TIS-Konnektor als KV-safenet-gateway aus side-to-side-VPN-LAN nutzen?
Moin at all,
ich habe mir gestern den obligatorischen KV-Trojaner aka TIS-Konnektor in mein Praxis-LAN implantiert ... . Soweit, so schlecht ...
Das Teil fungiert gleichzeitig als gateway in das KV-safenet. Ist ein bisschen wirr gestaltet, aber wenn man da lokal die Routen in den Arbeitsplatz-PC klöppelt, funktioniert das schon.
Problem - ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV, muss also quasi via RDS in die Praxis, um mich dort einzuloggen.
An dem Konnektor selber möchte ich auch nicht "rumschrauben", nicht dass das Teil weghüstelt, weil ich da blind rumklickere.
Kurz (nicht der ehemalige Kanzler): hat schon mal Jemand direkt über VPN einen Konnektor als safenet-gateway nutzen können?
LG, Thomas
ich habe mir gestern den obligatorischen KV-Trojaner aka TIS-Konnektor in mein Praxis-LAN implantiert ... . Soweit, so schlecht ...
Das Teil fungiert gleichzeitig als gateway in das KV-safenet. Ist ein bisschen wirr gestaltet, aber wenn man da lokal die Routen in den Arbeitsplatz-PC klöppelt, funktioniert das schon.
Problem - ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV, muss also quasi via RDS in die Praxis, um mich dort einzuloggen.
An dem Konnektor selber möchte ich auch nicht "rumschrauben", nicht dass das Teil weghüstelt, weil ich da blind rumklickere.
Kurz (nicht der ehemalige Kanzler): hat schon mal Jemand direkt über VPN einen Konnektor als safenet-gateway nutzen können?
LG, Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 456438
Url: https://administrator.de/contentid/456438
Ausgedruckt am: 23.11.2024 um 07:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
mir ist das bislang nicht gelungen. Der Konnektor (Kokosnuss ) verwirft alle Pakete aus anderen Netzen als dem eigenen, auch wenn sie im Konnektor als lokale Netze eingetragen sind. Ausnahme ist die Ankopplung eines Lesegerätes, das wird zugelassen, doch schon bei ntp-Anfragen des Lesegerätes an den Konnektor werden diese geblockt.
Denkbar wäre eventuell ein zusätzlicher NAT-Router, der dem Konnektor vorgaukelt, die Pakete kämen aus dem eigenen Netz. Das hatte ich mal "versucht zu probieren" , aber nur halbherzig, und ich kann nicht sagen ob der damalige Misserfolg an einer fehlerhaften NAT- bzw. Routing-Konfiguration oder am Konnektor lag. Ich wollte das nochmal systemisch testen, habe dazu bislang aber keine Zeit gefunden.
Wir haben den Konnektor in einem separaten LAN. Für safenet/Abrechnung gibt es eine VM, die direkt im Konnektor-LAN hängt, alle anderen PCs/Server sind nicht im Konnektor-LAN.
Grüße
lcer
Zitat von @keine-ahnung:
Das Teil fungiert gleichzeitig als gateway in das KV-safenet. Ist ein bisschen wirr gestaltet, aber wenn man da lokal die Routen in den Arbeitsplatz-PC klöppelt, funktioniert das schon.
Problem - ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV, muss also quasi via RDS in die Praxis, um mich dort einzuloggen.
An dem Konnektor selber möchte ich auch nicht "rumschrauben", nicht dass das Teil weghüstelt, weil ich da blind rumklickere.
Kurz (nicht der ehemalige Kanzler): hat schon mal Jemand direkt über VPN einen Konnektor als safenet-gateway nutzen können?
Das Teil fungiert gleichzeitig als gateway in das KV-safenet. Ist ein bisschen wirr gestaltet, aber wenn man da lokal die Routen in den Arbeitsplatz-PC klöppelt, funktioniert das schon.
Problem - ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV, muss also quasi via RDS in die Praxis, um mich dort einzuloggen.
An dem Konnektor selber möchte ich auch nicht "rumschrauben", nicht dass das Teil weghüstelt, weil ich da blind rumklickere.
Kurz (nicht der ehemalige Kanzler): hat schon mal Jemand direkt über VPN einen Konnektor als safenet-gateway nutzen können?
mir ist das bislang nicht gelungen. Der Konnektor (Kokosnuss ) verwirft alle Pakete aus anderen Netzen als dem eigenen, auch wenn sie im Konnektor als lokale Netze eingetragen sind. Ausnahme ist die Ankopplung eines Lesegerätes, das wird zugelassen, doch schon bei ntp-Anfragen des Lesegerätes an den Konnektor werden diese geblockt.
