TI Konnektor Seriell OpenVPN

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Antworten
oconnor
Beiträge: 63
Registriert: Dienstag 27. März 2007, 18:24
17

TI Konnektor Seriell OpenVPN

Beitrag von oconnor »

Hallo,
ist es möglich den TI Konnektor Seriell zu betreiben und dort hinter OpenVPN zu betreiben um von zuhause aus auf die Praxis zu kommen? Bekommt man mit dem Konnektor eine dynamische IP oder eine feste IP?
Werden ausgehende und eingehende Ports gesperrt (Firewall)? Falls ausgehende nicht gesperrt werden, kann ich in der Praxis einen OpenVPN Client anstatt Server verwenden?

Praxis:
Internet -> DSL Modem -> TI-Konnektor -> Praxis Netz -> OpenVPN (Server)

Zuhause:
Internet -> DSL Router -> OpenVPN (Client)

PS: Ich würde gerne die Haftung an den TI Konnektor übergeben, was wohl nur im Seriellen Betrieb funktioniert.
PPS: Muss man etwas für den Trafik bezahlen der über den Konnektor geht?
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: TI Konnektor Seriell OpenVPN

Beitrag von nmndoc »

oconnor hat geschrieben:Hallo,
ist es möglich den TI Konnektor Seriell zu betreiben und dort hinter OpenVPN zu betreiben um von zuhause aus auf die Praxis zu kommen? Bekommt man mit dem Konnektor eine dynamische IP oder eine feste IP?
Werden ausgehende und eingehende Ports gesperrt (Firewall)? Falls ausgehende nicht gesperrt werden, kann ich in der Praxis einen OpenVPN Client anstatt Server verwenden?

Praxis:
Internet -> DSL Modem -> TI-Konnektor -> Praxis Netz -> OpenVPN (Server)

Zuhause:
Internet -> DSL Router -> OpenVPN (Client)

PS: Ich würde gerne die Haftung an den TI Konnektor übergeben, was wohl nur im Seriellen Betrieb funktioniert.
PPS: Muss man etwas für den Trafik bezahlen der über den Konnektor geht?
Also: technisch rate ich ja ab. Und rechtlich: ob da ein Gematik RA tatsächlich aus der Äußerung, die mal Jemand öffentlich gemacht hat, da eine komplette Nicht-Haftung der Praxis ableiten würde ... na ich würde es nicht darauf ankommen lassen (außerdem müssten Sie ja auch Ihren Patienten sagen - sorry - nur kann ich halt nichts dafür. Ob das dann besser ist?)

Zu Ihren Fragen

1) ob Sie extern eine feste oder dynamische IP erhalten, hängt doch von Ihrem Provider ab
2) Modem direkt am Konnektor wird m.E. ohnehin nicht gehen, da ich nicht glaube dass Sie dort die Einwahl konfigurieren können (Ausnahme wäre evtl. ein Provider wo man keine Einwahldaten hat, wie Kabel)
3) Dyndns o.ä. wüsste ich auch nicht, dass man das auf dem Konnektor einrichten kann
4) Ganz rudimentär kann mann Firewallregeln konfigurieren. So wie man es von einfachen Routern kennt - allerdings wohl nur (?) In Verbindung mit SIS? Aber mit dynamischen Ports wie FTP+co wird das nichts
5) Ob man "seriell" tatsächlich NUR mit SIS machen kann, kann ich so spontan nicht beantworten. Rein technisch kann man ja auch einfach das WAN-INterface des Konnektors an das Modem/Router hängen und das Praxis-Netz an den LAN-Port. Ist dann wohl eher eine Frage, ob die Routing-Logik der Box das versteht. Und betr. Ihrer Haftung: Ich vermute da ist seriell+SIS gemeint.
6) Bei SIS kostet der Traffic. Außerdem wird da m.E. gesamte ausgehende Traffic über das TI-RZ geroutet(?) Ah - jetzt verstehe ich die Frage nach der festen/dyn. IP :-) Hm ... kann mir da nicht vorstellen, dass man da einen Zugriff von außen wirklich einrichten kann ... Aber testen Sie es doch mal. Ein gewisses Freivolumen ist m.E. dabei. Vielleicht weiß das Jemand auswendig - müsste sonst wohl mal in die Schulungsunterlagen sehen - zu lange her ;-)

Ich denke mit SIS würde ich dann eher etwas wie Teamviewer (vorher testen) statt openVPN verwenden. Selbst wenn sich theoretisch ja die Praxis per VPN-Client zu einem Server/Home verbinden könnte und Sie dann von dort aus auf die Praxis zugreifen können (so war das oben doch gemeint?)? Und ach ja: Wenn Modem nicht möglich ist: Zwei Router hintereinander und dann da von außen VPN durchreichen würde vielleicht auch keinen Spaß machen (sofern es mit SIS - s.o. überhaupt geht).
oconnor
Beiträge: 63
Registriert: Dienstag 27. März 2007, 18:24
17

Re: TI Konnektor Seriell OpenVPN

Beitrag von oconnor »

