Firewall-Einstellungen KIM & Co

[Chefschwabe]

Liebe Mitstreiter,

ich kämpfe noch immer mit KIM, ePA & CGM-Connect.
Mit den hier geposteten Anleitungen habe ich leider noch keinen Erfolg gehabt.
Nach diversen Versuchen meldet der eCockpit-Verbindungstest nun folgendes:

Für CGM Connect sei Port 443 nicht erreichbar, allerdings nur für connect-integration.cgm.com
Für den Server connect.cgm.com sei die Verbindung frei.
Das ändert sich auch nicht, wenn ich Port 443 eingehend und ausgehend sowohl als TCP, als auch als UDP freigebe.

Bei KIM sei eine Verbindung via POP3 und SMTP nicht möglich.

Hatten Sie diese Meldungen auch? Wie kann man das freischalten?

Bin dankbar für jeden Hinweis.

VG Chefschwabe

[gomez]

Bei mir klappt es auch nicht.

Ich denke es könnte am entsprechenden Router liegen, mein Internetzugang läuft nicht über CGM, sondern über Fritzbox/DGN Box.

Hat hier evtl. jemand die gleiche Konfiguration und funktioniert KIM einwandfrei

[rfbdoc]

Ich arbeite mit FritzBox und CGM KocoBox
Auch da erhalte ich tageweise wechselnd mal ein rotes Kreuz und mal einen grünen Haken bei CGM KIM im CGM eCockpit.
Probeweise habe ich schon mal eine eNachricht versendet und eine Antwort erhalten obwohl im Verbindungtest die entsprechenden Ports nicht erreichbar waren.
Daran hat nach erstem Test auch das Update auf TM 21.4.1 und das KocoBox Firmware Update Version 4.2.12 vom Wochende nichts
geändert.
Mein Vertriebspartner hatte zuvor kostenpflichtig KIM registriert und alsdann auf TM verwiesen, hilft also auch nicht weiter.

Verbindungstest, CGM eCockpit und CGM Nachrichtenverwaltungsscenter scheinen fehlerbehaftet. Abwarten und ggf. auf weitere Inputs hoffen ist derzeit meine Strategie.

[Chefschwabe]

Guten Abend,

vielen Dank für die Rückmeldungen.
Habe jetzt auch einfach mal eine "e-Nachricht" geschickt und sie kommt an und auch zurück.
Den eArztbrief bekomme ich zwar erstellt, aber nicht signiert und versendet. Dann kommt immer eine Fehlermeldung, "ein Tool habe nicht gestartet" werdenb können.

Scheint also tatsächlich eine Fehlfunktion des Tools zu sein.

Ich teste udn probier einfach weiter.

PS: Bei uns läuft die Koco-Box hinter einem Draytek-Router, bei TM 21.4.1


VG Chefschwabe

[peter]

Bei mir gleiches Problem mit KIM und Strategie wie bei rfbdoc.

[Nervenarzt]

Ich arbeite mit FritzBox und CGM KocoBox
Auch da erhalte ich tageweise wechselnd mal ein rotes Kreuz und mal einen grünen Haken bei CGM KIM im CGM eCockpit.
Probeweise habe ich schon mal eine eNachricht versendet und eine Antwort erhalten obwohl im Verbindungtest die entsprechenden Ports nicht erreichbar waren.
Daran hat nach erstem Test auch das Update auf TM 21.4.1 und das KocoBox Firmware Update Version 4.2.12 vom Wochende nichts
geändert.
Mein Vertriebspartner hatte zuvor kostenpflichtig KIM registriert und alsdann auf TM verwiesen, hilft also auch nicht weiter.

Verbindungstest, CGM eCockpit und CGM Nachrichtenverwaltungsscenter scheinen fehlerbehaftet. Abwarten und ggf. auf weitere Inputs hoffen ist derzeit meine Strategie.

Seit dem Update der KocoBox erhalte ich keinen grünen Haken bei KIM mehr.
Ich glaube, vorher war KIM bei mir eingerichtet, eine Test-KIM-EMail an mich (die ich leider inzwischen gelöscht habe) kam mit Prüfmeldung zurück.

