Herunterladen
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Rise Anleitungen
  4. Netzwerkhardware
  5. TIaaS Client
  6. Handbuch

Rise TIaaS Client Handbuch

Vorschau ausblenden

Werbung

Quicklinks

Diese Anleitung herunterladen
RISE
TIaaS Client
Handbuch

Werbung

loading

Inhaltszusammenfassung für Rise TIaaS Client

  • Seite 1 RISE TIaaS Client Handbuch...
  • Seite 2 Research Industrial Systems Engineering (RISE) RISE TIaaS Client Stand: 21.06.2024 Version: 1.15.0...
  • Seite 3 Research Industrial Systems Engineering (RISE) Inhaltsverzeichnis Einleitung ......................... 5 Installation ....................... 5 Systemvoraussetzungen ......................5 2.1.1 Hardware ........................5 2.1.2 Netzwerkeinstellungen ....................5 2.1.3 Betriebssystem ......................6 2.1.4 Webbrowser ....................... 6 2.1.5 Third-Party Software ....................6 2.1.6 Voraussetzungen für einen sicheren Betrieb ............6 Kompatibilität .........................
  • Seite 4 11.2 Primärsystem bearbeiten ....................... 51 11.3 Primärsystem entfernen ......................52 12 Logging ........................52 13 Updates ........................53 13.1 TIaaS Client ..........................53 13.2 WireGuard ..........................53 13.3 Freigegebene IP-Adressen ...................... 53 14 Konfiguration des Netzwerkes des Leistungserbringers ..........54 14.1 Installation des TIaaS Clients auf einem zentralen Server mit WireGuard-Client ....
  • Seite 5 Research Industrial Systems Engineering (RISE) 14.2.4 Konfiguration des Port-Forwardings für eingehende Requests vom TIaaS- Rechenzentrum zum TIaaS Client ................58 14.2.5 Konfiguration der Firewall, sodass nur bestimmte Hosts Zugriff auf den VPN- Tunnel erhalten ......................59 14.2.6 Konfiguration der Firewall, sodass der Zugriff auf den Updateserver, von wo die Updates und Serverzertifikate bezogen werden, freigegeben wird ......
  • Seite 6 Software in den produktiven Einsatz bringen. Diese Bedienungsanleitung wird vom Anbieter über einen sicheren Weg in der jeweils aktuellen Version zur Verfügung gestellt und richtet sich generell an Leistungserbringer, die RISE TIaaS nutzen, und an die Administratoren im Speziellen. Bei den in diesem Dokument verwendeten Bildern handelt es sich um Symbolbilder, die nur zur Veranschaulichung dienen.
  • Seite 7 Research Industrial Systems Engineering (RISE) Werden in Ihrem Netzwerk weitere Firewalls verwendet, die die Funktion des TIaaS Clients beeinflussen, wenden Sie sich an Ihren Netzwerkadministrator. 2.1.3 Betriebssystem Aktuell unterstützt der TIaaS Client folgende Betriebssysteme: • Windows 10 (64-bit) 22H2 •...
  • Seite 8 • Installation von sicherheitsrelevanten Updates: Im Falle von Sicherheitsaktualisierungen wird vom TIaaS Anbieter unverzüglich eine aktualisierte TIaaS Client Version zur Verfügung gestellt. Es liegt in der Verantwortung des Benutzers die aktualisiere Version zeitnahe zu installieren. 2.2 Kompatibilität Der TIaaS Client wurde erfolgreich mit folgenden von der gematik zugelassenen Kartenterminals getestet: •...
  • Seite 9 Research Industrial Systems Engineering (RISE) 2.3 Vorbereitung Eine URL zum sicheren Download des TIaaS Client Installationspakets wird vom TIaaS Anbieter zur Verfügung gestellt. Vor der Installation des TIaaS Clients müssen alle Systemanforderungen überprüft und die Betriebsumgebung entsprechend vorbereitet werden. 2.3.1 Windows Für die Installation des TIaaS Client sind Berechtigungen zum Ausführen von folgenden Programmen...
