Wechseln zu:Navigation, Suche
Wiki

UTM/APP/TI Proxy: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/APP/TI_Proxy|pre=14.1.0}}
{{Set_lang}}
{{Set_lang}}


{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/APP/TI Proxy.lang}}
 
{{var | display
| TI-Proxy Konfiguration
|  }}
 
{{var | head
| Konfiguration des Proxys für eine Gateway Anbindung an die Telematikinfrastruktur
|  }}
 
{{var | Einleitung
| Einleitung
|  }}
{{var | Netzwerkaufbau--Bild
| UTM v14.0.0 TI Proxy Netzwerkaufbau.png
| UTM v14.0.0 TI Proxy Netzwerkaufbau-en.png }}
{{var | Netzwerkaufbau--cap
| Netzwerkaufbau des TI-Proxys
|  }}
{{var | Einleitung--desc
| Mithilfe des TI-Proxys kann eine sichere Kommunikation zwischen Kartenterminals und  TI-Konnektoren der Telematikinfrastruktur ermöglicht werden. Der Proxy leitet den Datenverkehr des Terminals über einen WireGuard-Tunnel an ein Cloud-Gateway weiter, das den Zugang zur Telematikinfrastruktur verwaltet.
|  }}
 
{{var | TI-Proxy Assistent
| TI-Proxy Assistent
| TI Proxy Wizard }}
 
{{var | Schritt
| Schritt
|  }}
{{var | Schritt1--cap
| Konfiguration importieren
|  }}
{{var | Assistent Schritt 1--Bild
| UTM v14.0.4 TI-Proxy Assistent Schritt 1.png
| UTM v14.0.4 TI-Proxy Assistent Schritt 1-en.png }}
{{var | TI-Proxy
| TI-Proxy
| TI Proxy }}
{{var | Dateien
| Dateien
|  }}
{{var | Assistent-Dateien--val
| {{Button|Durchsuchen...}} Keine Dateien ausgewählt.
|  }}
{{var | Assistent-Dateien--desc
| Falls vorhanden können hier Konfigurationsdateien hochgeladen werden
|  }}
{{var | WireGuard Konfiguration
| WireGuard Konfiguration
|  }}
{{var | Assistent-WireGuard Konfiguration--desc
| Einfügen/Hochladen der Konfigurationsinformationen für WireGuard aus der Konfig-Datei
|  }}
{{var | TI-Proxy Konfiguration
| TI-Proxy Konfiguration
|  }}
{{var | Assistent-TI-Proxy Konfiguration--desc
| Einfügen/Hochladen der Konfigurationsinformationen für den TI-Proxy aus der Konfig-Datei
|  }}
 
 
{{var | Schritt2--cap
| Schnittstelle
|  }}
{{var | Assistent Schritt 2--Bild
| UTM v14.0.4 TI-Proxy Assistent Schritt 2.png
| UTM v14.0.4 TI-Proxy Assistent Schritt 2-en.png }}
{{var | Schnittstelle
| Schnittstelle
|  }}
{{var | AssistentS2-Schnittstelle--desc
| Verwendete WireGuard Schnittstelle
|  }}
{{var | Name
| Name
|  }}
{{var | AssistentS2-Name--desc
| Name der WireGuard Verbindung
|  }}
{{var | IPv4 Adresse
| IPv4 Adresse
|  }}
{{var | AssistentS2-IPv4 Adresse--desc
| IPv4 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
|  }}
{{var | IPv6 Adresse
| IPv6 Adresse
|  }}
{{var | AssistentS2-IPv6 Adresse--desc
| IPv6 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
|  }}
{{var | Listening Port
| Listening Port
|  }}
{{var | AssistentS2-Listening Port--desc
| Port der WireGuard Verbindung
|  }}
{{var | Privater Schlüssel
| Privater Schlüssel
|  }}
{{var | Automatisch generieren
| Automatisch generieren
|  }}
{{var | Schlüsselwert direkt eingeben
| Schlüsselwert direkt eingeben
|  }}
{{var | Aus Schlüsseln wählen
| Aus Schlüsseln wählen
|  }}
{{var | AssistentS2-Privater Schlüssel--desc
| Privater Schlüssel der WireGuard Verbindung
|  }}
{{var | Servernetzwerke global freigeben
| Servernetzwerke global freigeben
|  }}
{{var | AssistentS2-Servernetzwerke global freigeben--desc
| Netzwerke, die für durch die WireGuard Verbindung freigegeben werden sollen. Wird hier nicht benötigt.
|  }}
 
