5
Telematik: KocoBox und IP 185.188.0.44
Hallo in die Runde,
Beim "scharf ziehen" unserer Firewall bin ich darüber gestolpert, dass die Kocobox (bereits neue Version) versucht, ein IPSec-VPN zu Adresse 185.188.0.44 aufzubauen. Die Adresse liegt außerhalb des Routenbereiches für die TI (Nr. 4.3.4.3 der Gematik-DVO-Handreichung)
Ich kann weder im Handbuch der Box, noch der Gematik-Spezifikation für den VPN-Zugangsdienst, noch im Web etwas zu dieser Verbindung finden. Die Adresse gehört CGM.
Ich finde es befremdlich, wenn der Konnektor ein undokumentiertes VPN zum Vertreiber aufzubauen sucht und wüsste gern mehr über den Hintergrund. Vielleicht weiß einer von Euch was dazu?
Viele Grüße, commodity
Beim "scharf ziehen" unserer Firewall bin ich darüber gestolpert, dass die Kocobox (bereits neue Version) versucht, ein IPSec-VPN zu Adresse 185.188.0.44 aufzubauen. Die Adresse liegt außerhalb des Routenbereiches für die TI (Nr. 4.3.4.3 der Gematik-DVO-Handreichung)
Ich kann weder im Handbuch der Box, noch der Gematik-Spezifikation für den VPN-Zugangsdienst, noch im Web etwas zu dieser Verbindung finden. Die Adresse gehört CGM.
Ich finde es befremdlich, wenn der Konnektor ein undokumentiertes VPN zum Vertreiber aufzubauen sucht und wüsste gern mehr über den Hintergrund. Vielleicht weiß einer von Euch was dazu?
Viele Grüße, commodity
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5678790569
Url: https://administrator.de/contentid/5678790569
Printed on: April 25, 2024 at 08:04 o'clock
5 Comments
Latest comment
Moin,
Als ITler aus der Industrie, also fernab der ganzen TI-Thematik hab ich gerade auf der CgM-Seite das gefunden:
https://www.cgm.com/deu_de/plattformen/telematikinfrastruktur/komponente ...
Habt ihr da den SIS-Service „gebucht“?
Als ITler aus der Industrie, also fernab der ganzen TI-Thematik hab ich gerade auf der CgM-Seite das gefunden:
https://www.cgm.com/deu_de/plattformen/telematikinfrastruktur/komponente ...
Habt ihr da den SIS-Service „gebucht“?
2
Danke, nein, kein SIS-Dienst aktiv. Ich hätte auch gedacht, dass der auch in den sicheren Netzen liegen müsste, die der Konnektor vermittelt. Schau ich nochmal nach. Kenne niemanden, der SIS eingerichtet hat.
Viele Grüße, commodity
Viele Grüße, commodity
Heißt denn keine CIS-Option, dass das Gerät nicht trotzdem sich meldet und dafür sowohl Gründe als auch eine formale Grundlage hat?
Ich denke wenn man das blockt, steht irgendwann ein Fehler und eine Wartung an.
Ich denke wenn man das blockt, steht irgendwann ein Fehler und eine Wartung an.
Moin,
ich habe gerade folgendes CGM-Dokument bei der Gematik gefunden: https://fachportal.gematik.de/fileadmin/Fachportal/DVO/VPN-Zugangsdienst ...
Bei der IP-Range 185.188.0.11 - 185.188.0.46 handelt es sich um die VPN-Konzentratoren (VPN Zugangsdienst) in Frankfurt *.f-vpnzugd.telemed-ti.net.
Gruß
cykes
ich habe gerade folgendes CGM-Dokument bei der Gematik gefunden: https://fachportal.gematik.de/fileadmin/Fachportal/DVO/VPN-Zugangsdienst ...
Bei der IP-Range 185.188.0.11 - 185.188.0.46 handelt es sich um die VPN-Konzentratoren (VPN Zugangsdienst) in Frankfurt *.f-vpnzugd.telemed-ti.net.
