keine-ahnung
Goto Top

TIS-Konnektor als KV-safenet-gateway aus side-to-side-VPN-LAN nutzen?

Moin at all,

ich habe mir gestern den obligatorischen KV-Trojaner aka TIS-Konnektor in mein Praxis-LAN implantiert ... face-sad . Soweit, so schlecht ...

Das Teil fungiert gleichzeitig als gateway in das KV-safenet. Ist ein bisschen wirr gestaltet, aber wenn man da lokal die Routen in den Arbeitsplatz-PC klöppelt, funktioniert das schon.

Problem - ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV, muss also quasi via RDS in die Praxis, um mich dort einzuloggen.

An dem Konnektor selber möchte ich auch nicht "rumschrauben", nicht dass das Teil weghüstelt, weil ich da blind rumklickere.

Kurz (nicht der ehemalige Kanzler): hat schon mal Jemand direkt über VPN einen Konnektor als safenet-gateway nutzen können?

LG, Thomas

Content-ID: 456438

Url: https://administrator.de/contentid/456438

Ausgedruckt am: 23.11.2024 um 07:11 Uhr

lcer00
Lösung lcer00 28.05.2019 um 11:03:01 Uhr
Goto Top
Hallo,
Zitat von @keine-ahnung:
Das Teil fungiert gleichzeitig als gateway in das KV-safenet. Ist ein bisschen wirr gestaltet, aber wenn man da lokal die Routen in den Arbeitsplatz-PC klöppelt, funktioniert das schon.

Problem - ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV, muss also quasi via RDS in die Praxis, um mich dort einzuloggen.

An dem Konnektor selber möchte ich auch nicht "rumschrauben", nicht dass das Teil weghüstelt, weil ich da blind rumklickere.

Kurz (nicht der ehemalige Kanzler): hat schon mal Jemand direkt über VPN einen Konnektor als safenet-gateway nutzen können?

mir ist das bislang nicht gelungen. Der Konnektor (Kokosnuss face-smile ) verwirft alle Pakete aus anderen Netzen als dem eigenen, auch wenn sie im Konnektor als lokale Netze eingetragen sind. Ausnahme ist die Ankopplung eines Lesegerätes, das wird zugelassen, doch schon bei ntp-Anfragen des Lesegerätes an den Konnektor werden diese geblockt.

Denkbar wäre eventuell ein zusätzlicher NAT-Router, der dem Konnektor vorgaukelt, die Pakete kämen aus dem eigenen Netz. Das hatte ich mal "versucht zu probieren" , aber nur halbherzig, und ich kann nicht sagen ob der damalige Misserfolg an einer fehlerhaften NAT- bzw. Routing-Konfiguration oder am Konnektor lag. Ich wollte das nochmal systemisch testen, habe dazu bislang aber keine Zeit gefunden.

Wir haben den Konnektor in einem separaten LAN. Für safenet/Abrechnung gibt es eine VM, die direkt im Konnektor-LAN hängt, alle anderen PCs/Server sind nicht im Konnektor-LAN.

Grüße

lcer
keine-ahnung
keine-ahnung 28.05.2019 um 11:51:19 Uhr
Goto Top
Hi,

mir ist das bislang nicht gelungen.

das scheinen wirklich lustige Plastikbüchsen zu sein ...

Wir haben den Konnektor in einem separaten LAN

Ich will das Teil eigentlich auch in eine DMZ packen ... an den safenet-Zugang habe ich da noch gar nicht gedacht face-sad . Muss ich dann wohl auch über eine zusätzliche VM lösen - Aldder, was für eine VerarXXXe!

LG, Thomas
lcer00
lcer00 28.05.2019 um 12:40:52 Uhr
Goto Top
Hallo,
Zitat von @keine-ahnung:
Ich will das Teil eigentlich auch in eine DMZ packen ...
LG, Thomas

Es ist doch komisch, dass offenbar jeder, der sich etwas mehr mit IT beschäftigt, das Dingens vom eigenen Netz abschotten will und gleichzeitig einige Ärztevereine den seriellen Konnektorbetrieb als einig sichere Variante propagieren obwohl sie die TI ablehnen.