{{var | Assistent Schritt 3--Bild
| UTM v14.0.4 TI-Proxy Assistent Schritt 3.png
| UTM v14.0.4 TI-Proxy Assistent Schritt 3-en.png }}
{{var | Schritt3--cap
| Peer
|  }}
{{var | Peer-Typ
| Peer-Typ
|  }}
{{var | AD-Benutzer
| AD-Benutzer
|  }}
{{var | Lokaler Benutzer
| Lokaler Benutzer
|  }}
{{var | AssistentS3-Peer-Typ--desc
|
|  }}
{{var | AssistentS3-Name--desc
| Name des Peers
|  }}
{{var | Peernetzwerke freigeben
| Peernetzwerke freigeben
|  }}
{{var | AssistentS3-Peernetzwerke freigeben--desc
| Netzwerke des Peers, die freigegeben werden sollen
|  }}
{{var | Endpunkt
| Endpunkt
|  }}
{{var | AssistentS3-Endpunkt--desc
| Öffentliche IP-Adresse, unter welcher der WG-Tunnel für den Konnektor entgegen genommen wird
|  }}
{{var | Endpunkt Port
| Endpunkt Port
|  }}
{{var | AssistentS3-Endpunkt Port--desc
| Der dazugehörige Port
|  }}
{{var | Öffentlicher Schlüssel
| Öffentlicher Schlüssel
|  }}
{{var | Aus privatem Schlüsselwert berechnen
| Aus privatem Schlüsselwert berechnen
|  }}
{{var | AssistentS3-Öffentlicher Schlüssel--desc
| Öffentlicher Schlüssel des Peers
|  }}
{{var | Pre-Shared Key
| Pre-Shared Key
|  }}
{{var | AssistentS3-Pre-Shared Key--desc
| Pre-Shared Key zur weiteren Absicherung der Verbindung
|  }}
{{var | Keepalive
| Keepalive
|  }}
{{var | Sekunden
| Sekunden
|  }}
{{var | AssistentS3-Keepalive--desc
| Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten.
|  }}
 
 
{{var | Assistent Schritt 4--Bild
| UTM v14.0.4 TI-Proxy Assistent Schritt 4.png
| UTM v14.0.4 TI-Proxy Assistent Schritt 4-en.png }}
{{var | Schritt4--cap
| TI-Proxy
|  }}
{{var | AssistentS4-Konnektor IP--desc
| {{f|AssistentS4-Konnektor IP--desc}}
|  }}
{{var | AssistentS4-Eingehende IP--desc
| IP-Adresse der WG-Schnittstelle
|  }}
{{var | AssistentS4-Ausgehende Default-IP--desc
| {{f|AssistentS4-Ausgehende Default-IP--desc}}
|  }}
 
{{var | Assistent Schritt 5--Bild
| UTM v14.0.4 TI-Proxy Assistent Schritt 5.png
| UTM v14.0.4 TI-Proxy Assistent Schritt 5-en.png }}
{{var | Schritt5--cap
| Erweiterte Einstellungen
|  }}
{{var | Routen zu den Netzwerken des Peers erstellen
| Routen zu den Netzwerken des Peers erstellen
|  }}
{{var | AssistentS5-Routen zu den Netzwerken des Peers erstellen--desc
| Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter ''Peernetzwerke freigeben'' eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde.
|  }}
{{var | Zonen erstellen
| Zonen erstellen
|  }}
{{var | AssistentS5-Zonen erstellen--desc
| Erzeugt neue Zonen für die WireGuard Schnittstelle
|  }}
{{var | Zonen
| Zonen
|  }}
{{var | AssistentS5-Zonen--desc
| Namen der neuen Zonen
|  }}
{{var | Netzwerkobjekte für den Peer erstellen
| Netzwerkobjekte für den Peer erstellen
|  }}
{{var | AssistentS5-Netzwerkobjekte für den Peer erstellen--desc
| Erzeugt Netzwerkobjekte für Gegenstelle
|  }}
{{var | Netzwerkobjekte für den Peer
| Netzwerkobjekte für den Peer
|  }}
{{var | AssistentS5-Netzwerkobjekte für den Peer--desc
| Netzwerkobjekte, die für die Gegenstelle erzeugt werden. Der automatische Vorschlag kann auch geändert werden.
|  }}
{{var | Netzwerkgruppe
| Netzwerkgruppe
|  }}
{{var | AssistentS5-Netzwerkgruppe--desc
| Name der Netzwerkgruppe der Verbindung wird angezeigt
|  }}
{{var | Regeln zwischen dem Peer und internal-networks erstellen
| Regeln zwischen dem Peer und internal-networks erstellen
|  }}
{{var | AssistentS5-Regeln zwischen dem Peer und internal-networks erstellen--desc
| Erzeugt autogenerierte Regeln, die die Inbetriebnahme erleichtern
|  }}
{{var | Regelgruppe
| Regelgruppe
|  }}
{{var | AssistentS5-Regelgruppe--desc
| Name der Regelgruppe wird angezeigt
|  }}
 
