Hallo,

habe ein "kleineres" Netzwerkthema

Ich muss hinter einer FritzBox einen weiteren Router schalten (KV-SafeNet) der als BlackBox eine VPN Verbindung über die FritzBox aufbaut.

Bis dato lief die Fritzbox mit fester IP 192.168.178.1 und Sub.: 255.255.255.0

Jetzt möchte ich zunächst nur einen Zugriff auf den Zyxel-Router über die FritzBox bekommen.

Der Zyxel ist folgendermaßen konfiguriert:

WAN:

IP-Aderesse 192.168.178.188
Netz: 255.255.255.0
Gateway: 192.168.178.1

LAN:

Router-IP 192.168.130.1
Netrzmaske: 255.255.255.0
DNS-Server: 192.168.130.1

Dazu habe ich den WAN Anchluss des Zyxel mit dem LAN2 Anschluss der FritzBox verbunden und in der Fritzbox den DHCP wie auf den zwei Bildern eingerichtet.

Der Zyxel wird mir als Gerät in der FritzBox angezeigt aber ich bekomme keinen Zugriff über die Router-IP 192.168.130.1 -- über ander auch nicht.

was mach eich falsch?

Wo ist denn der Rechner angeschlossen von dem du Zugriff auf den Zyxel-Router haben willst? An der Fritzbox oder am Zyxel-Router? Ich denke du wirst nur von Rechnern am Zyxel-Router Zugriff darauf haben.

Von der Fritz-Seite aus müsstest du über 192.168.178.188 auf den Zyxel zugreifen, wobei die Konfiguration aus Sicherheitsgründen oft per default nicht von dieser Seite aus erreicht werden kann.

Da liegt das Problem. Der Zyxel-Router muss von der Fritz-Box angesteuert werden. Was müsste ich denn an der Fritz-Box einstellen, damit ich den Zyxel über diese erreichen kann?

Eine statische Route sollte eigentlich gehen... Als Ziel 192.168.30.1, Subnetz 255.255.255.0 und als Gateway die 192.168.178.188...

Habe hier kein Fritz-Dingens, aber so aus dem Gedächtnis Heimnetz Netzwerk Netzwerkeinstellungen IPv4-Routen (oder so ähnlich).

Warum willst du unbedingt das ....30.. Netz mit aufmachen.
Nimm für den Zyxel 192.168.178.2.
Wenn du dann auf dem Ding angemeldet bist kannst du ja übers neue Netz surfen... Einstellungen es Zyxels eben... Aber warum zu Hause VPN?

Ich habe inzwischen 5 Fritzboxen in meinem Verbund per VPN gleichzeitig verbunden, aber eben alle an anderen Orten.. So kann kann bequem immer drucken und NAS´s nutzen ...

Ich glaube eher, das dies das Typische Szenario ist, welches ich Tagtäglich erlebe

Ein netter Herr, dessen Namen ich nicht nennen möchte nannte so etwas auf der Letzen LANUpdate "Sich selbst verwirklichende Zahnärzte und Kollegen"

Leider läuft es in der Praxis so, Zahnarzt oder ähnlich, meinen oft sie könnten ihre IT selbst pflegen, gekauft wird ne Fritzbox, die kann ja alles.

Dann gibt es da noch die KV (Kassenärztlichen Vereinigungen) die einen Zugang nur per gesicherter VPN Verbindung zulassen (Ging früher über einen ISDN/Moden Einwahlverbindung).

Da ja nun überall auf IP-Telefonie umgestellt wird kommt die Fritzbox gerade recht, im Verhältnis günstig und einfach zu konfigurieren (Das bekommt der sich selbst verwirklichende Zahnarzt ja noch hin). Und die in der Regel vorhandene Telefonanlage (ISDN) kann ja auch weg, DECT Telefone sind ja so praktisch und die vorhandene Hausverkabelung ist dann ja auch überflüssig.

Nun soll aber das KV-Net noch dazu und schon haben wir die Probleme. Auf einmal ist der sich selbst verwirklichende Zahnarzt überfordert. Double NAT usw. manchmal wird erst versucht, das Problem in irgendwelchen Foren zu lösen, was manchmal auch klappt oder per Telefon, wird der nur im Notfall benötigte Dienstleister angerufen. Vorbeikommen darf der nicht, das kostet ja.

Alleine um herauszufinden was der sich selbst verwirklichende Zahnarzt, schon alles verwurstelt hat, geht meist ne halbe drauf (er muss ja nebenbei noch die wichtigen Fragen seiner Empfangsdame beantworten, weil irgend was nicht funktioniert).

Der Dienstleister ist am Hörer von sowas genervt und der sich selbstverwirklichende Zahnarzt, drängelt nur weil er sich ja um seine Patienten kümmern muss "wie lange dauert das denn noch?"

Anstatt nun gleich den entsprechenden Dienstleister zu beauftragen, der auf die Fritzbox verzichtet hätte und gleich einen entsprechendes VPN Gateway installiert hätte, an dem dann auch über All-IP-Option die Hausverkabelung inkl. komfortabel zu nutzender Telefonanlage möglich gewesen wäre, muss er sich ja selbst verwirklichen.

