: Da du dich ja mit dem Klumpatsch schon mal rumgeschlagen hast, könntest ja mal kurz funktionierende Praxis-Beispiele aufmalen.
Bei so Fragen wie, darf Safenet-Router hinter GW sitzen? Geht es ja schon los. Wäre vlt. mal einfacher.
@Vision2015: Da du dich ja mit dem Klumpatsch schon mal rumgeschlagen hast, könntest ja mal kurz funktionierende Praxis-Beispiele aufmalen.
Bei so Fragen wie, darf Safenet-Router hinter GW sitzen? Geht es ja schon los. Wäre vlt. mal einfacher.
Moin,
LG, Thomas
deinen lancom machen die nur dicht, wenn er nicht mehr geht (alte Firmware) sollange deine config noch geht ist alles gut...
ist mir anders gesagt worden --> wenn meiner KV-safenet-Router spielen soll, entziehen die mir den Zugriff. Das Teil hat ein aktuelles LCOS ... aber ein völliges no go, der spielt bei mir firewall und zumindest an meiner VPN-Konfiguration und am public-spot muss man ja doch immer mal schrauben.Abrechnung ab Juni nur noch über Safenet möglich.
Muss man sich mal vorstellen, wegen den paar millibyte Datenvolumen pro 3 Monate so ein Gekröse . Findest Du keine andere Lösung? Aktuell mache ich das mit dem Teamviewer über den Safenet-Zugang eines hiesigen Softwarebetreuers, der dann netterweise noch den Papiertrödel, den man ja trotzdem noch zur KV bringen muss (!!) abholt und wegbringt. Kostet mich 30 Ocken im Quartal und ist gerne bezahlt. Jetzt hänge ich aber in so einem S3C-Dingens mit drinnen, da brauche ich demnächst einen eigenen Zugang ...eine route legen und ein host eintrag reicht..
Echt?darf Safenet-Router hinter GW sitzen?
Das darf er wohl ...LG, Thomas
Moin Thomas
lg
v
Nachtrag:
Die S3C-Schnittstelle kommt nicht umsonst von einer AOK Tochter, (gevko GmbH) ich bezweifel das der GKV-Standard sich Bundesweit etablieren kann, dafür müssen alle Kassen, Software Anbieter etc. an einem strang ziehen!
Die gevko stellt selber keine Software her (was auch gut ist) sondern beschreibt nur eine Schnittstelle- umsetzen müssen das die System Partner!
wir haben alle gesehen was mit AIS passiert ist.... und genauso wird es wieder enden!
meiner bescheidenen Meinung nach
> deinen lancom machen die nur dicht, wenn er nicht mehr geht (alte Firmware) sollange deine config noch geht ist alles gut...
ist mir anders gesagt worden --> wenn meiner KV-safenet-Router spielen soll, entziehen die mir den Zugriff. Das Teil hat ein
aktuelles LCOS ... aber ein völliges no go, der spielt bei mir firewall und zumindest an meiner VPN-Konfiguration und am
public-spot muss man ja doch immer mal schrauben.
ah.. moment... dein Lancom Router ist deine Firewall, dammit darfst du natürlich nicht in KV Netz... ich habe in denem fall verstanden das er nur KV macht... Wenn du einen KV Router hast, darfst du den noch nicht einmal selber einrichten- das darf nur dein zertifizierter partner...ist mir anders gesagt worden --> wenn meiner KV-safenet-Router spielen soll, entziehen die mir den Zugriff. Das Teil hat ein
aktuelles LCOS ... aber ein völliges no go, der spielt bei mir firewall und zumindest an meiner VPN-Konfiguration und am
public-spot muss man ja doch immer mal schrauben.
