Die Einführung der Telematik-Infrastruktur (TI) wurde im E-Health Gesetz festgeschrieben. Die TI ist ein sicheres Netz für das deutsche Gesundheitswesen und wird alle Beteiligten miteinander verbinden. Ein sicherer und problemloser Datenaustausch – auch über Sektorengrenzen hinweg.
Problemlos? Nur wenn die Infrastruktur passt. Schauen wir uns daher kurz die Architektur des ganzen an:
┌───────────────┐ ┌────────────────┐ ┌───────────────┐
│ SRV Duria │ │ Netzwerk │ │ OPNsense │
│ 192.168.0.3 ┼─ 0.0.0.0 ────────► 192.168.0.0/24 ┼─────► 192.168.0.1 ┼────────────────► Internet
│ ┼─ 188.144.0.0/15 ─┼────────────────┼─────┼──┐ ┌──┼─── VPN ───────┐
│ │ 100.101.0.0/15 │ │ │ │ │ │ │
└───────────────┘ 100.102.0.0/15 └────────────────┘ └──┼─────────┼──┘ │
epa.telematik │ │ │
epa4all.de │ │ │
┌───────────────┐ ┌─▼─────────┴───┐ ┌─▼─────────────┐
│ TI Terminal │ │ TI Konnektor │ │ Telematik- │
│ 192.168.0.4 ┼── 0.0.0.0 ───────────────────────────────► 192.168.0.3 │ │ Infrastruktur │
└───────────────┘ └───────────────┘ └───────────────┘- Hier sehen wir, das der Server z.B. mit "Duria" normalerweise über die OPNsense ins Internet geht (
0.0.0.0) - Für bestimme Aufrufe, die die Telematik Infrastruktur betreffen, muss aber der Weg über den TI Konnektor geleitet werden
- Problem: Der Server weiß nichts von dem "TI Konnektor". Das muss ihm beigebracht werden.
- Lösung 1 (individuell):
- Der Server selbst bekommt mehrere statische Routen und DNS Server hinterlegt
- Das wird aber Probleme bereiten, wenn ein eigener DNS (z.B. bei einer Domain) benötigt wird oder sogar manuelle
hostsEinträge vorgenommen werden, die einem jederzeit (z.B. bei einem Update) um die Ohren fliegen können
- Lösung 2 (zentral):
- Die OPNsense hat mehrere statische Routen und zwei DNS Delegierungen
- Damit behält ihre Aufgabe der zentralen Kontrolle und kann den Zugriff auf das Zielnetz regulieren
Lösung 2 ist vergleichsweise schnell erledigt
- Gateway anlegen
- Menü: System: Gateways: Configuration
- Hinzufügen:
- Name =
TI-Konnektor - Interface =
LAN - IP Address =
192.168.0.3(Eigene IP der Konnektors eintragen)
- Name =
- Statische Routen erstellen
- Menü: System: Routes: Configuration
- Hinzufügen:
- Route 1
- Network Address:
188.144.0.0/15 - Gateway:
TI-Konnektor
- Network Address:
- Route 2
- Network Address:
100.101.0.0/15 - Gateway:
TI-Konnektor
- Network Address:
- Route 3
- Network Address:
100.102.0.0/15 - Gateway:
TI-Konnektor
- Network Address:
- Route 1
- Unbound DNS Weiterleitung hinterlegen
- Menü: Services: Unbound DNS: Query Forwarding
- Hinzufügen:
- Server 1:
- Domain: epa.telematik
- Server IP:
192.168.0.3(Eigene IP des Konnektors eintragen)
- Server 2:
- Domain: epa4all.de
- Server IP:
192.168.0.3(Eigene IP des Konnektors eintragen)
- Server 1:
Damit leitet die OPNsense alle Aufrufe für die Telematik Infrastruktur auf dem TI-Konnektor um und dieser schickt alles verschlüsselt per VPN weiter.
Wenn Du diese Inhalte für wertvoll und nützlich findest oder einfach nur Hallo sagen möchtest,
dann freue ich mich über eine Rückmeldung per Fediverse oder schreibe mir eine E-Mail
Um stets über die Aktivitäten und Neuigkeiten von computing-competence informiert zu sein,
gibt es verschiedene Möglichkeiten: Such Dir eine aus.