  • Seite 10 2.3.3 Linux 2.3.3.1 WireGuard Wenn WireGuard auf dem Gerät betrieben werden soll, wo der TIaaS Client installiert wird, und gewünscht ist, dass die WireGuard-Verbindung im Zuge der Installation vom TIaaS Client automatisch eingerichtet wird, dann müssen vorab die beiden Pakete wireguard und wireguard-tools installiert werden.
  • Seite 11 Research Industrial Systems Engineering (RISE) Um beide Pakete zu installieren, geben Sie folgenden Befehl im Terminal ein und bestätigen diesen mit Enter: sudo apt install wireguard wireguard-tools -y Soll die WireGuard-Verbindung von einem anderen Gerät aufgebaut werden, so ist eine manuelle Einrichtung von WireGuard auf jenem Gerät notwendig.
  • Seite 12 Installation des TIaaS Clients entfernt werden. Diese Aktion ist standardmäßig aktiviert. Insbesondere wenn ein Konnektor gewechselt wurde, müssen vorhandene Routen gelöscht werden, damit der TIaaS Client für Verbindungen in die TI verwendet wird. Wenn die Routen nicht gelöscht werden können, weil sie nicht mehr vorhanden sind, wird der Installationsprozess mit dem nächsten Schritt fortgesetzt.
  • Seite 13 Externen Zugriff erlauben: Wenn Sie möchten, dass der TIaaS Client auch von anderen Geräten (das heißt, nicht nur von dem Gerät, auf dem der TIaaS Client ausgeführt wird) erreichbar ist, können Sie diese Option aktivieren. Dies ermöglicht eine über HTTPS gesicherte Verbindung, die das Client-Zertifikat des Konnektors nutzt.
  • Seite 14 Passwort für die Konfigurationsdatei eingeben: Es handelt sich hierbei um den Bereitstellungscode, welcher im Rahmen der Produktbestellung festgelegt wurde. WireGuard Managementoberfläche (nur unter Windows): Mit der TIaaS Client Installation wird auch der WireGuard VPN Client installiert. Dieses Tool wird für die Verbindung zum TIaaS RZ und somit zum vKonnektor benötigt.
  • Seite 15 Abbildung 3: Installationsoptionen des TIaaS Clients 2.4.2 Linux Um den TIaaS Client installieren zu können, müssen Sie zuerst die Paketquelle zu Ihrem System hinzufügen. Geben Sie dafür folgende Befehle im Terminal ein und bestätigen diese mit Enter: sudo curl -fsSLo /usr/share/keyrings/rise-tiaas.gpg http://client.rise-tiaas.de/update- tiaas-pu/apt-repo/rise-tiaas.gpg...
  • Seite 16 Research Industrial Systems Engineering (RISE) Sollte nach einem Upgrade das TIaas Client Service nicht verfügbar sein, aktivieren Sie das Service erneut. Geben Sie dazu folgende Befehle im Terminal ein und bestätigen diese mit Enter: sudo systemctl enable rise-tiaas-client-service.service sudo systemctl start rise-tiaas-client-service.service Nachdem die Installation abgeschlossen wurde, müssen Sie den TIaaS Client mithilfe einer...
  • Seite 17 Externen Zugriff erlauben: Wenn Sie möchten, dass der TIaaS Client auch von anderen Geräten (das heißt, nicht nur von dem Gerät, auf dem der TIaaS Client ausgeführt wird) erreichbar ist, können Sie diese Option aktivieren. Dies ermöglicht eine über HTTPS gesicherte Verbindung, die das Client-Zertifikat des Konnektors nutzt.
  • Seite 18 Dazu rufen Sie die URL http://localhost:8080 über einen Webbrowser (siehe Abschnitt 2.1.4) auf. Hinweis: Sollten Sie von einem anderen System aus auf den TIaaS Client zugreifen wollen, so können Sie eine gesicherte HTTPS-Verbindung verwenden, die über den bei der Installation angegebenen Port läuft.
  • Seite 19 Research Industrial Systems Engineering (RISE) Login-Seite Dafür muss auf dem System, auf das Sie zugreifen wollen, bereits ein Benutzer vorhanden sein. Sobald Sie einen Benutzernamen und ein Passwort eingegeben haben, wird die Anmelden-Taste aktiviert und Sie können sich einloggen. Login Seite mit ausgefülltem Formular Sollte es diese Benutzername-Passwort-Kombination nicht geben, so erhalten Sie eine Fehlermeldung und bleiben auf der Login-Seite.