 
{{var | Allgemein
| Allgemein
|  }}
{{var | Allgemeine Konfiguration
| Allgemeine Konfiguration
|  }}
{{var | Allgemeine Konfiguration--Bild
| UTM v14.0.0 TI Proxy Allgemein.png
| UTM v14.0.0 TI Proxy Allgemein-en.png }}
{{var | Allgemeine Konfiguration--cap
| Allgemeine Konfiguration des TI-Proxys
|  }}
{{var | Anwendungen
| Anwendungen
|  }}
{{var | Konnektor IP
| Konnektor IP
|  }}
{{var | Konnektor IP--desc
| IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht {{info|In der Regel eine private IP-Adresse aus einem VPN}}
|  }}
{{var | Eingehende IP
| Eingehende IP
|  }}
{{var | Eingehende IP--desc
| IP-Adresse der Schnittstelle der UTM, die die Verbindung zum Konnektor herstellt
|  }}
{{var | Ausgehende IP
| Ausgehende IP
|  }}
{{var | Ausgehende IP--desc
| IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
|  }}
{{var | Ausgehende Default-IP
| Ausgehende Default-IP
|  }}
{{var | Kartenterminal-Proxys
| Kartenterminal-Proxys
|  }}
{{var | Kartenterminal Proxy konfigurieren
| Kartenterminal Proxy konfigurieren
|  }}
{{var | Kartenterminal Proxy konfigurieren--desc
| Im Bereich {{Kasten|Kartenterminal-Proxys|grau}} fügt man einen Proxy für ein Kartenterminal wie folgt hinzu:
|  }}
{{var | Proxy hinzufügen--Bild
| UTM v14.0.0 TI Proxy hinzufügen.png
| UTM v14.0.0 TI Proxy hinzufügen-en.png }}
{{var | Proxy hinzufügen--cap
| Dialog Kartenterminal-Proxy hinzufügen
|  }}
{{var | Kartenterminal-Proxy hinzufügen
| Kartenterminal-Proxy hinzufügen
|  }}
{{var | Eingehender & ausgehender Port
| Eingehender & ausgehender Port
|  }}
{{var | Eingehender & ausgehender Port--desc
| Port an dem die UTM die Datenpakete empfängt
|  }}
{{var | Kartenterminal IP
| Kartenterminal IP
|  }}
{{var | Kartenterminal IP--desc
| IP-Adresse des Kartenterminals im internen Netz
|  }}
{{var | Kartenterminal Port
| Kartenterminal Port
|  }}
{{var | Kartenterminal Port--desc
| Port des Kartenterminals, über den die Kommunikation erfolgt
|  }}
{{var | Kartenterminal speichern
| Konfiguration mit der Schaltfläche {{Button-dialog||fa-floppy-disk-circle-xmark|hover=Speichern und Schließen}}
|  }}
 
{{var | Fertig--desc
|
* Wenn eine Verbindung zum Kartenterminal hergestellt werden konnte, wird der Name angezeigt
* Falls die Fehlermeldung {{code|Fehler: failed to restart ctproxy}} erscheint, bedeutet dies, dass der Proxy den Konnektor nicht erreichen kann
* Es lassen sich mehrere Kartenterminals hinzufügen
|  }}
{{var | Proxy fertig--Bild
| UTM v14.0.1 Anwendungen TI-Proxy fertig.png
| UTM v14.0.1 Anwendungen TI-Proxy fertig-en.png }}
 
<!--{{var | Paketfilterregeln--desc
| Damit der Proxy auch problemlos funktioniert, müssen noch die folgenden zwei Paketfilterregeln eingerichtet werden:
|  }}-->
{{var | Quelle
| Quelle
|  }}
{{var | Ziel
| Ziel
|  }}
{{var | Dienst
| Dienst
|  }}
{{var | Aktion
| Aktion
|  }}
{{var | Aktiv
| Aktiv
|  }}
{{var | dmz-Kartenterminal
| dmz-Kartenterminal
| dmz-CardTerminal}}
{{var | mit wg0-interface
| <small>mit wg0-interface</small>
|  }}
{{var | TI-Proxy-1--info
| Protokoll: tcp<br>Zielport: 60000<br>Quellport: 4742
|  }}
{{var | TI-Proxy-2--info
| Protokoll: tcp<br>Zielport: 60000<br>Quellport: 60000
|  }}
{{var | Allgemein mit WG
| Anbindung an einen Konnektor über WireGuard (Eingehende IP)
|  }}
{{var | Allgemein mit WG--desc
| {{Hinweis-box|Diese Variante ist in der Praxis die Standard-Konfiguration.|gelb}}
|  }}
{{var | Allgemein mit WG--Bild
| UTM v14.0.1 Anwendungen TI-Proxy mit WG.png
|  }}
{{var | Allgemein mit WG--cap
| WireGuard-Tunnel als ''Eingehende IP''
|  }}
{{var | Eingehende IP WG--desc
| Tunnel IP-Adresse der WG-Schnittstelle, die die Verbindung zum Konnektor herstellt
|  }}
{{var | Rekey After Time
| Rekey After Time
|  }}
{{var | Sekunden
| Sekunden
|  }}
{{var | Rekey After Time--desc
| Legt fest, nach welcher Zeitspanne eine neue Schlüsselvereinbarung (Rekeying) durchgeführt werden soll. <small>(Minimum: 120 Sekunden)</small>
|  }}
{{var | Reject After Time--desc
| Legt fest, nach welcher Zeitspanne ein Peer nach dem letzten empfangenen Paket als inaktiv betrachtet wird und Pakete verworfen werden. <small>(Minimum: 180 Sekunden)</small>
|  }}
{{var | Reject After Time
| Reject After Time
|  }}
{{var | Rekey-Reject After Time--Hinweis
| Die folgenden Werte sollten in der Regel '''nicht verändert''' werden.
|  }}
----
{{var |
|
}}


