TI Routen und Ports

Jede Arztpraxis braucht eine Hardware-Firewall und einen Netzwerkbetreuer. Die folgenden Informationen sind für Netzwerkbetreuer und Dienstleister vor Ort gedacht.

Für einige Funktionen der Telematikinfrastruktur (TI) sind im Praxisnetzwerk statische Netzwerkrouten notwendig. Diese Routen werden zentral über den Praxis-Router oder die Hardware-Firewall konfiguriert.

Wird die tomedo.GatewayBox genutzt, dann wird die IP-Adresse der Box als Gateway für die Routen angegeben.

Wird ein Einbox-Konnektor genutzt, wird die IP-Adresse des Konnektors als Gateway für die Routen angegeben. Beim Wechsel von Konnektor auf Gateway erhält die tomedo.GatewayBox i.d.R. die IP-Adresse, die vorher der Einbox-Konnektor hatte.

Wichtiger Hinweis: Wird das Gateway mit Site2Site-VPN in der Hardware-Firewall genutzt, müssen zusätzliche NAT-Regeln angelegt werden. Siehe die Seite zum TI Gateway

Erforderliche Routen

Name der Route	Netzwerkbereich
Sicheres Netz der KV (KV-Safenet)	188.144.0.0/15
Offene Fachdienste (z.b. KIM, E-Rezept)	100.102.0.0/15
ePA4all	78.111.96.44/30
Highspeed-Konnektor des TI Gateway (ConnecTI)	100.106.0.0/20

Zusätzliche Routen

Name der Route	Netzwerkbereich
Implantate-Register	78.111.96.24/30
DEMIS Meldeportal	78.111.96.36/30
Landeskrebsregister NRW	213.146.104.80/29

In Ausnahmefällen (wenn Zugriff auf Router / Firewall nicht möglich ist), werden ggfs. lokale Routen genutzt.

https://fritz.com/apps/knowledge-base/FRITZ-Box-5491/581_Statische-IP-Route-in-FRITZ-Box-einrichten

TI-Routen und DNS testen

Mit dem folgenden Terminal-Befehlen kann z.b. am tomedo®-Server getestet werden, ob die TI-Routen und das DNS über den TI Konnektor korrekt funktionieren:

curl -v https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration

dig http://epa-as-1.prod.epa4all.de/

Der CURL-Befehl lädt eine Zertifikats-Datei aus der TI und muss vollständig und schnell durchlaufen. DIG prüft die Namensauflösung für die ePA.

DNS-Konfiguration für TI Gateway

Um die DNS-Anfragen für einige TI Funktionen korrekt aufzulösen, müssen bestimmte Domains zwingend über Ihren Einbox-Konnektor oder Highspeed-Konnektor aufgelöst werden. Dies ist eine grundlegende Anforderung für die Nutzung des E-Rezepts, der ePA und weiterer TI-Anwendungen. Die Umleitung stellt sicher, dass Ihr System ausschließlich mit den geprüften und sicheren Diensten der Telematikinfrastruktur kommuniziert.

In Ihrer Firewall oder Ihrem zentralen Router muss deshalb ggf. eine Regel (DNS-Forwarding) eingerichtet werden. Diese Regel leitet alle Anfragen für die folgende Domain an die IP-Adresse Ihres TI-Konnektors oder Highspeed-Konnektors (HSK) weiter:

.telematik

DNS-Konfiguration für Einbox-Konnektoren

Bei Einboxkonnektoren und OPNsense-Firewalls haben wir beobachtet, dass auch die DNS-Auflösung der folgenden Domains über den Konnektor notwendig ist:

ti-dienste.de
epa4all.de

Hinweis: beim TI Gateway dürfen diese zwei Domains NICHT über die HSK laufen, sondern müssen über öffentliche DNS abgefragt werden.

Portfreigaben für Einbox-Konnektor

Damit der Einbox-Konnektor eine Verbindung zur TI herstellen kann, müssen in der Regel die folgenden Ports für ausgehende Verbindungen in Ihrer Firewall freigegeben sein:

Port 8443 (TCP für HTTPS-Alternativ)

Port 53 (TCP/UDP für DNS)

Port 80 (TCP für HTTP)

Port 443 (TCP für HTTPS)

Port 500 (UDP für IKE/IPsec)

Port 4500 (UDP für IPsec NAT-T)

TI-Routenverwaltung

Die TI-Routenverwaltung in tomedo® bietet Ihnen eine zentrale Übersicht über alle Netzwerk-Routen, die auf den Arbeitsplätzen Ihrer Praxis für die Telematikinfrastruktur (TI) konfiguriert sind. Sie dient dazu, lokale Routen am eigenen Rechner anzuzeigen, zu löschen oder Standard-TI-Routen zu setzen. Zusätzlich können Sie die Routendaten anderer Clients im System anfordern und einsehen.

Lokale Routen sind für Sie nur dann erforderlich, wenn Sie einen lokalen Konnektor einsetzen. Nutzen Sie einen Gateway-Betrieb (z. B. Gateway-Box oder Firewall-integriertes Gateway), sind lokale Routen nicht notwendig und sollten von Ihnen entfernt werden.

