Konnektor in DMZ mit Sophos --> Kein Zugriff auf das SafeNet / Impfnachweis

TI-Community �

Administration und Einrichtung � Konfiguration � Konnektor in DMZ mit Sophos --> Kein Zugriff auf das SafeNet / Impfnachweis

Themen-Einstellungen

Thema drucken

Bereich wechseln

Allgemeine Informationen Forumsthemen Aktuelle News TI-Veranstaltungen TI-Finanzierungsaspekte TI-Nutzung und Nutzen aus Anwendersicht elektronische Patientenakte (ePA) elektronisches Rezept (eRx) sichere eMail (KIM) elektronische Arbeitsunf�higkeitsbescheinigung (eAU) TI-Messenger (TIM) Weitere Anwendungen: VSDM, NFDM, eMP, DEMIS, etc. TI-Plattform - Hardware, Zugang, Einrichtung Krankenhausspezifische Themen Administration und Einrichtung Konfiguration Best Practices Problembeseitigung Hersteller- und Zulassungsthemen Konzepte, Spezifikationen, Richtlinie Best�tigungs- und Zulassungsverfahren Betriebliche Steuerung Serviceprodukte der gematik Gesch�tzter Herstellerbereich Aktuelle Gesetzeslage In Arbeit befindliche Gesetze Konnektoren der Industrie CGM-Konnektor secunet-Konnektor RISE-Konnektor T-System-Konnektor Kartenterminals der Industrie Cherry eGK Tastatur G87_1505 Cherry ST-1506 (in Zulassung) Ingenico ORGA 6141 online Ingenico Orga 930M Zemo VML GK2 Zugangsdienste der Industrie Prim�rsysteme Krankenkassen-Angebote elektronische Gesundheitskarte (eGK) elektronische Patientenakte (ePA) Diskussionen zu Industrieprodukten allgemein Allgemeines zu den Best�tigungs- und Zulassungsverfahren Produktzulassungen Anbieterzulassungen Feldtest Best�tigungsverfahren FdV-Hersteller Best�tigungsverfahren Prim�rsysteme Best�tigung als weitere Anwendung der TI Diskussionen zu Zulassungsverfahren Diskussionen zum operativen Betrieb der TI

#1 | Konnektor in DMZ mit Sophos --> Kein Zugriff auf das SafeNet / Impfnachweis datum

23.03.2022 15:37

Hallo zusammen,
ich hoffe sehr, ich finde hier Hilfe, da ich am Ende meines Lateins bin.
Wir integrieren eine Sophos XG in der Praxis. Der Konnektor soll dabei zusammen mit den Kartenterminals in einem getrennten Netz liegen.
Leider treibt mich der Secunet-Konnektor in den Wahnisnn.
Hier eine Beschreibung meiner aktuellen Konfiguration:
Konnektor WAN Netz (192.168.7.0/24)
Konnektor LAN Netz (192.168.6.0/24)
Client Netz (192.168.5.0/24)

Die Konnektor WAN Schnitstelle darf per Firewall Regel mit der WAN Schnittstelle der Firewall reden, also ins Internet. Der Tunnel zur TI wird auch erfolgreich aufgebaut.
Nun funktioniert der Zugriff in die Bestandsnetze (Safenet und Impfnachweis) nicht.
Ich habe auf der Firewall ein erfolgreiches NAT von dem Client Netz in das LAN des Konnektors erstellt, sodass der Konnektor "denkt" ich komme von einer IP aus seinem Netz.
Ebenso habe ich auf der Firewal eine SD-WAN Route angelegt, welche theoretisch jeden Traffic vom Clientnetz an das KV Safenet (188.144.0.0/15) an die IP des Konnektors im LAN schiebt. Testen konnte ich das nicht, jedoch funktioniert eine lokale Route auf einem Client genauso wenig.
Der Konnektor ist aus dem Client-Netz pingbar und erreichbar via Weboberfläche.
Von der Weboberfläche des Konnektors aus, habe ich bereits versucht, die url des SafeNet Portals vom Anwendungskonnektor aus zu pingen, leider bekomme ich keine Antwort (liegt hier schon das Problem? Sollte die URL pingbar sein?).
Vermutlich habe ich hier auch ein Problem mit asynchronem routing?

Wäre über jede Hilfe dankbar!
Grüße
Benedict

Antworten

#2 | RE: Konnektor in DMZ mit Sophos --> Kein Zugriff auf das SafeNet / Impfnachweis datum

23.03.2022 16:34 (zuletzt bearbeitet: 23.03.2022 16:35)

Secunet weiß ich nicht, wo mand as einstellt: Bestandsnetze sind auch wirklich aktiv?
Dass das Portal in kv-safenet nicht pingbar ist, ist normal. https auf 443 ist offen.

Ah, alle Netze hängen an derselben Firewall?
D.h. die Firewall hat auch 192.168.5.0/24 als lokales Netz?

Ja, asymmetrisch mag zumindest die Kocobox nicht. Masquerading auf alle Netze ausdehen, die erreicht werden sollen über den Konnektor, also in dem Fall hier auch zum Ziel 188.144.0.0/15 maskieren.

Antworten

#3 | RE: Konnektor in DMZ mit Sophos --> Kein Zugriff auf das SafeNet / Impfnachweis datum

23.03.2022 17:03

Hi,
was sagt denn das Sicherheitslog?

Hier wären die drops relevant.

Viele Grüße

Antworten

#4 | RE: Konnektor in DMZ mit Sophos --> Kein Zugriff auf das SafeNet / Impfnachweis datum

23.03.2022 18:12

Äh, nochmal drüber nachgedacht, hatte ein andere Szenario im Kopf (ohne extra Clientnetz): Wo ist das asymmetrisch?

1) Von 192.168.5.0/24 bekommt kein SNAT für Pakete zu 188.144.0.0/15 - dann ist das für den Konnektor ein unbekanntes Netz. Wie soll er da hin routen?
Oder ist die Route gesetzt? Dann wäre das PC-FW-Konnektor-TI-Tunnel-Portal und zurück Portal-TI-Tunnel-Konnektor-FW-PC, also nicht asymmetrisch.

2) Von 192.168.5.0/25 bekommt SNAT für Pakete zu 188.144.0.0/15 mit Quell-IP auf 192.168.6.x (IP der FW) - dann schickt der Konnektor ja auch wieder an diese IP zurück, er weiß ja nichts anderes. Von da wird umgeschrieben auf die 192.168.5.y, von wo das ursprüngliche Paket kam. Also Hin- und Rückweg gleich geroutet, wie oben, nur andere Adressen. :)

Antworten