Impfzertifikat über die Telematikinfrastruktur (TI): Sophos Firewall

Anleitung (Stand: 11.08.2021 / 10:30 Uhr)

Impfzertifikat über die

Telematikinfrastruktur (TI):

Sophos Firewall

Mit dieser Anleitung können Sie Ihren Anschluss an die Telematikinfrastruktur so

konfigurieren, dass Sie wieder Impfzertifikate ausstellen können. Im besten Fall können Sie sich damit selbst helfen und sind nicht auf unsere Support-Hotline angewiesen, da es hier wegen der enormen Inanspruchnahme zu längeren Wartezeiten kommen kann.

Themenübersicht

Warum eine Anpassung Ihrer VPN-Firewall notwendig ist Schritt 1: Routen auf der VPN-Firewall einrichten

Was muss ich tun?

Schritt 2: Routen auf Ihren Computern eintragen

Wie erkenne ich, ob ich einen seriellen oder parallelen Anschluss habe?

Prüfung Ihres Anschlusses

Eintragen der Routen für parallele Anschlüsse Überprüfung der erfolgreichen Einrichtung

Warum eine Anpassung Ihrer VPN-Firewall notwendig ist

Das Netzwerk Ihrer Praxis bzw. Apotheke wird durch eine sogenannte VPN-Firewall gegen Angriffe von außen geschützt. Diese VPN-Firewall lässt nur Daten in Ihr Netzwerk durch, die von Adressen ihr bekannter Server kommen. In den Einstellungen der VPN-Firewall können neue Server-Adressen definiert werden.

Die Server des RKI, die die Impfzertifikate ausstellen, haben leider neue, bisher in der

Telematikinfrastruktur nicht verwendete Adressen erhalten. Daher wird Ihre VPN-Firewall die Datenkommunikation mit diesen Servern zunächst verhindern, wodurch keine Impfzertifikate erstellt werden können.

Um dies nun möglich zu machen, müssen Ihrem VPN die Adressen dieser Server bekannt gemacht und ggfs. neue Routen eingetragen werden.

Die folgende Anleitung beschreibt alle notwendigen Schritte für Windows-Betriebssysteme und die Hardware-Firewall von SOPHOS. Anleitungen für andere Firewall-Modelle oder die Software-VPN-Einrichtung finden Sie auf unserer Webseite unter www.redmedical.de

Wenn Sie MacOS verwenden, wenden Sie sich bitte an unseren Kundensupport (support@redmedical.de).

Bitte geben Sie diese Anleitung der Person, die Ihre VPN-Firewall verwaltet.

Schritt 1: Routen auf der VPN-Firewall einrichten

Ihre Praxis oder Apotheke ist an die Telematikinfrastruktur angeschlossen und verwendet aus Sicherheitsgründen eine Firewall von SOPHOS. Im ersten Schritt müssen die neuen

Adressbereiche, in denen unter anderem die Server des RKI liegen, ihrer Firewall bekannt gegeben werden.

Was muss ich tun?

Ihre SOPHOS-Firewall hat eine Benutzeroberfläche, in der die Verwaltung vorgenommen werden kann. Diese wird über einen Webbrowser an einem der angeschlossenen Computer aufgerufen.

Melden Sie sich mit Ihren Zugangsdaten an der SOPHOS-Firewall an. Die Zugangsdaten erhalten Sie von der Person oder Organisation, die Ihre VPN-Firewall eingerichtet hat.

Nach der Anmeldung an der Sophos Firewall wechseln Sie in den MenüpunktVPN. Dort sehen Sie eine Übersicht der aktuellen VPN-Verbindungen.

Abbildung: Übersicht VPN-Verbindungen am Beispiel einer SOPHOS-VPN-Firewall

In der VPN-Firewall ist unter der entsprechenden Rubrik für die VPN-Einstellungen bereits eine Route in Richtung unseres Rechenzentrums eingetragen (im Beispiel mit grünem Punkt markiert). Diese bestehende Route stellt die Verbindung zwischen Ihrem Praxisnetz und dem Konnektor im Rechenzentrum her.

Es müssen jetzt drei zusätzliche Routen eingetragen werden. Diese drei zusätzlichen Routen werden für das Impfportal sowie für zukünftige TI-Anwendungen benötigt. Klicken Sie dazu auf den blauen Add-Button.

