Wechseln zu:Navigation, Suche
Wiki

UTM/APP/TI Proxy v14.1.0: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Zum nächsten Versionsunterschied →
KKeine Bearbeitungszusammenfassung
(kein Unterschied)

Version vom 12. August 2025, 08:40 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden






























































notempty
New as of v14.1.0 (beta)
 }}





























Konfiguration des Proxys für eine Gateway Anbindung an die Telematikinfrastruktur

Letzte Anpassung zur Version: 14.1.0(08.2025)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

14.0.7.2 14.0.4

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen TI-Proxy


Einleitung

Netzwerkaufbau des TI-Proxys

Mithilfe des TI-Proxys kann eine sichere Kommunikation zwischen Kartenterminals und TI-Konnektoren der Telematikinfrastruktur ermöglicht werden. Der Proxy leitet den Datenverkehr des Terminals über einen WireGuard-Tunnel an ein Cloud-Gateway weiter, das den Zugang zur Telematikinfrastruktur verwaltet.


TI-Proxy Assistent

TI-Proxy Assistent

Schritt 1 - Konfiguration importieren

Schritt 1 Konfiguration importieren
Beschriftung Wert Beschreibung TI-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy Schritt 1 - Konfiguration importieren
Dateien: Durchsuchen... Keine Dateien ausgewählt. Falls vorhanden können hier Konfigurationsdateien hochgeladen werden
WireGuard Konfiguration: [Interface]
Address = 203.113.0.113/32
ListenPort = 51820
...		 Einfügen/Hochladen der Konfigurationsinformationen für WireGuard aus der Konfig-Datei
TI-Proxy Konfiguration: tiaas:
 wireguard:
  ip: 203.113.0.113
...		 Einfügen/Hochladen der Konfigurationsinformationen für den TI-Proxy aus der Konfig-Datei

Schritt 2 - Schnittstelle

Schritt 2 Schnittstelle
Schnittstelle: wg0 Verwendete WireGuard Schnittstelle
Schritt 2 - Schnittstelle
Name: wireguard-interface-wg0-ti-proxy Name der WireGuard Verbindung
IPv4 Adresse: 203.113.0.113/32 IPv4 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
IPv6 Adresse:    /64 IPv6 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
Listening Port: 51820 Port der WireGuard Verbindung
Privater Schlüssel: Automatisch generieren Schlüsselwert direkt eingeben Aus Schlüsseln wählen Privater Schlüssel der WireGuard Verbindung
Servernetzwerke global freigeben:     Netzwerke, die für durch die WireGuard Verbindung freigegeben werden sollen. Wird hier nicht benötigt.

Schritt 3 - Peer

Schritt 3 Peer
Peer-Typ: PeerAD-BenutzerLokaler Benutzer
Schritt 3 - Peer
Name: wg0-peer-1 Name des Peers
Peernetzwerke freigeben: »192.168.12.0/24»192.168.13.12/30»192.168.13.16/30»192.168.13.24/30 ... Netzwerke des Peers, die freigegeben werden sollen
Endpunkt: 203.113.0.113 Öffentliche IP-Adresse, unter welcher der WG-Tunnel für den Konnektor entgegen genommen wird
Endpunkt Port: 60010 Der dazugehörige Port
Öffentlicher Schlüssel: Schlüsselwert direkt eingeben Aus privatem Schlüsselwert berechnen Aus Schlüsseln wählen Öffentlicher Schlüssel des Peers
Pre-Shared Key:     Pre-Shared Key zur weiteren Absicherung der Verbindung
Keepalive: Ein 25 Sekunden Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Schritt 4 - TI-Proxy

Schritt 4 TI-Proxy
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
Schritt 4 - TI-Proxy
Eingehende IP: 10.0.2.1/--- IP-Adresse der WG-Schnittstelle

Schritt 5 - Erweiterte Einstellungen

Schritt 5 Erweiterte Einstellungen
Routen zu den Netzwerken des Peers erstellen: Ja Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde.
Schritt 5 - Erweiterte Einstellungen
Zonen erstellen: Ja Erzeugt neue Zonen für die WireGuard Schnittstelle
Zonen: wireguard-wg0
firewall-wireguard-wg0		 Namen der neuen Zonen
Netzwerkobjekte für den Peer erstellen: Ja Erzeugt Netzwerkobjekte für Gegenstelle
Netzwerkobjekte für den Peer: »wg-net-wg0-peer-1-1»wg-net-wg0-peer-1-2»wg-net-wg0-peer-1-3
...		 Netzwerkobjekte, die für die Gegenstelle erzeugt werden. Der automatische Vorschlag kann auch geändert werden.
Netzwerkgruppe: wg0-networks Name der Netzwerkgruppe der Verbindung wird angezeigt
Regeln zwischen dem Peer und internal-networks erstellen: Ja Erzeugt autogenerierte Regeln, die die Inbetriebnahme erleichtern
Regelgruppe: wg0-network Name der Regelgruppe wird angezeigt

Allgemeine Konfiguration

Allgemein
Beschriftung Wert Beschreibung Anwendungen UTMbenutzer@firewall.name.fqdnTI-Proxy Allgemeine Konfiguration des TI-Proxys
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
Eingehende IP: 203.113.0.113 (A0) IP-Adresse der Schnittstelle der UTM, die die Verbindung zum Konnektor herstellt
Anbindung an einen Konnektor über WireGuard (Eingehende IP)
notempty
Diese Variante ist in der Praxis die Standard-Konfiguration.


Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
WireGuard-Tunnel als Eingehende IP
Eingehende IP: 10.0.2.1 (wgx) Tunnel IP-Adresse der WG-Schnittstelle, die die Verbindung zum Konnektor herstellt
  • Die folgenden Werte sollten in der Regel nicht verändert werden.
    • Rekey After Time: 120 Sekunden Legt fest, nach welcher Zeitspanne eine neue Schlüsselvereinbarung (Rekeying) durchgeführt werden soll. (Minimum: 120 Sekunden)
    Reject After Time: 180 Sekunden Legt fest, nach welcher Zeitspanne ein Peer nach dem letzten empfangenen Paket als inaktiv betrachtet wird und Pakete verworfen werden. (Minimum: 180 Sekunden)

    Kartenterminal Proxy konfigurieren

    Kartenterminal-Proxys
    Im Bereich Kartenterminal-Proxys fügt man einen Proxy für ein Kartenterminal wie folgt hinzu:
    Beschriftung Wert Beschreibung Kartenterminal-Proxy hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy Dialog Kartenterminal-Proxy hinzufügen
    Kartenterminal IP: 192.168.175.71/--- IP-Adresse des Kartenterminals im internen Netz
    Kartenterminal Port: 4742 Port des Kartenterminals, über den die Kommunikation erfolgt
    Eingehender & ausgehender Port: 60000 Port an dem die UTM die Datenpakete empfängt
    Konfiguration mit der Schaltfläche Speichern und Schließen
    • Wenn eine Verbindung zum Kartenterminal hergestellt werden konnte, wird der Name angezeigt
    • Falls die Fehlermeldung Fehler: failed to restart ctproxy erscheint, bedeutet dies, dass der Proxy den Konnektor nicht erreichen kann
    • Es lassen sich mehrere Kartenterminals hinzufügen, diese können auch in verschiedenen lokalen Netzen liegen notempty
      Neu ab v14.0.9
      notempty
      Neu ab v14.1.0 (Beta)
    		 TI-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/TI_Proxy_v14.1.0&oldid=98064