Genau wie du es bei 6. beschrieben hast, habe ich es vor. Ich denke auch das es über dyndns, also Server in der Praxis eher problematisch dyndns ist. Aber Client in der Praxis und Server zuhause könnte funktionieren, falls die Firewall nicht alles blockt. Sobald der Konnektor installiert ist, werde ich es testen. Zwecks Haftung muss ich mir auch überlegen ein Schreiben aufzusetzen und vom Installateur unterschreiben zu lassen. Traffikosten habe ich jetzt auch rausgesucht. Zwischen 1,5 und 5 GB je nach Vertrag sind inclusive. SIS-Power 30GB kann man für 5 - 7€ pro Monat bestellen. Nur sind 30GB zu wenig. Letzten Monat wurden knapp 50GB verbraucht. Mit Teamviewer holt man sich ja wieder eine 3. Partei mit an Board, die Theoretisch alles Mitlesen kann. Automatisierete Backups sind mit Teamviewer wahrscheinlich auch nicht möglich. Ich weis aber auch nicht wie es mit der Haftung ist, falls ein VPN hinter dem Konnektor verwendet wird, das umgeht dann ja dann "ganze Sicherheit".
Forti
Beiträge: 479
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 31 times
Bedankt: 9 times

Re: TI Konnektor Seriell OpenVPN

Beitrag von Forti »

Kann mir nur schwer vorstellen, dass daraus was wird. Der "Trick" besteht ja darin, dass man per SIS nicht "in die Praxis eindringen kann".
VoIP über SIS klappt nicht - schon getestet. Per SIP funktioniert da kein Medientransport, jedenfalls nicht robust. IAX2 ist etwas besser, aber hat hohe Latenzen.


1) Wenn Sie wirklich diesen Weg gehen wollen, brauchen Sie "da draußen" ein Gateway für VPN.

Eine Möglichkeit, die ich für den Notfall immer zur Hand habe, ist ein VPN-Tunnel-Gateway wie folgt:
Sie connecten Sie AUS DER PRAXIS HERAUS wie zu einem VPN-Server beim Anbieter (also mit einem Client, Fritzbox hinter Konnektor, OpenVPN-Server auf dem Server, Shrew...).
Von extern connecten Sie ebenfalls auf dieses Gateway, das dann die beiden Endpunkte verbindet.
Fertig - keine Firewallprobleme. Inwiefern man dem Anbieter vertraut, ist Ansichtssache. AV-Vereinbarung ist Pflicht.

Beispiel, bitte nicht als Werbung sehen. Dieser Anbieter ist zwar nett und freundlich sowei funktional, das Interface aber etwas... naja... in die Jahre gekommen und leicht eigenwillig.
https://www.portunity.de/access/produkt ... unnel.html

2) Alternative:
(Für Fritzbox kann natürlich auch eine DIGIBOX, LANCOM etc. herhalten)
Fritzbox als DSL-Router z.B. mit 192.168.178.x. Konnektor dahinter mit aktivem SIS. Alle Geräte in der Praxis bekommen nur von hier DHCP-Zuweisungen, Gateway usw. im eigenen Subnetz 192.168.179.x.
Fritzbox: DHCP aus. Kabel zu Server mit zweiter Netzwerkkarte (phys. Trennung bis zum Server - keine gemeinsamen Switche!).
Server: Zweite NWK mit der IP passend zum Fritz-Subnetz. Serverfirewall auf diesem Adapter: Alles zu außer die für VPN erforderlichen Ports und Protokolle - eingehend UND AUSGEHEND. Kein Standardgateway auf diesem Adapter angeben!

3) Ein Konnektor spricht kein DSL-Modem an. No way.

4) Alternative 2: Digitalisierungsbox der Telekom (Smart, Premium) oder be.ip von Bintec. Dort können Sie direkt einen VPN-Server aufmachen und z.B. mit Shrew oder einer anderen Box connecten.
Nur... auch hier geht´s am Konnektor vorbei, so dass der VPN-Server wieder mit eigenem Adressraum für den Client und das Zielgerät aufwarten muss.


Letztlich: Wovor konkret soll denn SIS schützen? Sobald Sie etwas aufmachen wollen, müssen Sie es tun. Und dann umgehen Sie entweder das SIS (2 und 4) oder Sie tunneln ein VPN durch das SIS. Inwiefern dann eine Haftung übernommen wird, steht in den Sternen. Schließlich ist nicht sicher, ob der wie auch immer geartete Schädling vielleicht doch durch die VPN-Gegenseite reingekommen ist...

Nur so ´n Gedankengang...

HF
Forti
--
Beste Grüße
Forti
Forti
Beiträge: 479
Registriert: Sonntag 14. August 2011, 16:28
12
PVS: Allerlei
Konnektortyp: "alle"
Hat sich bedankt: 31 times
Bedankt: 9 times

Re: TI Konnektor Seriell OpenVPN

Beitrag von Forti »

Nachtrag: SIS ist in meinen Augen lediglich ein Mittel, besorgten KollegInnen die Angst zu nehmen.
Mit der Haftungsübernahme und überzeugenden Prospekten ist praktisch jedes Argument genommen, die Praxis nicht ans Internet anschließen zu wollen.
So bleiben allenfalls die Kosten für den DSL-Anschluss selbst als Mehraufwand...

hf
Forti
--
Beste Grüße
Forti
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot], Bing [Bot], cwang und 57 Gäste