Ach ja, in der Zeit, die der sich selbstverwirklichende Zahnarzt, vorher in die Konfiguration und Recherche plus anschliessendem Telefonat mit dem Dienstleister gesteckt hatte, hätte er locker in 5-6 Patienten stecken können.
Dann hätte er auch die Kosten für den Dienstleister 3 mal drin gehabt

Sollte der Themenersteller von alledem nicht betroffen sein, bitte ich darum meinen Beitrag einfach zu ignorieren

Gruß
Claus

PS: Ja ich habe mit diesem Beitrag keine Lösung geboten aber alleine die Tatsache das es sich um KV-Net handelt, die Tatsache das es sich dann in der Regel um sensible Patientendaten handelt, werde ich sicherlich nicht bei so einem gebastel über ein Forum helfen

+1!

Ich denke, dass das nicht geht. Dies würde letztlich das KV-SafeNet kompromittieren. Es geht ja darum, dass die Patientendaten im SafeNet bleiben. Sonst könnten die KVen sich das Theater mit dem VPN auch sparen. Letztlich dürfte aber dein Provider für das KV-SafeNet der richtige Ansprechpartner sein.

Hallo, der Provider bekommt es nicht hin. Er hat den SafeNet Anschloss im Zyxel falsch konfiguriert und muss natürlich jetzt über die Fritzbox den Router umkonfigurieren. Die Versuche des Providers sind bis dato kläglich gescheitert. Schon am Anfang: O-Ton: "Oh, dass ist ja ein Mac!"
Nun ist mir klar, das es so wie der Provider es machen will eben nicht geht. Ich wollte mich diesbezüglich nur noch einmal absichern.

+1
YMMD

Nun ja, KV-Net stellt ja keine Sicherheit im Netzwerk des Arztes her, kann es auch gar nicht (da keinerlei Kontrolle der Clientrechner im angeschlossenen Netz stattfindet), egal welche Router oder Gateways da zum Einsatz kommen, es sichert nur die Übertragung zwischen den KVs und der Praxis durch einen Tunnel.

Wollte man hier die Sicherheit, die Patientendaten angemessen wäre, gäbe es Auflagen für die Clientrechner (bspw. Überprüfung auf Virenschutz und Updatestatus, ansonsten keine Verbindung), die Installation würde fachmännisch durchgeführt und dokumentiert, es gäbe aktives Monitoring... und man könnte da noch sehr lange weitermachen. Fakt ist, es geht eh nur um Augenwischerei und die Frage, ob der VPN Router nun hinter einer Fritzbox oder etwas teurerem hängt, ändert bezüglich der Sicherheit eher gar nichts (lediglich der unverschlüsselte Wartungszugriff auf den VPN-Router ist eine echte Katastrophe, aber so lange der nicht läuft - siehe fehlende fachmännische Inbetriebnahme oben - ja eh fest eingeplantes Risiko).

Zunächst zum Thema, es ist gelöst. Der SafeNet Router muss nicht in der Fritzbox eingtragen werden etc. es ging (für den Wartungszugriff) um die Duplizierug des Dienstes. IT-Firma hat es in 10min gelöst, da diesmal ein wirklicher Fachmann am Werk war!

Nun einmal zum Thema Sicherheit. Hier wurde die BlackBox schon kritisch hinterleuchtet:
http://www.fiff.de/publikationen/fiff-kommunikation/fk-2010/fk_4_2010/fk_4_2010/fk_4_2010_palm

Ich freue mich schon, wenn dann ca. 70.000 Praxisrechner ständig im Netz hängen und nicht wie es das SafeNet angedacht hatte keine weiteren Ports offen haben sondern zusätzlich noch im "normalen" Internet mit den offenen Ports hängen. Genau das wird nun stückweise allen im Heilberufen tätigen von der KBV oktroyiert! Ab 3 Quartal nur noch Abrechnung über KV-SafeNet und in Folge Stammdatenabgleich der eGK usw.!
Wenn ich mir nun anschaue, wie viele Praxisrechner aktuelle Software und die entsprechenden Sicherheitskonfigurationen haben, dann kann das SafeNet so sicher sein wie es will, der Praxisrechner der nun ständig im Netz hängt ist das Risiko - genau wie mein Vorredner schon schön bemerkte!
Bei Zahnärzten mag ja die Info nicht ganz so brisant sein. Aber wie "spaßig" wird es, wenn z.B. ein psychologischer Bericht an den Gutachter (der enthält den kpl. Lebenslauf plus die gesamte psychische Thematik) auf der KBV-Severfavela abgelegt wird.
In Amerika kostet zur Zeit ein kpl. Pat.-Datensatz 10 Dollar! Die Frage ist, was wird dieser hier kosten, wenn alles schön vernetzt ist.

Ich bin der Meinung, dass die Zukunft darin liegt, dass bestimme Daten einfach nicht in das Netz gehören.

Du siehst Claus, Du bist Deinen Vorurteilen ziemlich aufgesessen!

Das ist leider die tägliche Realität Ausnahmen bestätigen die Regel