Anleitung zur Freischaltung von Netzwerkadressen und Ports für tomedo®

Für eine erfolgreiche Installation und den reibungslosen Betrieb von tomedo® müssen bestimmte Netzwerkadressen freigeschaltet werden. Dies ist besonders wichtig bei der Verwendung von VPNs und Firewalls, um sicherzustellen, dass alle erforderlichen Verbindungen hergestellt werden können. Im Folgenden finden Sie eine Liste der erforderlichen Adressen, gegliedert nach Funktion und Zweck.

Verpflichtende Freischaltung

Für den grundlegenden Betrieb von tomedo müssen alle Subdomains der Domain tomedo.de über Port 443 freigeschaltet werden. Dies umfasst unter anderem, aber nicht ausschließlich, folgende Funktionen:

Update-Server
File-Server für Updates

Zusätzlich für Linux-Server

Funktionale Netzwerkadressen

Je nach genutzten Funktionen innerhalb von tomedo® sind weitere Netzwerkadressen zu berücksichtigen:

ImpfDocNE (optional): Für Updates der ImpfDocNE-Software
- Alle Adressen für ImpfDocNE finden Sie hier

HZV-Funktionen: Anzeige der Erreichbarkeit des Rechenzentrums in den Server-Tools
- ssl.abrechnungsrouter.haevg-rz.de
Cloud Backup (optional):
- s3.eu-central-2.wasabisys.com
Dr. Clever (optional und falls aktiviert):
- tomedo.cloud.nhochdrei.de
- tomedo.cluster.nhochdrei.de
arzt-direkt.Pay (falls Kartenterminals verwendet werden, zusätzlich Port 8443 im lokalen Netzwerk)
- *.adyen.com
- *.adyenpayments.com

Verwendung von VPNs und Firewalls

Bei der Verwendung von VPNs und Firewalls ist es besonders wichtig, dass die oben genannten Netzwerkadressen korrekt konfiguriert und freigeschaltet werden. VPNs können den Netzwerkverkehr über sichere Tunnel leiten, und Firewalls können den Zugriff auf bestimmte Adressen blockieren oder erlauben. Daher müssen alle relevanten Adressen in den Firewall-Einstellungen erlaubt und im VPN-Tunnel berücksichtigt werden, um eine ungehinderte Kommunikation zu gewährleisten.

Zusammenfassung der erforderlichen Netzwerkadressen

Hier sind alle erforderlichen Netzwerkadressen in einer kompakten Liste zusammengefasst:

tomedo.de (alle Subdomains über Port 443)
update2.impfsoft.de
ssl.abrechnungsrouter.haevg-rz.de
s3.eu-central-2.wasabisys.com
tomedo.cloud.nhochdrei.de
tomedo.cluster.nhochdrei.de
*.adyen.com
*.adyenpayments.com

Firewall-Konfiguration: Port-Freigaben und Dienste

Diese Tabelle dient als Referenz für die Konfiguration von Hardware-Firewalls und internen Sicherheitsregeln. Die Angaben können je nach Konfiguration praxisspezifisch abweichen.