{{var | neu--Artikel | Neue Funktion | New function }}
{{var | neu--Artikel | Neue Funktion | New function }}
Zeile 13: Zeile 422:
|  }}
|  }}


</div><div class="new_design"></div><noinclude><!--{{Select_lang}}-->{{TOC2}}
</div><div class="new_design"></div><noinclude><!--{{Select_lang}}-->{{TOC2|limit=1}}
{{Header|14.0.4|
{{Header|14.0.4|
* {{#var:neu--Wizard}}
* {{#var:neu--Wizard}}
Zeile 20: Zeile 429:
}}
}}
----
----
 
<br clear=all>
=== {{#var:Einleitung}} ===
=== {{#var:Einleitung}} ===
{{Bild|{{#var:Netzwerkaufbau--Bild}}|{{#var:Netzwerkaufbau--cap}}|class=Bild-t}}
{{Bild|{{#var:Netzwerkaufbau--Bild}}|{{#var:Netzwerkaufbau--cap}}|class=Bild-t}}
Zeile 29: Zeile 438:


{{h3|{{#var:TI-Proxy Assistent}}|{{Button-dialog|{{#var:TI-Proxy Assistent}}|fa-wand-magic-sparkles}} }}
{{h3|{{#var:TI-Proxy Assistent}}|{{Button-dialog|{{#var:TI-Proxy Assistent}}|fa-wand-magic-sparkles}} }}
<div class="einrücken">
{{h4|{{#var:Schritt}} 1 - {{#var:Schritt1--cap}}|{{Reiter|{{#var:Schritt}} 1 <small>{{#var:Schritt1--cap}}</small>}} }}
{{Gallery3
{| class="sptable2 pd5 zh1 Einrücken"
|{{#var:Assistent Schritt 1--Bild}}|{{#var:Assistent Schritt 1--desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|{{#var:Assistent Schritt 2--Bild}}|{{#var:Assistent Schritt 2--desc}}
| class=Bild rowspan=5 | {{Bild|{{#var:Assistent Schritt 1--Bild}}|{{#var:Schritt}} 1 - {{#var:Schritt1--cap}}||{{#var:TI-Proxy Assistent}}|{{#var:Anwendungen}}|{{#var:TI-Proxy}} }}
|{{#var:Assistent Schritt 3--Bild}}|{{#var:Assistent Schritt 3--desc}}
|-
|{{#var:Assistent Schritt 4--Bild}}|{{#var:Assistent Schritt 4--desc}}
| {{b|{{#var:Dateien}}:}} || {{#var:Assistent-Dateien--val}} || {{#var:Assistent-Dateien--desc}}
|{{#var:Assistent Schritt 5--Bild}}|{{#var:Assistent Schritt 5--desc}}
|-
|i=3|Abb=true}}
| {{b|{{#var:WireGuard Konfiguration}}:}} || {{ic|<nowiki>[Interface]</nowiki><br>Address <nowiki>=</nowiki> 203.113.0.113/32<br>ListenPort <nowiki>=</nowiki> 51820<br>...|cb|class=available}} || {{#var:Assistent-WireGuard Konfiguration--desc}}
</div>
|-
| {{b|{{#var:TI-Proxy Konfiguration}}:}} || {{ic|tiaas:<br>&emsp;wireguard:<br>&emsp;&emsp;ip: 203.113.0.113<br>...|cb|class=available}} || {{#var:Assistent-TI-Proxy Konfiguration--desc}}
|- class="Leerzeile"
|
|- class=noborder
| colspan=3 | {{h4|{{#var:Schritt}} 2 - {{#var:Schritt2--cap}}|{{Reiter|{{#var:Schritt}} 2 <small>{{#var:Schritt2--cap}}</small>}} }}
|-
| {{b|{{#var:Schnittstelle}}:}} || {{ic|wg0|tr-odd|class=available}} || {{#var:AssistentS2-Schnittstelle--desc}}
| class=Bild rowspan=8 | {{Bild|{{#var:Assistent Schritt 2--Bild}}|{{#var:Schritt}} 2 - {{#var:Schritt2--cap}} }}
|-
| {{b|{{#var:Name}}:}} || {{ic|wireguard-interface-wg0-ti-proxy|class=available}} || {{#var:AssistentS2-Name--desc}}
|-
| {{b|{{#var:IPv4 Adresse}}:}} || {{ic|203.113.0.113|rechts|icon=/32 |iconw=x|class=available}} || {{#var:AssistentS2-IPv4 Adresse--desc}}
|-
| {{b|{{#var:IPv6 Adresse}}:}} || {{ic||rechts|icon=/64 |iconw=x|class=available}} || {{#var:AssistentS2-IPv6 Adresse--desc}}
|-
| {{b|{{#var:Listening Port}}:}} || {{ic|51820|c|class=mw12}} || {{#var:AssistentS2-Listening Port--desc}}
|-
| {{b|{{#var:Privater Schlüssel}}:}} || {{Button|{{#var:Automatisch generieren}} }} {{Button|{{#var:Schlüsselwert direkt eingeben}}|class=aktiv}} {{Button|{{#var:Aus Schlüsseln wählen}} }} ||  {{#var:AssistentS2-Privater Schlüssel--desc}}
|-
| {{b|{{#var:Servernetzwerke global freigeben}}:}} || {{ic||cb|class=available}} || {{#var:AssistentS2-Servernetzwerke global freigeben--desc}}
|- class="Leerzeile"
|
|- class=noborder
| colspan=3 | {{h4|{{#var:Schritt}} 3 - {{#var:Schritt3--cap}}|{{Reiter|{{#var:Schritt}} 3 <small>{{#var:Schritt3--cap}}</small>}} }}
