TIS-Konnektor als KV-safenet-gateway aus side-to-side-VPN-LAN nutzen?

Hallo,

Es ist doch komisch, dass offenbar jeder, der sich etwas mehr mit IT beschäftigt, das Dingens vom eigenen Netz abschotten will und gleichzeitig einige Ärztevereine den seriellen Konnektorbetrieb als einig sichere Variante propagieren obwohl sie die TI ablehnen.

Grüße

lcer

Das liegt vermutlich daran das dein VPN Server in der Praxis die Routen die du dort an einem Client statisch reingeklöppelt hast NICHT an deinen häuslichen VPN Client überträgt.
Dadurch routet der die KV Netze nicht in den VPN Tunnel via Praxis zur KV.
Sofern du einen Winblows VPN Client hast kannst du das dort bei aktivem VPN mit route print in der Eingabeaufforderung sehen.
Letztlich ist es ganz einfach: Du musst nur diese Routen beim Verbindungsaufbau an den VPN Client übertragen und schon sollte es klappen !
route print sollte dann zeigen das diese IP Netze auch in den Tunnel geroutet werden.
Sofern du dein Heimnetz per Site To Site mit dem Praxisnetz gekoppelt hast um das lästige VPN Dialin zu sparen kannst du es ebenso von dem Router propagieren lassen oder per statischer Route definieren.
Beides sollte klappen.
Allerdings muss der KV Router dann auch die Rückrouten in dein VPN Netz kennen. Er hat ganz sicher keinerlei Routen in IP Netze die sich hinter dem lokalen LAN IP Netz (Praxisnetz) befinden.
So ist in der Tat wie du schon sagst NAT der richtige Weg das Gateway dann zu überlisten.
Du NATest also alles was quasi extern aus anderen IP Segmenten und dazu gehört auch dein VPN, auf deinen lokale Router IP die im lokalen LAN liegen das das KV Netz bedient und fertig ist der Lack !
Der KV Router "denkt" dann alles kommt aus dem lokalen Netz und rafft nicht das es aus anderen IP netzen kommt und wird so alles klaglos dann zum Ziel routen.
Gewusst wie !
Mit einer etwas intelligenten Router Hardware wie Mikrotik, Cisco, Lancom und den anderen üblichen Verdächtigen ist das eine sehr simple Sache.

Dann ist es das fehlende NAT !
Wenn du am KV Gateway ankommst mit deiner Absender IP aus dem lokalen Heimnetz "kennt" das die Rückroute nicht weil vermutlich nicht eingetragen. Die Antwortpakete vom KV Router gehen dann ins Nirwanan oder dahin wo der sein Default Gateway hat.
NAT sollte ihn dann also überlisten
Das ist natürlich die beste Option. VLAN ist dein Freund aber du als alter IT Hase weisst das ja...

Hallo,

habs getestet - zweiter Router hineingehangen. Ein einfaches NAT -> Safenet funktioniert.
Aus irgendeinem Grund jedoch nur, wenn man die Route zum Safenet direkt am PC (add route) einträgt. Vermutlich habe ich hier noch ein Problem dadurch, dass der Konnektor einmal über den NAT-Router und einmal direkt erreichbar ist. Das sollte sich aber entwirren lassen. Habe das noch nicht "auf die Schnelle" getestet, da ich "Probleme im Produktivbetrieb" befürchte, wenn ich zu viel am Routing für den Konnektor rumspiele, die Praxis läuft noch.

Ich muss auch noch testen, ob ich das den Konnektor auch aus Sicht des Praxissoftware-Servers "hinter das NAT" hängen kann.

Grüße

lcer

Ja, das ist ein Netzwerk Design Fehler von dir. Dadurch entscheidet beim Rechner dann die Bindungsreihenfolge welchen Weg es geht. Mit deiner statischen Route erzwingst du dann den Weg trotz Bindungsreihenfolge was letztlich wenig zielführend ist in einem sauberen Design...
Es klappt natürlich auch fehlerfrei mit "normalen" statischen Routen auf den beteiligten Router Komponenten.

Hallo,

zum Stand der Dinge - ich glaube, eine gangbare Lösung gefunden zu haben. Ob es bei bestimmten Anwendungen Probleme geben wird, weiss ich noch nicht, allerdings läuft es jetzt schon eine Weile stabil:

vorab: Finger weg von der Konnektor-Konfiguration, wenn man keine Erfahrung mit Routen, NAT und VPN hat - siehe ganz unten.