  • Seite 20 Research Industrial Systems Engineering (RISE) Ungültige Benutzername-Passwort-Kombination Sollten Sie eine gültige Benutzername-Passwort-Kombination eingegeben haben, werden Sie auf die Konnektorseite (siehe Abschnitt 4) weitergeleitet. Konnektorseite mit Profil Sie sehen in der rechten oberen Ecke eine Leiste mit ihrem Benutzernamen. Sollten Sie diese Leiste betätigen, öffnet sich ein Menü...
  • Seite 21 Research Industrial Systems Engineering (RISE) Profil mit Menü Sollten Sie die Logout-Taste betätigen, so werden Sie ausgeloggt und wieder auf die Login-Seite weitergeleitet. 3.2 Startseite Nach dem Öffnen der Anwendung im Webbrowser wird die Startseite des TIaaS Clients angezeigt, wie in Abbildung 4 dargestellt.
  • Seite 22 Der TIaaS Client wird nach jedem Start des Betriebssystems automatisch gestartet. 3.3 Tabellen Die im TIaaS Client einsehbaren Daten werden häufig in einer übersichtlichen Tabellenform präsentiert. Durch Auswahl der jeweiligen Spaltenüberschrift kann nach beliebigen Spalten sortiert werden. Ein neben der Spaltenüberschrift positionierter Pfeil kennzeichnet die Sortierreihenfolge: Ein nach oben zeigender Pfeil signalisiert eine aufsteigende, ein nach unten zeigender Pfeil eine absteigende Sortierung.
  • Seite 23 Unter dem Menüpunkt Kartenterminals können Kartenterminals verwaltet und mit dem vKonnektor gepairt werden. 5.1 Kartenterminalübersicht Wenn Kartenterminals mit dem TIaaS Client verbunden sind, werden diese in der Kartenterminalübersicht dargestellt (siehe Abbildung 7). Es können bis zu 20 Kartenterminals mit dem TIaaS Client verbunden sein.
  • Seite 24 Research Industrial Systems Engineering (RISE) Abbildung 7: Kartenterminalübersicht Hinweis: Es werden nur Kartenterminals aufgelistet, die mit der aktiven TIaaS Client Installation verbunden sind. 5.2 Kartenterminal hinzufügen und pairen Um ein Kartenterminal hinzuzufügen, wählen Sie Hinzufügen aus, um den entsprechenden Dialog zu öffnen (siehe Abbildung 8).
  • Seite 25 Der TIaaS Client entnimmt dem SICCT Service Announcement vom Kartenterminal die für das Pairing benötigten Informationen. Danach startet der TIaaS Client die Verbindung und das Pairing des Kartenterminals mit dem vKonnektor. Eine Meldung am Display des Kartenterminals bestätigt das erfolgreiche Pairing.
  • Seite 26 Operationen (wie z.B. Pairing und Firmware Update) verwendet wird. 5.3 Kartenterminal neu verbinden Sollte die Verbindung zwischen einem Kartenterminal und dem TIaaS Client verloren gehen, was dem Status Aktiv und nicht verbunden entspricht, können Sie diese Verbindung manuell wieder aufbauen.
  • Seite 27 Research Industrial Systems Engineering (RISE) 5.7 Admin-Session-PIN manuell synchronisieren Das manuelle Synchronisieren der Admin-Session-PIN mit dem Konnektor kann durch die Auswahl von Admin-Session-PIN synchronisieren… im Kontextmenü des Kartenterminals erfolgen. Bei der Synchronisation wird die PIN am Konnektor mit dem lokalen überschrieben. Diese Option ist erst verfügbar, nachdem eine Admin-Session-PIN hinterlegt worden ist.
  • Seite 28 Research Industrial Systems Engineering (RISE) 6.2 Kartenaktionen Nachdem die Karten aufgelistet wurden, stehen Ihnen für die Kartentypen SMC-B und HBA durch Auswahl des Kontextmenüs verschiedene Operationen zur Verfügung. Dabei handelt es sich jeweils um PIN-Operationen, die mit einer Erfolgsmeldung oder einer Fehlermeldung (siehe Abschnitt 16.4) abgeschlossen werden.
