Wechseln zu:Navigation, Suche
Wiki

UTM/APP/TI Proxy: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
KKeine Bearbeitungszusammenfassung
K Textersetzung - „14.0.8.1“ durch „14.0.8.2“
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/APP/TI_Proxy|pre=14.1.0}}
{{Set_lang}}
{{Set_lang}}


Zeile 408: Zeile 407:
| Die folgenden Werte sollten in der Regel '''nicht verändert''' werden.
| Die folgenden Werte sollten in der Regel '''nicht verändert''' werden.
|  }}
|  }}
----
{{var | Status Implizite Regel
{{var |
| Status der impliziten Regel
|
|  }}
{{var | Status Implizite Regel--Bild
| TI-Proxy Status Implizite Regeln.png
|  }}
{{var | Status Implizite Regel--cap
|
|  }}
{{var | Status Implizite Regel--desc
| Eine implizite Redirect-Regel ist aktiviert. Durch die Aktivierung der impliziten Regeln werden TCP Verbindungen des Konnektors zu den Kartenterminals per DESTNAT weitergeleitet.<br>Dadurch ist ein Update der Kartenterminals aus dem Konnektor heraus möglich.
|  }}
{{var | Status Implizite Regel down--desc
| Die implizite Regel ist deaktiviert. Ein Update der Kartenterminals aus dem Konnektor heraus ist '''nicht möglich'''.
|  }}
{{var | Status Implizite Regel start--desc
| Aktiviert die implizite Regel
|  }}
{{var | Status Implizite Regel stop--desc
| Deaktiviert die implizite Regel
|  }}
|  }}


{{var | neu--Artikel | Neue Funktion | New function }}
 
{{var | neu--Implizite Regeln
| Es gibt [[#implizit | Implizite Regeln]], die Updates aus dem Konnektor zu den Kartenterminals ermöglichen
}}
{{var | neu--Rekey
{{var | neu--Rekey
| Bei [[#Anbindung_an_einen_Konnektor_über_WireGuard_(Eingehende_IP) | Anbindung über WireGuard]] können ''Rekey After Time'' und ''Reject After Time'' eingestellt werden  
| Bei [[#Anbindung_an_einen_Konnektor_über_WireGuard_(Eingehende_IP) | Anbindung über WireGuard]] können ''Rekey After Time'' und ''Reject After Time'' eingestellt werden  
Zeile 423: Zeile 442:


</div><div class="new_design"></div><noinclude><!--{{Select_lang}}-->{{TOC2|limit=1}}
</div><div class="new_design"></div><noinclude><!--{{Select_lang}}-->{{TOC2|limit=1}}
{{Header|14.0.4|
{{Header|14.0.8.2|
* {{#var:neu--Implizite Regeln}}
|vorher-ver=14.0.4
|vorher=
* {{#var:neu--Wizard}}
* {{#var:neu--Wizard}}
* {{#var:neu--Rekey}} <small>(v14.0.1)</small>
* {{#var:neu--Rekey}} <small>(v14.0.1)</small>
|Menu={{Menu-UTM|Anwendungen|TI-Proxy}}
|[[UTM/APP/TI_Proxy_v14.0 | 14.0.4 ]]
| Menu={{Menu-UTM|Anwendungen|TI-Proxy}}
}}
}}
----
----
Zeile 581: Zeile 604:
| colspan=3 class=noborder | {{#var:Fertig--desc}}
| colspan=3 class=noborder | {{#var:Fertig--desc}}
| class=Bild | {{Bild|{{#var:Proxy fertig--Bild}}|{{#var:Proxy fertig--cap}}||TI-Proxy|{{#var:Anwendungen}}|icon=fa-save}}
| class=Bild | {{Bild|{{#var:Proxy fertig--Bild}}|{{#var:Proxy fertig--cap}}||TI-Proxy|{{#var:Anwendungen}}|icon=fa-save}}
|- class="Leerzeile"
|
|}
<span id=implizit></span>
{| class="sptable2 pd5 zh1 Einrücken"
| rowspan="4" | {{b|{{#var:Status Implizite Regel}} }} {{Hinweis-box|{{#var:neu ab}} v14.0.7.2|gr|14.1.0|status=neu}}|| {{Signal|up}} || {{#var:Status Implizite Regel--desc}}
| class=Bild rowspan="2" | {{Bild| {{#var:Status Implizite Regel--Bild}} | {{#var:Status Implizite Regel--cap}} }}
|-
|  {{Signal|down}} || {{#var:Status Implizite Regel down--desc}}
|-
| {{Button||play}} || {{#var:Status Implizite Regel start--desc}}
|-
| {{Button||class=fas fa-stop}} || {{#var:Status Implizite Regel stop--desc}}
|- class="Leerzeile"
|
|}
|}