Denkbar wäre eventuell ein zusätzlicher NAT-Router, der dem Konnektor vorgaukelt, die Pakete kämen aus dem eigenen Netz. Das hatte ich mal "versucht zu probieren" , aber nur halbherzig, und ich kann nicht sagen ob der damalige Misserfolg an einer fehlerhaften NAT- bzw. Routing-Konfiguration oder am Konnektor lag. Ich wollte das nochmal systemisch testen, habe dazu bislang aber keine Zeit gefunden.
Wir haben den Konnektor in einem separaten LAN. Für safenet/Abrechnung gibt es eine VM, die direkt im Konnektor-LAN hängt, alle anderen PCs/Server sind nicht im Konnektor-LAN.
Grüße
lcer
Hallo,
Es ist doch komisch, dass offenbar jeder, der sich etwas mehr mit IT beschäftigt, das Dingens vom eigenen Netz abschotten will und gleichzeitig einige Ärztevereine den seriellen Konnektorbetrieb als einig sichere Variante propagieren obwohl sie die TI ablehnen.
Grüße
lcer
Es ist doch komisch, dass offenbar jeder, der sich etwas mehr mit IT beschäftigt, das Dingens vom eigenen Netz abschotten will und gleichzeitig einige Ärztevereine den seriellen Konnektorbetrieb als einig sichere Variante propagieren obwohl sie die TI ablehnen.
Grüße
lcer
ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV,
Das liegt vermutlich daran das dein VPN Server in der Praxis die Routen die du dort an einem Client statisch reingeklöppelt hast NICHT an deinen häuslichen VPN Client überträgt.Dadurch routet der die KV Netze nicht in den VPN Tunnel via Praxis zur KV.
Sofern du einen Winblows VPN Client hast kannst du das dort bei aktivem VPN mit route print in der Eingabeaufforderung sehen.
Letztlich ist es ganz einfach: Du musst nur diese Routen beim Verbindungsaufbau an den VPN Client übertragen und schon sollte es klappen !
route print sollte dann zeigen das diese IP Netze auch in den Tunnel geroutet werden.
Sofern du dein Heimnetz per Site To Site mit dem Praxisnetz gekoppelt hast um das lästige VPN Dialin zu sparen kannst du es ebenso von dem Router propagieren lassen oder per statischer Route definieren.
Beides sollte klappen.
Allerdings muss der KV Router dann auch die Rückrouten in dein VPN Netz kennen. Er hat ganz sicher keinerlei Routen in IP Netze die sich hinter dem lokalen LAN IP Netz (Praxisnetz) befinden.
So ist in der Tat wie du schon sagst NAT der richtige Weg das Gateway dann zu überlisten.
Du NATest also alles was quasi extern aus anderen IP Segmenten und dazu gehört auch dein VPN, auf deinen lokale Router IP die im lokalen LAN liegen das das KV Netz bedient und fertig ist der Lack !
Der KV Router "denkt" dann alles kommt aus dem lokalen Netz und rafft nicht das es aus anderen IP netzen kommt und wird so alles klaglos dann zum Ziel routen.
Gewusst wie !
Mit einer etwas intelligenten Router Hardware wie Mikrotik, Cisco, Lancom und den anderen üblichen Verdächtigen ist das eine sehr simple Sache.
Dann ist es das fehlende NAT !
Wenn du am KV Gateway ankommst mit deiner Absender IP aus dem lokalen Heimnetz "kennt" das die Rückroute nicht weil vermutlich nicht eingetragen. Die Antwortpakete vom KV Router gehen dann ins Nirwanan oder dahin wo der sein Default Gateway hat.
NAT sollte ihn dann also überlisten
Wenn du am KV Gateway ankommst mit deiner Absender IP aus dem lokalen Heimnetz "kennt" das die Rückroute nicht weil vermutlich nicht eingetragen. Die Antwortpakete vom KV Router gehen dann ins Nirwanan oder dahin wo der sein Default Gateway hat.
NAT sollte ihn dann also überlisten
aber erst, wenn ich den KV-Trojaner in der DMZ habe
Das ist natürlich die beste Option. VLAN ist dein Freund aber du als alter IT Hase weisst das ja...
Hallo,
habs getestet - zweiter Router hineingehangen. Ein einfaches NAT -> Safenet funktioniert.
Aus irgendeinem Grund jedoch nur, wenn man die Route zum Safenet direkt am PC (add route) einträgt. Vermutlich habe ich hier noch ein Problem dadurch, dass der Konnektor einmal über den NAT-Router und einmal direkt erreichbar ist. Das sollte sich aber entwirren lassen. Habe das noch nicht "auf die Schnelle" getestet, da ich "Probleme im Produktivbetrieb" befürchte, wenn ich zu viel am Routing für den Konnektor rumspiele, die Praxis läuft noch.