Grüße

lcer
keine-ahnung
keine-ahnung 28.05.2019 um 15:48:49 Uhr
Goto Top
Es ist doch komisch, dass offenbar jeder, der sich etwas mehr mit IT beschäftigt, das Dingens vom eigenen Netz abschotten will

Nu ja, ich hätte ein komisches Gefühl dabei, den Jungens aus der TIS freien Zugang zu meinem LAN zu geben face-wink .

gleichzeitig einige Ärztevereine den seriellen Konnektorbetrieb als einig sichere Variante propagieren

Was für "Ärztevereine" meinst Du?

Die Haltung zu dem TIS-Gedöhns unter den Kollegen aus der Humanmedizin ist ambivalent und auch fachrichtungsabhängig, es wird perspektivisch Spezialisierungen geben, die von dem Krams zumindest etwas profitieren werden, andere werden nicht viel davon haben.

Die Zahnis und die nichtärztlichen Psychotherapeuten scheinen im Allgemeinen noch weniger begeistert, da ist mein diesbezüglicher "Bekanntenkreis" aber zu klein, um das quantifizieren zu können.

Insgesamt ist der fianzielle Aufwand, der da getrieben wird, im Verhältnis zu den erwartbaren Ergebnissen aber schon grauselig ...

Ausnahme ist die Ankopplung eines Lesegerätes, das wird zugelassen

Welche Portfreigaben braucht es minimalistisch dazu? Ich habe ein ORGA 6141 gekauft, dass Teil hat offenbar nicht einmal ein Web-GUI ... face-sad

LG, Thomas

LG, Thomas
aqui
Lösung aqui 28.05.2019 aktualisiert um 19:02:44 Uhr
Goto Top
ich bekomme von dohoam (S2S-VPN) keine direkte Verbindung über den Konnektor (secunet) in das Mitgliederportal der KV,
Das liegt vermutlich daran das dein VPN Server in der Praxis die Routen die du dort an einem Client statisch reingeklöppelt hast NICHT an deinen häuslichen VPN Client überträgt.
Dadurch routet der die KV Netze nicht in den VPN Tunnel via Praxis zur KV.
Sofern du einen Winblows VPN Client hast kannst du das dort bei aktivem VPN mit route print in der Eingabeaufforderung sehen.
Letztlich ist es ganz einfach: Du musst nur diese Routen beim Verbindungsaufbau an den VPN Client übertragen und schon sollte es klappen !
route print sollte dann zeigen das diese IP Netze auch in den Tunnel geroutet werden.
Sofern du dein Heimnetz per Site To Site mit dem Praxisnetz gekoppelt hast um das lästige VPN Dialin zu sparen kannst du es ebenso von dem Router propagieren lassen oder per statischer Route definieren.
Beides sollte klappen.
Allerdings muss der KV Router dann auch die Rückrouten in dein VPN Netz kennen. Er hat ganz sicher keinerlei Routen in IP Netze die sich hinter dem lokalen LAN IP Netz (Praxisnetz) befinden.
So ist in der Tat wie du schon sagst NAT der richtige Weg das Gateway dann zu überlisten.
Du NATest also alles was quasi extern aus anderen IP Segmenten und dazu gehört auch dein VPN, auf deinen lokale Router IP die im lokalen LAN liegen das das KV Netz bedient und fertig ist der Lack ! face-wink
Der KV Router "denkt" dann alles kommt aus dem lokalen Netz und rafft nicht das es aus anderen IP netzen kommt und wird so alles klaglos dann zum Ziel routen.
Gewusst wie ! face-wink
Mit einer etwas intelligenten Router Hardware wie Mikrotik, Cisco, Lancom und den anderen üblichen Verdächtigen ist das eine sehr simple Sache.
keine-ahnung
keine-ahnung 28.05.2019 um 19:26:44 Uhr
Goto Top
Hi aqui,

Das liegt vermutlich daran das dein VPN Server in der Praxis die Routen die du dort an einem Client statisch reingeklöppelt hast NICHT an deinen häuslichen VPN Client überträgt.

In äschd nüsch face-smile ? Muss er ja auch nicht, habe ich daheim auch mit den Patschehändchen in den dortigen Windowsknecht geklopft ... die stehen auch im outprint von route print korrekt drin ...