|-
| {{b|{{#var:Peer-Typ}}:}} || {{Button|Peer|class=aktiv}}{{Button|{{#var:AD-Benutzer}}|class=inaktiv}}{{Button|{{#var:Lokaler Benutzer}}|class=inaktiv}} || {{#var:AssistentS3-Peer-Typ--desc}}
| class=noborder rowspan=9 | {{Bild|{{#var:Assistent Schritt 3--Bild}}|{{#var:Schritt}} 3 - {{#var:Schritt3--cap}} }}
|-
| {{b|{{#var:Name}}:}} || {{ic|wg0-peer-1|class=available}} || {{#var:AssistentS3-Name--desc}}
|-
| {{b|{{#var:Peernetzwerke freigeben}}:}} || {{ic|{{cb|192.168.12.0/24}}{{cb|192.168.13.12/30}}{{cb|192.168.13.16/30}}{{cb|192.168.13.24/30}} ...|cb|class=available}} || {{#var:AssistentS3-Peernetzwerke freigeben--desc}}
|-
| {{b|{{#var:Endpunkt}}:}} || {{ic|203.113.0.113|class=available}} || {{#var:AssistentS3-Endpunkt--desc}}
|-
| {{b|{{#var:Endpunkt Port}}:}} || {{ic|60010|c|class=mw12}} || {{#var:AssistentS3-Endpunkt Port--desc}}
|-
| {{b|{{#var:Öffentlicher Schlüssel}}:}} || {{Button|{{#var:Schlüsselwert direkt eingeben}}|class=aktiv}} {{Button|{{#var:Aus privatem Schlüsselwert berechnen}} }} {{Button|{{#var:Aus Schlüsseln wählen}} }} || {{#var:AssistentS3-Öffentlicher Schlüssel--desc}}
|-
| {{b|{{#var:Pre-Shared Key}}:}} || {{ic||class=available}} || {{#var:AssistentS3-Pre-Shared Key--desc}}
|-
| {{b|{{#var:Keepalive}}:}} || {{ButtonAn|{{#var:ein}} }} {{ic|25|c|class=mw8}} {{#var:Sekunden}} || {{#var:AssistentS3-Keepalive--desc}}
|- class="Leerzeile"
|
|- class=noborder
| colspan=3 | {{h4|{{#var:Schritt}} 4 - {{#var:Schritt4--cap}}|{{Reiter|{{#var:Schritt}} 4 <small>{{#var:Schritt4--cap}}</small>}} }}
|-
| {{b|{{#var:Konnektor IP}}:}} || {{ic|10.180.96.90|rechts|icon=/--- |iconw=x|class=available}} || {{#var:Konnektor IP--desc}}
| class=noborder rowspan=4 | {{Bild|{{#var:Assistent Schritt 4--Bild}}|{{#var:Schritt}} 4 - {{#var:Schritt4--cap}} }}
|-
| {{b|{{#var:Eingehende IP}}:}} || {{ic|10.0.2.1|rechts|icon=/--- |iconw=x|class=available}} || {{#var:AssistentS4-Eingehende IP--desc}}
|-
| class=mw11 | {{b|{{#var:Ausgehende Default-IP}}:}} || {{ic|192.168.175.1 (LAN2)|dr|class=available}} || {{#var:Ausgehende IP--desc}}
|- class="Leerzeile"
|
|- class=noborder
| colspan=3 | {{h4|{{#var:Schritt}} 5 - {{#var:Schritt5--cap}}|{{Reiter|{{#var:Schritt}} 5 <small>{{#var:Schritt5--cap}}</small>}} }}
|-
| {{b|{{#var:Routen zu den Netzwerken des Peers erstellen}}:}} || {{ButtonAn|{{#var:ja}} }} || {{#var:AssistentS5-Routen zu den Netzwerken des Peers erstellen--desc}}
| class=noborder rowspan=9 | {{Bild|{{#var:Assistent Schritt 5--Bild}}|{{#var:Schritt}} 5 - {{#var:Schritt5--cap}} }}
|-
| {{b|{{#var:Zonen erstellen}}:}} || {{ButtonAn|{{#var:ja}} }} || {{#var:AssistentS5-Zonen erstellen--desc}}
|-
| {{b|{{#var:Zonen}}:}} || {{ic|wireguard-wg0|class=available}} <br> {{ic|firewall-wireguard-wg0|tr-odd|class=available}} || {{#var:AssistentS5-Zonen--desc}}
|-
| {{b|{{#var:Netzwerkobjekte für den Peer erstellen}}:}} || {{ButtonAn|{{#var:ja}} }} || {{#var:AssistentS5-Netzwerkobjekte für den Peer erstellen--desc}}
|-
| {{b|{{#var:Netzwerkobjekte für den Peer}}:}} || {{ic|{{cb|wg-net-wg0-peer-1-1}}{{cb|wg-net-wg0-peer-1-2}}{{cb|wg-net-wg0-peer-1-3}}<br>... |cb|class=available}} || {{#var:AssistentS5-Netzwerkobjekte für den Peer--desc}}
|-
| {{b|{{#var:Netzwerkgruppe}}:}} || {{ic|wg0-networks|tr-odd|class=available}} || {{#var:AssistentS5-Netzwerkgruppe--desc}}
|-
| {{b|{{#var:Regeln zwischen dem Peer und internal-networks erstellen}}:}} || {{ButtonAn|{{#var:ja}} }} || {{#var:AssistentS5-Regeln zwischen dem Peer und internal-networks erstellen--desc}}
|-
| {{b|{{#var:Regelgruppe}}:}} || {{ic|wg0-network|tr-odd|class=available}} || {{#var:AssistentS5-Regelgruppe--desc}}
|- class="Leerzeile"
|
|}
----
----


