commodity
27.01.2023, aktualisiert am 28.01.2023
view5507
view5
1
Goto Top

Telematik: KocoBox und IP 185.188.0.44

gelöstFrageNetzwerkeDatenschutz
Hallo in die Runde,

Beim "scharf ziehen" unserer Firewall bin ich darüber gestolpert, dass die Kocobox (bereits neue Version) versucht, ein IPSec-VPN zu Adresse 185.188.0.44 aufzubauen. Die Adresse liegt außerhalb des Routenbereiches für die TI (Nr. 4.3.4.3 der Gematik-DVO-Handreichung)

koco ip2

Ich kann weder im Handbuch der Box, noch der Gematik-Spezifikation für den VPN-Zugangsdienst, noch im Web etwas zu dieser Verbindung finden. Die Adresse gehört CGM.

koco ip

Ich finde es befremdlich, wenn der Konnektor ein undokumentiertes VPN zum Vertreiber aufzubauen sucht und wüsste gern mehr über den Hintergrund. Vielleicht weiß einer von Euch was dazu?

Viele Grüße, commodity
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 5678790569

Url: https://administrator.de/forum/telematik-kocobox-und-ip-185-188-0-44-5678790569.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
em-pie
Lösung em-pie 27.01.2023 aktualisiert um 20:19:35 Uhr
Goto Top
Moin,

Als ITler aus der Industrie, also fernab der ganzen TI-Thematik hab ich gerade auf der CgM-Seite das gefunden:
https://www.cgm.com/deu_de/plattformen/telematikinfrastruktur/komponente ...

Habt ihr da den SIS-Service „gebucht“?
heart2
commodity
commodity 27.01.2023 um 22:23:36 Uhr
Goto Top
Danke, nein, kein SIS-Dienst aktiv. Ich hätte auch gedacht, dass der auch in den sicheren Netzen liegen müsste, die der Konnektor vermittelt. Schau ich nochmal nach. Kenne niemanden, der SIS eingerichtet hat.

Viele Grüße, commodity
2423392070
2423392070 28.01.2023 um 05:49:07 Uhr
Goto Top
Heißt denn keine CIS-Option, dass das Gerät nicht trotzdem sich meldet und dafür sowohl Gründe als auch eine formale Grundlage hat?

Ich denke wenn man das blockt, steht irgendwann ein Fehler und eine Wartung an.
cykes
Lösung cykes 28.01.2023 um 07:33:00 Uhr
Goto Top
Moin,

ich habe gerade folgendes CGM-Dokument bei der Gematik gefunden: https://fachportal.gematik.de/fileadmin/Fachportal/DVO/VPN-Zugangsdienst ...

Bei der IP-Range 185.188.0.11 - 185.188.0.46 handelt es sich um die VPN-Konzentratoren (VPN Zugangsdienst) in Frankfurt *.f-vpnzugd.telemed-ti.net.

Gruß

cykes
heart1
commodity
Lösung commodity 28.01.2023 aktualisiert um 12:00:24 Uhr
Goto Top
Ihr seid klasse! +1
Nach Kollege @em-pie s Hinweis habe ich es gestern selbst herausgefunden, war aber schon im Bett face-wink

Kollege @cykes hat völlig recht. Vielleicht sollte man als DVO mal das ganze Dokument lesen und verstehen...
Der Konnektor bedient mit dem VPN-Zugangsdienst (VPN-ZugD), Nr. 4.3.1 der Gematik-DVO-Handreichung,

  • die SIS (Nr. 4.3.2 - die faktisch keiner nutzt, die faktisch eine vielleicht sichere, dafür unbrauchbare Internetverbindung für die Praxen stellen könnten, werden u.a. über den VPN-ZugD vermittelt.

  • die sog. Bestandsnetze (Nr. 4.3.3), was Netzwerke im Gesundheitswesen sind, die schon vor Schaffung der TI existierten.

  • die TI selbst, bei der es sich um die sog. offenen Fachdienste, die SÜV (sichere Übermittlungsverfahren, wie KIM) und die aAdG (andere Anwendungen des Gesundheitswesens) sowie aAdG NetG-TI handelt (Nr. 4.3.4.3 der Handreichung).

Ich dachte immer, der Konnektor baut sein VPN direkt zu den TI-Routen auf. Offenbar aber erfolgt der Aufbau zunächst über den VPN-Zugangsdienst, d.h. wenn der Anbieter Probleme hat, kommt man auch nicht mehr in die TI selbst. Insofern hat Kollege @2423392070 schon recht, man sollte den Zugang besser offen halten face-wink Mir wird jetzt klar, warum einige Kollegen hier den Konnektor in ein getrenntes LAN stellen.

Wenn das wirklich so ist, ist die Darstellung im Lagebild der TI aber krass missverständlich, denn dort ist der VPN-ZugD (dort VPN-ZD) unten unter "ferner liefen" vermerkt. Sein Ausfall wäre dann aber zentral für alle Kunden des betroffenen Betreibers. Etwas verklausuliert steht das dann auch in der untersten Zeile des Textes unter der grafischen Darstellung:
Eine Aussage über die Erreichbarkeit der TI über die VPN-Zugangsdienste (z.B. der Konnektoren) kann damit nicht getroffen werden.
Die Gematik hat sogar eine spezifische CGM-Firewall-Info veröffentlicht, die den VPN-ZugD betrifft (und in der die IP dieses Threads auftaucht). Leider hat der hiesige Dienstleister davon offenbar keine Kenntnis, denn in der Antwort auf meine Anfrage zu den maßgeblichen Firewall-Ports wurde dieses Dokument schlicht "vergessen".

Viele Grüße, commodity
heart2
gelöstFrageNetzwerkeDatenschutz
Mehr von commoditycommodityWindows - Mail von CMD oder Powershell?commodity - 18 KommentarecommodityRaspberry Pi 5 im Anflugcommodity - 3 KommentarecommodityPatientendaten - Leck in der IT - wer ist überrascht?commodity - 19 KommentarecommodityUpgrade HPE 1820 48 Port PoE (J9984A)commodity - 9 Kommentare
Heiß diskutiert
itzwich1Aktuelle NAS Empfehlungitzwich1 - 57 KommentareKamelleCa. 600.000 Archive in komplexer Ordnerstruktur entpackenKamelle - 47 Kommentarem.sterZwei lokale Mailserver - Lösungsweg gesuchtm.ster - 30 Kommentareukulele-7Keine DNS-Auflösung auf bestimmte Domainukulele-7 - 22 KommentareMicitiEmpfehlung Hardware für Heim-NetzwerkMiciti - 22 KommentareJudgelgSharepoint Teams Kalender erstellenJudgelg - 21 KommentareMysticFoxDEIntel feuert Pat - Halleluja!MysticFoxDE - 19 KommentareSarekHLProblem mit SMB-Versionen?SarekHL - 18 Kommentaretobias3355Chkdsk Neustart ohne Rückfragetobias3355 - 15 KommentareVisuciusDevolutions Remote Desktop Manager - bin begeistert!Visucius - 15 KommentareBN2023Excel - Problem mit WENN-DANN Formel für eine VertretungsregelBN2023 - 15 KommentareGhent74Feste IP via DHCP im DHCP Bereich oder im statischen Bereich?Ghent74 - 14 Kommentare