KIM, TurboMed und Sophos Hardware Firewall

Fragen, Anregungen oder Tipps und Tricks? Hier ist der erste Anlaufpunkt.
Nicht sicher, wo ein Thema hingehört? Hier hinein - wir kümmern uns! :)

Moderator: Forum Moderatoren

Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
Antworten
SvenAtkins
Beiträge: 13
Registriert: Freitag 5. März 2010, 18:31
14

KIM, TurboMed und Sophos Hardware Firewall

Beitrag von SvenAtkins »

Moin,
hat einer der hier mitlesenden KIM in einem Netzwerk mit einer Hardware Firewall schon zum laufen bekommen?
Die KIM eMail Adresse haben wir registiert und gestern wurde diese von der TurboMed Hotline auch auf unserem Server aktiviert und in das öffentliche KIM Adressbuch eingetragen wo sie auch auftaucht.
Wenn wir dann aber versuchen einen eBrief (oder wie das heißt) über TurboMed zu verschicken bekommen schlägt das fehl.
Mit dem Verbindungstest vom eCockpit ist der KIM Dienst nicht erreichbar, daran ändert sich allerdings auch nichts wenn ich die Ports und Zieladresse in der Sophos Firewall freigebe.
Hat jemand einen Tipp was wir noch probieren können?

Danke.
Sven
c-it
Beiträge: 170
Registriert: Montag 5. August 2019, 18:48
4
Hat sich bedankt: 4 times
Bedankt: 20 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von c-it »

... also nur zum Verbindungstest:
Ich halte das für einen unterirdisch programmierten Teil des Programms.
Wenn TI und CGM-Connect läuft und das Teil keine Verbindung zum
KV-Safenet meldet sollte man diesen Aussagen einfach nicht trauen.

Schönen Abend
c-it
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von nmndoc »

Habe mich damit noch nicht eingehend befasst, aber wenn/falls die Verbindung auch, wie @c-it schreibt, über KV-Safenet läuft - dann würde das doch bedeuten, dass die Verbindung nicht direkt raus geht sondern über den Konnektor muss.
In dem Fall wäre a) keine zusätzliche Firewallregel (nach extern) nötig und b) würde ich mal schauen, ob die Routen richtig passen - in Ihrem Netz und Konnektor.
Ansonsten: Wenn Sie schon eine Sophos FW haben, dann hat die doch sicher auch ein Log, in dem Sie nachsehen können ob/welche Verbindungsversuche sind und ob die erfolgreich sind.
Olli
Beiträge: 32
Registriert: Donnerstag 20. August 2009, 20:50
14
Wohnort: Berlin
PVS: Turbomed
Konnektortyp: Kocobox

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von Olli »

Hallo,

wir haben das selbe Problem hinter einer Fortigate. Selbst ein Allow All bringt keine Abhilfe.
Was mich wundert: Die Static Route zur Kocobox soll ja 188.144.0.0/255.254.0.0 sein.
Aber hier fehlen schlicht die Angaben für CGM Connect und co. Auf der CGM Seite finde ich ebenfalls keine Angaben und mit den Angaben der Domain telematic in der Kocobox kann das interne Praxis-Netz ja eigentlich nichts anfangen.
Wenn man sich die Ports und Adressen der entsprechenden "Server" der KIM Adressen anschaut, muss irgendwo ein CGM Dienst ja die Adressauflösung im KV Netz absolvieren.

Meine Frage: Wo habe ich den Denkfehler? Es fehlt hier meiner Meinung nach schlicht die Route für die CGM / KIM Dienste bzw. Turbomed kommt mit dem Konnektor nicht klar.

Haben Sie es hinbekommen?

Gruß
Olli
pysker
Beiträge: 9
Registriert: Mittwoch 11. Januar 2017, 17:50
7

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von pysker »

Hallo Zusammen,

wir kämpfen an ähnlicher Front - die Firewall ist es wohl nicht (bei uns eine securepoint UTM), die Kommunikation zu KIM läuft ausschließlich durch die TI - CGM KIM FAQ:
Eine Institution setzt eine Firewall ein. Welche Ports/IP-Adressen müssen für die KIM-Kommunikation freigeschaltet werden?
Generell wird der komplette Datenverkehr von KIM nicht ins World Wide Web transferiert, sondern über den VPN-Tunnel der TI an den KIM-Fachdienst. Sollte ein Anwender den lokalen Traffic mit einer Firewall prüfen, so sind folgende Ports/IP-Adressen entsprechend freizuschalten.

Im Prinzip sollte der (MAIL)Client die Anbindungseinstellungen des (PVS)Clientsystems nutzen (ohne eigene Routingeinstellungen?!) und dann via Konnektor versenden können, allerdings scheint der LDAP Dienst für KIM eine Authentifizierung zu fordern, also zwischen TM und KOnnektor, das ist bei uns jedenfalls nicht ao eingerichtet worden - muss aber laut KV Richtlinie sowieso umgestellt werden...