> Abrechnung ab Juni nur noch über Safenet möglich.
stimmt...Muss man sich mal vorstellen, wegen den paar millibyte Datenvolumen pro 3 Monate so ein Gekröse . Findest Du keine andere
Lösung? Aktuell mache ich das mit dem Teamviewer über den Safenet-Zugang eines hiesigen Softwarebetreuers, der dann
netterweise noch den Papiertrödel, den man ja trotzdem noch zur KV bringen muss (!!) abholt und wegbringt. Kostet mich 30
Ocken im Quartal und ist gerne bezahlt. Jetzt hänge ich aber in so einem S3C-Dingens mit drinnen, da brauche ich
demnächst einen eigenen Zugang ...
oder du machst die abrechnung über die PVS etc....Lösung? Aktuell mache ich das mit dem Teamviewer über den Safenet-Zugang eines hiesigen Softwarebetreuers, der dann
netterweise noch den Papiertrödel, den man ja trotzdem noch zur KV bringen muss (!!) abholt und wegbringt. Kostet mich 30
Ocken im Quartal und ist gerne bezahlt. Jetzt hänge ich aber in so einem S3C-Dingens mit drinnen, da brauche ich
demnächst einen eigenen Zugang ...
> eine route legen und ein host eintrag reicht..
Echt? jo...reicht
> darf Safenet-Router hinter GW sitzen?
Das darf er wohl ...
LG, Thomas
wenn du noch fragen hast, können wir gerne mal Telen...Echt? jo...reicht
> darf Safenet-Router hinter GW sitzen?
Das darf er wohl ...
LG, Thomas
lg
v
Nachtrag:
Die S3C-Schnittstelle kommt nicht umsonst von einer AOK Tochter, (gevko GmbH) ich bezweifel das der GKV-Standard sich Bundesweit etablieren kann, dafür müssen alle Kassen, Software Anbieter etc. an einem strang ziehen!
Die gevko stellt selber keine Software her (was auch gut ist) sondern beschreibt nur eine Schnittstelle- umsetzen müssen das die System Partner!
wir haben alle gesehen was mit AIS passiert ist.... und genauso wird es wieder enden!
meiner bescheidenen Meinung nach
Zitat von @Crusher79:
Bald steigt hier keine Sau mehr durch.
@Vision2015: Da du dich ja mit dem Klumpatsch schon mal rumgeschlagen hast, könntest ja mal kurz funktionierende
Praxis-Beispiele aufmalen.
Bei so Fragen wie, darf Safenet-Router hinter GW sitzen? Geht es ja schon los. Wäre vlt. mal einfacher.
Bald steigt hier keine Sau mehr durch.
@Vision2015: Da du dich ja mit dem Klumpatsch schon mal rumgeschlagen hast, könntest ja mal kurz funktionierende
Praxis-Beispiele aufmalen.
Bei so Fragen wie, darf Safenet-Router hinter GW sitzen? Geht es ja schon los. Wäre vlt. mal einfacher.
ich soll eine Router-Kaskade zeichen?
kann aqui besser als ich
nein mal im ernst,
bis auf die Telekom Kiste- die du per post, auf anfrage auch aufgebaut bekommst- darf keiner der nicht Zertifiziert ist, das Teil in ein Praxis Netz dängeln...
was die Praxis Software Partner machen, ist eine andere sache... die versenden das teil auch schon einmal, und regeln den rest Remote...
dürfen das aber...
der It-interessierte Arzt, darf nur gucken, nicht anfassen....
Moinsens,
Auf das Angebot mit dem Telefonat komme ich gern in ein bis zwei Monaten zurück, aktuell brennt es bei mir noch nicht ...
LG, Thomas
oder du machst die abrechnung über die PVS etc....
eher schwierig im Bereich Kasse . ich bezweifel das der GKV-Standard sich Bundesweit etablieren kann
Ich bezweifel auch, dass das KV-Safenet Bestand haben wird - die GEMATIK stemmt sich IMHO nicht zu Unrecht dagegen. Momentan läuft der Trend aufgrund der diversen Verbände mit eigenen Versorgungsverträgen ausserhalb der KV'en und der Vielzahl der gesetzlichen Krankenkassen auch zusehends auf einen Wust von Insellösungen hinaus --> verrückt, wenn man guckt, was es da schon für Schnittstellen pro Praxisverwaltung gibt. Und mehr als Mitschwimmen oder sich ganz aus der vertragsärztlichen Versorgung zurückziehen bleibt einem nicht übrig - und letztere Option wäre im Osten jetzt auch keine so geniale Entscheidung .Auf das Angebot mit dem Telefonat komme ich gern in ein bis zwei Monaten zurück, aktuell brennt es bei mir noch nicht ...