Kennt sich jemand mit der Konfiguration des KIM-Client-Moduls aus (unter Turbomed\ExtProg\KIM\Client Module\config-cm-windows(xxbit).bat ??
Wenn ich bei TLS auf "none" stelle, dann erscheinen neue Reiter (SMTP, POP3, LDAP), und ich denke, da müsste etwas konfiguriert werden, denn im Connect-Verbindungstest wird bei KIM SMTP und POP3 als rot gekennzeichnet, hingegen LDAP als grün.

[drschlarmann]

Hi,


Habe KIM frisch installiert und erhalte die gleiche Fehlermeldung.
Ich benutze auch eine Frizbox.

Der Thread ist ja schon älter.
Hat jemand das Problem gelöst?

[rfbdoc]

Die Symbole können Sie ignorieren. Wenn Sie KIM installiert haben und einmal die Firewall Batches aus dem Ordner Netsetup\Firewall als Administrator ausgeführt habe sollte Kim auch laufen. Sie sollten sich selbst eine KIM Nachricht senden können.

[drschlarmann]

Die Symbole können Sie ignorieren. Wenn Sie KIM installiert haben und einmal die Firewall Batches aus dem Ordner Netsetup\Firewall als Administrator ausgeführt habe sollte Kim auch laufen. Sie sollten sich selbst eine KIM Nachricht senden können.

Ich arbeite direkt am Server und bekomme die Meldung "Fehlerhafte Netzwerkkonfiguration). Die Ports für SMTP und POP sind aber freigegeben.

[drschlarmann]

Die Symbole können Sie ignorieren. Wenn Sie KIM installiert haben und einmal die Firewall Batches aus dem Ordner Netsetup\Firewall als Administrator ausgeführt habe sollte Kim auch laufen. Sie sollten sich selbst eine KIM Nachricht senden können.

Ich arbeite direkt am Server und bekomme die Meldung "Fehlerhafte Netzwerkkonfiguration). Die Ports für SMTP und POP sind aber freigegeben.

... wenn ich versuche eine Nachricht über KIM zu verschicken

[Badenberg]

Hallo zusammen

ich habe selbiges Problem, dass ich keine KIM E-Mail mehr versenden kann seitdem ich KoCoBox und TM auf 21.4.1.5201 upgedatet habe.
Vorher habe ich mir KIM Emails senden können. Auch bekomme ich bei den Verbindungstests immer die 3 roten Kreuze beim KIM status.
Verwirren tut mich nur, dass überall immer gesagt wird, dass der CGM Connect Dienst nicht verfügbar ist. Ich hatte dieses niemals, weiß aber das dieser Dienst als Backfall zu KIM zumindest bis zur Version 21.4.1 benutzt wurde und ab dann laut Unterlagen deaktiviert wurde. (ggf habe ich bis zum jetzigen Zeitpunkt immer über CGM Connect kommuniziert ohne es zu wissen)
Was ich bis jetzt rausbekommen habe und was ggf einigen helfen könnte:

1) Da KIM über die Konnectorbox kommuniziert, müssen statische Routen eingetragen werden. Statt ins Internet zu routen, müssen die KIM Dienste über die Konnectorbox gehen...
Im Terminal: route print sollte folgendes liefern...

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
100.102.0.0 255.255.0.0 <KonnectorIP> <ServerIP>
100.102.0.0 255.255.128.0 <KonnectorIP> <ServerIP>
100.102.128.0 255.255.128.0 <KonnectorIP> <ServerIP>
100.103.0.0 255.255.0.0 <KonnectorIP> <ServerIP>
188.144.0.0 255.254.0.0 <KonnectorIP> <ServerIP>
(die 100.102.x.x Netze sind die Telematik Infrastruktur siehe auch KoCoBox DNS Tab)

2) Als nächstes habe ich sichergestellt, dass die Namensauflösung (DNS) der Telematik funktioniert. Einfachste ist hier als DNS Server den Konnector (IP) zu benutzen (sollte man schnell hinterher ändern wenn es läuft)
wenn ich eine Namensauflösung der beiden Server für die Services für KIM auflöse sollte folgendes passieren...

nslookup mail.tm.kim.telematik liefert...

