TI-Gateway

Information Stand 7.11.2025

Das Gateway mit Highspeed-Konnektor (HSK) ist der neue Weg in die TI. Der HSK bietet bessere Performance und Zuverlässigkeit als der bisherige Einbox-Konnektor.

Das TI Gateway besteht aus einem Highspeed-Konnektor im Rechenzentrum, einem Gateway-VPN zwischen Praxis und dem HSK und der ConnecTI Key Software auf einem Arbeitsplatz in der Praxis.

Für die Installation des TI Gateway ist mehr Netzwerk-KnowHow notwendig als bisher. Die Gateway-Installation muss (außer in der Einzelplatz-Variante) vom Netzwerkbetreuer der Praxis begleitet werden.

Für das TI Gateway wird mindestens macOS Sonoma (MacOS 14) benötigt.  Installieren Sie ggfs. das aktuelle Sicherheitsupdate auf Ihren Macs, um einen reibungslosen Ablauf sicherzustellen.
Hinweis: Eine Freigabe für das Betriebssystem Tahoe liegt derzeit noch nicht vor

Allgemeine FAQ: https://tomedo.de/telematikinfrastruktur/gateway/

Ablauf der Installation

  • Sie bestellen des TI Gateway über den Vertrieb & unseren Online-Shop
  • Sie buchen einen Installationstermin
  • Sie informieren Ihren Netzwerkbetreuer über den Installationstermin
  • Wir senden Ihnen eine ConnecTI Zugangsdaten
  • Ihr Netzwerkbetreuer/Vertriebs-und Service-Partner prüft entweder Firewall&VPN-Einstellungen ODER die TI Routen-Einstellungen im Praxis-Router je nach Installationsvariante
  • Zum Installationstermin installieren wir ConnecTI Key
  • Zum Installationstermin nimmt Ihr Netzwerkbetreuer/Vertriebs-und Service-Partner finale Einstellungen in Router/Firewall vor

Systemvoraussetzungen

Um den HSK im Rechenzentrum zu erreichen ist ein VPN-Tunnel notwendig. Für das Gateway-VPN kann praxis-spezifisch eine Installationsvariante gewählt werden:

  • Eine Praxis ohne Hardware-Firewall / nur mit Router (z.b. fritzbox) erhält eine tomedo.GatewayBox. Es sind statische Routen im Praxis-Router notwendig. Die statischen Routen müssen durch den Netzwerkbetreuer korrekt eingestellt werden.*
  • Einzelplatz-Praxen erhalten Point-to-Site VPN am Arbeitsplatz und am Kartenterminal.
  • Eine Praxis mit Hardware-Firewall und Netzwerkbetreuer erhält ein Site-to-Site-VPN in der Firewall. Statische Routen, NAT und Maskierung müssen durch den Netzwerkbetreuer korrekt eingestellt werden*.

*zollsoft kann Praxis-Router oder Hardware-Firewall nicht konfigurieren. Die notwendigen Einstellungen müssen durch den Netzwerkbetreuer der Praxis erfolgen.

Für das Site-to-Site-VPN über die Praxis-Firewall muss der Netzwerkbetreuer die entsprechenden Einstellungen korrekt vornehmen und die Erreichbarkeit des HSK auf allen notwendigen Ports sicherstellen.

Die Praxis erhält den Zugang zum ConnecTI-Portal und damit zum VPN Profil im Vorfeld der Installation. Damit kann geprüft werden, ob die Firewall über die entsprechenden Leistungsmerkmale verfügt. (siehe ConnecTI )

In Einzelfällen funktioniert das Site-to-Site-VPN nicht wie gewünscht und auch mit einer Hardware-Firewall ist die tomedo.GatewayBox notwendig.

Netzwerk / Firewall

Für folgende Hardware-Firewalls sind erfolgreiche Konfigurationen bekannt.

  • Securepoint (BlackDwarf)
  • Sophos
  • Unifi
  • OPNSense
  • Lancom R&S
  • NetworkBox

Unsere Vertriebs- und Service-Partner arbeiten daran, weitere Firewalls für das TI Gateway freizugeben.

Das Praxisnetzwerk muss in einem der genannten privaten IP-Bereiche liegen:

  • 192.168.0.0/16
  • 172.16.0.0/12
  • 10.0.0.0/8

Class A Netzwerke werden nicht unterstützt.