LG, Thomas
du, bzw Alle Praxen können ja noch Übergangsweise ISDN nutzten (ca. bis 9/ 2015) die Datenübertragung über ISDN ist langsam, aber egal... ist nach 2 min eh erledigt Da bitte aber noch mal bei der entsprechenden KV nachfragen!
Aber Achtung!!!! vorher alle Programme schließen, der Save Net Client über ISDN dropt die Netzwerk verbindung
lg
v
Aber Achtung!!!! vorher alle Programme schließen, der Save Net Client über ISDN dropt die Netzwerk verbindung
lg
v
Naja, dem Erfinder kanns ja egal sein. Kriegs nciht mehr ganz zusammen. Im Systemhaus hatten wir noch alte Kontaktdaten. Der Meister war glaub ich Mitgründer. Beovr alles an die Lüneburger verkauft wurde.
Mein Chef damals war in allen Bereichen aktiv - teils mehr schlecht als recht. Also auch KV-Safenet mit Angeboten. Ka welchen Status wir genau hatten, aber Firmware konnte ich über Portal damals runterladen. Hatte wahrscheinlich einer mal ne Schulung absolviert ;)
Mein Chef damals war in allen Bereichen aktiv - teils mehr schlecht als recht. Also auch KV-Safenet mit Angeboten. Ka welchen Status wir genau hatten, aber Firmware konnte ich über Portal damals runterladen. Hatte wahrscheinlich einer mal ne Schulung absolviert ;)
Hallo Thomas,
Für den Client im internen Netz ist das völlig transparent.
Die Firewall ist das alleinige Standardgateway für das interne Praxisnetz. Traffic an alle Zieladressen, die ausserhalb des/der internen IP-Netz/e der Praxis liegen, schlägt folglich auf Interface 4 der Firewall auf. Die Firewall hat dann 2 Entscheidungen zu treffen:
1) Ist der Traffic an mich adressiert oder muss ich ihn forwarden und wenn letzteres: wohin? Das ist die Routingentscheidung.
2) Ist der Traffic überhaupt erlaubt? Das ist die Firewallentscheidung.
Das IP-Netz des "SNK" sollte bekannt sein oder kann zumindest beim Vordienstleister erfragt werden. Mit dieser Information kann die Firewall z.B. per statischem Routingeintrag dazu bewegt werden, Traffic an dieses Netz zum internen Interface des KV-Safenet-Routers weiterzuleiten (sofern das Firewallregelwerk dies erlaubt). Das Safenet-Gateway nimmt diesen Traffic dann entgegen, verpackt ihn in einen VPN-Tunnel und sendet ihn darüber ins SNK. Hierzu muss das Safenet-Gateway natürlich eine Internetverbindung haben. Deshalb ist das Interface Nr. 2 der eigenen Firewall das Standardgateway des Safenet-Routers. Der Traffic ins SNK passiert die eigene Firewall also zweimal:
1) unverschlüsselt zwischen Interface 3 und 4
2) verschlüsselt und enkapsuliert zwischen Interface 1 und 2
Über beides hast Du auf der Firewall zentral die Kontrolle.
Achtung:
Damit die Antwortpakete aus dem SNK den Client im internen Netz erreichen, muss der SafeNet-Provider auf seinem Gateway eine statische Route setzen. Unter Umständen muss er die vorgeschlagene Topologie sogar bei seiner VPN-Konfiguration berücksichtigen. Sollte dies nicht möglich sein, muss an der internen Firewall beim Übergang von Interface 4 nach 3 die Absender-IP des eigenen Traffics auf die IP-Adresse des Interface 3 übersetzt werden (=NAT)!
Gruß
Steffen
P.S.
Auf Wikipedia steht, dass die SNK-Anbindung nicht nur per IPSec, sondern auch per TLS möglich ist. Eine TLS-Anbindung wäre bei diesem Konstrukt (aber auch bei einer Routerkaskade wie vorstehend diskutiert) wesentlich einfacher zu handhaben. Ich würde daher den SafeNet-Provider auf diese Möglichkeit ansprechen...