  • Seite 29 Ebene ausgewählt werden. 6.2.2 PIN verifizieren Um eine SMC-B Karte freizuschalten, kann im TIaaS Client die Verifikation einer PIN ausgelöst werden. Bitte achten Sie auf die Meldung am Display des Kartenterminals und bestätigen Sie die Verifikation. Bei erfolgreicher Verifikation wird der PIN-Status dargestellt, ansonsten erscheint eine Fehlermeldung entsprechend Abschnitt 16.4.
  • Seite 30 Research Industrial Systems Engineering (RISE) Hinweis: Der PUK einer Karte kann maximal 10 mal eingeben werden. Sollte der PUK nicht mehr eingebbar und die Karte gesperrt sein, muss eine neue Karte bestellt werden. 6.2.5 Remote PIN+ Die Funktion Remote PIN+ erlaubt das automatische Verifizieren von Karten mit einer hinterlegten PIN.
  • Seite 31 Research Industrial Systems Engineering (RISE) 7.1 Begriffserläuterung von Mandant, Arbeitsplatz und Clientsystem Mandant: Ein Mandant ist eine Organisationseinheit innerhalb einer Institution. Beispiele: Arzt, Abteilung in einem Krankenhaus, Labor Arbeitsplatz: Damit sind alle dem Mandanten zugeordneten Arbeitsplätze gemeint. Diese beinhalten PCs, aber auch virtuelle Arbeitsplätze. Beispiele: Arztzimmer, Behandlungsraum, Rezeption...
  • Seite 32 Research Industrial Systems Engineering (RISE) Abbildung 14: Verwaltung der Entitäten Mandant, Arbeitsplatz und Clientsystem 7.3 Arbeitsumgebung einrichten Diese Ansicht bildet die Arbeitsumgebung des vKonnektors ab, wie in Abbildung 15 dargestellt. • Die angelegten Mandanten erhalten jeweils einen eigenen Eintrag. •...
  • Seite 33 TIaaS Client installieren. Der im TIaaS Client integrierte KIM Authentikator (Authentication Client) ermöglicht die Authentisierung von Aktionen am Account Manager des KIM Fachdiensts. Weiters können Sie direkt im TIaaS Client eine neue KIM E-Mail-Adresse registrieren (siehe Abbildung 16). Sofern Sie die Option KIMaaS verwenden bei der TIaaS Client Installation (siehe Abschnitt 2.4) ausgewählt haben, ist die KIMaaS-Funktionalität des TIaaS Clients sofort verwendbar.
  • Seite 34 Research Industrial Systems Engineering (RISE) Abbildung 16: Übersicht der KIMaaS-Funktionen im TIaaS Client RISE TIaaS Client Version: 1.15.0 Seite 33...
  • Seite 35 Hinweis: Die Authentisierung ist nur mit einem Google Chrome oder einem Firefox Webbrowser durchführbar. Des Weiteren ist zu beachten, dass der Account Manager und der TIaaS Client in separaten Browser-Tabs geöffnet sein müssen. Diese Anleitung finden Sie auch in der grafischen Benutzeroberfläche unter dem Menüpunkt KIM wie in Abbildung 18 dargestellt.
  • Seite 36 Achtung: Beide Browser-Tabs (TIaaS Client und Account Manager) müssen die ganze Zeit der Authentisierung geöffnet bleiben. Wenn im TIaaS Client eine KIM Authentisierung durch den Account Manager gestartet wurde, sind folgende Schritte zum Abschluss der Authentisierung notwendig: Auswahl des Aufrufkontexts für die Authentisierung: Wählen Sie den Aufrufkontext, für den die Authentisierung durchgeführt werden soll (siehe Abbildung 19).
  • Seite 37 Research Industrial Systems Engineering (RISE) Abschluss der Authentisierung: Wenn die Authentisierung erfolgreich war, wird eine entsprechende Erfolgsmeldung angezeigt und Sie können nun die ausgewählte Aktion im Account Manager fortsetzen. Wechseln Sie dazu wieder in den noch offenen Browser-Tab des Account Managers.
  • Seite 38 Informationen (u.a. einen Installationscode für die Registrierung einer KIM E-Mail-Adresse und ein KIMaaS Zertifikat). Neben der KIM Authentisierung bietet der TIaaS Client auch die Möglichkeit eine neue KIM E-Mail-Adresse zu registrieren. Um die Registrierung erfolgreich abschließen zu können muss sich der KIM-Teilnehmer mittels einer SMC-B bzw.