Zeile 49: Zeile 534:
| {{b|{{#var:Eingehende IP}}:}} || {{ic|203.113.0.113 (A0)|dr |iconw=x|class=available}} || {{#var:Eingehende IP--desc}}
| {{b|{{#var:Eingehende IP}}:}} || {{ic|203.113.0.113 (A0)|dr |iconw=x|class=available}} || {{#var:Eingehende IP--desc}}
|-
|-
| {{b|{{#var:Ausgehende Default-IP}}:}} || {{ic|192.168.176.1 (A1)|dr |iconw=x|class=available}} || {{#var:Ausgehende IP--desc}}
| {{b|{{#var:Ausgehende Default-IP}}:}} || {{ic|192.168.175.1 (A1)|dr |iconw=x|class=available}} || {{#var:Ausgehende IP--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
Zeile 63: Zeile 548:
| {{b|{{#var:Eingehende IP}}:}} || {{ic|10.0.2.1 (wg''x'')|dr|iconw=x|class=available}} || {{#var:Eingehende IP WG--desc}}  
| {{b|{{#var:Eingehende IP}}:}} || {{ic|10.0.2.1 (wg''x'')|dr|iconw=x|class=available}} || {{#var:Eingehende IP WG--desc}}  
|-
|-
| {{b|{{#var:Ausgehende Default-IP}}:}} || {{ic|192.168.176.1 (A2)|dr |iconw=x|class=available}} || {{#var:Ausgehende IP--desc}}
| {{b|{{#var:Ausgehende Default-IP}}:}} || {{ic|192.168.175.1 (A2)|dr |iconw=x|class=available}} || {{#var:Ausgehende IP--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | <li class="list--element__alert list--element__warning">{{#var:Rekey-Reject After Time--Hinweis}} {{Alert}}</li>
| colspan="3" | <li class="list--element__alert list--element__warning">{{#var:Rekey-Reject After Time--Hinweis}} {{Alert}}</li>
Zeile 82: Zeile 567:
| class=Bild rowspan=7 | {{Bild|{{#var:Proxy hinzufügen--Bild}}|{{#var:Proxy hinzufügen--cap}}||{{#var:Kartenterminal-Proxy hinzufügen}}|{{#var:Anwendungen}}|TI-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| class=Bild rowspan=7 | {{Bild|{{#var:Proxy hinzufügen--Bild}}|{{#var:Proxy hinzufügen--cap}}||{{#var:Kartenterminal-Proxy hinzufügen}}|{{#var:Anwendungen}}|TI-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|{{#var:Kartenterminal IP}}:}} || {{ic|192.168.176.71|rechts|icon=/--- |iconw=x|class=available}} || {{#var:Kartenterminal IP--desc}}
| {{b|{{#var:Kartenterminal IP}}:}} || {{ic|192.168.175.71 (A1)|rechts|icon=/--- |iconw=x|class=available}} || {{#var:Kartenterminal IP--desc}}
|-
|-
| {{b|{{#var:Kartenterminal Port}}:}} || {{ic|4742|c|class=mw8}} || {{#var:Kartenterminal Port--desc}}
| {{b|{{#var:Kartenterminal Port}}:}} || {{ic|4742|c|class=mw8}} || {{#var:Kartenterminal Port--desc}}
|-
|-
| {{b|{{#var:Ausgehende IP}}:}} || {{ic|192.168.176.1 (A2)|dr |iconw=x|class=available}} || {{#var:Ausgehende IP--desc}}
| {{b|{{#var:Ausgehende IP}}:}} || {{ic|192.168.175.1 (A2)|dr |iconw=x|class=available}} || {{#var:Ausgehende IP--desc}}
|-
|-
| {{b|{{#var:Eingehender & ausgehender Port}}:}} || {{ic|60000|c|class=mw8}} || {{#var:Eingehender & ausgehender Port--desc}}
| {{b|{{#var:Eingehender & ausgehender Port}}:}} || {{ic|60000|c|class=mw8}} || {{#var:Eingehender & ausgehender Port--desc}}