Für den Client im internen Netz ist das völlig transparent.
Die Firewall ist das alleinige Standardgateway für das interne Praxisnetz. Traffic an alle Zieladressen, die ausserhalb des/der internen IP-Netz/e der Praxis liegen, schlägt folglich auf Interface 4 der Firewall auf. Die Firewall hat dann 2 Entscheidungen zu treffen:
1) Ist der Traffic an mich adressiert oder muss ich ihn forwarden und wenn letzteres: wohin? Das ist die Routingentscheidung.
2) Ist der Traffic überhaupt erlaubt? Das ist die Firewallentscheidung.
Das IP-Netz des "SNK" sollte bekannt sein oder kann zumindest beim Vordienstleister erfragt werden. Mit dieser Information kann die Firewall z.B. per statischem Routingeintrag dazu bewegt werden, Traffic an dieses Netz zum internen Interface des KV-Safenet-Routers weiterzuleiten (sofern das Firewallregelwerk dies erlaubt). Das Safenet-Gateway nimmt diesen Traffic dann entgegen, verpackt ihn in einen VPN-Tunnel und sendet ihn darüber ins SNK. Hierzu muss das Safenet-Gateway natürlich eine Internetverbindung haben. Deshalb ist das Interface Nr. 2 der eigenen Firewall das Standardgateway des Safenet-Routers. Der Traffic ins SNK passiert die eigene Firewall also zweimal:
1) unverschlüsselt zwischen Interface 3 und 4
2) verschlüsselt und enkapsuliert zwischen Interface 1 und 2
Über beides hast Du auf der Firewall zentral die Kontrolle.
Achtung:
Damit die Antwortpakete aus dem SNK den Client im internen Netz erreichen, muss der SafeNet-Provider auf seinem Gateway eine statische Route setzen. Unter Umständen muss er die vorgeschlagene Topologie sogar bei seiner VPN-Konfiguration berücksichtigen. Sollte dies nicht möglich sein, muss an der internen Firewall beim Übergang von Interface 4 nach 3 die Absender-IP des eigenen Traffics auf die IP-Adresse des Interface 3 übersetzt werden (=NAT)!
Gruß
Steffen
P.S.
Auf Wikipedia steht, dass die SNK-Anbindung nicht nur per IPSec, sondern auch per TLS möglich ist. Eine TLS-Anbindung wäre bei diesem Konstrukt (aber auch bei einer Routerkaskade wie vorstehend diskutiert) wesentlich einfacher zu handhaben. Ich würde daher den SafeNet-Provider auf diese Möglichkeit ansprechen...
Hi Steffen,
Wikipedia bietet jetzt nicht direkt aktuelle Informationen zum Thema . Was ich trotzdem nicht verstehe: woher weiss irgendjemand im Netz, welche Daten zum Safenet-Router müssen ... ich habe in meiner Praxisverwaltung nicht einmal die Möglichkeit, die IP des safenet-Teiles einzuhacken. Das muss doch irgendwie geregelt werden ... für die pofige Quartalsabrechnung könnte man das ja manuell machen, dafür würde ich mir den Schrummes aber auch gar nicht ans Knie nageln ... aber bei S3C-Anwendungen sollten da ständig Daten fliessen ...
Ist augenblicklich eine big blackbox für mich ...
LG, Thomas
Wikipedia bietet jetzt nicht direkt aktuelle Informationen zum Thema . Was ich trotzdem nicht verstehe: woher weiss irgendjemand im Netz, welche Daten zum Safenet-Router müssen ... ich habe in meiner Praxisverwaltung nicht einmal die Möglichkeit, die IP des safenet-Teiles einzuhacken. Das muss doch irgendwie geregelt werden ... für die pofige Quartalsabrechnung könnte man das ja manuell machen, dafür würde ich mir den Schrummes aber auch gar nicht ans Knie nageln ... aber bei S3C-Anwendungen sollten da ständig Daten fliessen ...