  • Seite 39 Hinweis: Die KIM E-Mail-Registrierung ist nur mit einem Google Chrome oder einem Firefox Webbrowser und nur auf demselben System (localhost) durchführbar, auf dem der TIaaS Client installiert ist. Hinweis: Bevor Sie die KIM E-Mail-Registrierung starten, stellen Sie sicher, dass Sie alle notwendigen Informationen vorbereitet haben.
  • Seite 40 Sie können die Registrierung einer KIM E-Mail-Adresse auch aus dem Primärsystem starten. Nach dem Start wechseln Sie in den TIaaS Client und schließen dort die Registrierung ab. Achtung: Diese Option ist nur möglich, wenn das verwendete Primärsystem den RISE TIaaS Client unterstützt. Bei Fragen dazu wenden Sie sich an Ihren Primärsystem-Hersteller.
  • Seite 41 8.3 KIM as a Service deaktivieren Wenn Sie die KIMaaS-Funktionalität nicht mehr verwenden möchten, dann deaktivieren Sie die Checkbox KIMaaS verwenden und starten den TIaaS Client neu um die Änderung zu übernehmen. Nach dem Neustart ist die KIMaaS-Funktionalität des TIaaS Clients nicht mehr verwendbar.
  • Seite 42 Research Industrial Systems Engineering (RISE) Das Benutzermenüsymbol, das ganz rechts in einer Zeile platziert ist, kann durch Auswahl geöffnet werden. Benutzeranzeige mit einem Benutzer und geöffnetem Benutzermenü 9.2 Benutzer hinzufügen Um einen neuen Benutzer anzulegen, muss die Schaltfläche +Hinzufügen ausgewählt werden, welche sich rechts neben dem Titel Benutzerverwaltung befindet.
  • Seite 43 Research Industrial Systems Engineering (RISE) Sobald alle Felder korrekt ausgefüllt wurden, kann die Hinzufügen-Schaltfläche ausgewählt und der Benutzer angelegt werden. Dadurch wird das Formular geschlossen und die Tabelle, die nun den neuen Benutzer enthält, wird neu geladen. 9.3 Benutzermenü Das Benutzermenü kann durch die Auswahl der Schaltfläche, die durch das Symbol mit den drei Punkten angezeigt und sich ganz rechts in der Zeile eines Benutzers befindet, geöffnet werden.
  • Seite 44 10 Konfiguration In diesem Abschnitt werden die Konfigurationsmöglichkeiten des TIaaS Clients beschrieben. Wurden die für den TIaaS Client benötigten Zertifikate bei der Installation nicht eingespielt, müssen grundlegende Einstellungen in der grafischen Benutzeroberfläche vorgenommen werden, bevor der TIaaS Client verwendet werden kann. Dazu müssen vor der Inbetriebnahme auch entsprechende Zertifikate und Schlüsselmaterial lokal vorhanden sein, die für den Betrieb notwendig sind.
  • Seite 45 Research Industrial Systems Engineering (RISE) 10.1 Konfiguration der TLS-Kommunikation Unter dem Menüpunkt Konfiguration ist es möglich, die Zertifikate und das Schlüsselmaterial für die TLS- Kommunikation zum TIaaS RZ in den lokalen KeyStore und TrustStore zu importieren und zu speichern (siehe Abbildung 22).
  • Seite 46 Datei aus. Hinweis: Sollten Sie in Ihrem Installationspaket anstelle eines KVS Client Zertifikats und vKonnektor Client Zertifikats ein TIaaS Client Zertifikat vorfinden, nutzen Sie dieses sowohl für das KVS Client Zertifikat als auch für das vKonnektor Client Zertifikat. Im nächsten Schritt geben Sie das erforderliche Passwort zur ausgewählten Zertifikats-Datei ein, das Ihnen über einen sicheren Kommunikationskanal bereitgestellt wurde.