Koco-Admin-Handbuch:
Aus Sicherheitsgründen wird empfohlen, ausschließlich mit LDAPS zu arbeiten. Für die Auswahl, ob LDAP oder LDAPS nutzbar ist, gelten die Anbindungseinstellungen für die Clientsysteme weitgehend, d.h. der Schutz der Verbindung zum LDAP-Proxy folgt den Einstellungen, die für die Anbindung der Clientsysteme für die Nutzung der allgemeinen Konnektordienste konfiguriert sind. Basic-Authentication wird hierbei jedoch nicht unterstützt. Stattdessen ist zertifikatsbasierte Authentisierung zu verwenden.

Erfolg haben wir bisher leider nocht nicht ;(

Gruß

Stephan
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von lcer »

Olli hat geschrieben:Hallo,

wir haben das selbe Problem hinter einer Fortigate. Selbst ein Allow All bringt keine Abhilfe.
Was mich wundert: Die Static Route zur Kocobox soll ja 188.144.0.0/255.254.0.0 sein.
Hallo,

ich hatte mit dem KVdox-Tool die KIM-Installation gestartet. Das Tool hat auf dem Konnektor neue Routen angelegt. (unter LAN/Routingtabelle). Diese habe ich dann in auf den Router übernommen (mit jeweils Ziel:Konnnektor) Es kann Sein, dass da systemspezifisch verschiedene Routen für CGM und KBV erforderlich sind. Deshalb individuell nachschauen.


Grüße

lcer
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von nmndoc »

Wie gesagt, mit KIM kann ich aktuell noch nicht dienen, aber grundlegend:

- m.E. sollte doch die Firewall das default-GW im Netz und für die Clients sein
- d.h. wenn dem Client wo eine Route fehlt (bzw der sollte eigentlich keine haben, außer das default GW) - schickt er alles an die FW - d.h. dort müsste man die Pakete ja sehen können (und ggf das Fehlen einer Route)
- falls irgendwelche Dienste genutzt werden, die über den Konnektor laufen, dann muss die FW die entsprechenden Netze/Routen - d.h. Netz x.x.x.x/x -> GW = Konnektor, eingetragen haben.
- abhängig von der eigenen Netzwerkumgebung, müssen auch alle lokalen Netze auf dem Konnektor eingetragen sein - weil er sonst dorthin keine Pakete schickt - Ziel für die lokalen Netze wäre dann ebenfalls die FW. (zB bei uns ein Fall - mehrere Standorte via VPN über zentralen Konnektor).
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von lcer »

nmndoc hat geschrieben: - falls irgendwelche Dienste genutzt werden, die über den Konnektor laufen, dann muss die FW die entsprechenden Netze/Routen - d.h. Netz x.x.x.x/x -> GW = Konnektor, eingetragen haben.
Genau. Das Problem ist, dass manche Dienste zusätzliche Routen brauchen. Beispiel:

VDSM: Für Turbmed ist der Konnektor der Endpunkt. keine Route erforderlich
KV-Safenet: Der Konnektor leitet den Verkehr durch. Route (auf dem Router oder als statische Route auf dem PC) 188.144.0.0/15 mit Konnektor als Gateway erforderlich
KIM: Der Konnektor leitet den Verkehr durch. Route (auf dem Router oder als statische Route auf dem PC) Netz-für-KIM mit Konnektor als Gateway erforderlich

Die Angabe, welches das Netz-Für-KIM ist, müsste bei der Installation von KIM mitgeliefert werden (Wo hat CGM das nur versteckt ... ?). Man kann aber auf dem Konnektor nachschauen und der Reihe nach die angelegten Routen durchprobieren.

Grüße

lcer
Olli
Beiträge: 32
Registriert: Donnerstag 20. August 2009, 20:50
14
Wohnort: Berlin
PVS: Turbomed
Konnektortyp: Kocobox

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von Olli »

lcer hat geschrieben:
Die Angabe, welches das Netz-Für-KIM ist, müsste bei der Installation von KIM mitgeliefert werden (Wo hat CGM das nur versteckt ... ?). Man kann aber auf dem Konnektor nachschauen und der Reihe nach die angelegten Routen durchprobieren.