Ist augenblicklich eine big blackbox für mich ...
LG, Thomas
@thomas
was für eine praxis verwaltung hast du ?
in der regel wird ein host eintrag gemacht... bzw in der Praxis Verwaltung.
@..sk
soweit so gut... aber für den Client im internen Netz ist das nicht völlig transparent..
meiner meinung, und nach meiner Praxis gehört und kommt der KV-Router in eine DMZ... leider geht das nicht immer
lg
v
was für eine praxis verwaltung hast du ?
in der regel wird ein host eintrag gemacht... bzw in der Praxis Verwaltung.
@..sk
soweit so gut... aber für den Client im internen Netz ist das nicht völlig transparent..
meiner meinung, und nach meiner Praxis gehört und kommt der KV-Router in eine DMZ... leider geht das nicht immer
lg
v
Zitat von @keine-ahnung:
Hi Steffen,
woher weiss irgendjemand im Netz, welche Daten zum Safenet-Router müssen ... ich habe in meiner Praxisverwaltung nicht einmal die
Möglichkeit, die IP des safenet-Teiles einzuhacken. Das muss doch irgendwie geregelt werden ...
Hi Steffen,
woher weiss irgendjemand im Netz, welche Daten zum Safenet-Router müssen ... ich habe in meiner Praxisverwaltung nicht einmal die
Möglichkeit, die IP des safenet-Teiles einzuhacken. Das muss doch irgendwie geregelt werden ...
Das Safenet-Teil ist ein Router und wird als solcher niemals irgendwo anders hinterlegt, als in Routingtabellen!
Ich bin nicht in diesem Umfeld tätig, daher kann ich nur Mutmaßungen anstellen. In Abhängigkeit davon, welche Dienste im SNK genutzt werden sollen, werden diese wohl entweder per normalem Webbrowser, per dediziertem Softwareclient, über die vorhandene Praxissoftware oder gar über eine weitere Blackbox (z.B. Kartenleser) angesprochen werden. Hierfür muss der jeweiligen Clientkomponente selbstverständlich die anzusprechende Ziel-Adresse im SNK bekannt sein. Entweder in Form von IP-Adressen oder als in solche aufzulösende DNS-Hostnamen bzw. URLs. Im Falle einer Praxissoftware oder eines dedizierten Software- oder Hardwareclients könnte es sein, dass diese Informationen bereits vom Anbieter in das Produkt eingepflegt wurden und vom Kunden bzw. dessen Dienstleister gar nicht eingesehen oder manipuliert werden können. Das ist dann auch nicht Deine Baustelle. Du musst nur wissen, welche IP-Adressen angesprochen werden und ggf. welche DNS-Domain verwendet wird. Diese Infos benötigst Du für die Anpassung des Routings auf der Firewall und ggf. um in die Namensauflösung eingreifen zu können (z.B. bedingte Weiterleitung an die SNK-DNS-Server). Sie sind der Dokumentation zu entnehmen oder können beim Vorlieferanten erfragt werden. Wenn das ein Problem darstellt, beobachtet man halt einfach den Traffic an der Firewall und/oder wertet ihn per Wireshark aus.
Gruß
sk
Inwiefern? Bitte näher erläutern!
Gruß
sk
meiner meinung, und nach meiner Praxis gehört und kommt der KV-Router in eine DMZ...
Eben. So ja auch mein Vorschlag.Gruß
sk
Das ist dann auch nicht Deine Baustelle.
Prinzipiell gesehen schon ... ich bin ja "frei" in der Wahl meines safenet-providers.Du musst nur wissen, welche IP-Adressen angesprochen werden
Das müsste m.E. meine Praxisverwaltung wissen, und ich sehe keine Möglichkeit, das dort zu hinterlegen --> da bleibt doch eine Menge an Variablen übrig. Ich kenne leider auch keinen Kollegen, der so eine Büchse schon am Start hat. Na mal gucken, ich werde mir mal den nächsten Anbieter zur Brust nehmen ...LG, Thomas
Zitat von @keine-ahnung:
> Das ist dann auch nicht Deine Baustelle.