  • Seite 47 Research Industrial Systems Engineering (RISE) • Durch manuelles Auswählen der Schaltfläche Zertifikate automatisch beziehen Die automatische Aktualisierung der Server-Zertifikate kann fehlschlagen, beispielsweise weil der Update-Server aufgrund Ihrer Netzwerkkonfiguration nicht zugänglich ist. In diesem Fall können Sie die Server-Zertifikate auch manuell herunterladen und importieren. Gehen Sie dafür folgendermaßen vor: Klappen Sie das Import-Formular aus, indem Sie die Schaltfläche Zertifikate manuell importieren...
  • Seite 48 Nach der Installation kann die Konfiguration nur geändert werden, indem die Konfigurationsdatei über einen Texteditor geöffnet und bearbeitet wird. Für die Bearbeitung der Konfigurationsdatei sind Administrationsberechtigungen erforderlich. Um die Änderungen zu übernehmen, muss der TIaaS Client neu gestartet werden. Achtung: Führen Sie Änderungen in der Konfigurationsdatei nur im Zuge der Problembehandlung gemeinsam mit dem TIaaS Anbieter durch.
  • Seite 49 Datentyp aufgelistet. Der Inhalt der Konfigurationsdatei ist von der jeweiligen Umgebung abhängig und ist entsprechend befüllt. Ist in der Konfigurationsdatei eine Einstellung nicht vorhanden, so wird vom TIaaS Client ein Standardwert angenommen. Wenn ein anderer Wert als der Standardwert verwendet werden soll, muss die Konfigurationseinstellung, falls noch nicht vorhanden, hinzugefügt und entsprechend gesetzt werden.
  • Seite 50 Pairing-Versuch eines Kartenterminals angelegt. Kartenterminal-Port- Informationen lassen sich von Netzwerkadministratoren aus dieser Datei auslesen. Diese Konfiguration kann nur geändert werden, indem die Konfigurationsdatei über einen Texteditor geöffnet und bearbeitet wird. Um die Änderungen zu übernehmen, muss der TIaaS Client neu gestartet werden. http://www.quartz-scheduler.org/documentation/quartz-2.3.0/tutorials/crontrigger.html RISE TIaaS Client Version: 1.15.0...
  • Seite 51 (siehe Abbildung 25). Für jedes Primärsystem muss eine individuelle Event-Weiterleitung eingerichtet werden. Für die erfolgreiche Event-Weiterleitung an ein Primärsystem durch den TIaaS Client ist es erforderlich, dass im Primärsystem als EventTo-Adresse die Client-IP-Adresse des WireGuard-VPN-Tunnels angegeben wird.
  • Seite 52 Research Industrial Systems Engineering (RISE) Abbildung 25: Primärsysteme hinzufügen Hinweis: Der Port wird sowohl als Listening-Port im TIaaS Client, als auch für die Event-Weiterleitung zum Primärsystem verwendet und muss eindeutig sein. Der TIaaS Client identifiziert das betroffene Primärsystem eindeutig durch den verwendeten Port, weshalb jedes Primärsystem einen anderen Port für die Entgegennahme der Events verwenden muss.
  • Seite 53 (siehe Abbildung 28). Die Event-Weiterleitung für dieses Primärsystem wird daraufhin gestoppt. Abbildung 28: Primärsystem löschen 12 Logging Der TIaaS Client schreibt Logdateien, die eine Analyse und ein Nachvollziehen der technischen Vorgänge ermöglichen. Sämtliche Logdateien befinden sich gesammelt in einem Logverzeichnis. Entsprechend des verwendeten Betriebssystems ist das Logverzeichnis wie folgt definiert: •...
  • Seite 54 (siehe Abschnitt 2). 13.2 WireGuard Neben der TIaaS Client Anwendung wird bei der Installation auch der WireGuard VPN-Client auf Ihrem Betriebssystem installiert. Für WireGuard werden ebenso in regelmäßigen Abständen neue Updates der Software geprüft. Diese Prüfung erfolgt wie das Update selbst automatisch im Hintergrund.
  • Seite 55 Systemen im zentralen TIaaS-Rechenzentrum herzustellen. Verwendung eines bereitgestellten WireGuard-VPN-Tunnels: In diesem Szenario soll der WireGuard-VPN-Tunnel von einem anderen Host (bspw. einem Router oder einer Firewall) vom TIaaS Client verwendet werden, um eine Verbindung zu den Systemen im TIaaS-Rechenzentrum herzustellen. RISE TIaaS Client Version: 1.15.0...
