1 Aufruf
Bisher konnte ich nichts über einen Anschlussplan für die TI-Komponente finden, obwohl ein nicht unerheblicher Zeitaufwand bei evtl. Kabelverlegung, Standorteinrichtung für die Box, evtl. zusätzlicher Telekomvertrag etc. nötig ist.

1. wird ein - von der Privatwohnung - getrennter Internetanschluß, z.B. der Telekom fällig? Die Praxis (EG) und privat (UG) laufen online über eine Fritzbox (Router), wobei  der private Bereich über 2 zusätzliche FritzBoxen als Repeater von der Praxis abgekoppelt ist. Das dürfte bei Praxishäusern eine übliche Konstellation sein und ebenfalls viele Kollegen interessieren.

2. wie werden die Komponenten angeschlossen? TI-Box vor oder nach dem Router? Der Standort soll angeblich unter Verschluß sein. Hier spielt die Entfernung zum Telekomanschluß eine Rolle. Kabel?

Eine einfache Skize wäre schon hilfreich, damit man nach dem Auspacken der Komponenten nicht ins Schwitzen kommt.

Vielen Dank im Voraus!
Gefragt von (240 Punkte) | 1 Aufruf
0 Punkte
Mich würden auch die empfohlenen Routing-Einträge + NAT + Portforwarding + Firewalleinstellungen (Layer 7 überhaupt möglich?) interessieren. Da wir viele vlans haben die per EoGre geroutet werden ist so ein TI-Kästchen ohne diese Informationen sinnvoll anzubinden nicht trivial.

2 Antworten

Auch wenn ich noch nicht installiert habe: Die TI-Konnektor-Box lässt sich parallel im Praxisnetz, also vom DSL-Anschluss hinter der Fritzbox an z. B. irgendeinem ethernet-switch oder an einem der ethernet-Anschlüssen der Fritzbox installieren, ebenso der neue Chipkartenleser. Logisch ist der Konnektor mit einem Computer im Praxisnetz vergleichbar, der gerade einen Cisco-Tunnel zur KV aufgebaut hat: der ist auch im eigenen Netz isoliert und unterhält sich nur noch in seinem Tunnel mit dem KV-Netz. Routing/Forwarding und alles andere muss dann nicht geändert werden. (sonst klappt's auch nicht mit dem Telefon VoiP!!!)

Es soll aber Naturen geben, die ihr Praxisnetz durch seriellen Einsatz der TI-Konnektor-Box ganz sicher machen wollen. Da das Ding closed shop ist, erwarte ich keinen erfolgreichen Tunnelaufbau von außerhalb in dieses Netz. Von innerhalb kann man aber dann gaaanz sichere Patientendaten in das sichere Netz der KVen transferieren. Telefon? Erwartbar tot...
Beantwortet von (560 Punkte)
0 Punkte

Konnektor im Parallel Betrieb.

 

Hinweise zur Verwendung einer Firewall

Wird der Konnektor hinter einer Firewall betrieben, müssen Sie folgende Ports und Protokolle freigegeben:

  • Ausgehend alle Ports/Protokolle

  • Eingehend UDP Port 500 und Port 4500

    Die Freigabe der eingehenden UDP Ports kann unterbleiben, wenn die Firewall des Routers die Funktion „Connection Tracking“ unterstützt (siehe Kapitel 3.2). Dies bedeutet, dass auf Basis der vom Konnektor ausgehenden UDP Pakete die zugehörige UDP Antwort zugelassen wird. Beach- ten Sie die nachfolgenden Hinweise.

    3.2 Hinweise zur Verwendung der Funktion „Connection Tracking“

    Wenn die Funktion „Connection Tracking“ unterstützt wird, können Sie die Konfiguration auf folgende Einstellung reduzieren:

• Ausgehend alle Ports/Protokolle

Wenn Sie beabsichtigen, die Einstellungen weiter zu konkretisieren, dann kann die folgende Konfiguration angewendet werden, sofern Ihr Router „Connection Tracking“ unterstützt:

Ausgehend:

  • TCPUDP: 53 (DNSSec)

  • TCP: 80 (HTTP)

  • TCP: 443 (HTTPS)

  • UDP: 500 (IKE)

  • UDP: 4500 (NAT-Traversal)

  • TCP: 8443 (HTTPS)

    Kann eine Verbindung nur mit der erstgenannten Konfiguration aufgebaut werden, muss ggf. noch das nachfolgende IP-Protokoll explizit freigegeben werden.

    Eingehend:

    • ESP

Beantwortet von (220 Punkte)
0 Punkte
Wer oder was ist denn  "IAG"??
Internet Access Gateway (IAG)
Also die übliche Fritz-Box oder ein anderer Internet-Router der so im Einsatz ist.Oder ist das das Gateway beim Provider?
Damit ist das Gerät gemeint welches Ihr Praxis direkt mit dem Internet verbindet. Als letzte Instanz sozusagen.