Version vom 12. Juni 2025, 09:26 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht














































































































Konfiguration des Proxys für eine Gateway Anbindung an die Telematikinfrastruktur

Letzte Anpassung zur Version: 14.0.4(04.2025)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
-
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen TI-Proxy


Einleitung

Netzwerkaufbau des TI-Proxys

Mithilfe des TI-Proxys kann eine sichere Kommunikation zwischen Kartenterminals und TI-Konnektoren der Telematikinfrastruktur ermöglicht werden. Der Proxy leitet den Datenverkehr des Terminals über einen WireGuard-Tunnel an ein Cloud-Gateway weiter, das den Zugang zur Telematikinfrastruktur verwaltet.


TI-Proxy Assistent

TI-Proxy Assistent

Schritt 1 - Konfiguration importieren

Schritt 1 Konfiguration importieren
Beschriftung Wert Beschreibung TI-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy Schritt 1 - Konfiguration importieren
Dateien: Durchsuchen... Keine Dateien ausgewählt. Falls vorhanden können hier Konfigurationsdateien hochgeladen werden
WireGuard Konfiguration: [Interface]
Address = 203.113.0.113/32
ListenPort = 51820
...		 Einfügen/Hochladen der Konfigurationsinformationen für WireGuard aus der Konfig-Datei
TI-Proxy Konfiguration: tiaas:
 wireguard:
  ip: 203.113.0.113
...		 Einfügen/Hochladen der Konfigurationsinformationen für den TI-Proxy aus der Konfig-Datei

Schritt 2 - Schnittstelle

Schritt 2 Schnittstelle
Schnittstelle: wg0 Verwendete WireGuard Schnittstelle
Schritt 2 - Schnittstelle
Name: wireguard-interface-wg0-ti-proxy Name der WireGuard Verbindung
IPv4 Adresse: 203.113.0.113/32 IPv4 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
IPv6 Adresse:    /64 IPv6 Adresse im Transfernetz für die lokale Netzwerkschnittstelle
Listening Port: 51820 Port der WireGuard Verbindung
Privater Schlüssel: Automatisch generieren Schlüsselwert direkt eingeben Aus Schlüsseln wählen Privater Schlüssel der WireGuard Verbindung
Servernetzwerke global freigeben:     Netzwerke, die für durch die WireGuard Verbindung freigegeben werden sollen. Wird hier nicht benötigt.