• Beim Konnektor (KocoBox) wird Anbindungsmodus Internet: KEINER und WAN Adapter Modus: ein eingestellt.( Anbindungsmodus Internet - Keiner bewirkt wohl, dass nur Telematik-Zeugs durchgeleitet wird und nicht der ganze Rest von 0.0.0.0/0. Ausserdem wird das VPN-Einwählen für den SIS unterbunden. Das Telematik-VPN funktioniert weiter)
• an den WAN-Port kommt ein Kabel zum Internet-Router, verwendet wir ein eigenes Transfernetz. (entweder feste IP am Konnektor oder per DHCP vom Router, wie man mag., am Konnektor wird bei Adresse IAG: die Router-IP dieses Transfernetzes eingestellt.
• Das Transfernetz wird durch die Router-firewall "isoliert" - also nur Internet - Konnektor wird zugelassen.
• An den LAN-Port kommt ein Kabel ins LAN für die Telematik (nur Konnektor und Kartenterminals und ein/der Router)
• für das Telematik-LAN wird NAT am Router aktiviert.
• Hat man mehrere Standorte mit eigenen Kartenterminals, muss man noch die entfernten Netze als Ausnahme vom NAT (kein NAT) definieren
• Das Arztinformationssystem bekommt die Telematik-LAN-IP des Konnektors.
• Der Router bekommt eine Zusatzroute auf die Bestandssetze (kv-safenet) -> Telematik-LAN-IP des Konnektors.

So hat man den Konnektor schön eingehegt und trotzdem funktioniert alles wie gewünscht. Ich habe bei https://fachportal.gematik.de/ recherchiert, und dort aber recht wenig Angaben zur Anbindung des eigenen LANs an den Konnektor gefunden, die Sicherheitsvorschriften beschäftigen sich dort vor allem damit, die Geräte und Infrastruktur der Telematik an sich sicher zu gestalten, dass "draussen" ohne Grenzen rumgefuscht werden kann. In sofern denke ich, dass nichts gegen diese Installationsvariante spricht, zumal hier der Zugriff auf den Konnektor per Firewall auch sehr granuliert gesteuert werden kann, was die Sicherheit auch für die TI letztlich erhöht. Die Weiterleitung in die Bestandsnetze muss natürlich kontrolliert werden - es muss sichergestellt werden, dass diese Routen nur berechtigten Personen zugänglich sind.

Einziges Manko, man braucht 2 freie Routerports. Möglich wäre auch die Variante mir nur einem. Grob geschildert:

• WAN-Adapter am Konnektor aus
• Telematik-LAN mit routerseits aktiviertem NAT
• Ausnahmen für direktes Routing zum Internet (NAT Ausschluss) für alles was man an Telematik-IPs finden kann: Bestandsnetze, Zugangsdient des Providers und Konzentratoren, dezentrale TI, zentrale TI,
• Weitere Ausnahmen für geroutet angeschlossene TI-Geräte-Netze an Sekundärstandorten

Je nach Konfigurationsmöglichkeiten des NAT kann das kompliziert werden. Die erste Möglichkeit ist hier einfacher und Admin-Transparenter.

Falls es im weiteren Verlauf Probleme gibt, werde ich berichten.

Grüße

lcer

PS: Wenn das jemand liest und nicht bei jedem Wort genau nachvollziehen kann was man da konkret tut, sollte er unbedingt die Finger vom Konnektor lassen. Einen Werksreset kann nur der kostenpflichtige Vor-Ort-Support des Lieferanten, wenn überhaupt - machen. Die Spielerei mit Routen kann schnell schiefgehen und schupps ist man ausgesperrt. Und eine Garantie, dass das alles klappt und keine unerwünschten Nebeneffekte auftreten, kann ich natürlich auch nicht übernehmen.

Oder wenigstens einen Router oder eine Firewall die VLANs auf einem Port supportet. Ansonsten sehr gutes Feedback und Tutorial !
Eine kleine Topologie Skizze hätte dem noch die Krone aufgesetzt

Hallo,
Seit wann bist Du denn der GUI-Typ? Spaß beiseite. Neben mir lag tatsächlich ein Stapel Papier und ein Bleistift. Das Szenario habe ich aber erst nach ein paar Fehlversuchen "passend" und da hatte ich keine Lust mehr zu malen.

Eigentlich wollte ich noch den Hinweis auf diesen Link hier geben: https://www.kococonnector.com/kococonnector_downloads/downloads.de.jsp

Da gibt's das ausführliche Administrationshandbuch.

Grüße

lcer