Prinzipiell gesehen schon ... ich bin ja "frei" in der Wahl meines safenet-providers.
> Das ist dann auch nicht Deine Baustelle.
Prinzipiell gesehen schon ... ich bin ja "frei" in der Wahl meines safenet-providers.
Das "nicht Deine Baustelle" bezog sich auf das Einpflegen der Zieladressen in die Praxissoftware, wenn es hierfür keine Eingabemöglichkeit gibt. Diese Zieladressen sind für alle gleich - egal welchen safenet-Provider Ihr wählt. Der Anbieter der Praxissoftware kann und wird diese Einstellungen daher für alle Kunden bereits in seine Software bzw. in die Schnittstellenkomponente einprogrammieren. Ob nun hardcodiert oder per undokumentierter Konfigurationsmöglichkeit kann Dir egal sein.
> Du musst nur wissen, welche IP-Adressen angesprochen werden
Das müsste m.E. meine Praxisverwaltung wissen, und ich sehe keine Möglichkeit, das dort zu hinterlegen --> da bleibt
doch eine Menge an Variablen übrig. Ich kenne leider auch keinen Kollegen, der so eine Büchse schon am Start hat. Na mal
gucken, ich werde mir mal den nächsten Anbieter zur Brust nehmen ...
Das müsste m.E. meine Praxisverwaltung wissen, und ich sehe keine Möglichkeit, das dort zu hinterlegen --> da bleibt
doch eine Menge an Variablen übrig. Ich kenne leider auch keinen Kollegen, der so eine Büchse schon am Start hat. Na mal
gucken, ich werde mir mal den nächsten Anbieter zur Brust nehmen ...
Wie gesagt: die Zieladressen sind vermutlich bereits vom Hersteller der Praxisverwaltung in das Schnittstellenmodul eingepflegt. Daran wirst Du nichts ändern müssen. Du musst die Adressen nur kennen, um das Routing und das Firewallregelwerk passend konfigurieren zu können. Insofern wäre mein erster Versuch, den Herstellersupport der Praxissoftware nach einer entsprechenden Liste zu fragen.
Gruß
sk
Die IP-Aresse des Savenet- PCs darf nicht der WAN Seite des Routers entsprechen.
Kommt drauf an WELCHEN Router sie meinen ?! Bei Kunden die mehrere Router Kaskaden einsetzen oder interne Router haben weil sie mehrere Segmente haben (WLAN, Telefonie, Server, Drucker) unter denen sie routen ist die Deutung dieser Antwort ja nicht gerade einfach...Das NullerNetz hängt per statischer Route im Internet.
WO ist denn diese statische Route definiert ??Tip: Hier findest du mal ein paar Grundlagen wie sowas aussieht:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Die Zeichnung war nur ein Topo Beispiel welche IPs da benutzt werden ist eh nur kosmetisch.
Wenn du auf dem SavNet Router konfigurieren kannst dann kann er auch in LAN 1 hängen.
Hat der ein eigenes LAN Interface, sprich betreibt der ein eigenes lokales LAN auf einer fest vorgegebene IP ?
Was willst du erreichen, das Geräte aus deinem LAN 2 über den Router kommunizieren können ?
Wenn du auf dem SavNet Router konfigurieren kannst dann kann er auch in LAN 1 hängen.
Hat der ein eigenes LAN Interface, sprich betreibt der ein eigenes lokales LAN auf einer fest vorgegebene IP ?
Was willst du erreichen, das Geräte aus deinem LAN 2 über den Router kommunizieren können ?
Das ist das Ziel:Technische Voraussetzungen ...
Warum zitierst Du hier Werbeaussagen der KBV statt Dich mit den doch sehr eineindeutigen Bastelanleitungen von @aqui ausseinanderzusetzen? Und nochmal mein Rat: Datensicherheit ist in unserem Job kein Spass - wenn man diesen denn behalten will. Mach Dir selber den Gefallen und hol Dir Jemanden zur Konfiguration dazu, der mehr diesbezüglichen technischen Sachverstand hat als Du.LG, Thomas
Hi nochmal,
Aber Wurscht - ich bin jetzt raus.