Sie erreichen die TI-Routenverwaltung über den Menüpfad Admin → Geräteeinstellungen → TI-Verwaltung. Klicken Sie im Fenster TI-Verwaltung unter Tab „Aktionen“ auf den ButtonRoutenverwaltung, um das Verwaltungfenster zu öffnen. Beim Öffnen des Fensters liest tomedo® automatisch die lokalen Routen Ihres Rechners ein und lädt die gespeicherten Daten aller anderen Clients vom Server.

Das Fenster der TI-Routenverwaltung ist funktional in zwei Hauptbereiche unterteilt: die A Client-Übersichtstabelle und die B Routen-Detailtabelle.

Client-Übersichtstabelle

In dieser Tabelle werden Ihnen alle bekannten Client-Installationen der Praxis aufgelistet. Ihr eigener Rechner wird fett hervorgehoben und durch den Zusatz „(dieser Rechner)“ gekennzeichnet.

1 Client Name: Name der Installation.

2 Anzahl Routen: Summe aller gesetzten Routen über alle Adapter hinweg.

3 Anzahl TI-Routen: Anzahl der Routen, die einem bekannten TI-Zielnetzwerk (z. B. E-Rezept oder KIM) entsprechen.

4 Interfaces mit Routen: Liste der Netzwerkadapter, auf denen Routen aktiv sind.

5 Letztes Update: Zeitstempel der letzten Aktualisierung inklusive eines farbigen Statussymbols.

6 Die Statussymbole geben Ihnen Auskunft über die Aktualität der Daten:

Grün steht für aktuelle Daten,
Gelb für eine laufende Abfrage (Polling) und
Rot signalisiert eine Zeitüberschreitung, falls der Client nicht innerhalb von 30 Sekunden geantwortet hat.

Routen-Detailtabelle

Sobald Sie eine Zeile in der Client-Übersicht markieren, werden die spezifischen Routen dieses Rechners in der unteren Tabelle angezeigt.

7 Checkbox: Dient zum Markieren von Routen für den Löschvorgang (nur am eigenen Rechner möglich).

8 Adapter: Zeigt den Netzwerkadapter an (z. B. Ethernet oder Wi-Fi).

9 Zielnetz IP / Subnetzmaske: Technische Adressdaten der Route.

10 Zielnetz Info: Klarschriftname des Netzwerks, sofern bekannt (z. B. KV-SafeNet oder „Offene Fachdienste“).

11 Konnektor-IP / Name: Informationen zum Gateway, über das das Zielnetz erreicht wird.

Hinweis: Für die Nutzung der TI-Routenverwaltung sowie das Setzen oder Löschen von Routen sind Administratorrechte auf dem lokalen Rechner (sudo-Berechtigung) erforderlich.

Anwendungsbeispiele

Routen von anderen Clients anfordern

Um den aktuellen Status aller Arbeitsplätze einzusehen, klicken Sie auf den Button 12 Routen-Daten von allen Clients anfordern. Das System fordert daraufhin alle aktiven Clients auf, ihre lokalen Routen an den Server zu übermitteln. Dieser Vorgang benötigt eine aktive Serververbindung und läuft maximal 30 Sekunden (Polling-Timeout).

Standard-Routen setzen

Wenn Sie die Standard-TI-Routen für Ihren Arbeitsplatz einrichten möchten, gehen Sie wie folgt vor:

Wählen Sie Ihren eigenen Rechner in der Übersicht aus und klicken Sie auf den Button Standard-Routen setzen.
Wählen Sie im erscheinenden Dialog den gewünschten Konnektor und den Netzwerkadapter aus.
Entscheiden Sie, ob bestehende Routen auf diesem Adapter ergänzt oder durch die Standard-Routen ersetzt werden sollen. (Checkbox)
Geben Sie Ihr lokales Administrator-Passwort ein und bestätigen Sie mit OK.

Nach erfolgreichem Abschluss werden die Routen (u. a. für KIM, E-Rezept und KV-SafeNet) angelegt und automatisch an den Server synchronisiert.

Ausgewählte Routen löschen

Möchten Sie veraltete oder fehlerhafte Routen an Ihrem Rechner entfernen, markieren Sie die entsprechenden Einträge in der Detailtabelle über die Checkboxen 7. Klicken Sie anschließend auf den Button Ausgewählte Routen löschen 14 und bestätigen Sie den Vorgang durch Eingabe Ihres Administrator-Passworts.

Hinweis: Das Passwort wird von tomedo® ausschließlich für die Ausführung des Befehls verwendet und zu keinem Zeitpunkt im Klartext gespeichert oder in Logdateien angezeigt.

Tipp: Nutzen Sie den Button Routen an diesem Client neu auslesen 15, wenn Sie manuelle Änderungen am Betriebssystem vorgenommen haben und die Anzeige in tomedo® aktualisieren möchten.

Inhaltsverzeichnis