Statische Routen KIM, eAU, eRP

[rfbdoc]

Angeregt durch Kommentare aus dem Forum habe ich in Anbetracht der auf einzelnen Rechner unterschiedlichen Funktionalität von KIM und eAU die hinterlegten statischen Routen verglichen. Obwohl ich gefühlt alle Rechner gleichartig konfiguriert habe, untescheiden sich die hinterlegten statischen Routen
Auf Empfehlung aus dem Forum habe ich nunmehr auf 2 Problemrechnern alles statischen Routen lokal gelöscht und diese statt dessen auf dem Router, der Fritzbox hinterlegt.
Allem Anschein nach ist im Testlauf ein Teil der Probleme mit eAU und KIM gelöst, die Bewährungsprobe im Alltagsbetrieb steht noch an.

Frage: Welche IP Adressen mit ggfs. welchen Masken müssen für eAU, KIM, eRP über die statische Route via KocoBox geleitet werden ?
Gibt es dazu eine "offizielle" tabellarische Übersicht ?

Anbei ein Screenshot aus meiner Fritzbox mit meinen aktuellen Einstellungen

IPv4 Routen FritzBox.jpg

[Thomas]

Dem Konnektor entnehme ich folgendes:

2023-02-05 18_53_49-SERVER.png

Jetzt muss man nur noch die Netzmaskenangabe vom /xx-Format ins (manchem eher) geläufige umrechnen. Dazu auf https://jodies.de/ipcalc die Adresse aus dem Beispiel und die Anzahl der Subnetz-Bits eintragen und auf "Calculate" clicken (das "move to" Feld leer lassen). Dann bekommt man für 188.144.0.0/15 die Ausgabe "Network 188.144.0.0 Netmask 255.254.0.0" und (anderes Beispiel) 212.3.66.8/29 das "Network 212.3.66.8 Netmask 255.255.255.248". Diese Werte sind dann als statische Route einzutragen. Das Impfzertifikatsnetzwerk fehlt hier witzigerweise, das ist 100.102.0.0/15, also "Network 100.102.0.0 Netmask 255.254.0.0". Sie können in Ihrer Fritzbox also alle 100.10x.... löschen und dafür den einen hier genannten eintragen, denn der vereint alle anderen. Sie haben also nur noch den 188.144.0.0/255.254.0.0 und 100.102.0.0/255.254.0.0 drin - die beiden würden auch als statische Routen an den einzelnen Arbeitsplätzen reichen, wenn Sie es dort eintragen wollen (wobei das mit den Routen auf der zentralen Fritzbox schon sehr elegant ist).

PS: Da im Konnektor sowieso nur Netzwerkadressen (und keine Hostadressen) angezeigt werden, kann man auch auf die o.g. Hilfsseite verzichten und direkt die Masken aus der Tabelle https://wiki.manitu.de/index.php/Server:IPv4-Subnetze ablesen. Wenn man aber nicht sicher ist, ob man eine Netz- oder Hostadresse vor sich hat, geht sicherheitshalber über die Jodies-Seite - dann stimmt es auf jeden Fall.

[rfbdoc]

Muss ich als Heimwerker zwar mehrmals lesen aber hilft mir weiter und macht die Einstellungen in der Fritzbox übersichtlicher.

Danke !

[Thomas]

Muss ich als Heimwerker zwar mehrmals lesen...

Lach... ja, das habe ich befürchtet, aber ich wollte es knapp halten, sonst wäre es ein seitenlanger Exkurs über IPv4-Adressen geworden, den dann auch nicht jeder verstehen würde (oder auch nur wollen würde).

Eins noch zum Hintergrund: Man kann einen Hammer (Netzwerkadresse und Netzmaske) verwenden, um vorzüglich viele verschiedene Nägel gleichzeitig (die Computer im Netzwerk) einzuschlagen. Um das geht es in meinem Geschreibsel: 188.144.0.10 und 188.144.10.20 (nur Beispiele) sind zwei Hostadressen im Netzwerk 188.144.0.0/15 - ich muss daher nur einmal das Netzwerk als statische Route eintragen, dann erledige ich alle Hosts (=Computer) in diesem Netzwerk mit einem Schlag. Jeder zusätzliche Eintrag für dieses Netzwerk ist damit überflüssig (wenn auch unschädlich). Muss man nicht verstehen, schadet aber auch nichts Wen's genauer interessiert: https://de.wikipedia.org/wiki/Netzmaske (Erst einmal nur den IPv4-Teil lesen und IPv6 ignorieren.)

Viel Erfolg und beste Grüße
Thomas

[torsten2]

Ein Netzwerk kann nur einmal eingetragen werden, bitte nicht doppelt mit verschiedenen Netzwerkmasken! Das wird die Firewall durcheinanderbringen und sollte eigentlich gar nicht möglich sein so einzugeben. Wenn die Fritzbox das nicht nimmt, bitte die Netzwerkmaske einfach in das andere Format umrechnen:
https://www.calculator.net/ip-subnet-calculator.html
Ich würde die vier substanziellen Netze TI zentral, TI dezentral, Offene Fachdienste, Gesicherte Fachdienste auf jeden Fall eintragen. Manche Netze (z.B. IBM) liegen hinter diesen und funktionieren sonst nicht. Die Fehlersuche wird dann sehr spannend...