Grüße

lcer
Wir haben Freitag einen Techniker Termin, wir werden berichten, ob er eine Lösung fand und vor allem, wenn ja: Wie es ging und welche Route es ist. (das lassen die sich bestimmt gut bezahlen)
SG83
Beiträge: 11
Registriert: Donnerstag 26. März 2020, 08:50
4

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von SG83 »

Ich glaube, da fehlt einfach eine FW-Regel für den Lan2Lan-Traffic oder?
Bsp, wenn der Konnektor 192.168.0.245 ist und die Sophos 192.168.0.1

1) statische Route in der Sophos eintragen, damit die Sophos weiss, über welche IP man ins KVSafenet kommt
2) interne Lan2Lan-Regel anlegen (Bild 2 und 3)). Ggf. Protokolle noch mehr einschränken

Warum brauche ich eine interne Lan2Lan-Regel?
Weil in dem Moment, wo die Sophos vom PC angesprochen wird und die statische Route aus 1) greift, der Traffic durch die Sophos durch muss. Und solange die keine Regel wie in Bild 2 und 3 hat, dropt die halt den Traffic.
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Olli
Beiträge: 32
Registriert: Donnerstag 20. August 2009, 20:50
14
Wohnort: Berlin
PVS: Turbomed
Konnektortyp: Kocobox

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von Olli »

SG83 hat geschrieben:Ich glaube, da fehlt einfach eine FW-Regel für den Lan2Lan-Traffic oder?
Bsp, wenn der Konnektor 192.168.0.245 ist und die Sophos 192.168.0.1

1) statische Route in der Sophos eintragen, damit die Sophos weiss, über welche IP man ins KVSafenet kommt
2) interne Lan2Lan-Regel anlegen (Bild 2 und 3)). Ggf. Protokolle noch mehr einschränken

Warum brauche ich eine interne Lan2Lan-Regel?
Weil in dem Moment, wo die Sophos vom PC angesprochen wird und die statische Route aus 1) greift, der Traffic durch die Sophos durch muss. Und solange die keine Regel wie in Bild 2 und 3 hat, dropt die halt den Traffic.
Gute Idee, aber die Route zum KV Safenet steht, die KV ist auch erreichbar, aber KIM CGM Connect und co geht nicht.
In LAN gibt es keine Einschränkungen, hier dürfen alle miteinander kommunizieren, nur nach und von draußen wird gefiltert. Die Koco wird über die Route und den IP Bereich angesprochen und hat testweise sogar allow all out, wobei hier nur der Tunnel relevant ist.

Ich vermute, das die CGM KIM und co über einen anderen IP Bereich anspricht und nirgends kommuniziert ist. In der Anleitung des TM Kim Dienstes steht etwas von Firewall Freigaben für SMTP und co an Services mit der Domain .Telematic (oder ähnlich) also nichts im offenen Netz.
IP Bereiche und Adressen dazu gibt es nicht und die Anleitung liest sich nach interner Windows Firewall. In dem Domänen Netzwerk war aber auch eine offene Firewall nicht hilfreich.

PS. Der Techniker hat uns versetzt
lcer
Beiträge: 574
Registriert: Sonntag 26. Oktober 2008, 09:15
15
Hat sich bedankt: 4 times
Bedankt: 21 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von lcer »

Schau Dir mal die lokalen Routen auf dem Rechner/Server an, auf dem KIM aktiviert wurde:
print route
Bei mir war es so, dass der der Installer des KIM Moduls von kv.dox eine zusätzliche Route auf den Konnektor setzte. Wenn Ja, würde ich die mal auf die Firewall übertragen.

nochmal: Der IP-Bereich für kv-safenet ist NICHT DER SELBE wie für KIM. Und der IP-Bereich für KIM-CGM ist auch NICHT DER SELBE wie für KIM-kv.dox

Die Route 188.144.0.0/15 -> Konnektor IST NUR für kv-safenet.de

Grüße

lcer
Olli
Beiträge: 32
Registriert: Donnerstag 20. August 2009, 20:50
14
Wohnort: Berlin
PVS: Turbomed
Konnektortyp: Kocobox

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von Olli »

lcer hat geschrieben:Schau Dir mal die lokalen Routen auf dem Rechner/Server an, auf dem KIM aktiviert wurde:
print route
...
lcer
Danke, die Idee war gut, doch leider packt der CGM KIM Dienst da keine Routen auf den Server. Wir hatten auf dem TM Server eine 100.102.0.0/16 eingetragen gehabt, aber selbst beim Übernehmen als static Route brachte dies kein funktionierendes CGM Connect / KIM. Der Installer ist bei denen auch Turbomed Intern und muss auf dem Server durchgeführt werden, blöd wenn es ein reiner Server als Teil einer VM ist...