Abbildung: Übersicht Routen am Beispiel einer SOPHOS-VPN-Firewall

Diese Routen müssen zusätzlich eingetragen werden:

Route 1:

● Name: TI-Anwendung1

● IP-Adressbereich: 100.100.0.0

● Subnetz: 255.255.0.0 (/16)

● Ziel: *RED Rechenzentrum (muss bei einigen VPN-Firewalls separat angegeben werden)

Route 2:

● Name: TI-Anwendung2

● IP-Adressbereich: 100.102.0.0

● Subnetz: 255.255.0.0 (/16)

● Ziel: *RED Rechenzentrum (muss bei einigen VPN-Firewalls separat angegeben werden)

Route 3:

● Name: TI-Anwendung3

● IP-Adressbereich: 100.103.0.0

● Subnetz: 255.255.0.0 (/16)

● Ziel: *RED Rechenzentrum (muss bei einigen VPN-Firewalls separat angegeben werden)

Abbildung: Eintragen einer neuen Route am Beispiel einer Sophos-VPN-Firewall

Nachdem alle drei Routen eingetragen sind, sollten diese in der Übersicht angezeigt werden.

Abbildung: Übersicht aller Routen am Beispiel einer Sophos-VPN-Firewall

Bitte prüfen Sie jetzt noch, ob Ihre Firewall parallel oder seriell angeschlossen ist. Die Beschreibung finden Sie weiter unten in diesem Dokument.

Anschließend versuchen Sie, den Impfzertifikats-Server über die bekannte Adresse zu erreichen:https://dav.impfnachweis.info/login

Führt der Aufruf der Seite trotz Eintragen der neuen Routen zu einem Fehler, empfiehlt es sich, die VPN-Verbindung einmal zu trennen und wieder zu aktivieren.

Schritt 2: Routen auf Ihren Computern eintragen

Nachdem die neuen Routen zu dem Impfzertifikatsservern an der zentralen VPN-Firewall eingetragen wurden, muss jetzt noch überprüft werden, ob die Routen auch an den jeweiligen Computern eingetragen werden müssen. Dies hängt davon ab, wie die VPN-Verbindung zum TI-Konnektor ins Rechenzentrum aufgebaut wird.

Es gibt zwei Möglichkeiten, wie die VPN-Verbindung aufgebaut werden kann:

● serieller Anschluss: Die VPN-Firewall befindet sich zwischen dem Internet-Router und Ihrem internen Netzwerk oder ist in Ihrem Internet-Router integriert (z.B. LANCOM).

Sie sichert das interne Netzwerk gegen Angriffe von außen ab und baut auch die VPN-Verbindung zum TI-Konnektor im Rechenzentrum auf. Möchte ein Computer aus dem internen Netz Daten nach außen bzw. in die TI senden, schickt er einfach alle Daten durch die VPN-Firewall.

● paralleler Anschluss: Es gibt eine separate VPN-Verbindung zum TI-Konnektor im Rechenzentrum. Diese wird über eine zusätzliche VPN-Firewall aufgebaut (z.B. eine RED box). Möchte ein Computer aus dem internen Netz Daten nach außen bzw. in die TI senden, muss er eine Unterscheidung treffen. Daher müssen ihm die Routen zum Internetgateway und zur VPN-Firewall bekannt sein.

Wie erkenne ich, ob ich einen seriellen oder parallelen Anschluss habe?

Diese Prüfung muss an einem Computer durchgeführt werden, an dem bereits ein TI-Anschluss besteht und an dem z.B. Versichertenkarten über die TI eingelesen werden.

Ergibt diese Prüfung, dass die VPN-Firewall seriell angeschlossen ist, sind die nachfolgend beschriebenen Schritte zur Eintragung der Routen NICHT notwendig.

Ist die VPN-Firewall parallel angeschlossen, müssen die nachfolgend beschriebenen Schritte zur Eintragung der Routen an jedem Computer durchgeführt werden, von dem aus

Impfzertifikate erstellt werden sollen.

Prüfung Ihres Anschlusses

1. Rufen Sie als nächstes die Eingabeaufforderung auf.

Eingabeaufforderung aufrufen

Klicken Sie unten links auf das Windows-Logo. Jetzt bitte auf der Tastatur “cmd”

tippen. Windows listet automatisch, über die interne Suche, die

“Eingabeaufforderung” auf. Diese bitte mit der rechten Maustaste anklicken und “Als Administrator starten” anklicken. Ggf. werden Sie jetzt nach einem

Benutzer/Kennwort gefragt. Dieses sollte ein Administrator-Benutzer sein.

