opsec2022
Goto Top

ORGA Kartenterminal mit entferntem Konnektor verbinden

Hallo,

gerne würde ich im Rahmen der Einführung eAU etc.,
einen Ingenico Orga 6141 mit einem entfernten Secunet Konnektor verheiraten und in dessen Aufrufkontext einbinden.
Die Netze sind per IPsec miteinander Verbunden. An den Konnektor kommt das Terminal nicht. Routen sind hinterlegt.
Kann ich hier einfach den zweiten Bereich im Konnektor einpflegen? Oder hinterlege ich wie hier beschrieben die Verbindung im ORGA?
Ist das ITS-Konform möglich und hat das jemand schonmal zu Zeiten der aktuellen TI realisiert?

Danke

Gruß
OpSec

Content-ID: 1889198976

Url: https://administrator.de/contentid/1889198976

Ausgedruckt am: 08.11.2024 um 01:11 Uhr

vossi31
vossi31 11.02.2022 aktualisiert um 13:06:38 Uhr
Goto Top
Moin,

wir haben bei uns die gleiche Hardware und die externen Spezis des Softwareanbieters haben es nicht hinbekommen den Konnektor und Kartenleser aus unterschiedlichen Netzen miteinander zu verbinden. Es lag wohl an der Firmware des Konnektors. Mit einer älteren Version ging es dann (das war ca. 10/2021). Nun müssen wird immer aufpassen, dass nicht versehentlich mal jemand dort ein Update macht. Weitere Details weiß ich leider nicht.

Henning
opsec2022
opsec2022 11.02.2022 aktualisiert um 13:21:30 Uhr
Goto Top
Zitat von @vossi31:

Moin,

wir haben bei uns die gleiche Hardware und die externen Spezis des Softwareanbieters haben es nicht hinbekommen den Konnektor und Kartenleser aus unterschiedlichen Netzen miteinander zu verbinden. Es lag wohl an der Firmware des Konnektors. Mit einer älteren Version ging es dann. Nun müssen wird immer aufpassen, dass nicht versehentlich mal jemand dort ein Update macht. Weitere Details weiß ich leider nicht.

Henning

Hallo,

und Danke für die Antwort.

Das habe ich mir fast schon gedacht, ein Downgrade ist jedoch aktuell keine Option.
Traten andere Einschränkungen nach einspielen der älteren Version auf?
Der Softwareanbieter berichtete von Kunden, welche das ganze so am Laufen haben, details wie FW o.ä., leider keine.
Wäre super noch andere Erfahrungen zu der genannten Thematik zu lesen.

Gruß

OpSec
LexTertia
Lösung LexTertia 11.02.2022 um 14:00:00 Uhr
Goto Top
Schauen Sie mal in den Netzwerkeinstellungen nach, ob die Netzsegmentierung konfiguriert ist. Durch das Update ab Version 4 wird hier standarmäßig auf Block umgestellt. Hier muss Redirect und entsprechend die Netzwerke konfiguriert werden. Im Handbuch ist das unter 10.2.2 beschrieben. Wenn heir auf Block steht sollte auch die Web-Oberfläche es Konnektors aus dem anderen Netz nicht erreichbar sein. Damit lässt sich einfach testen, ob der Redirect funktioniert. Nach Umstellen auf Redirect muss man einmal neustarten, aber der Konnektor müsste einen darauf auch hinweisen.
opsec2022
opsec2022 16.02.2022 um 15:23:23 Uhr
Goto Top
Zitat von @LexTertia:

Schauen Sie mal in den Netzwerkeinstellungen nach, ob die Netzsegmentierung konfiguriert ist. Durch das Update ab Version 4 wird hier standarmäßig auf Block umgestellt. Hier muss Redirect und entsprechend die Netzwerke konfiguriert werden. Im Handbuch ist das unter 10.2.2 beschrieben. Wenn heir auf Block steht sollte auch die Web-Oberfläche es Konnektors aus dem anderen Netz nicht erreichbar sein. Damit lässt sich einfach testen, ob der Redirect funktioniert. Nach Umstellen auf Redirect muss man einmal neustarten, aber der Konnektor müsste einen darauf auch hinweisen.

Hallo und Danke,

es scheint als wäre das die Antwort auf meine Frage.
Das teste ich durch.

Gruß

OpSec
opsec2022
opsec2022 16.02.2022 um 16:11:26 Uhr
Goto Top
Hallo, auch nach testen des Redirect-Modus, leider kein Erfolg.

Netz 1 192.168.0.1/24 - Konnektor 192.168.0.170
Netz 2 192.168.1.1/24 - Terminal 192.168.1.130

Auch nach Einpflegen des Netzes inkl. Next Hop als Intranet, lässt sich der entfernte Kartenleser nicht einbinden.

Allerdings vermute ich nach diesem Thread, das Problem woanders.

Gruß

OpSec
LexTertia
Lösung LexTertia 17.02.2022 um 09:22:33 Uhr
Goto Top
Lässt sich aus dem 1er Netz auf den Konnektor pingen? Wir haben es der Konstellation inkl. S2S bei einer Hand voll Kunden mit Firmware 4.10.1 am laufen. Ich habe gerade mal bei einem Kunden nachgeschaut wie die Konfiguration ist.