[torsten2]

Wenn die 100.102.0.0 mit der Subnetzmaske 255.255.0.0 eingetragen ist, sind alle IP's der letzten beiden Stellen des Quadrupels mit drin. Es können und müssen also die Einträge
100.102.0.0 255.255.128.0
100.102.7.190 255.255.0.0
100.102.7.190 255.255.255.255
weg. Die sind alle im ersten Eintrag inkludiert.

[torsten2]

Was ist denn die 100.103.xxx? Die gibt es bei mir gar nicht.

FireShot Capture 023 - KoCoBox-Managementschnittstelle - 192.168.110.251.png

So, genug genörgelt zum Sonntag Abend

Viele Grüße

Torsten

[Thomas]

@Torsten2:

was unterscheidet Ihre Antwort von dem, was ich vorher geschrieben habe?

Ein Netzwerk kann nur einmal eingetragen werden, bitte nicht doppelt mit verschiedenen Netzwerkmasken! Das wird die Firewall durcheinanderbringen und sollte eigentlich gar nicht möglich sein so einzugeben.

Das ist sicherlich nicht schön, aber grundsätzlich nicht schädlich und wird ganz bestimmt keine Firewall durcheinanderbringen - in manchen Fällen kann es sogar nötig sein, überlappende Bereiche zu definieren - genau dazu gibt es die Metrik (Gewichtung) in der Routingtabelle. Wenn die FB (und jeder andere Rechner auch) eine Adresse in einem fremden Netzwerk zustellen muss, prüft sie der Reihe nach (sortiert nach der Gewichtung/Metrik), ob sie ins Netz einer statischen Route passt und stellt sie dann dorthin zu. Wenn am Ende keine statische Route passt, geht sie ans Standardgateway. Doppelte und redundante Einträge sind dabei nicht schlimm - wenngleich den Menschen/Admin irritierend.

die vier substanziellen Netze TI zentral, TI dezentral, Offene Fachdienste, Gesicherte Fachdienste auf jeden Fall eintragen

Was genau sind die IP-Adressen dieser Netze? Das war ja eigentlich die Frage von rfbdoc...

Wenn die 100.102.0.0 mit der Subnetzmaske 255.255.0.0 eingetragen ist

Die 100.102.x.x ist ein /15-Netz (https://www.digitaler-impfnachweis-app. ... ee662e.pdf), also muss die Netzmaske 255.254.0.0 sein.

[torsten2]

Hallo,
so komplizierte Dinge, wie Metrik, kann die Fritzbox ja nicht. Ich traue dem Gerät nicht soviel zu und würde sie daher nicht mit redunanten Einträgen überladen. Die 255.254.0.0 ist natürlich korrekt, der Fehler war mir gar nicht aufgefallen, ich hatte das nur aus dem Screenshot abgeschrieben

[Thomas]

Kein Ding, da sind wir uns ja einig. Aber nochmal:

die vier substanziellen Netze TI zentral, TI dezentral, Offene Fachdienste, Gesicherte Fachdienste auf jeden Fall eintragen

Was genau sind die IP-Adressen dieser Netze? Das war ja eigentlich die Frage von rfbdoc... Und ich würde das auch gerne wissen, denn eine ordentliche Liste der statischen Routen als Spickzettel fände ich (auch) toll.

[etwas später]

Hab die Antwort selbst gefunden: https://fachportal.gematik.de/fachporta ... 0_Aend.pdf

Da steht: TI-Produktivumgebung 100.64.0.0/10. Aus diesem Block, der die Adressen 100.64.0.0-100.127.255.255 umfasst, werden alle Adressen der TI-Produktivumgebung bedient. Es würde also eigentlich eine Route auf 100.64.0.0 mit der Netzmaske 255.192.0.0 ausreichen - damit geht alles, was TI angeht, an den Konnektor.

[torsten2]

is doch auf dem Screenshot aus meiner Fritzbox im oberen Drittel mit drauf....

[Thomas]

Stimmt. DA hab ich nicht (also: noch nie) hingeschaut

[Thomas]

Es würde also eigentlich eine Route auf 100.64.0.0 mit der Netzmaske 255.192.0.0 ausreichen - damit geht alles, was TI angeht, an den Konnektor.

Das ist natürlich zu kurz gedacht, denn die 188.144.0.0 liegt nicht in dem Bereich... sorry, ist doch schon etwas spät. Man braucht also mindestens diese zwei Routen.

[rfbdoc]

Aus dem Gelesenen ergibt sich für mich folgende Konfiguration für die statischen Routen in der Fritzbox. Lokal auf den Workstations und dem Server eingerichtete statische Routen würde ich dann löschen können.

StatischeRoutenFritzBox2.jpg

[Thomas]

Fast... die 100.102... kann weg, denn die ist in der ersten enthalten (die erste umfasst 100.64.0.0-100.127.255.255).

[torsten2]

Genau. Bei mir in der Fritzbox steht allerdings im Gegensatz zur o.a. Dokumentation ein 11er Netz. Das wäre dann:
Address: 100.64.0.0 01100100.010 00000.00000000.00000000
Netmask: 255.224.0.0 = 11 11111111.111 00000.00000000.00000000
Ich würde da die identischen Einträge machen, wie sie von der KoCoBox vorgegeben werden.