Server: UnKnown
Address: <KonnectorIP>

Nicht autorisierende Antwort:
Name: mail.tm.kim.telematik
Address: 100.102.7.190

nslookup accounts.tm.kim.telematik liefert...

Server: UnKnown
Address: <KonnectorIP>

Nicht autorisierende Antwort:
Name: accounts.tm.kim.telematik
Address: 100.102.7.140

Somit ist sichergestellt, dass wenn TM oder irgend ein KIM Client die KIM Services Mail und Account aufruft, die richtige IP Adresse bekommt (DNS) und dann über den Konnektor routet.


3) Jetzt Hänge ich!! Eine Traceroute auf einen der beiden KIM Service Server account oder mail stirbt nach dem Konnector (Ja das gesamte Netzwerk darf über Ports ins Internet)

Terminal: tracert 100.102.7.140 liefert...

Routenverfolgung zu 100.102.7.140 über maximal 30 Hops

1 <1 ms <1 ms <1 ms <KonnectorIP>
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.

vielleicht kann ja jemand hier weiterhelfen?

[Landarzt21]

ehrlich gesagt funktioniert die KIM Geschichte nach einer Neuregistrierung bei mir nun auch nicht mehr, habe schon alle möglichen Firewall.bats als Administrator ausgeführt usw.
muss man denn unter: Sonstiges->Praxisdaten->Zusatzdaten->KIM->Konfigurationsparameter ändern etwas einstellen.
Dieser Mist treibt einen noch zur Weißglut,,,

[rfbdoc]

Sonstiges->Praxisdaten->Zusatzdaten->KIM->Konfigurationsparameter

Ich musste dort noch nie etwas einstellen.
Bei mir lief KIM immer nach Derigistrierung und Neuregistrierung auf dem Server als Administrator. Ebenso muss die Firewallbatch als Administrator gestartet werden.

Einen Versuch ist des Wert die hosts Datei anzupassen und dort den Rechner und Konnektor und noch eine Telematik IP zu hinterlegen.
Hier meine Hostsdatei

192.168.0.10 SERVER1
192.168.0.11 COMPUTER1
192.168.0.12 COMPUTER2
192.168.0.13 COMPUTER3
192.168.0.14 COMPUTER4
192.168.0.15 COMPUTER5
192.168.0.16 COMPUTER6
192.168.0.17 COMPUTER7
192.168.0.21 LAPTOP1
192.168.0.22 LAPTOP2
192.168.0.208 KONNEKTOR #Adresse der kocoBox

Ich würde nochmal alles von vorn durchgehen. Derigistrieren, neues TLS Zertifikat erstellen, in TM Importieren, dann unter TLS die Neuregistrierung der KIM Adresse nochmal durchführen.

[c-it]

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
100.102.0.0 255.255.0.0 <KonnectorIP> <ServerIP>
100.102.0.0 255.255.128.0 <KonnectorIP> <ServerIP>
100.102.128.0 255.255.128.0 <KonnectorIP> <ServerIP>
100.103.0.0 255.255.0.0 <KonnectorIP> <ServerIP>

... eine Route 100.102.0.0 255.254.0.0 <Konnektor-IP>
tut das gleiche. Gemeinsam mit der 188.144.0.0 im Router (z.B. Fritzbox) hinterlegen.
Dann muss man das nicht händisch bei jedem Rechner machen.

Punkt 2 ist, wenn man den Luxus eines eigenen DNS-Servers (z.B. Windows Server) nicht hat, o.k.
Wenn der Konnektor nicht mehr weiter weiß, fragt er sowieso google (8.8.8., zumindest tut das
die KocoBox.

Punkt 3 ist auch in Ordnung. Hauptsache der 1.Hop ist der Konnektor. Wenn die Route im
Router (FB) eingetragen wird, ist der 1. Hop der Router und der Konnektor erst der 2. Hop.