Gruß
cykes
1
Ihr seid klasse! +1
Nach Kollege @em-pie s Hinweis habe ich es gestern selbst herausgefunden, war aber schon im Bett
Kollege @cykes hat völlig recht. Vielleicht sollte man als DVO mal das ganze Dokument lesen und verstehen...
Der Konnektor bedient mit dem VPN-Zugangsdienst (VPN-ZugD), Nr. 4.3.1 der Gematik-DVO-Handreichung,
Ich dachte immer, der Konnektor baut sein VPN direkt zu den TI-Routen auf. Offenbar aber erfolgt der Aufbau zunächst über den VPN-Zugangsdienst, d.h. wenn der Anbieter Probleme hat, kommt man auch nicht mehr in die TI selbst. Insofern hat Kollege @2423392070 schon recht, man sollte den Zugang besser offen halten Mir wird jetzt klar, warum einige Kollegen hier den Konnektor in ein getrenntes LAN stellen.
Wenn das wirklich so ist, ist die Darstellung im Lagebild der TI aber krass missverständlich, denn dort ist der VPN-ZugD (dort VPN-ZD) unten unter "ferner liefen" vermerkt. Sein Ausfall wäre dann aber zentral für alle Kunden des betroffenen Betreibers. Etwas verklausuliert steht das dann auch in der untersten Zeile des Textes unter der grafischen Darstellung:
Viele Grüße, commodity
Nach Kollege @em-pie s Hinweis habe ich es gestern selbst herausgefunden, war aber schon im Bett
Kollege @cykes hat völlig recht. Vielleicht sollte man als DVO mal das ganze Dokument lesen und verstehen...
Der Konnektor bedient mit dem VPN-Zugangsdienst (VPN-ZugD), Nr. 4.3.1 der Gematik-DVO-Handreichung,
- die SIS (Nr. 4.3.2 - die faktisch keiner nutzt, die faktisch eine vielleicht sichere, dafür unbrauchbare Internetverbindung für die Praxen stellen könnten, werden u.a. über den VPN-ZugD vermittelt.
- die sog. Bestandsnetze (Nr. 4.3.3), was Netzwerke im Gesundheitswesen sind, die schon vor Schaffung der TI existierten.
- die TI selbst, bei der es sich um die sog. offenen Fachdienste, die SÜV (sichere Übermittlungsverfahren, wie KIM) und die aAdG (andere Anwendungen des Gesundheitswesens) sowie aAdG NetG-TI handelt (Nr. 4.3.4.3 der Handreichung).
Ich dachte immer, der Konnektor baut sein VPN direkt zu den TI-Routen auf. Offenbar aber erfolgt der Aufbau zunächst über den VPN-Zugangsdienst, d.h. wenn der Anbieter Probleme hat, kommt man auch nicht mehr in die TI selbst. Insofern hat Kollege @2423392070 schon recht, man sollte den Zugang besser offen halten
Mir wird jetzt klar, warum einige Kollegen hier den Konnektor in ein getrenntes LAN stellen.Wenn das wirklich so ist, ist die Darstellung im Lagebild der TI aber krass missverständlich, denn dort ist der VPN-ZugD (dort VPN-ZD) unten unter "ferner liefen" vermerkt. Sein Ausfall wäre dann aber zentral für alle Kunden des betroffenen Betreibers. Etwas verklausuliert steht das dann auch in der untersten Zeile des Textes unter der grafischen Darstellung:
Eine Aussage über die Erreichbarkeit der TI über die VPN-Zugangsdienste (z.B. der Konnektoren) kann damit nicht getroffen werden.
Die Gematik hat sogar eine spezifische CGM-Firewall-Info veröffentlicht, die den VPN-ZugD betrifft (und in der die IP dieses Threads auftaucht). Leider hat der hiesige Dienstleister davon offenbar keine Kenntnis, denn in der Antwort auf meine Anfrage zu den maßgeblichen Firewall-Ports wurde dieses Dokument schlicht "vergessen".Viele Grüße, commodity
2
