Technische Beschreibung TI-Anbindung via RDL-TS
TI-Router
Für die RDL-TS TI-Anbindung wird ein TI-Router von Redline Data benötigt. Dieses Gerät gibt es sowohl als 19" Variante (1 HE) für den Einbau in einen Netzwerk-/Serverschrank als auch in einer Desktop-Bauform - je nachdem, welche Variante für die Verwendung in der Einrichtung vor Ort am besten geeignet ist.
Der TI-Router verfügt über 6 RJ45-Netzwerkports und muss über einen dieser Ports, der mit "ETH0" beschriftet ist, an das bestehende lokale Netzwerk der Einrichtung angebunden werden. Dort hat der TI-Router eine IP-Adresse im LAN, die vorab besprochen und im Zuge der Konfiguration des Geräts (vor dem Versand) von Redline Data konfiguriert wird. Das Ganze ist als Plug-and-Play-Lösung konzipiert, sodass hierfür beispielsweise keine zusätzlichen Routen-Einträge auf dem Router der Einrichtung erforderlich sind.
Nach dem Einschalten des Geräts wird automatisch eine WireGuard VPN-Verbindung zu Redline Data aufgebaut, welche für die TI-Anbindung genutzt wird. Da es eine ausgehend aufgebaute VPN-Verbindung ist, ist hierfür keine eigene öffentlich erreichbare IPv4-Adresse notwendig (weder dynamisch noch statisch). Diese VPN-Verbindung funktioniert folglich auch in Szenarien mit Carrier-grade NAT/Dual-Stack Lite.
Benötigte Verbindungen
Für den Betrieb des TI-Routers sind folgende ausgehende Verbindungen erforderlich:
Quelle | Ziel | Protokoll(e) | Port(s) | Verwendungszweck |
|---|---|---|---|---|
TI-Router (IP-Adresse im LAN der Einrichtung) | WAN (beliebig oder mindestens 8.8.8.8 und 8.8.4.4) | TCP und UDP | 53 | DNS-Auflösungen |
TI-Router (IP-Adresse im LAN der Einrichtung) | WAN (beliebig) | UDP | 123 | NTP-Zeitsynchronisierung |
TI-Router (IP-Adresse im LAN der Einrichtung) | WAN (beliebig) | TCP | 80 und 443 | HTTP(S)-Verbindungen für u.a. Firmware-Updates |
TI-Router (IP-Adresse im LAN der Einrichtung) | WAN (beliebig) | ICMP | - | Ping-Anfragen für Erreichbarkeitsprüfungen und ggf. Fehleranalysen |
TI-Router (IP-Adresse im LAN der Einrichtung) | 87.129.20.11 (FQDN ti-vpn.redline-data.de) | UDP | 51820 | WireGuard VPN-Verbindung zu Redline Data für die TI-Anbindung |
Zudem werden die folgenden eingehenden Verbindungen zum TI-Router aufgebaut:
Quelle | Ziel | Protokoll(e) | Port(s) | Verwendungszweck |
|---|---|---|---|---|
PATFAK Client (IP-Adresse oder Netz des Geräts, auf dem die Software läuft) | TI-Router (IP-Adresse im LAN der Einrichtung) | TCP | 443 | HTTPS-Verbindungen zur Weiterleitung an den Konnektor (API für Konnektor-Dienste) |
PATFAK Client (IP-Adresse oder Netz des Geräts, auf dem die Software läuft) | TI-Router (IP-Adresse im LAN der Einrichtung) | TCP | 636 | LDAPS-Verbindungen zur Weiterleitung an den Konnektor (TI-Verzeichnisdienst) |
PATFAK Client (IP-Adresse oder Netz des Geräts, auf dem die Software läuft) | TI-Router (IP-Adresse im LAN der Einrichtung) | TCP | 465 | SMTPS-Verbindungen zur Weiterleitung an das RDL-TS KIM+ Clientmodul (sofern KIM genutzt wird) |
PATFAK Client (IP-Adresse oder Netz des Geräts, auf dem die Software läuft) | TI-Router (IP-Adresse im LAN der Einrichtung) | TCP | 995 | POP3S-Verbindungen zur Weiterleitung an das RDL-TS KIM+ Clientmodul (sofern KIM genutzt wird) |
Falls die ausgehenden Verbindungen firewallseitig eingeschränkt sind, müssen entsprechende Firewall-Regeln konfiguriert werden, um diese Verbindungen zu erlauben.
Kartenterminals
Die Kartenterminals werden an den TI-Router angeschlossen - entweder direkt oder mithilfe eines (VLAN-fähigen) Switches. Hierfür stehen 5 RJ45-Ports zur Verfügung, die mit "ETH1" bis "ETH5" beschriftet sind. Bei diesen 5 Ports handelt es sich um eine Bridge, auf der ein DHCP-Server läuft. Diese Ports dürfen dementsprechend nicht mit dem normalen LAN der Einrichtung verbunden werden.
