Praxis-Router und Firewall

Für einige Funktionen der Telematikinfrastruktur (TI) müssen Sie in Ihrem Praxisnetzwerk statische Netzwerkrouten einrichten. Sie haben grundsätzlich zwei Möglichkeiten, diese Routen zu hinterlegen:

  • Zentral: Direkt im Router oder der Firewall Ihrer Praxis.
  • Lokal: Auf jedem genutzten Computer (Client) oder Server einzeln.

Wichtiger Hinweis bei getrennten Netzwerken (VLANs, virtuelle Netzwerke): Befinden sich Ihr tomedo-Server oder Ihre Arbeitsplätze in einem anderen Netzwerk (VLAN) als der TI-Konnektor, ist die lokale Einrichtung nicht möglich. In diesem Fall müssen die Routen zwingend im zentralen Router oder der Firewall eingetragen werden.

Routen tabellarische Übersicht

KV SafeNet188.144/15
Offene Fachdienste (z.b. KIM, E-Rezept)100.102/15
Implantate-Register78.111.96.24/30
DEMIS Meldeportal78.111.96.36/30
Landeskrebsregister NRW213.146.104.80/29
ePA4all78.111.96.44/30

Routen für Konnektor und TI-Gateway

  • Wird ein Einbox-Konnektor (wie der Konnektor von secunet) genutzt, dann wird die IP-Adresse des Konnektors als Gateway/Next Hop eingetragen.
  • Für das TI Gateway und den virtuellen Highspeed-Konnektor ist die statische Route 100.106.0.0/20 notwendig.

Portfreigaben (Firewall)

Damit der Einbox-Konnektor eine Verbindung zur TI herstellen kann, müssen in der Regel die folgenden Ports für ausgehende Verbindungen in Ihrer Firewall freigegeben sein:

  • Port 53 (TCP/UDP für DNS)
  • Port 80 (TCP für HTTP)
  • Port 443 (TCP für HTTPS)
  • Port 500 (UDP für IKE/IPsec)
  • Port 4500 (UDP für IPsec NAT-T)
  • Port 8443 (TCP für HTTPS-Alternativ)

DNS-Konfiguration

Um die DNS-Anfragen für TI-Dienste korrekt zu konfigurieren, müssen bestimmte Internetadressen (Domains) zwingend über Ihren TI-Konnektor aufgelöst werden. Dies ist eine grundlegende Anforderung für die Nutzung des E-Rezepts, der ePA und weiterer TI-Anwendungen. Die Umleitung stellt sicher, dass Ihr System ausschließlich mit den geprüften und sicheren Diensten der Telematikinfrastruktur kommuniziert.

In Ihrer Firewall oder Ihrem zentralen Router muss deshalb ggf. eine Regel (DNS-Forwarding) eingerichtet werden. Diese Regel leitet alle Anfragen für die folgenden Domains an die IP-Adresse Ihres TI-Konnektors weiter:

  • .telematik
  • ti-dienste.de
  • epa4all.de
  • (sowie weitere zukünftige TI-Domains)

TI-Routen und DNS testen

Mit dem folgenden Terminal-Befehlen kann z.b. am tomedo®-Server getestet werden, ob die TI-Routen und das DNS über den TI Konnektor korrekt funktionieren:

curl -v https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration

dig http://epa-as-1.prod.epa4all.de/

Der CURL-Befehl lädt eine Zertifikats-Datei aus der TI und muss vollständig und schnell durchlaufen. DIG prüft die Namensauflösung für die ePA.

Praxis-Router und Firewall -Vorhergehend TI Voraussetzungen und Einrichtung Weiter -Praxis-Router und Firewall TI-Konnektor secunet
Inhaltsverzeichnis