Ich werde das bei Gelegenheit mittels NAT angehen, aber erst, wenn ich den KV-Trojaner in der DMZ habe - ist nicht so brennend wichtig.

LG, Thomas
aqui
aqui 28.05.2019 aktualisiert um 19:39:35 Uhr
Goto Top
Dann ist es das fehlende NAT !
Wenn du am KV Gateway ankommst mit deiner Absender IP aus dem lokalen Heimnetz "kennt" das die Rückroute nicht weil vermutlich nicht eingetragen. Die Antwortpakete vom KV Router gehen dann ins Nirwanan oder dahin wo der sein Default Gateway hat.
NAT sollte ihn dann also überlisten face-wink
aber erst, wenn ich den KV-Trojaner in der DMZ habe
Das ist natürlich die beste Option. VLAN ist dein Freund aber du als alter IT Hase weisst das ja... face-monkey
lcer00
lcer00 29.05.2019 um 11:01:25 Uhr
Goto Top
Hallo,

habs getestet - zweiter Router hineingehangen. Ein einfaches NAT -> Safenet funktioniert.
Aus irgendeinem Grund jedoch nur, wenn man die Route zum Safenet direkt am PC (add route) einträgt. Vermutlich habe ich hier noch ein Problem dadurch, dass der Konnektor einmal über den NAT-Router und einmal direkt erreichbar ist. Das sollte sich aber entwirren lassen. Habe das noch nicht "auf die Schnelle" getestet, da ich "Probleme im Produktivbetrieb" befürchte, wenn ich zu viel am Routing für den Konnektor rumspiele, die Praxis läuft noch. face-smile

Ich muss auch noch testen, ob ich das den Konnektor auch aus Sicht des Praxissoftware-Servers "hinter das NAT" hängen kann.

Grüße

lcer
aqui
aqui 30.05.2019 um 09:40:53 Uhr
Goto Top
Vermutlich habe ich hier noch ein Problem dadurch, dass der Konnektor einmal über den NAT-Router und einmal direkt erreichbar ist.
Ja, das ist ein Netzwerk Design Fehler von dir. Dadurch entscheidet beim Rechner dann die Bindungsreihenfolge welchen Weg es geht. Mit deiner statischen Route erzwingst du dann den Weg trotz Bindungsreihenfolge was letztlich wenig zielführend ist in einem sauberen Design...
Es klappt natürlich auch fehlerfrei mit "normalen" statischen Routen auf den beteiligten Router Komponenten.
lcer00
lcer00 05.06.2019 um 18:22:48 Uhr
Goto Top
Hallo,

zum Stand der Dinge - ich glaube, eine gangbare Lösung gefunden zu haben. Ob es bei bestimmten Anwendungen Probleme geben wird, weiss ich noch nicht, allerdings läuft es jetzt schon eine Weile stabil:

vorab: Finger weg von der Konnektor-Konfiguration, wenn man keine Erfahrung mit Routen, NAT und VPN hat - siehe ganz unten.

  • Beim Konnektor (KocoBox) wird Anbindungsmodus Internet: KEINER und WAN Adapter Modus: ein eingestellt.( Anbindungsmodus Internet - Keiner bewirkt wohl, dass nur Telematik-Zeugs durchgeleitet wird und nicht der ganze Rest von 0.0.0.0/0. Ausserdem wird das VPN-Einwählen für den SIS unterbunden. Das Telematik-VPN funktioniert weiter)
  • an den WAN-Port kommt ein Kabel zum Internet-Router, verwendet wir ein eigenes Transfernetz. (entweder feste IP am Konnektor oder per DHCP vom Router, wie man mag., am Konnektor wird bei Adresse IAG: die Router-IP dieses Transfernetzes eingestellt.
  • Das Transfernetz wird durch die Router-firewall "isoliert" - also nur Internet - Konnektor wird zugelassen.
  • An den LAN-Port kommt ein Kabel ins LAN für die Telematik (nur Konnektor und Kartenterminals und ein/der Router)
  • für das Telematik-LAN wird NAT am Router aktiviert.
  • Hat man mehrere Standorte mit eigenen Kartenterminals, muss man noch die entfernten Netze als Ausnahme vom NAT (kein NAT) definieren
  • Das Arztinformationssystem bekommt die Telematik-LAN-IP des Konnektors.
  • Der Router bekommt eine Zusatzroute auf die Bestandssetze (kv-safenet) -> Telematik-LAN-IP des Konnektors.