1. Allgemeine Anwendungs- und Server-Ports

Port Nr.	Protokoll	Anwendung / Dienst	Richtung	Hinweis
20	TCP	FTP (Data)	Ausgehend	Labor-Kommunikation
21	TCP	FTP (Management)	Ausgehend	Labor-Kommunikation
22	TCP	SSH	Ausgehend	Labor-Administration
23	TCP	Telnet	Ausgehend	Veraltet, nur falls nötig
53	TCP/UDP	DNS	Ausgehend	Namensauflösung
80	TCP	HTTP / TeamViewer	Ausgehend	Web-Traffic
123	UDP	NTP	Ausgehend	Zeitquelle
443	TCP	HTTPS / ESET / TeamViewer	Ausgehend	Sicherer Web-Traffic
1433	TCP	ESET MSSQL	Intern	Datenbankzugriff
2222	TCP	ESMC Server <-> HTTP Proxy	Intern	ESET Management
2223	TCP	ESMC WebConsole <-> Server	Intern	ESET Management
3128	TCP	ESET / ESMC	Intern	Proxy-Dienst
3306	TCP	MySQL / ESET	Intern	Datenbankzugriff
4444	–	Horos	Intern	Bildbetrachter
5000	TCP/UDP	Synology VPN (MOWOLI)	Intern	NAS-Zugriff
5432	TCP/UDP	PostgreSQL Datenbanken	Intern	Datenbankzugriff
5938	TCP/UDP	TeamViewer (Primary)	Ausgehend	Fernwartung
7653	TCP	HTTP (eRezept-Server)	Ausgehend	Fachanwendung
8060	–	Mirth Server	Intern	Datenaustausch
8080	TCP	Tomedo / Tomcat / Proxy	Intern	Alternativer HTTP Port
8081	–	RAID – Promis	Intern	Monitoring
8083	TCP	–	Intern	–
8443	TCP/MQTT	ESET / Mirth / TeamViewer	Ausgehend	Management/Messaging
8883	MQTT	ESET	Ausgehend	Secure Messaging
9443	TCP	KV Connect	Ausgehend	Fachdienst
11110	–	Mirth Connect	Intern	Schnittstellen
11112	–	MOWOLI	Intern	–
11113	–	Mirth Connect	Intern	Schnittstellen
12659	TCP/HTTPS	ImpfDocNE (Server/Client)	Ausgehend	Impfmanagement
12660	TCP/HTTP	ImpfDocNE (Server/Client)	Ausgehend	Impfmanagement
12661	–	ImpfDocNE	Ausgehend	Impfmanagement
18057	–	Öhm Rehbein MobileView	Alle	Medizinische Bildgebung
22220	–	HÄVG – Prüfmodul	Alle	Abrechnungsprüfung
22777	–	ImpfDocNE (Reserviert)	Alle	–
49381-83	–	Öhm Rehbein (PACS/CD/Workl.)	Intern	Radiologie-Worklow
55555-57	–	Kartendaten (CETP)	Intern	tomedo / TI-Konnektor

2. Telematikinfrastruktur (TI) Spezialkonfiguration

Wichtiger Hinweis: Alle Ports für die TI sind ausschließlich ausgehend zu konfigurieren. Kein Portforwarding, keine DMZ erforderlich. Sobald der VPN-Tunnel steht, erfolgt die Kommunikation bidirektional innerhalb des Tunnels.

Dienst	Port / Protokoll	Richtung	Ziel / Info
IPSec VPN	UDP 500 & 4500	Ausgehend	VPN Aufbau
IPSec Protokoll	AH & ESP	Ausgehend	Protokollfreigabe (keine Ports)
Provisionierung	TCP 8443	Ausgehend	TI / KV-SafeNet
KoCoBox Admin	TCP 9443	Lokal	Nur Interner Zugriff (Webinterface)
Secunet Admin	TCP 8500	Lokal	Nur Interner Zugriff (Management)
Kartenterminal	TCP 4742	Intern	Orga 6141 <-> Konnektor

3. Wichtige IP-Adressen & Netzbereiche (TI)

Falls die Firewall nach Ziel-IPs filtert, sollten folgende Daten hinterlegt werden:

Typ	IP-Adressen / Bereiche
DNS Server TI	`100.97.139.47`, `100.97.139.48`, `100.97.148.71`, `100.97.148.73`
NTP Server TI	`100.97.139.46`, `100.97.139.45`
VPN Konzentratoren	`185.188.2.16` (CGM), `83.137.38.5` (DGN)
TI Netzbereiche	`100.96.0.0/14` (Primär), `100.80.0.0/12` (Sekundär)
Fachdienste	`100.102.0.0/16` (offen), `100.100.0.0/16` (sicher)

Troubleshooting

Sollte nach der Freischaltung der genannten Netzwerkadressen das Update weiterhin nicht angezeigt werden, wenden Sie sich bitte an den Support. Dabei ist es hilfreich, eine Fernwartung (mit TeamViewer) zu ermöglichen, um zu überprüfen, ob ein Konfigurationsproblem des Routers oder der Firewall vorliegt oder ob ein Softwareproblem besteht.

Bitte stellen Sie sicher, dass alle oben genannten Netzwerkadressen entsprechend Ihrer genutzten Funktionen freigeschaltet sind, um den vollen Funktionsumfang von tomedo nutzen zu können.