Wechseln zu:Navigation, Suche
Wiki

TI-Proxy Konfiguration

Aus Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht














































































































Konfiguration des Proxys für eine Gateway Anbindung an die Telematikinfrastruktur

Letzte Anpassung zur Version: 14.0.4(04.2025)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen TI-Proxy


Einleitung

UTM v14.0.0 TI Proxy Netzwerkaufbau.png
Netzwerkaufbau des TI-Proxys

Mithilfe des TI-Proxys kann eine sichere Kommunikation zwischen Kartenterminals und TI-Konnektoren der Telematikinfrastruktur ermöglicht werden. Der Proxy leitet den Datenverkehr des Terminals über einen WireGuard-Tunnel an ein Cloud-Gateway weiter, das den Zugang zur Telematikinfrastruktur verwaltet.


TI-Proxy Assistent

TI-Proxy Assistent

Schritt 1 - Konfiguration importieren

Schritt 1 Konfiguration importieren
Beschriftung Wert Beschreibung TI-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy UTM v14.0.4 TI-Proxy Assistent Schritt 1.pngSchritt 1 - Konfiguration importieren
Dateien: Durchsuchen... Keine Dateien ausgewählt. Falls vorhanden können hier Konfigurationsdateien hochgeladen werden
WireGuard Konfiguration: [Interface]
Address = 203.113.0.113/32
ListenPort = 51820
...		 Einfügen/Hochladen der Konfigurationsinformationen für WireGuard aus der Konfig-Datei
TI-Proxy Konfiguration: tiaas:
 wireguard:
  ip: 203.113.0.113
...		 Einfügen/Hochladen der Konfigurationsinformationen für den TI-Proxy aus der Konfig-Datei

Schritt 2 - Schnittstelle

Schritt 2 Schnittstelle
Schnittstelle: wg0 Verwendete WireGuard Schnittstelle UTM v14.0.4 TI-Proxy Assistent Schritt 2.png
Schritt 2 - Schnittstelle
Name: wireguard-interface-wg0-ti-proxy Name der WireGuard Verbindung
IPv4 Adresse: 203.113.0.113/32 IPv4 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
IPv6 Adresse:    /64 IPv6 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
Listening Port: 51820Link= Port der WireGuard Verbindung
Privater Schlüssel: Automatisch generieren Schlüsselwert direkt eingeben Aus Schlüsseln wählen Privater Schlüssel der WireGuard Verbindung
Servernetzwerke global freigeben:     Netzwerke, die für durch die WireGuard Verbindung freigegeben werden sollen. Wird hier nicht benötigt.

Schritt 3 - Peer

Schritt 3 Peer
Peer-Typ: PeerAD-BenutzerLokaler Benutzer UTM v14.0.4 TI-Proxy Assistent Schritt 3.png
Schritt 3 - Peer
Name: wg0-peer-1 Name des Peers
Peernetzwerke freigeben: »192.168.12.0/24»192.168.13.12/30»192.168.13.16/30»192.168.13.24/30 ... Netzwerke des Peers, die freigegeben werden sollen
Endpunkt: 203.113.0.113 Öffentliche IP-Adresse, unter welcher der WG-Tunnel für den Konnektor entgegen genommen wird
Endpunkt Port: 60010Link= Der dazugehörige Port
Öffentlicher Schlüssel: Schlüsselwert direkt eingeben Aus privatem Schlüsselwert berechnen Aus Schlüsseln wählen Öffentlicher Schlüssel des Peers
Pre-Shared Key:     Pre-Shared Key zur weiteren Absicherung der Verbindung
Keepalive: Ein 25Link= Sekunden Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Schritt 4 - TI-Proxy

Schritt 4 TI-Proxy
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
UTM v14.0.4 TI-Proxy Assistent Schritt 4.png
Schritt 4 - TI-Proxy
Eingehende IP: 10.0.2.1/--- IP-Adresse der WG-Schnittstelle
Ausgehende Default-IP: 192.168.175.1 (LAN2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet

Schritt 5 - Erweiterte Einstellungen

Schritt 5 Erweiterte Einstellungen
Routen zu den Netzwerken des Peers erstellen: Ja Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde. UTM v14.0.4 TI-Proxy Assistent Schritt 5.png
Schritt 5 - Erweiterte Einstellungen
Zonen erstellen: Ja Erzeugt neue Zonen für die WireGuard Schnittstelle
Zonen: wireguard-wg0
firewall-wireguard-wg0		 Namen der neuen Zonen
Netzwerkobjekte für den Peer erstellen: Ja Erzeugt Netzwerkobjekte für Gegenstelle
Netzwerkobjekte für den Peer: »wg-net-wg0-peer-1-1»wg-net-wg0-peer-1-2»wg-net-wg0-peer-1-3
...		 Netzwerkobjekte, die für die Gegenstelle erzeugt werden. Der automatische Vorschlag kann auch geändert werden.
Netzwerkgruppe: wg0-networks Name der Netzwerkgruppe der Verbindung wird angezeigt
Regeln zwischen dem Peer und internal-networks erstellen: Ja Erzeugt autogenerierte Regeln, die die Inbetriebnahme erleichtern
Regelgruppe: wg0-network Name der Regelgruppe wird angezeigt

Allgemeine Konfiguration

Allgemein
Beschriftung Wert Beschreibung Anwendungen UTMbenutzer@firewall.name.fqdnTI-Proxy UTM v14.0.0 TI Proxy Allgemein.pngAllgemeine Konfiguration des TI-Proxys
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
Eingehende IP: 203.113.0.113 (A0) IP-Adresse der Schnittstelle der UTM, die die Verbindung zum Konnektor herstellt
Ausgehende Default-IP: 192.168.175.1 (A1) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
Anbindung an einen Konnektor über WireGuard (Eingehende IP)
notempty
Diese Variante ist in der Praxis die Standard-Konfiguration.


Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
UTM v14.0.1 Anwendungen TI-Proxy mit WG.png
WireGuard-Tunnel als Eingehende IP
Eingehende IP: 10.0.2.1 (wgx) Tunnel IP-Adresse der WG-Schnittstelle, die die Verbindung zum Konnektor herstellt
Ausgehende Default-IP: 192.168.175.1 (A2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
  • Die folgenden Werte sollten in der Regel nicht verändert werden.
    • Rekey After Time 120Link= Sekunden Legt fest, nach welcher Zeitspanne eine neue Schlüsselvereinbarung (Rekeying) durchgeführt werden soll. (Minimum: 120 Sekunden)
    Reject After Time 180Link= Sekunden Legt fest, nach welcher Zeitspanne ein Peer nach dem letzten empfangenen Paket als inaktiv betrachtet wird und Pakete verworfen werden. (Minimum: 180 Sekunden)

    Kartenterminal Proxy konfigurieren

    Kartenterminal-Proxys
    Im Bereich Kartenterminal-Proxys fügt man einen Proxy für ein Kartenterminal wie folgt hinzu:
    Beschriftung Wert Beschreibung Kartenterminal-Proxy hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy UTM v14.0.0 TI Proxy hinzufügen.pngDialog Kartenterminal-Proxy hinzufügen
    Kartenterminal IP: 192.168.175.71 (A1)/--- IP-Adresse des Kartenterminals im internen Netz
    Kartenterminal Port: 4742Link= Port des Kartenterminals, über den die Kommunikation erfolgt
    Ausgehende IP: 192.168.175.1 (A2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
    Eingehender & ausgehender Port: 60000Link= Port an dem die UTM die Datenpakete empfängt
    Konfiguration mit der Schaltfläche
    Speichern und Schließen
    • Wenn eine Verbindung zum Kartenterminal hergestellt werden konnte, wird der Name angezeigt
    • Falls die Fehlermeldung Fehler: failed to restart ctproxy erscheint, bedeutet dies, dass der Proxy den Konnektor nicht erreichen kann
    • Es lassen sich mehrere Kartenterminals hinzufügen
    		 TI-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen UTM v14.0.1 Anwendungen TI-Proxy fertig.png
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/TI_Proxy&oldid=96321