2. Geben Sie den Befehl route print ein und drücken Sie die Eingabetaste (auch “Return”

oder “Enter” genannt).

Abbildung: Eingabe von route print in der Windows-Eingabeaufforderung

3. Die Eingabeaufforderung listet alle Routen auf, die an dem Computer bereits eingetragen wurden. Die Liste enthält zwei Abschnitte:

● IPv4-Routentabelle

● IPv6-Routentabelle

In jedem Abschnitt gibt es eine Sektion Ständige Routen.

Abbildung: Anzeige des Ergebnisses von route print. Hinweis: diese Anzeige wird bei Ihnen andere Werte enthalten.

Fall 1: Ist in beiden Sektionen Ständige Routen KEINE Route eingetragen und kommuniziert dieser Computer bereits mit der TI, liegt ein serieller Anschluss vor. Es sind an diesem Computer keine weiteren Schritte erforderlich.

Abbildung: Beispiel für das Ergebnis von route print ohne eingetragene Routen

Fall 2: Ist in einer der Sektionen Ständige Routen ein Eintrag einer Route vorhanden, und kommuniziert dieser Computer mit der TI, liegt ein paralleler Anschluss vor. An diesem Computer müssen die zusätzlichen Routen eingetragen werden.

Abbildung: Beispiel für das Ergebnis von route print mit eingetragenen Routen zur VPN-Firewall

Eintragen der Routen für parallele Anschlüsse

Hinweis: Folgen Sie den Anweisungen nur, wenn die Prüfung ergeben hat, dass ein paralleler Anschluss eingerichtet ist. Für serielle Anschlüsse ist das nicht erforderlich. Weiter oben lesen Sie, wie Sie überprüfen können, welcher Anschluss bei Ihnen vorliegt.

Dazu öffnen Sie wieder die Eingabeaufforderung (siehe auch Prüfung Ihres Anschlusses, Schritt 1) und geben nacheinander die nachfolgenden Befehle ein, die Sie jeweils mit der Eingabetaste bestätigen.

Die Angaben der IP-Adressen sind wie beschrieben zu übernehmen. In dem Befehl müssen Sie an der mit <IP-Adresse Ihrer VPN-FirewalI> markierten Stelle die IP-Adresse Ihrer

VPN-Firewall einsetzen. Die IP-Adresse Ihrer VPN-Firewall ist die als Gatewayadresse markierte IP-Adresse in der bereits eingetragenen Route. Drücken Sie die Eingabetaste, nachdem Sie den Befehl vollständig eingegeben haben.

route add 100.100.0.0 MASK 255.255.0.0 <IP-Adresse Ihrer VPN-FirewalI> -p route add 100.102.0.0 MASK 255.255.0.0 <IP-Adresse Ihrer VPN-FirewalI> -p route add 100.103.0.0 MASK 255.255.0.0 <IP-Adresse Ihrer VPN-FirewalI> -p

Abbildung 9: Eingeben einer Routenanweisung in der Eingabeaufforderung

Nach Eingabe aller drei Befehle geben Sie bitte noch einmal den Befehl route print in der Eingabeaufforderung ein. In der Sektion Ständige Routen müssen neben der bereits bestehenden die drei neuen Routen angezeigt werden.

Abbildung 10: Anzeige der neuen Routen

Diese Routen müssen an allen Computern eingetragen werden, die mit der TI und dem Impfzertifikatsserver kommunizieren sollen.

Mac

Handelt es sich bei Ihrem Arbeitsplatzrechner um einen Apple Mac, kontaktieren Sie bitte unseren Support über die Mailadressesupport@redmedical.de.

Überprüfung der erfolgreichen Einrichtung

Wenn Sie alle richtig gemacht haben, können Sie nun das DAV-Portal innerhalb der TI unter https://dav.impfnachweis.info

aufrufen. Allerdings ist der Server aktuell nur sporadisch verfügbar, sodass Sie alternativ die Seite der Ärzte aufrufen können:

https://web.impfnachweis.info

Es öffnet sich dann die Login-Maske der KBV

Über diese können Sie zwar keine Impfzertfikate erstellen, aber sollten Sie diese Seite aufrufen können, die DAV-Seite aber nicht, wissen Sie zumindest, dass bei Ihnen alles richtig eingestellt ist. Es liegt dann nur noch am DAV, seine Seite zu stabilisieren. Immer wieder probieren, lautet dann die Devise.

Herzliche Grüße Ihr Team von RED