Kartenlesegeräte

Die stationären TI Lesegeräte müssen vor der Gateway-Installation auf die neueste Firmware aktualisiert werden. Beim Installationstermin ist die Admin-PIN für alle Lesegeräte notwendig.

TI Routen für das Gateway

Bei der Installationsvarianten mit tomedo.GatewayBox sind statische Routen im Praxis-Router notwendig. Siehe: TI Routen und Ports

Bei der Installationsvariante mit Site-to-Site-VPN in der Hardware-Firewall sind statische Routen mit NAT und Maskierung notwendig. Vorher lokal gesetzten Routen (z.b. KV-Safenet) müssen an allen Rechnern einzeln entfernt werden.

Die Installationsvariante Einzelplatz benötigt keine weiteren Netzwerkrouten.

Wechsel vom secunet Konnektor auf das Gateway

Über die Funktion „Backup erstellen“ und „Backup einspielen“ sollte es möglich sein, einen secunet-Konnektor mit allen Arbeitsplätzen und Lesegeräten auf das Gateway zu übertragen. (Vorbehaltlich vorliegen aller Systemvoraussetzungen)

  • Alle stationären Kartenlesegeräte benötigen die neuste Firmware
  • die Admin-PIN für alle stationären Kartenlesegeräte liegt vor
  • secunet Konnektor benötigt die neueste Firmware
  • ConnecTI Key ist installiert, Zugriff auf den HSK ist möglich
  • im Konnektor Backup erstellen, Konnektor-Freischaltung zurücknehmen, Konnektor ausschalten
  • im ConnecTI Key Backup einspielen
  • ggfs. Kartenlesegeräte neu starten/neu verbinden

Nach der erfolgreichen Migration auf das Gateway wird mit dem Konnektor ein Werksreset durchgeführt und das Gerät kann an den Hersteller zurückgesendet werden.

Ausführliche Hinweise zur Praxis-Firewall und zum Site-to-Site Gateway-VPN

Die Praxis erhält Zugangsdaten zum ConnecTI Portal.

Im Portal kann die Praxis mit dem eigenen Login die Site-to-Site VPN-Credentials als .json-Datei herunterladen. Mit der .json-Datei kann der Netzwerkbetreuer den Site-to-Site-Tunnel und die notwendigen Routen in der Firewall anlegen.

1. VPN Verbindung einrichten (IPsec; Site-to-Site) – ****.json mit individueller VPN-Konfiguration + IP-Adresse des Highspeed-Konnektors wird bereitgestellt – Phase 1 + Phase 2 einstellen –> Informationen in ****.json Testmöglichkeiten: VPN-Verbindung steht –> ping auf Konnektor-IP erfolgreich?

Wichtiger Hinweis: Schritt 1 kann unabhängig vor dem Installationstermin erfolgen. Schritte 2 bis 4 sollten erst während des Installationstermins durchgeführt werden da ansonsten bestehende Routen über den TI Konnektor nicht funktionieren.

2. Netzwerkobjekte anlegen laut ****.json. Überprüfen, ob die 4 Routen angelegt sind: – KV Safenet – Offene Fachdienste – ePA – Konnektornetz + lokale Tunnel-IP aus *****.json

3. NAT Regeln anlegen –> KV Safenet, offene Fachdienste + ePA maskieren auf die lokale Tunnel-IP

4. statische Routen erstellen –> Remote-Tunnel-IP aus der ****json –> statische Routen erstellen von Remote-Tunnel-IP zu KV Safenet, offene Fachdienste, ePA

Optional: Geoblocking prüfen, Proxyeinstellungen prüfen, encrypted DNS, lokale Routen löschen für Clients und Server

Tests:

– ping zu Konnektor-IP

– Fachdienste prüfen –> https://portal.kv-safenet.de Seite aufrufen

– eRezpt: curl -v https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration –> Zertifikat wird angezeigt

Zugriff auf Bestandnetze ist erst möglich, nachdem der Konnektor eingerichtet ist und die SMC-B PIN verifiziert ist.

TI-Gateway - Previous TI-Konnektor secunet Next - TI-Gateway ConnecTI Portal
Inhaltsverzeichnis