Den Kartenterminals wird dort automatisch per DHCP eine IP-Adresse im Netz 172.16.50.0/28 zugewiesen. Das erste Kartenterminal erhält die IP-Adresse 172.16.50.1. Der TI-Router selbst hat in diesem Kartenterminal-Netz die letzte nutzbare IP-Adresse 172.16.50.14. Es sind somit technisch gesehen bis zu 13 Kartenterminals möglich.
Innerhalb der TI bzw. des TI-VPN-Netzes von Redline Data werden die Kartenterminals unter anderen IP-Adressen in einem der Einrichtung zugeteilten /28er Subnetz angesprochen, welches sich im Netz 10.50.128.0/17 befindet (beispielsweise 10.50.128.0/28). Die echten IP-Adressen der Kartenterminals werden dabei mithilfe von bidirektionalem NAT 1:1 in das entsprechende Netz übersetzt.
Aufgrund der direkten Verbindung zwischen den Kartenterminals und dem TI-Router ist es kein Problem, wenn eines dieser Netze auf dem bestehenden Router der Einrichtung bereits in Verwendung ist. Es darf sich dabei nur nicht um genau das Netz im LAN handeln, in dem sich die IP-Adresse des TI-Routers befinden soll, da die Netze auf dem TI-Router selbst eindeutig sein müssen und sich nicht überschneiden dürfen.
Verbindungen zum Konnektor (HTTPS und LDAPS)
Die API für die Dienste des RDL-TS TI-Konnektors wird per HTTPS (TCP-Port 443) angesprochen. Damit keine zusätzlichen statischen Routen auf dem bestehenden Router der Einrichtung angelegt werden müssen, ist hierfür ein NAT auf dem TI-Router konfiguriert. Es wird in PATFAK daher die IP-Adresse des TI-Routers im LAN der Einrichtung als IP-Adresse des Konnektors angegeben. Der TI-Router leitet diese HTTPS-Anfragen automatisch - über die VPN-Verbindung - an den Konnektor weiter.
Gleiches gilt für den Abruf von Daten aus dem Verzeichnisdienst der TI (Adressbuch). In diesem Fall sind es TLS-verschlüsselte LDAPS-Verbindungen (TCP-Port 636) zur IP-Adresse des TI-Routers im LAN der Einrichtung, die ebenfalls entsprechend zum Konnektor weitergeleitet werden.
Sofern PATFAK auf der RDL-TS Farm genutzt wird und nicht als lokale Anwendung in der Einrichtung läuft, werden diese Verbindungen direkt zum Konnektor aufgebaut und nicht erst über den TI-Router geleitet, der sich in der Einrichtung vor Ort befindet. Der TI-Router vor Ort wird in diesem Fall dann nur für die Anbindung der Kartenterminals genutzt.
Verbindungen zum RDL-TS KIM+ Clientmodul (SMTPS und POP3S)
Falls KIM (Kommunikation im Medizinwesen) genutzt wird, muss auch dort als Postausgangs- und Posteingangsserver wieder die IP-Adresse des TI-Routers im LAN angegeben werden, denn auch die dafür benötigten SMTPS- und POP3S-Verbindungen werden weitergeleitet - in diesem Fall jedoch nicht an den Konnektor, sondern an das RDL-TS KIM+ Clientmodul auf einem im RDL-TS Rechenzentrum gehosteten Server. Der SMTPS-Port für den Postausgangsserver ist 465 (TCP) und der POP3S-Port für den Posteingangsserver lautet 995 (TCP). Es handelt sich in beiden Fällen ebenfalls um TLS-verschlüsselte Verbindungen.
Sofern PATFAK auf der RDL-TS Farm genutzt wird und nicht als lokale Anwendung in der Einrichtung läuft, werden diese Verbindungen direkt zum RDL-TS KIM+ Clientmodul aufgebaut und nicht erst über den TI-Router geleitet, der sich in der Einrichtung vor Ort befindet. Der TI-Router vor Ort wird in diesem Fall dann nur für die Anbindung der Kartenterminals genutzt.
PATFAK in extern gehosteten Umgebungen
Falls PATFAK weder lokal noch auf der RDL-TS Farm genutzt wird, sondern ein externes Hosting zum Einsatz kommt (z.B. Microsoft Azure), muss auch diese externe Umgebung an die TI angebunden werden, damit der PATFAK Client mit dem Konnektor und ggf. dem RDL-TS KIM+ Clientmodul kommunizieren kann. In solch einem Fall kommt eine virtualisierte TI-Router-Appliance zum Einsatz (ähnlich zur Hardware vor Ort), welche die für die TI-Anbindung notwendige VPN-Verbindung aufbaut. Die Details dazu sind u.a. von der verwendeten Hosting-Umgebung abhängig und werden vorab geklärt.