Praxisnetz: 192.168.0.0/24
Außenstelle: 192.168.10.0/24

Firewall/Gateway Praxisnetz: 192.168.0.254

Im Konnektor unter Intranet Routen steht dann:
192.168.10.0/24 > 192.168.0.254

Finden tut der Konnektor es trotzdem nicht vol selbst, ich musste die Terminals über die IP-Adresse manuell hinzufügen.
opsec2022
opsec2022 17.02.2022 aktualisiert um 14:45:43 Uhr
Goto Top
Zitat von @LexTertia:

Lässt sich aus dem 1er Netz auf den Konnektor pingen? Wir haben es der Konstellation inkl. S2S bei einer Hand voll Kunden mit Firmware 4.10.1 am laufen. Ich habe gerade mal bei einem Kunden nachgeschaut wie die Konfiguration ist.

Praxisnetz: 192.168.0.0/24
Außenstelle: 192.168.10.0/24

Firewall/Gateway Praxisnetz: 192.168.0.254

Im Konnektor unter Intranet Routen steht dann:
192.168.10.0/24 > 192.168.0.254

Finden tut der Konnektor es trotzdem nicht vol selbst, ich musste die Terminals über die IP-Adresse manuell hinzufügen.

Hallo und Danke für die Mühen,

das Netz lässt sich pingen, lediglich der Konnektor nicht. Daher die o.g. Vermutung. Die Terminals manuell einzupflegen habe ich auch bereits versucht.

EDIT: Hier bedurfte nach Einpflegen der Route eines erneuten Neustart. Ping aus der Außenstelle geht nun auf den Konnektor, Web-Interface erreichbar. Terminal wurde über manuelles Einpflegen (IP,Port,MAC) erkannt und ist nun eingebunden.

Vielen Dank, @LexTertia, leider ist das von dir Beschriebene im Handbuch nicht ausgeführt und auch sonst nirgends zu finden.

Gruß

OpSec
LexTertia
LexTertia 18.02.2022 um 08:59:19 Uhr
Goto Top
Freut mich, dass es klappt. "Beschrieben" war wohl etwas übertrieben, da ist nur erwähnt, dass man es konfigurieren muss.

Falls du IPSec vom Orga zum laufen kriegst, sag Bescheid. Eigentlich war ich auf der Suche danachund bin deswegen auf diese Thread gestoßen.
opsec2022
opsec2022 18.02.2022 aktualisiert um 15:30:59 Uhr
Goto Top
Zitat von @LexTertia:

Freut mich, dass es klappt. "Beschrieben" war wohl etwas übertrieben, da ist nur erwähnt, dass man es konfigurieren muss.

Falls du IPSec vom Orga zum laufen kriegst, sag Bescheid. Eigentlich war ich auf der Suche danachund bin deswegen auf diese Thread gestoßen.

Hallo,

IPsec über den ORGA ist nicht nun raus. Falls sich in die Richtung doch etwas ergeben sollte, komme ich auf diesen Thread zurück und berichte.

Schönes Wochenende

OpSec
hh2022
hh2022 30.09.2022 um 17:01:13 Uhr
Goto Top
Hallo!

Ich stehe vor der selben Problematik, allerdings mit der KocoBox und Vernetzung per Wireguard.

Der Konnektor ist aus dem entfernten Netz pingbar und das Webinterface erreichbar, eine entsprechende Intranet-Route habe ich wie hier beschrieben auch eingerichtet und den Konnektor danach neu gestartet.

Ich kann das entfernte Orga-Terminal leider trotzdem nicht im Konnektor manuell hinzufügen, dieser gibt die Meldung zurück dass das Termin nicht auffindbar wäre.

Hat vielleicht jemand eine Idee woran es in diesem Kontext klemmen könnte?

Schönes langes WE,

HH2022
opsec2022
opsec2022 10.10.2022 aktualisiert um 09:51:51 Uhr
Goto Top
Zitat von @hh2022:

Hallo!

Ich stehe vor der selben Problematik, allerdings mit der KocoBox und Vernetzung per Wireguard.

Der Konnektor ist aus dem entfernten Netz pingbar und das Webinterface erreichbar, eine entsprechende Intranet-Route habe ich wie hier beschrieben auch eingerichtet und den Konnektor danach neu gestartet.

Ich kann das entfernte Orga-Terminal leider trotzdem nicht im Konnektor manuell hinzufügen, dieser gibt die Meldung zurück dass das Termin nicht auffindbar wäre.

Hat vielleicht jemand eine Idee woran es in diesem Kontext klemmen könnte?

Schönes langes WE,

HH2022

Hallo,

wie sieht es denn vom Konnektor zum KT aus? Schwer ohne die Konfig. Ggf. Ports (5.5) beachten.

Gruß

OpSec
LexTertia
LexTertia 22.10.2022 um 17:20:02 Uhr
Goto Top
Ich schließe mich OpSec an. Wenn die KocoBox auf das Terminal pingen kann, ist eventuell der Port (Standard 4742 TCP + UDP) nicht frei oder mit der SMC-KT stimmt was nicht.