Telematikinfrastruktur (TI) für charly VM

Die Telematikinfrastruktur (TI) ist das digitale Gesundheitsnetzwerk für Deutschland. Die charly VM ermöglicht die Anbindung an die TI über verschiedene Verbindungsmethoden.

Überblick

Die TI-Anbindung ermöglicht: - Zugriff auf TI-Dienste (eRezept, eAU, KIM) - Sichere Kommunikation im Gesundheitswesen - Konnektor-basierte oder VPN-basierte Verbindungen

Verbindungsmethoden

1. Konnektor-basierte Verbindung (Standard)

Die klassische Verbindung erfolgt über einen physischen oder virtuellen Konnektor im Praxisnetzwerk.

Voraussetzungen

Konnektor im Netzwerk erreichbar
Konnektor in charly konfiguriert
Netzwerkrouting zum Konnektor möglich

Konfiguration

Automatische Erkennung (empfohlen)

charly-server vm set-connector

Das System: - Liest alle konfigurierten Konnektoren aus der charly-Datenbank - Testet die LDAP-Konnektivität (Port 389/636) - Wählt automatisch den ersten erreichbaren Konnektor

Manuelle Konfiguration

charly-server vm set-connector -ip 192.168.1.50

Erweiterte Konfiguration mit speziellem Gateway

charly-server vm set-connector -ip 192.168.1.50 -via 10.0.0.1

Nützlich bei: - Rechenzentrum-Konnektoren - Konnektoren in anderen Subnetzen - Speziellen Routing-Anforderungen

2. OpenVPN-basierte Verbindung

Für Umgebungen ohne direkten Konnektor-Zugriff kann eine VPN-Verbindung zur TI aufgebaut werden.

Voraussetzungen

OpenVPN-Konfigurationsdatei (.ovpn)
Zugangsdaten vom TI-Provider
Ausgehende VPN-Verbindungen erlaubt

Einrichtung

1. OpenVPN vorbereiten

charly-server vm openvpn-setup

2. VPN konfigurieren

Windows:

charly-server vm openvpn-configure -ConfigFilePath C:\vpn\client.ovpn -Username user -Password (Read-Host -AsSecureString)

macOS:

charly-server vm openvpn-configure /path/to/client.ovpn username password

3. Verbindung herstellen

charly-server vm openvpn-connect

4. Status prüfen

charly-server vm openvpn-status

Auto-Reconnect

Die VM überwacht die VPN-Verbindung automatisch alle 5 Minuten und stellt sie bei Bedarf wieder her. Dies erfolgt über einen Cronjob, der: - Den Verbindungsstatus prüft - Bei Verbindungsverlust automatisch neu verbindet - Ereignisse in /var/log/openvpn-health.log protokolliert

Verbindung trennen

charly-server vm openvpn-disconnect

TI-Routing

Netzwerkbereiche

Die TI verwendet spezielle IP-Bereiche gemäß gematik-Spezifikation:

Bereich	CIDR	IP-Range	Beschreibung
RU (Referenzumgebung)	10.30.0.0/15	10.30.0.0 - 10.31.255.255	Test- und Referenzumgebung
PU (Produktionsumgebung)	100.102.0.0/15	100.102.0.0 - 100.103.255.255	Produktive TI-Dienste und offene Fachdienste

Routing-Konfiguration

Das System richtet automatisch die erforderlichen Routen ein: - Bei Konnektor-Konfiguration: Routen via Konnektor-IP - Bei OpenVPN: Routen werden vom VPN-Gateway gepusht

Vereinfachte TI-Prüfung

Die VM prüft die TI-Erreichbarkeit mit einem zweistufigen Ansatz:

Primärtest: Direkter Test des TI-IDP Endpoints

https://idp.zentral.idp.splitdns.ti-dienste.de/.well-known/openid-configuration

Fallback: Nur wenn der IDP-Endpoint nicht erreichbar ist, werden die Routen geprüft:
Suche nach PU-Routen (100.102.0.0/15)
Warnung bei Abweichung von der gematik-Spezifikation
Hinweis zur Klärung mit TI-Provider

Netzwerk-Diagnose

Umfassender Netzwerktest

charly-server vm test-network

Testet automatisch: - Netzwerk-Konfiguration: IP-Adresse, Gateway, DNS - Grundlegende Konnektivität: Gateway, DNS, Internet - TI-Routing: RU/PU-Routen und TI-Endpunkte - Konnektor-Verbindungen: Erreichbarkeit konfigurierter Konnektoren - KIM-Verbindungen: POP3/SMTP-Endpoints

Anwendungsfälle

Nach Netzwerk-Änderungen: Validierung neuer Konfigurationen
Bei Verbindungsproblemen: Schnelle Fehlerdiagnose
Nach Konnektor-Konfiguration: Überprüfung der Einrichtung
Regelmäßige Überprüfung: Proaktive Wartung

Konnektortausch

Bei einem Konnektorwechsel in der Praxis:

1. Neuen Konnektor in charly einrichten

Detaillierte Anleitung in der charly-Hilfe

2. Konnektor-Konfiguration aktualisieren

charly-server vm set-connector

Oder bei speziellen Routing-Anforderungen:

charly-server vm set-connector -ip <neue_ip> -via <router_ip>

3. KIM Client Modul anpassen

Wichtig

Das KIM Client Modul muss separat auf den neuen Konnektor umgestellt werden. Dies liegt außerhalb der Verantwortung von charly-server.

4. Funktionsprüfung durchführen

Netzwerk-Test:
```
charly-server vm test-network
```
TI-Monitor prüfen: Überprüfen Sie im TI-Monitor, ob der neue Konnektor erkannt wird.
eRezept-Test: Erstellen Sie ein Test-eRezept zur Validierung.
KIM-Test: Senden Sie eine KIM-Testmail.

Troubleshooting

TI-Dienste nicht erreichbar

Netzwerktest durchführen:
```
charly-server vm test-network
```
Bei fehlenden Routen:
Konnektor-Konfiguration prüfen
Bei OpenVPN: Verbindungsstatus prüfen
Bei abweichenden Routen:
Prüfen ob PU-Route vom Standard (100.102.0.0/15) abweicht
Mit TI-Provider klären

OpenVPN-Verbindungsprobleme

Status prüfen:
```
charly-server vm openvpn-status
```

Logs prüfen:

charly-server vm ssh
sudo tail -f /var/log/openvpn.log

Manuelle Neuverbindung:

charly-server vm openvpn-disconnect
charly-server vm openvpn-connect

Konnektor nicht erreichbar

Ping-Test:
```
ping <konnektor-ip>
```
Port-Test (LDAP):
```
telnet <konnektor-ip> 389
```
Alternative Konnektoren: Falls mehrere Konnektoren konfiguriert sind, testet die automatische Erkennung alle.

Best Practices

Sicherheit

Zugangsdaten: OpenVPN-Passwörter sicher verwahren
Konfigurationsdateien: .ovpn-Dateien vertraulich behandeln
Netzwerktrennung: TI-Traffic vom regulären Netzwerk trennen

Wartung

Regelmäßige Tests: Wöchentlicher test-network empfohlen
Backup vor Änderungen: Vor Konnektor-Wechsel Backup erstellen
Dokumentation: Netzwerk-Topologie und Routing dokumentieren

Performance

Route-Optimierung: Direkte Routen bevorzugen
VPN nur bei Bedarf: OpenVPN nur wenn kein Konnektor verfügbar
Monitoring: Verbindungslogs regelmäßig prüfen

Weiterführende Informationen

Version: 2.6.1 Datum der letzten Aktualisierung: 08.08.2025

Version: 2.6.1