Ich muss auch noch testen, ob ich das den Konnektor auch aus Sicht des Praxissoftware-Servers "hinter das NAT" hängen kann.
Grüße
lcer
habs getestet - zweiter Router hineingehangen. Ein einfaches NAT -> Safenet funktioniert.
Aus irgendeinem Grund jedoch nur, wenn man die Route zum Safenet direkt am PC (add route) einträgt. Vermutlich habe ich hier noch ein Problem dadurch, dass der Konnektor einmal über den NAT-Router und einmal direkt erreichbar ist. Das sollte sich aber entwirren lassen. Habe das noch nicht "auf die Schnelle" getestet, da ich "Probleme im Produktivbetrieb" befürchte, wenn ich zu viel am Routing für den Konnektor rumspiele, die Praxis läuft noch.
Ich muss auch noch testen, ob ich das den Konnektor auch aus Sicht des Praxissoftware-Servers "hinter das NAT" hängen kann.
Grüße
lcer
Vermutlich habe ich hier noch ein Problem dadurch, dass der Konnektor einmal über den NAT-Router und einmal direkt erreichbar ist.
Ja, das ist ein Netzwerk Design Fehler von dir. Dadurch entscheidet beim Rechner dann die Bindungsreihenfolge welchen Weg es geht. Mit deiner statischen Route erzwingst du dann den Weg trotz Bindungsreihenfolge was letztlich wenig zielführend ist in einem sauberen Design...Es klappt natürlich auch fehlerfrei mit "normalen" statischen Routen auf den beteiligten Router Komponenten.
Hallo,
zum Stand der Dinge - ich glaube, eine gangbare Lösung gefunden zu haben. Ob es bei bestimmten Anwendungen Probleme geben wird, weiss ich noch nicht, allerdings läuft es jetzt schon eine Weile stabil:
vorab: Finger weg von der Konnektor-Konfiguration, wenn man keine Erfahrung mit Routen, NAT und VPN hat - siehe ganz unten.
So hat man den Konnektor schön eingehegt und trotzdem funktioniert alles wie gewünscht. Ich habe bei https://fachportal.gematik.de/ recherchiert, und dort aber recht wenig Angaben zur Anbindung des eigenen LANs an den Konnektor gefunden, die Sicherheitsvorschriften beschäftigen sich dort vor allem damit, die Geräte und Infrastruktur der Telematik an sich sicher zu gestalten, dass "draussen" ohne Grenzen rumgefuscht werden kann. In sofern denke ich, dass nichts gegen diese Installationsvariante spricht, zumal hier der Zugriff auf den Konnektor per Firewall auch sehr granuliert gesteuert werden kann, was die Sicherheit auch für die TI letztlich erhöht. Die Weiterleitung in die Bestandsnetze muss natürlich kontrolliert werden - es muss sichergestellt werden, dass diese Routen nur berechtigten Personen zugänglich sind.
Einziges Manko, man braucht 2 freie Routerports. Möglich wäre auch die Variante mir nur einem. Grob geschildert:
Falls es im weiteren Verlauf Probleme gibt, werde ich berichten.
Grüße
lcer
PS: Wenn das jemand liest und nicht bei jedem Wort genau nachvollziehen kann was man da konkret tut, sollte er unbedingt die Finger vom Konnektor lassen. Einen Werksreset kann nur der kostenpflichtige Vor-Ort-Support des Lieferanten, wenn überhaupt - machen. Die Spielerei mit Routen kann schnell schiefgehen und schupps ist man ausgesperrt. Und eine Garantie, dass das alles klappt und keine unerwünschten Nebeneffekte auftreten, kann ich natürlich auch nicht übernehmen.
zum Stand der Dinge - ich glaube, eine gangbare Lösung gefunden zu haben. Ob es bei bestimmten Anwendungen Probleme geben wird, weiss ich noch nicht, allerdings läuft es jetzt schon eine Weile stabil:
vorab: Finger weg von der Konnektor-Konfiguration, wenn man keine Erfahrung mit Routen, NAT und VPN hat - siehe ganz unten.
- Beim Konnektor (KocoBox) wird Anbindungsmodus Internet: KEINER und WAN Adapter Modus: ein eingestellt.( Anbindungsmodus Internet - Keiner bewirkt wohl, dass nur Telematik-Zeugs durchgeleitet wird und nicht der ganze Rest von 0.0.0.0/0. Ausserdem wird das VPN-Einwählen für den SIS unterbunden. Das Telematik-VPN funktioniert weiter)
- an den WAN-Port kommt ein Kabel zum Internet-Router, verwendet wir ein eigenes Transfernetz. (entweder feste IP am Konnektor oder per DHCP vom Router, wie man mag., am Konnektor wird bei Adresse IAG: die Router-IP dieses Transfernetzes eingestellt.