So hat man den Konnektor schön eingehegt und trotzdem funktioniert alles wie gewünscht. Ich habe bei https://fachportal.gematik.de/ recherchiert, und dort aber recht wenig Angaben zur Anbindung des eigenen LANs an den Konnektor gefunden, die Sicherheitsvorschriften beschäftigen sich dort vor allem damit, die Geräte und Infrastruktur der Telematik an sich sicher zu gestalten, dass "draussen" ohne Grenzen rumgefuscht werden kann. In sofern denke ich, dass nichts gegen diese Installationsvariante spricht, zumal hier der Zugriff auf den Konnektor per Firewall auch sehr granuliert gesteuert werden kann, was die Sicherheit auch für die TI letztlich erhöht. Die Weiterleitung in die Bestandsnetze muss natürlich kontrolliert werden - es muss sichergestellt werden, dass diese Routen nur berechtigten Personen zugänglich sind.

Einziges Manko, man braucht 2 freie Routerports. Möglich wäre auch die Variante mir nur einem. Grob geschildert:
  • WAN-Adapter am Konnektor aus
  • Telematik-LAN mit routerseits aktiviertem NAT
  • Ausnahmen für direktes Routing zum Internet (NAT Ausschluss) für alles was man an Telematik-IPs finden kann: Bestandsnetze, Zugangsdient des Providers und Konzentratoren, dezentrale TI, zentrale TI,
  • Weitere Ausnahmen für geroutet angeschlossene TI-Geräte-Netze an Sekundärstandorten
Je nach Konfigurationsmöglichkeiten des NAT kann das kompliziert werden. Die erste Möglichkeit ist hier einfacher und Admin-Transparenter.

Falls es im weiteren Verlauf Probleme gibt, werde ich berichten.

Grüße

lcer

PS: Wenn das jemand liest und nicht bei jedem Wort genau nachvollziehen kann was man da konkret tut, sollte er unbedingt die Finger vom Konnektor lassen. Einen Werksreset kann nur der kostenpflichtige Vor-Ort-Support des Lieferanten, wenn überhaupt - machen. Die Spielerei mit Routen kann schnell schiefgehen und schupps ist man ausgesperrt. face-smile Und eine Garantie, dass das alles klappt und keine unerwünschten Nebeneffekte auftreten, kann ich natürlich auch nicht übernehmen.
aqui
aqui 05.06.2019 aktualisiert um 19:12:51 Uhr
Goto Top
Einziges Manko, man braucht 2 freie Routerports.
Oder wenigstens einen Router oder eine Firewall die VLANs auf einem Port supportet. Ansonsten sehr gutes Feedback und Tutorial ! face-smile
Eine kleine Topologie Skizze hätte dem noch die Krone aufgesetzt face-wink
lcer00
lcer00 06.06.2019 um 18:00:02 Uhr
Goto Top
Hallo,
Eine kleine Topologie Skizze hätte dem noch die Krone aufgesetzt face-wink
Seit wann bist Du denn der GUI-Typ? face-smile Spaß beiseite. Neben mir lag tatsächlich ein Stapel Papier und ein Bleistift. Das Szenario habe ich aber erst nach ein paar Fehlversuchen "passend" und da hatte ich keine Lust mehr zu malen.

Eigentlich wollte ich noch den Hinweis auf diesen Link hier geben: https://www.kococonnector.com/kococonnector_downloads/downloads.de.jsp

Da gibt's das ausführliche Administrationshandbuch.

Grüße

lcer
lcer00
lcer00 16.09.2020 um 15:00:16 Uhr
Goto Top
Hallo zusammen,

seit der neuesten Firmware-Version der Koco-Box kann man für das Erkennen der Kartenterminals den Modus von Broadcast auf Unicast umstellen. Das könnte in Konfigurationen mit mehreren Subnetzen hilfreich sein. Näheres gibt es unter https://www.kococonnector.com/kococonnector_downloads/downloads.de.jsp -> Administrationshandbuch

Grüße

lcer