TI Routen und Ports

Jede Arztpraxis braucht eine Hardware-Firewall und einen Netzwerkbetreuer. Die folgenden Informationen sind für Netzwerkbetreuer und Dienstleister vor Ort gedacht.

Für einige Funktionen der Telematikinfrastruktur (TI) sind im Praxisnetzwerk statische Netzwerkrouten notwendig. Diese Routen werden zentral über den Praxis-Router oder die Hardware-Firewall konfiguriert.

Wird die tomedo.GatewayBox genutzt, dann wird die IP-Adresse der Box als Gateway für die Routen angegeben.

Wird ein Einbox-Konnektor genutzt, wird die IP-Adresse des Konnektors als Gateway für die Routen angegeben. Beim Wechsel von Konnektor auf Gateway erhält die tomedo.GatewayBox i.d.R. die IP-Adresse, die vorher der Einbox-Konnektor hatte.

Wichtiger Hinweis: Wird das Gateway mit Site2Site-VPN in der Hardware-Firewall genutzt, müssen zusätzliche NAT-Regeln angelegt werden. Siehe die Seite zum TI Gateway

Erforderliche Routen

Name der RouteNetzwerkbereich
KV SafeNet188.144.0.0/15
Offene Fachdienste (z.b. KIM, E-Rezept)100.102.0.0/15
ePA4all78.111.96.44/30
Highspeed-Konnektor des TI Gateway (ConnecTI)100.106.0.0/20

Zusätzliche Routen

Name der RouteNetzwerkbereich
Implantate-Register78.111.96.24/30
DEMIS Meldeportal78.111.96.36/30
Landeskrebsregister NRW213.146.104.80/29

In Ausnahmefällen (wenn Zugriff auf Router / Firewall nicht möglich ist), werden ggfs. lokale Routen genutzt.

TI-Routen und DNS testen

Mit dem folgenden Terminal-Befehlen kann z.b. am tomedo®-Server getestet werden, ob die TI-Routen und das DNS über den TI Konnektor korrekt funktionieren:

curl -v https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration

dig http://epa-as-1.prod.epa4all.de/

Der CURL-Befehl lädt eine Zertifikats-Datei aus der TI und muss vollständig und schnell durchlaufen. DIG prüft die Namensauflösung für die ePA.

DNS-Konfiguration

Um die DNS-Anfragen für einige TI Funktionen korrekt aufzulösen, müssen bestimmte Domains zwingend über Ihren Einbox-Konnektor oder Highspeed-Konnektor aufgelöst werden. Dies ist eine grundlegende Anforderung für die Nutzung des E-Rezepts, der ePA und weiterer TI-Anwendungen. Die Umleitung stellt sicher, dass Ihr System ausschließlich mit den geprüften und sicheren Diensten der Telematikinfrastruktur kommuniziert.

In Ihrer Firewall oder Ihrem zentralen Router muss deshalb ggf. eine Regel (DNS-Forwarding) eingerichtet werden. Diese Regel leitet alle Anfragen für die folgende Domain an die IP-Adresse Ihres TI-Konnektors oder Highspeed-Konnektors (HSK) weiter:

  • .telematik

Bei Einboxkonnektoren und OPNsense-Firewalls haben wir beobachtet, dass auch die DNS-Auflösung der folgenden Domains über den Konnektor notwendig ist:

  • ti-dienste.de
  • epa4all.de

Hinweis: beim TI Gateway dürfen diese zwei Domains NICHT über die HSK laufen, sondern müssen über öffentliche DNS abgefragt werden.

Portfreigaben für Einbox-Konnektor

Damit der Einbox-Konnektor eine Verbindung zur TI herstellen kann, müssen in der Regel die folgenden Ports für ausgehende Verbindungen in Ihrer Firewall freigegeben sein:

Port 8443 (TCP für HTTPS-Alternativ)

Port 53 (TCP/UDP für DNS)

Port 80 (TCP für HTTP)

Port 443 (TCP für HTTPS)

Port 500 (UDP für IKE/IPsec)

Port 4500 (UDP für IPsec NAT-T)

TI Routen und Ports - Previous TI Voraussetzungen und Einrichtung Next - TI Routen und Ports TI-Konnektor secunet
Inhaltsverzeichnis