Seit meinem 386SX habe ich mir keinen Rechner mehr von der Stange gekauft.
das war die Zeit, in der ich angefangen habe, ausschliesslich auf Business-Rechner von der Stange zu setzen, weil die in einer Praxis im allgemeinen zuverlässiger laufen und besser supportiert sind.Das Problem bei dieser Geschichte, man hat keinen Zugriff aufs RouterMenü.
Das ist bereits verstanden wurden, Du hast es ja oft genug repitiert. Zur Frage der Konfiguration ist Dir doch ausreichend und IMHO verständlich Hilfe gegeben wurden, warum Du dann anfängst, KV-Psalme hier einzustellen, bleibt Dein sahniges Geheimnis. Die Leute, die sich damit beschäftigen, wissen in etwa, was das KV-Safenet ist.Warum strullerst Du mir ständig ans Bein?
Mach ich nicht - ich versuche Dich nur daran zu erinnern, dass die Qualität des Schutzes von Patientendaten in keiner Weise kongruent zur Anzahl persönlich zusammengeschraubter Arbeitsplatz-PC steht, das ist eine deutlich andere Spielwiese.Aber Wurscht - ich bin jetzt raus.
Hi Andreas,
da ich immer noch keinen Schritt weiter gemacht habe ...
Das kann die Lösung m.E. nicht sein - Du machst die Praxis gegenüber dem Safenet-Anbieter transparent, bastelst Dir irgendwelche Billig-DHCP-Server ins Netz und, und und ... funktioniert? I woas nit ...
LG, Thomas
da ich immer noch keinen Schritt weiter gemacht habe ...
Der Router hat eine feste IP zur Nic-Seite.
Was soll das heissen?Am DSL Router muss zwingend DHCP on sein.
Desaströs, wenn da noch ein Server im LAN DHCP spielt!2er Netz von 2.20 bis 2.200
Heisst genau was? Was ist die range des primären LAN in der Praxis? Das ist doch die selbe?Sehr simpel, man kann nirgends in die Config eingreifen.
Man kann nicht nur, man darf auch nicht ... den Willen vorausgesetzt schaut das jetzt aber schon so aus, als könnte Dein Safenet-Betreiber jetzt auch Dein Praxisnetz inventarisieren ?Das kann die Lösung m.E. nicht sein - Du machst die Praxis gegenüber dem Safenet-Anbieter transparent, bastelst Dir irgendwelche Billig-DHCP-Server ins Netz und, und und ... funktioniert? I woas nit ...
LG, Thomas
Die IP ist fest und somit ist die IP für die Savenetrechner auch vorgegeben.
In Richtung LAN oder WAN?? BTW: in Richtung LAN sollte ein Router immer eine feste Adresse haben ...Ist richtig aber bestimmt irrelevant.
Jupp. Da kannst Du aber die backdoor für KV, Kassen, BND, NSA etc.pp. auch gleich publizieren Ist so gewollt, wird eh so kommen.
Schwachsinn ... ist nur so bei Leuten, die wenig Ahnung vom Problem haben. Das liesse sich mit Einrichtung einer DMZ ja relativ simpel umgehen ...Aktuell wird der Router nur zur Datenübertragung aktiviert, Abrechnungsübermittlung KV.
Hmmh, für geschätzte Datenmengen < 700 kbyte / Quartal?? Alter Verwalter ... Gott ist immer mit den Bildungspräkarianern. Ganz sicher ...LG, Thomas
Warum sollte jemand den SavenetRouter angreifen wenn die Rechner sonst eh im Netz hängen? Das macht keinen Sinn.
Echt nicht? Wenn ich KV wäre ... Hast Du eine DMZ?
Natürlich ... hast Du keine?? Das Du als Arzt für den Schutz der Daten Deiner Patienten verantwortest ... schon vergessen? Das die BÄK prinzipiell empfiehlt, keinen Kontakt von Praxisrechnern mit dem bösen www zu ermöglichn ... verdrängt? Aber ohne SaveNet keine Abrechnung mehr ab 30.06.2015
Umziehen ! Oder mal das Maul aufmachen ...LG, Thomas