Am 25.5. will sich der Techniker der CGM melden, mal schauen ob er es diesmal schafft...
Olli
Beiträge: 32
Registriert: Donnerstag 20. August 2009, 20:50
14
Wohnort: Berlin
PVS: Turbomed
Konnektortyp: Kocobox

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von Olli »

Unsere Lösung lautet wie folgt:
Direkt und nicht per RDP auf den Server schalten:

Die Lizenz von KV Connect in TM war das Problem.
Mittlerweile läuft KIM (mal schauen wie lange)
In der Firewall musste nichts geändert werden, wir haben zusätzlich im DNS Server der Domäne eine Weiterleitung der telematik Domain auf die Koco eingerichtet (ob das sein muss, weiß ich nicht)
Aber die Lösung war:

KIM Deregistrieren
KV Connect Lizenzdatei einspielen, bei der KV Connect NICHT Bestandteil der Lizenz ist (Bekam der CGM Techniker von der Turbomed Technik)
Anschließend die Registrierung von KIM mit der SMB-C neu durchführen (NICHT HBA, bereitet regelmäßig Probleme)
Schauen dass die CGM Assist Dienste am Server automatisch starten
Test: KIM läuft
Neue Lizenz mit KV Connect wieder einspielen.

Läuft immer noch.
Fehlermeldungen beim Verbindungstest sind normal und willkürlich, so die Aussage :)
Der CGM Techniker kannte das Problem aber bislang auch nicht.
Die Firewall Regeln am Server aus den Vorlagen wurden installiert, sofern diese noch nicht aktiv waren.
Auf unserer Fortigate musste nichts geändert werden.
nmndoc
Beiträge: 1797
Registriert: Donnerstag 17. März 2011, 12:56
13
Bedankt: 24 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von nmndoc »

Olli hat geschrieben:Unsere Lösung lautet wie folgt:
Direkt und nicht per RDP auf den Server schalten:

Die Lizenz von KV Connect in TM war das Problem.
Das ist bei TM relativ normal. Schaltet man sich per RDP auf einen Rechner, auf dem zB telematik eingerichtet ist / TI-eGK-Leser etc - dann funktioniert das auch nicht ... scheint am etwas anderen Kontext zu liegen und TM behandelt es dann wie einen anderen Client
Olli
Beiträge: 32
Registriert: Donnerstag 20. August 2009, 20:50
14
Wohnort: Berlin
PVS: Turbomed
Konnektortyp: Kocobox

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von Olli »

nmndoc hat geschrieben:
Olli hat geschrieben:Unsere Lösung lautet wie folgt:
Direkt und nicht per RDP auf den Server schalten:

Die Lizenz von KV Connect in TM war das Problem.
Das ist bei TM relativ normal. Schaltet man sich per RDP auf einen Rechner, auf dem zB telematik eingerichtet ist / TI-eGK-Leser etc - dann funktioniert das auch nicht ... scheint am etwas anderen Kontext zu liegen und TM behandelt es dann wie einen anderen Client
Dann hab ich das falsch beschrieben :)
Also, das TM so tickt, wissen wir, ich wollte es nur nochmal erwähnen - unabhängig der echten Lösung.

Die Lösung war aber tatsächlich die fehlerhafte Lizenz für KV Connect, was KIM zur Nichtfunktion verleitete... :)
Benutzeravatar
redwulf
Beiträge: 377
Registriert: Montag 23. Oktober 2006, 19:30
17
Wohnort: München
PVS: TM
Konnektortyp: Red/Rise
Hat sich bedankt: 2 times
Bedankt: 13 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von redwulf »

Was bedeutet den Kv Connect Lizenz neu einspielen, meinen Sie die Zugangsdaten ?
Grüße
Olli
Beiträge: 32
Registriert: Donnerstag 20. August 2009, 20:50
14
Wohnort: Berlin
PVS: Turbomed
Konnektortyp: Kocobox

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von Olli »

redwulf hat geschrieben:Was bedeutet den Kv Connect Lizenz neu einspielen, meinen Sie die Zugangsdaten ?
Grüße
Leider meine ich das nicht, das wäre zu einfach. Der Turbomed Service hat dem CGM Techniker neue Lizenzdaten zur Verfügung gestellt, bei denen aus der Turbomed Lizenz das KV Connect Modul aus Turbomed deaktiviert wurde. Nach Abschluss der KIM Neueinrichtung wurde dies Modul wieder mit einer neuen Lizenz akltiviert.

Die Fehlermeldung nach KIM Einrichtung waren hier immer Verbindungsfehler, z.B. bei der LDAP Suche nach anderen Praxen, etc.
Benutzeravatar
redwulf
Beiträge: 377
Registriert: Montag 23. Oktober 2006, 19:30
17
Wohnort: München
PVS: TM
Konnektortyp: Red/Rise
Hat sich bedankt: 2 times
Bedankt: 13 times

Re: KIM, TurboMed und Sophos Hardware Firewall

Beitrag von redwulf »

Schade, dass es nicht so einfach ist
Gruß
Antworten

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot] und 56 Gäste