Schritt 3 - Peer

Schritt 3 Peer
Peer-Typ: PeerAD-BenutzerLokaler Benutzer
Schritt 3 - Peer
Name: wg0-peer-1 Name des Peers
Peernetzwerke freigeben: »192.168.12.0/24»192.168.13.12/30»192.168.13.16/30»192.168.13.24/30 ... Netzwerke des Peers, die freigegeben werden sollen
Endpunkt: 203.113.0.113 Öffentliche IP-Adresse, unter welcher der WG-Tunnel für den Konnektor entgegen genommen wird
Endpunkt Port: 60010 Der dazugehörige Port
Öffentlicher Schlüssel: Schlüsselwert direkt eingeben Aus privatem Schlüsselwert berechnen Aus Schlüsseln wählen Öffentlicher Schlüssel des Peers
Pre-Shared Key:     Pre-Shared Key zur weiteren Absicherung der Verbindung
Keepalive: Ein 25 Sekunden Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Schritt 4 - TI-Proxy

Schritt 4 TI-Proxy
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
Schritt 4 - TI-Proxy
Eingehende IP: 10.0.2.1/--- IP-Adresse der WG-Schnittstelle
Ausgehende Default-IP: 192.168.175.1 (LAN2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet

Schritt 5 - Erweiterte Einstellungen

Schritt 5 Erweiterte Einstellungen
Routen zu den Netzwerken des Peers erstellen: Ja Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde.
Schritt 5 - Erweiterte Einstellungen
Zonen erstellen: Ja Erzeugt neue Zonen für die WireGuard Schnittstelle
Zonen: wireguard-wg0
firewall-wireguard-wg0		 Namen der neuen Zonen
Netzwerkobjekte für den Peer erstellen: Ja Erzeugt Netzwerkobjekte für Gegenstelle
Netzwerkobjekte für den Peer: »wg-net-wg0-peer-1-1»wg-net-wg0-peer-1-2»wg-net-wg0-peer-1-3
...		 Netzwerkobjekte, die für die Gegenstelle erzeugt werden. Der automatische Vorschlag kann auch geändert werden.
Netzwerkgruppe: wg0-networks Name der Netzwerkgruppe der Verbindung wird angezeigt
Regeln zwischen dem Peer und internal-networks erstellen: Ja Erzeugt autogenerierte Regeln, die die Inbetriebnahme erleichtern
Regelgruppe: wg0-network Name der Regelgruppe wird angezeigt

Allgemeine Konfiguration

Allgemein
Beschriftung Wert Beschreibung Anwendungen UTMbenutzer@firewall.name.fqdnTI-Proxy Allgemeine Konfiguration des TI-Proxys
Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
Eingehende IP: 203.113.0.113 (A0) IP-Adresse der Schnittstelle der UTM, die die Verbindung zum Konnektor herstellt
Ausgehende Default-IP: 192.168.175.1 (A1) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
Anbindung an einen Konnektor über WireGuard (Eingehende IP)
notempty
Diese Variante ist in der Praxis die Standard-Konfiguration.


Konnektor IP: 10.180.96.90/--- IP-Adresse des Konnektors, der die Verbindung an die Telematikinfrastruktur ermöglicht
In der Regel eine private IP-Adresse aus einem VPN
WireGuard-Tunnel als Eingehende IP
Eingehende IP: 10.0.2.1 (wgx) Tunnel IP-Adresse der WG-Schnittstelle, die die Verbindung zum Konnektor herstellt
Ausgehende Default-IP: 192.168.175.1 (A2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
  • Die folgenden Werte sollten in der Regel nicht verändert werden.
    • Rekey After Time 120 Sekunden Legt fest, nach welcher Zeitspanne eine neue Schlüsselvereinbarung (Rekeying) durchgeführt werden soll. (Minimum: 120 Sekunden)
    Reject After Time 180 Sekunden Legt fest, nach welcher Zeitspanne ein Peer nach dem letzten empfangenen Paket als inaktiv betrachtet wird und Pakete verworfen werden. (Minimum: 180 Sekunden)

    Kartenterminal Proxy konfigurieren

    Kartenterminal-Proxys
    Im Bereich Kartenterminal-Proxys fügt man einen Proxy für ein Kartenterminal wie folgt hinzu:
    Beschriftung Wert Beschreibung Kartenterminal-Proxy hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenTI-Proxy Dialog Kartenterminal-Proxy hinzufügen
    Kartenterminal IP: 192.168.175.71 (A1)/--- IP-Adresse des Kartenterminals im internen Netz
    Kartenterminal Port: 4742 Port des Kartenterminals, über den die Kommunikation erfolgt
    Ausgehende IP: 192.168.175.1 (A2) IP-Adresse der internen Schnittstelle der UTM, die sich im Netz des Kartenterminals befindet
    Eingehender & ausgehender Port: 60000 Port an dem die UTM die Datenpakete empfängt
    Konfiguration mit der Schaltfläche Speichern und Schließen
    • Wenn eine Verbindung zum Kartenterminal hergestellt werden konnte, wird der Name angezeigt
    • Falls die Fehlermeldung Fehler: failed to restart ctproxy erscheint, bedeutet dies, dass der Proxy den Konnektor nicht erreichen kann
    • Es lassen sich mehrere Kartenterminals hinzufügen
    		 TI-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/TI_Proxy&oldid=96321