Version vom 15. August 2025, 11:19 Uhr


















































































































Konfiguration des Proxys für eine Gateway Anbindung an die Telematikinfrastruktur

Letzte Anpassung zur Version: 14.0.8.2(08.2025)

Neu:
  • Es gibt Implizite Regeln, die Updates aus dem Konnektor zu den Kartenterminals ermöglichen
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen TI-Proxy


Einleitung

Netzwerkaufbau des TI-Proxys

Mithilfe des TI-Proxys kann eine sichere Kommunikation zwischen Kartenterminals und TI-Konnektoren der Telematikinfrastruktur ermöglicht werden. Der Proxy leitet den Datenverkehr des Terminals über einen WireGuard-Tunnel an ein Cloud-Gateway weiter, das den Zugang zur Telematikinfrastruktur verwaltet.


TI-Proxy Assistent

TI-Proxy Assistent

Schritt 1 - Konfiguration importieren

Schritt 1 Konfiguration importieren
Beschriftung Wert Beschreibung TI-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy Schritt 1 - Konfiguration importieren
Dateien: Durchsuchen... Keine Dateien ausgewählt. Falls vorhanden können hier Konfigurationsdateien hochgeladen werden
WireGuard Konfiguration: [Interface]
Address = 203.113.0.113/32
ListenPort = 51820
...		 Einfügen/Hochladen der Konfigurationsinformationen für WireGuard aus der Konfig-Datei
TI-Proxy Konfiguration: tiaas:
 wireguard:
  ip: 203.113.0.113
...		 Einfügen/Hochladen der Konfigurationsinformationen für den TI-Proxy aus der Konfig-Datei

Schritt 2 - Schnittstelle

Schritt 2 Schnittstelle
Schnittstelle: wg0 Verwendete WireGuard Schnittstelle
Schritt 2 - Schnittstelle
Name: wireguard-interface-wg0-ti-proxy Name der WireGuard Verbindung
IPv4 Adresse: 203.113.0.113/32 IPv4 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
IPv6 Adresse:    /64 IPv6 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
Listening Port: 51820 Port der WireGuard Verbindung
Privater Schlüssel: Automatisch generieren Schlüsselwert direkt eingeben Aus Schlüsseln wählen Privater Schlüssel der WireGuard Verbindung
Servernetzwerke global freigeben:     Netzwerke, die für durch die WireGuard Verbindung freigegeben werden sollen. Wird hier nicht benötigt.

Schritt 3 - Peer

Schritt 3 Peer
Peer-Typ: PeerAD-BenutzerLokaler Benutzer
Schritt 3 - Peer
Name: wg0-peer-1 Name des Peers
Peernetzwerke freigeben: »192.168.12.0/24»192.168.13.12/30»192.168.13.16/30»192.168.13.24/30 ... Netzwerke des Peers, die freigegeben werden sollen
Endpunkt: 203.113.0.113 Öffentliche IP-Adresse, unter welcher der WG-Tunnel für den Konnektor entgegen genommen wird
Endpunkt Port: 60010 Der dazugehörige Port
Öffentlicher Schlüssel: Schlüsselwert direkt eingeben Aus privatem Schlüsselwert berechnen Aus Schlüsseln wählen Öffentlicher Schlüssel des Peers
Pre-Shared Key:     Pre-Shared Key zur weiteren Absicherung der Verbindung
Keepalive: Ein 25 Sekunden Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Schritt 4 - TI-Proxy

Schritt 4 TI-Proxy
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
Schritt 4 - TI-Proxy
Eingehende IP: 10.0.2.1/--- IP-Adresse der WG-Schnittstelle
Ausgehende Default-IP: 192.168.175.1 (LAN2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet

Schritt 5 - Erweiterte Einstellungen

Schritt 5 Erweiterte Einstellungen
Routen zu den Netzwerken des Peers erstellen: Ja Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde.
Schritt 5 - Erweiterte Einstellungen
Zonen erstellen: Ja Erzeugt neue Zonen für die WireGuard Schnittstelle
Zonen: wireguard-wg0
firewall-wireguard-wg0		 Namen der neuen Zonen
Netzwerkobjekte für den Peer erstellen: Ja Erzeugt Netzwerkobjekte für Gegenstelle
Netzwerkobjekte für den Peer: »wg-net-wg0-peer-1-1»wg-net-wg0-peer-1-2»wg-net-wg0-peer-1-3
...		 Netzwerkobjekte, die für die Gegenstelle erzeugt werden. Der automatische Vorschlag kann auch geändert werden.
Netzwerkgruppe: wg0-networks Name der Netzwerkgruppe der Verbindung wird angezeigt
Regeln zwischen dem Peer und internal-networks erstellen: Ja Erzeugt autogenerierte Regeln, die die Inbetriebnahme erleichtern
Regelgruppe: wg0-network Name der Regelgruppe wird angezeigt

Allgemeine Konfiguration

Allgemein
Beschriftung Wert Beschreibung Anwendungen UTMbenutzer@firewall.name.fqdnTI-Proxy Allgemeine Konfiguration des TI-Proxys
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
Eingehende IP: 203.113.0.113 (A0) IP-Adresse der Schnittstelle der UTM, die die Verbindung zum Konnektor herstellt
Ausgehende Default-IP: 192.168.175.1 (A1) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
Anbindung an einen Konnektor über WireGuard (Eingehende IP)
notempty
Diese Variante ist in der Praxis die Standard-Konfiguration.


Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
WireGuard-Tunnel als Eingehende IP
Eingehende IP: 10.0.2.1 (wgx) Tunnel IP-Adresse der WG-Schnittstelle, die die Verbindung zum Konnektor herstellt
Ausgehende Default-IP: 192.168.175.1 (A2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
  • Die folgenden Werte sollten in der Regel nicht verändert werden.
    • Rekey After Time 120 Sekunden Legt fest, nach welcher Zeitspanne eine neue Schlüsselvereinbarung (Rekeying) durchgeführt werden soll. (Minimum: 120 Sekunden)
    Reject After Time 180 Sekunden Legt fest, nach welcher Zeitspanne ein Peer nach dem letzten empfangenen Paket als inaktiv betrachtet wird und Pakete verworfen werden. (Minimum: 180 Sekunden)

    Kartenterminal Proxy konfigurieren

    Kartenterminal-Proxys
    Im Bereich Kartenterminal-Proxys fügt man einen Proxy für ein Kartenterminal wie folgt hinzu:
    Beschriftung Wert Beschreibung Kartenterminal-Proxy hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy Dialog Kartenterminal-Proxy hinzufügen
    Kartenterminal IP: 192.168.175.71 (A1)/--- IP-Adresse des Kartenterminals im internen Netz
    Kartenterminal Port: 4742 Port des Kartenterminals, über den die Kommunikation erfolgt
    Ausgehende IP: 192.168.175.1 (A2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
    Eingehender & ausgehender Port: 60000 Port an dem die UTM die Datenpakete empfängt
    Konfiguration mit der Schaltfläche Speichern und Schließen
    • Wenn eine Verbindung zum Kartenterminal hergestellt werden konnte, wird der Name angezeigt
    • Falls die Fehlermeldung Fehler: failed to restart ctproxy erscheint, bedeutet dies, dass der Proxy den Konnektor nicht erreichen kann
    • Es lassen sich mehrere Kartenterminals hinzufügen
    		 TI-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen

    Status der impliziten Regel notempty
    Neu ab v14.0.7.2
    		 Eine implizite Redirect-Regel ist aktiviert. Durch die Aktivierung der impliziten Regeln werden TCP Verbindungen des Konnektors zu den Kartenterminals per DESTNAT weitergeleitet.
    Dadurch ist ein Update der Kartenterminals aus dem Konnektor heraus möglich.
    Die implizite Regel ist deaktiviert. Ein Update der Kartenterminals aus dem Konnektor heraus ist nicht möglich.
    Aktiviert die implizite Regel
    Deaktiviert die implizite Regel
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/TI_Proxy&oldid=97518