  • Seite 56 Research Industrial Systems Engineering (RISE) 14.1 Installation des TIaaS Clients auf einem zentralen Server mit WireGuard-Client Damit andere Hosts den WireGuard-VPN-Tunnel vom Host des TIaaS Clients in das TIaaS-Rechenzentrum verwenden können, muss der Host des TIaaS Clients den Netzwerkverkehr entsprechend routen. Dies kann durch ein Network-Address-Translation-Gateway (NAT-Gateway), basierend auf dem Windows- Feature Hyper-V, konfiguriert werden.
  • Seite 57 193.175.81.64/29 – 193.28.71.232/30 Um beispielsweise eine Route für die Hosts im TIaaS-Netz 10.156.120.0/24 über den TIaaS Client auf dem Host mit der IP-Adresse 192.168.88.251 zu erstellen, muss der folgende Befehl ausgeführt werden: route -p add 10.156.120.0 MASK 255.255.255.0 192.168.88.251 14.1.2 Installation unter Windows Server 2022 Sollte das Hyper-V Modul nicht verfügbar sein, gibt es unter Windows Server 2022 die Möglichkeit unter...
  • Seite 58 Research Industrial Systems Engineering (RISE) 14.2 Verwendung eines bereitgestellten WireGuard-VPN-Tunnels Falls der WireGuard-VPN-Tunnel von einem zentralen Router oder einer dedizierten Firewall bereitgestellt werden soll, so müssen die folgenden Konfigurationen auf dem Gerät getroffen werden: • Konfiguration des WireGuard-VPN-Tunnels • Konfiguration eines NAT-Gateways für den WireGuard-VPN-Tunnel •...
  • Seite 59 Research Industrial Systems Engineering (RISE) • Endpoint gibt die IP-Adresse und den Port des Peers an, zu dem sich der WireGuard-Client verbindet. Die IP-Adresse und der Port müssen im Peer gesetzt werden. • PersistentKeepalive gibt die Zeitspanne in Sekunden an, in der Keep-Alive-Pakete an den Peer gesendet werden.
  • Seite 60 Öffnen Sie die Windows Einstellungen (Windows Startmenü > Einstellungen oder Windows-Taste + I). Wählen Sie den Menüpunkt Apps bzw. Apps und Features aus. Suchen Sie in der Liste nach der Applikation RISE TI as a Service Client und wählen Sie den Eintrag aus.
  • Seite 61 Zur Deinstallation gehen Sie bitte in folgender Reihenfolge vor: Beenden Sie zunächst die Anwendung des TIaaS Clients. Öffnen Sie das Installationsverzeichnis der Applikation RISE TI as a Service Client in Finder. Dieses befindet sich unter /opt/rise/tic. Starten Sie das RISE TI as a Service Client Deinstallationsprogramm.
  • Seite 62 Folgen Sie den Anweisungen des Assistenten, um die Deinstallation abzuschließen. Abbildung 29: Deinstallation des TIaaS Clients 15.3 Linux Um den RISE TIaaS Client von Ihrem System wieder zu deinstallieren, geben Sie folgenden Befehl in das Terminal ein und bestätigen diesen mit Enter: sudo apt purge rise-tiaas-client Hinweis: Die Pakete WireGuard und WireGuard-Tools müssen separat deinstalliert werden, sofern diese...
  • Seite 63 Research Industrial Systems Engineering (RISE) 15.4 Entfernung eines bereitgestellten WireGuard-VPN-Tunnels Falls der WireGuard-VPN-Tunnel auf einem dedizierten Gerät eingerichtet wurde (siehe Abschnitt 14.2) so muss dieser entfernt werden. Die notwendigen Schritte hierfür sind wie folgt: Entfernung der Firewall Regeln für den Zugriff auf den WireGuard-VPN Tunnel Entfernung der Port-Forwarding-Konfigurationen für eingehende Requests vom TIaaS-...
  • Seite 64 Research Industrial Systems Engineering (RISE) 16.1 vKonnektor Tabelle 3: Mögliche Fehlerursachen betreffend vKonnektor Problem Mögliche Ursache Lösungsvorschlag vKonnektor- Keine/schlechte Überprüfen Sie, ob Sie eine bestehende Internetverbindung Statussymbol Verbindung mit dem haben. ist rot Internet TIaaS Client- Kontrollieren Sie die vKonnektor IP-Adresse in der Konfiguration Konfigurationsdatei (siehe Abschnitt 10.4).