Das "Ausgangstor zum Internet Zugriff". Also Ja umgangsprachlich das Gerät welches die Funktion des Modems übernimmt.

Die FritzBox ist das in vielen Fällen.
Wenn ich die Grafik nicht falsch verstehe ;-) benötige ich an jedem Arbeitsplatz, an denen ich die (geplanten) TI-Funktionen nutzen möchte, ein Kartenlesegerät, für eHBA und eGK. In einer Hausarztpraxis wie meiner, in der ich zwischen 3 Arbeitsplätzen "rotiere", bedeutet dies insgesamt 4 Lesegeräte. Oder für jeden zukünftig zu modifizerenden Notfalldatensatz den Gang an die Anmeldung, mit Patient, und Unterbrechung der dortigen Mitarbeiterin.

Wieviele Lesegeräte "erstattet" die KV? Nur mal so gefragt...

?? Heute kam ein FAX von MediGeno, daß auf den korrekten Anschluss der TI hinweist und darauf, daß der Praxisinhaber für die Folgen eines "falschen", d.h. Parallelbetrieb hinweist (direkte Haftung des Inhabers etc.). 

Der Anschlussplan, den Kollege Dietzold eingestellt hat, zeigt nach diesem Schema den richtigen Anschluss, ist aber falsch als "parallel" gekennzeichnet.

PS: meine Praxis wird nicht am TI teilnehmen....

Gruß aus dem wilden Süden

Dr. Wolfgang Krause Göppingen

Wer ist denn MediGeno?
Hinweis an alle: Das was "MediGeno" schreibt ist falsch. Beide Szenarien sind von der Gematik vorgesehen. Wir empfehlen den Parallelbetrieb.

KV_Nordrhein_it_praxis_05_2019

Telematik-Infrastruktur (TI): Unterschiedliche TI-Anschlussvarianten

Da es in den Praxen immer wieder Unsicherheiten bezüglich der unterschiedlichen Anschlussvarian- ten der TI gibt, haben wir unsere Mitglieder nochmals wie folgt über die Unterschiede der Betriebs- arten informiert:

Parallelbetrieb

  •  Der Konnektor wird „parallel“ zum restlichen Praxisnetzwerk am DSL-Router angeschlossen. Das heißt, das Praxisnetzwerk hängt nicht nur am Konnektor, sondern gleichzeitig am DSL-Router; damit ist eine Internetnutzung vom gesamten Praxisnetzwerk aus uneingeschränkt möglich. Sämtliche Updates (Praxisverwaltungssoftware, Betriebssystem, Virenschutz, etc.) sind über diesen Weg einspielbar.

  •  Zwingende Voraussetzung: Gesonderte Sicherheitsmaßnahmen wie Firewall und Virenscanner müssen eingerichtet werden, da Konnektor nicht als integrierte Firewall dient.

  •  Der Parallelbetrieb empfiehlt sich für alle, die vorher bereits Internetzugang im Praxisnetzwerk hatten und dies weiterhin benötigen.

www.kvno.de Newsletter IT-in der Praxis | Mai 2019

Reihenbetrieb

  •  Das gesamte Praxisnetzwerk ist an den Konnektor angeschlossen und das Praxisnetzwerk ist nach BSI-Vorgaben über die in den Konnektor integrierte Firewall geschützt.

  •  Der Internetzugriff über den Konnektor ist wegen Einschränkung des Datenvolumens über den Dienst „Secure Internet Service“ (SiS) nur begrenzt möglich. Daher können Betriebssystem- Updates wegen ihrer Größe wahrscheinlich nicht über das Standard-SIS-Datenvolumen durchge- führt werden.

  •  Fernwartung ist möglicherweise nutzbar, aber wegen der geringen Performanz nicht empfehlens- wert.

  •  IP-Telefonie ist nicht über diese Betriebsart möglich.


    Netzwerktrennung

  •  Bei einer Netzwerktrennung wird zusätzlich zum Reihenbetrieb ein separater „Internet-PC“ an den DSL-Router der Praxis angeschlossen. Dieser „Internet-PC“ läuft damit getrennt vom Konnek- tor, hat also keinen Zugriff auf die TI und ist auch nicht über das SiS abgesichert.

  •  Vorteil im Vergleich zum Reihenbetrieb: Die Internetnutzung ist über diesen „Internet- PC“ unein- geschränkt möglich, ohne das Praxisnetz direkt zu gefährden. Die üblichen Sicherheitsvorkehrun- gen sind auch für den Internet-PC dringend empfohlen.

    Auch hier bitten wir um Ihre Unterstützung, die Praxen bei den Installationen auf die unterschied- lichen Möglichkeiten inklusive Vor- und Nachteilen hinzuweisen.

Und das Schaubild der Genematik zeigt klar das der Konnektor eben nicht in Reihe sondern Parallel zum Switch und dem VPN Gateway an dem Router angeschlossen ist.
4,446 Beiträge
7,909 Antworten
9,959 Kommentare
1,874 Nutzer