- Das Transfernetz wird durch die Router-firewall "isoliert" - also nur Internet - Konnektor wird zugelassen.
- An den LAN-Port kommt ein Kabel ins LAN für die Telematik (nur Konnektor und Kartenterminals und ein/der Router)
- für das Telematik-LAN wird NAT am Router aktiviert.
- Hat man mehrere Standorte mit eigenen Kartenterminals, muss man noch die entfernten Netze als Ausnahme vom NAT (kein NAT) definieren
- Das Arztinformationssystem bekommt die Telematik-LAN-IP des Konnektors.
- Der Router bekommt eine Zusatzroute auf die Bestandssetze (kv-safenet) -> Telematik-LAN-IP des Konnektors.
So hat man den Konnektor schön eingehegt und trotzdem funktioniert alles wie gewünscht. Ich habe bei https://fachportal.gematik.de/ recherchiert, und dort aber recht wenig Angaben zur Anbindung des eigenen LANs an den Konnektor gefunden, die Sicherheitsvorschriften beschäftigen sich dort vor allem damit, die Geräte und Infrastruktur der Telematik an sich sicher zu gestalten, dass "draussen" ohne Grenzen rumgefuscht werden kann. In sofern denke ich, dass nichts gegen diese Installationsvariante spricht, zumal hier der Zugriff auf den Konnektor per Firewall auch sehr granuliert gesteuert werden kann, was die Sicherheit auch für die TI letztlich erhöht. Die Weiterleitung in die Bestandsnetze muss natürlich kontrolliert werden - es muss sichergestellt werden, dass diese Routen nur berechtigten Personen zugänglich sind.
Einziges Manko, man braucht 2 freie Routerports. Möglich wäre auch die Variante mir nur einem. Grob geschildert:
- WAN-Adapter am Konnektor aus
- Telematik-LAN mit routerseits aktiviertem NAT
- Ausnahmen für direktes Routing zum Internet (NAT Ausschluss) für alles was man an Telematik-IPs finden kann: Bestandsnetze, Zugangsdient des Providers und Konzentratoren, dezentrale TI, zentrale TI,
- Weitere Ausnahmen für geroutet angeschlossene TI-Geräte-Netze an Sekundärstandorten
Falls es im weiteren Verlauf Probleme gibt, werde ich berichten.
Grüße
lcer
PS: Wenn das jemand liest und nicht bei jedem Wort genau nachvollziehen kann was man da konkret tut, sollte er unbedingt die Finger vom Konnektor lassen. Einen Werksreset kann nur der kostenpflichtige Vor-Ort-Support des Lieferanten, wenn überhaupt - machen. Die Spielerei mit Routen kann schnell schiefgehen und schupps ist man ausgesperrt. Und eine Garantie, dass das alles klappt und keine unerwünschten Nebeneffekte auftreten, kann ich natürlich auch nicht übernehmen.
Hallo,
Eigentlich wollte ich noch den Hinweis auf diesen Link hier geben: https://www.kococonnector.com/kococonnector_downloads/downloads.de.jsp
Da gibt's das ausführliche Administrationshandbuch.
Grüße
lcer
Eine kleine Topologie Skizze hätte dem noch die Krone aufgesetzt
Seit wann bist Du denn der GUI-Typ? Spaß beiseite. Neben mir lag tatsächlich ein Stapel Papier und ein Bleistift. Das Szenario habe ich aber erst nach ein paar Fehlversuchen "passend" und da hatte ich keine Lust mehr zu malen.Eigentlich wollte ich noch den Hinweis auf diesen Link hier geben: https://www.kococonnector.com/kococonnector_downloads/downloads.de.jsp
Da gibt's das ausführliche Administrationshandbuch.
Grüße
lcer
Hallo zusammen,
seit der neuesten Firmware-Version der Koco-Box kann man für das Erkennen der Kartenterminals den Modus von Broadcast auf Unicast umstellen. Das könnte in Konfigurationen mit mehreren Subnetzen hilfreich sein. Näheres gibt es unter https://www.kococonnector.com/kococonnector_downloads/downloads.de.jsp -> Administrationshandbuch
Grüße
lcer
seit der neuesten Firmware-Version der Koco-Box kann man für das Erkennen der Kartenterminals den Modus von Broadcast auf Unicast umstellen. Das könnte in Konfigurationen mit mehreren Subnetzen hilfreich sein. Näheres gibt es unter https://www.kococonnector.com/kococonnector_downloads/downloads.de.jsp -> Administrationshandbuch
Grüße
lcer