TI-Gateway

Information Stand 17.10.2025

Das Gateway mit Highspeed-Konnektor (HSK) ist der neue Weg in die TI. Der HSK bietet bessere Performance und Zuverlässigkeit als der bisherige Einbox-Konnektor.

Das TI Gateway besteht aus einem Highspeed-Konnektor im Rechenzentrum, einem Gateway-VPN zwischen Praxis und dem HSK und der ConnecTI Key Software auf einem Arbeitsplatz in der Praxis.

Für die Installation des TI Gateway ist mehr Netzwerk-KnowHow notwendig als bisher. Die Gateway-Installation muss (außer in der Einzelplatz-Variante) vom Netzwerkbetreuer der Praxis begleitet werden.

Allgemeine FAQ: https://tomedo.de/telematikinfrastruktur/gateway/

Ablauf der Installation

Bestellen des TI Gateway über den Vertrieb
Zusenden der ConnecTI Zugangsdaten
Vorbereiten der Router/Firewall-Einstellungen durch Netzwerkbetreuers / Vertriebs- und Service-Partner
Installation ConnecTI Key, finale Einstellungen in Router/Firewall anbinden an tomedo

Systemvoraussetzungen

Um den HSK im Rechenzentrum zu erreichen ist ein VPN-Tunnel notwendig. Für das Gateway-VPN kann praxis-spezifisch eine Installationsvariante gewählt werden:

Eine Praxis ohne Hardware-Firewall / nur mit Router (z.b. fritzbox) erhält eine tomedo.GatewayBox. Es sind statische Routen im Praxis-Router notwendig. Die statischen Routen müssen durch den Netzwerkbetreuer korrekt eingestellt werden.*
Einzelplatz-Praxen erhalten Point-to-Site VPN am Arbeitsplatz und am Kartenterminal.
Eine Praxis mit Hardware-Firewall und Netzwerkbetreuer erhält ein Site-to-Site-VPN in der Firewall. Statische Routen, NAT und Maskierung müssen durch den Netzwerkbetreuer korrekt eingestellt werden*.

*zollsoft kann Praxis-Router oder Hardware-Firewall nicht konfigurieren. Die notwendigen Einstellungen müssen durch den Netzwerkbetreuer der Praxis erfolgen.

Für das Site-to-Site-VPN über die Praxis-Firewall muss der Netzwerkbetreuer die entsprechenden Einstellungen korrekt vornehmen und die Erreichbarkeit des HSK auf allen notwendigen Ports sicherstellen.

Die Praxis erhält den Zugang zum ConnecTI-Portal und damit zum VPN Profil im Vorfeld der Installation. Damit kann geprüft werden, ob die Firewall über die entsprechenden Leistungsmerkmale verfügt. (siehe ConnecTI )

In Einzelfällen funktioniert das Site-to-Site-VPN nicht wie gewünscht und auch mit einer Hardware-Firewall ist die tomedo.GatewayBox notwendig.

Netzwerk / Firewall

Für folgende Hardware-Firewalls sind erfolgreiche Konfigurationen bekannt.

Securepoint (BlackDwarf)
Sophos
Unifi
OPNSense

Unsere Vertriebs- und Service-Partner arbeiten daran, weitere Firewalls für das TI Gateway freizugeben.

Das Praxisnetzwerk muss in einem der genannten privaten IP-Bereiche liegen:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Class A Netzwerke werden nicht unterstützt.

Kartenlesegeräte

Die stationären TI Lesegeräte müssen vor der Gateway-Installation auf die neueste Firmware aktualisiert werden. Führen Sie gerne das Update selber durch oder halten Sie die Admin-PINs für die Geräte zum Installationstermin bereit.

TI Routen für das Gateway

Bei der Installationsvarianten mit tomedo.GatewayBox sind statische Routen im Praxis-Router notwendig.

Bei der Installationsvariante mit Site-to-Site-VPN in der Hardware-Firewall sind statische Routen mit NAT und Maskierung notwendig.

Die Installationsvariante Einzelplatz benötigt keine weiteren Netzwerkrouten.

Siehe: TI Routen und Ports

Wechsel vom secunet Konnektor auf das Gateway

Über die Funktion „Backup erstellen“ und „Backup einspielen“ sollte es möglich sein, einen secunet-Konnektor mit allen Arbeitsplätzen und Lesegeräten auf das Gateway zu übertragen. (Vorbehaltlich vorliegen aller Systemvoraussetzungen)

Alle stationären Kartenlesegeräte benötigen die neuste Firmware
secunet Konnektor benötigt die neueste Firmware
ConnecTI Key ist installiert, Zugriff auf den HSK ist möglich
im Konnektor Backup erstellen, Konnektor-Freischaltung zurücknehmen, Konnektor ausschalten
im ConnecTI Key Backup einspielen
ggfs. Kartenlesegeräte neu starten/neu verbinden

Nach der erfolgreichen Migration auf das Gateway wird mit dem Konnektor ein Werksreset durchgeführt und das Gerät kann an den Hersteller zurückgesendet werden.

Ausführliche Hinweise zur Praxis-Firewall und zum Site-to-Site Gateway-VPN

Die Praxis erhält Zugangsdaten zum ConnecTI Portal.

Im Portal kann die Praxis mit dem eigenen Login die Site-to-Site VPN-Credentials als .json-Datei herunterladen. Mit der .json-Datei kann der Netzwerkbetreuer den Site-to-Site-Tunnel und die notwendigen Routen in der Firewall anlegen.

1. VPN Verbindung einrichten (IPsec; Site-to-Site) – ****.json mit individueller VPN-Konfiguration + IP-Adresse des Highspeed-Konnektors wird bereitgestellt – Phase 1 + Phase 2 einstellen –> Informationen in ****.json Testmöglichkeiten: VPN-Verbindung steht –> ping auf Konnektor-IP erfolgreich?

Wichtiger Hinweis: Schritt 1 kann unabhängig vor dem Installationstermin erfolgen. Schritte 2 bis 4 sollten erst während des Installationstermins durchgeführt werden da ansonsten bestehende Routen über den TI Konnektor nicht funktionieren.

2. Netzwerkobjekte anlegen laut ****.json. Überprüfen, ob die 4 Routen angelegt sind: – KV Safenet – Offene Fachdienste – ePA – Konnektornetz + lokale Tunnel-IP aus *****.json

3. NAT Regeln anlegen –> KV Safenet, offene Fachdienste + ePA maskieren auf die lokale Tunnel-IP

4. statische Routen erstellen –> Remote-Tunnel-IP aus der ****json –> statische Routen erstellen von Remote-Tunnel-IP zu KV Safenet, offene Fachdienste, ePA

Optional: Geblocking prüfen, Proxyeinstellungen prüfen, encrypted DNS, lokale Routen löschen für Clients und Server

Tests:

– ping zu Konnektor-IP

– Fachdienste prüfen –> https://portal.kv-safenet.de Seite aufrufen

– eRezpt: curl -v https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration –> Zertifikat wird angezeigt

Zugriff auf Bestandnetze ist erst möglich, nachdem der Konnektor eingerichtet ist und die SMC-B PIN verifiziert ist.