Netzwerktechnisch gibt es so keine Mängel, die fehlenden Antworten sind einer hart
konfigurierten Firewall seitens der gematik geschuldet.

Schönen Tag
c-it

[Landarzt21]

neues TLS Zertifikat erstellen

und wohin muss das TLS Zertifikat? Konnte das dann runterladen glaub aber mir war nicht klar was damit passieren muss, Verbindung zum Konnektor ist hier in der Praxis vom DVO ohne TLS installiert.

[rfbdoc]

Beim Erstellen des Zertifikats wird dies in den lokalen Windows Downloadordner heruntergeladen.
Diese Zip Datei müssen Sie entpacken, Sie erhalten dann die Zertifkatsdatei und eine Passwortdatei
In den Praxisdaten unter eGK müssen Sie dann auf TLS umstellen und bei der Auswahl der Zertikatsdatei zur entpackten Zertifikatsdatei TurboMed navigieren und diese übernehmen.
Im nächsten Schritt wird das das Passwort von TM abgefragt, was der der Passwortdatei zu entnehmen ist.

[Landarzt21]

Danke rfbdoc, muss ich denn tls aktivieren für die korrekte Funktion von KIM? Wie geschrieben ist der Helfer vom DVO damals bei der Installation eines Austauschkonnektors bald verzweifelt, bis er dann TLS abgeschaltet hatte und dann gings.
Sicherer ist es ja bestimmt und im Nachgang vermutet würde ich meinen dass einfach in der Kocobox und im TM TLS aktiviert sein muss und dann wird es gehen, aber sowas dann zum Quartalswechsel auszuprobieren ist auch immer so ne Sache. Aber so langsam würde ich doch KIM gerne ans laufen bekommen da ohne KIM keine eAU soweit ich das verstehe...

[FortiSecond]

KIM geht ohne TLS, aber dann auch ohne Komfortsignatur, ePA...
Speziell beim CGM-KIM-Clientmodul ist die TLS-Einrichtung ein Glücksspiel: Mal läuft es nach Anleitung sofort perfekt, und manchmal ist es zum Verzweifeln.
Daher sollten Sie am besten KIM einmal ohne TLS "überhaupt zum Laufen bekommen".

Wenn das klappt: Konnektor auf TLS umstellen, Clientzertifikate anlegen.
Dann TurboMed, KIM etc. auf TLS umstellen.

Die Kartenleser müssen in diesem Zug (bisher) nicht auf TLS-Verbindungen umgestellt werden, wobei dort eine TLS-Kommunikation mit dem Konnektor vorbereitet ist.

Die Verwendung von TLS ist seit dem 01.01.2021 für alle Praxen Pflicht. Grundlage hierfür ist eine neue IT Sicherheitsrichtlinie nach §75b Sozialgesetzbuch 5. 

https://www.solutio.de/newsroom/e-health-telematik/faqs

[Landarzt21]

Also Kim Empfangen ging nun nach Neuregestrierung, ausführen aller bat dateien, und testweise zeitweisem abschalten der Firewall. Muss mal schauen ob ich mir selbst nun auch ein Nachricht senden kann, dabei kam bisher immer eine kryptische Fehlermeldung mit KomLE Plugin dass nicht geladen werden konnte.
Spannend ist dass trotz neuregistierung im Feld "an" im Kommunikationscenter immer noch der Name meines Praxisvorgängers erscheint. Diesen würde ich nun doch entgegen der Empfehlung meines DVO aus der TM Installation gerne komplett rausschmeissen. Dazu wird ein Tageskennwort benötigt. Hat das jemand?

Danke für die Tipps soweit.

[Landarzt21]

Ok einen Schritt weiter, mit gestecktem eHBA im Terminal ging nach signieren dann auch das versenden bei aktivierter Firewall. Ich dachte wenn die SMCB verwendet wird muss man den eHBA nicht zusätzlich stecken....
Nur bei an steht immer noch im Nachrichtenverwaltungscenter der Vorgänger, werde ich morgen mal ein Tageskennwort erfragen müssen.
Nun werde ich noch ans TLS wagen....