  • Seite 65 über seinen Ethernet-Port mit dem selben werden. selben Netzwerk. lokalen Netzwerk verbunden ist wie Ihr PC auf dem der TIaaS Client läuft. Es wurde ein falsches Wählen Sie das korrekte Netzwerkinterface aus Netzwerkinterface der angebotenen Liste aus (siehe ausgewählt.
  • Seite 66 Kartenterminal- terminal.yml (siehe Abschnitt 10.6) nicht in Konfigurationsdatei nicht einem anderen Programm geöffnet ist. Der anpassen. TIaaS Client muss über Schreibrechte an der Datei verfügen. Kartenterminal bereits Das Kartenterminal ist Entfernen Sie das Kartenterminal per Auswahl verbunden.
  • Seite 67 Research Industrial Systems Engineering (RISE) Fehlermeldung Mögliche Ursache Lösungsvorschlag Kartenterminal mit Ihrem TIaaS Anbieter auf. aufgetreten. Socket konnte nicht Die Schnittstelle zum Nehmen Sie Kontakt mit Ihrem TIaaS Anbieter geöffnet werden. Abruf der Kartenterminal- auf. Informationen konnte nicht geöffnet werden.
  • Seite 68 Research Industrial Systems Engineering (RISE) Fehlermeldung Mögliche Ursache Lösungsvorschlag nehmen Sie Kontakt mit Ihrem TIaaS Anbieter auf. Ungültige VPN- Überprüfen Sie, ob der vKonnektor erreichbar ist Verbindung (siehe Abschnitt 4). vKonnektor offline Nehmen Sie Kontakt mit Ihrem TIaaS Anbieter auf, wenn das Problem länger als 5 Minuten besteht.
  • Seite 69 Research Industrial Systems Engineering (RISE) Abbildung 30: WireGuard Benutzeroberfläche Im Abschnitt [Interface] fügen Sie in einer neuen Zeile den Text MTU = 1280 ein, sofern noch keine Zeile mit einem MTU-Wert existiert. Sollte bereits eine Zeile mit einem MTU-Wert im Abschnitt [Interface] vorhanden sein, passen Sie den Wert dieser Zeile an.
  • Seite 70 Research Industrial Systems Engineering (RISE) Abbildung 31: Einstellungen der WireGuard-Verbindung Speichern Sie die Änderungen, um das Fenster zu schließen. Die WireGuard-Verbindung wird automatisch neu gestartet. Bei erfolgreicher Konfiguration der Verbindung wird der eingestellte MTU-Wert in der WireGuard- Benutzeroberfläche angezeigt. RISE TIaaS Client Version: 1.15.0...
  • Seite 71 Research Industrial Systems Engineering (RISE) Abbildung 32: WireGuard Benutzeroberfläche mit eingestellter MTU 16.6.2 macOS und Linux Falls die VPN-Verbindung nicht aktiv ist, starten Sie diese mit folgendem Kommandozeilenbefehl: sudo wg-quick up tiaas-vpn Bearbeiten Sie die Konfigurationsdatei tiaas-vpn.conf, welche unter /usr/local/etc/wireguard/ unter macOS und unter /etc/wireguard unter Linux zu finden ist, mit Administrator/Root-Rechten.
  • Seite 72 Abbildung 34: WireGuard MTU Ausgabe bei Verbindungsaktivierung 17 Kontakt Bei Fragen und Problemen zum TIaaS Client, welche nicht von Ihrem Vertragshändler bzw. Infrastrukturdienstleister beantwortet werden können, wenden Sie sich bitte per E-Mail oder telefonisch an den TIaaS Anbieter. Es wird empfohlen, in erster Instanz immer Unterstützung von Ihrem direkten Vertragshändler und Infrastrukturdienstleister einzuholen.
  • Seite 73 Research Industrial Systems Engineering (RISE) © Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH Concorde Business Park F 2320 Schwechat Austria, Europe https://www.rise-world.com welcome@rise-world.com RISE TIaaS Client Version: 1.15.0 Seite 72...