Avatar von rapulski
  • rapulski

14 Beiträge seit 05.08.2008

Re: Hier das Sttement vom DGN

Klar doch:

Anforderungen des Konnektors an die Firewall beim LE
Für die Firewall-Freischaltung des Konnektors in Richtung Internet gelten für die Produktivumgebung (PU) die Nachfolgenden Anforderungen:
Benötigte Ports (ohne spezifische Berücksichtigung eines VPN-Zugangsdienstanbieters) Eingehend:
keine
Ausgehend:
TCP/UDP: 53 (DNSSec) TCP: 80 (HTTP)
TCP: 443 (HTTPS) UDP: 500 (IKE)
UDP: 4500 (NAT-Traversal) TCP: 8443 (HTTPS)
Für den arvato Zugangsdienst gelten aktuell folgende Hostnamen und IP-Adressen:
DNS-Domain Zugangsdienst (abhängig von der letzten Stelle der Konnektor-Seriennummer)
arv-vpnzgd01.service-ti.de arv-vpnzgd02.service-ti.de arv-vpnzgd03.service-ti.de arv-vpnzgd04.service-ti.de arv-vpnzgd05.service-ti.de arv-vpnzgd06.service-ti.de arv-vpnzgd07.service-ti.de arv-vpnzgd08.service-ti.de arv-vpnzgd09.service-ti.de arv-vpnzgd10.service-ti.de
DNS-Server für das Transportnetz:
185.91.104.135 146.185.102.25 52.59.164.18
Hostnames und IP-Adressen der TI-VPN-Zugangsdienst (Ports: 500, 4500):
vpn1-ti.gto.service-ti.de (146.185.115.4) vpn2-ti.gto.service-ti.de (146.185.115.5) vpn3-ti.gto.service-ti.de (146.185.115.6) vpn4-ti.gto.service-ti.de (146.185.115.3) vpn1-ti.lej.service-ti.de (83.137.38.4) vpn2-ti.lej.service-ti.de (83.137.38.5) vpn4-ti.lej.service-ti.de (83.137.38.6) vpn4-ti.lej.service-ti.de (83.137.38.3)
Hostnames und IP-Adressen der SIS-VPN-Zugangsdienst (Ports: 500, 4500):
vpn1-sis.gto.service-ti.de (146.185.115.28) vpn2-sis.gto.service-ti.de (146.185.115.29) vpn1-sis.lej.service-ti.de (83.137.38.28) vpn2-sis.lej.service-ti.de (83.137.38.29)
Hinweis
Ausgehend kann es sein, dass je nach Zugangsdienstanbieter über DNS-SD für die einzelnen Dienste (Registrierungsdienst, Hash&URL, VPN-Zugangsdienst) andere Ports als 80,443,500,4500,8443 zum Einsatz kommen oder sich IP-Adressen der Server ändern können.

Hostname und IP-Adresse CRL-Downloadpunkt (Port: 80):
download.crl.ti-dienste.de (84.17.168.212)
Hostname und IP-Adresse Hash&URL-Server (Port: 80):
hashandurl.gto.service-ti.de (146.185.115.20)
Hostname und IP-Adressen Registrierungsdienst (Port: 8443):
regsv.gto.service-ti.de (146.185.115.12)
Zusammengefasst:
Möglichkeit zum Abruf der DNS-SD-Einträge mittels dig (DNS-Domain des Zugangsdienst muss ggf. angepasst werden):
dig +short _isakmp._udp.ti-extern.arv-vpnzgd01.service-ti.de srv @185.91.104.135 dig +short _isakmp._udp.sis-extern.arv-vpnzgd01.service-ti.de srv @185.91.104.135 dig +short _hashandurl._tcp.arv-vpnzgd01.service-ti.de srv @185.91.104.135
dig +short _regserver._tcp.arv-vpnzgd01.service-ti.de srv @185.91.104.135
Quelle
Ziel
Port
Dienst
Konnektor
185.91.104.135
53
DNSsec
Konnektor
146.185.102.25
53
DNSsec
Konnektor
52.59.164.18
53
DNSsec
Konnektor
146.185.115.20
80
Hash & URL
Konnektor
84.17.168.212
80
CRL-Download
Konnektor
146.185.115.12
8443
Registrierungsdienst
Konnektor
146.185.115.4
500
VPN-Konzentrator TI
Konnektor
146.185.115.5
500
VPN-Konzentrator TI
Konnektor
83.137.38.4
500
VPN-Konzentrator TI
Konnektor
83.137.38.5
500
VPN-Konzentrator TI
Konnektor
146.185.115.6
500
VPN-Konzentrator TI
Konnektor
146.185.115.3
500
VPN-Konzentrator TI
Konnektor
83.137.38.6
500
VPN-Konzentrator TI
Konnektor
83.137.38.3
500
VPN-Konzentrator TI
Konnektor
146.185.115.4
4500
VPN-Konzentrator TI
Konnektor
146.185.115.5
4500
VPN-Konzentrator TI
Konnektor
83.137.38.4
4500
VPN-Konzentrator TI

Quelle
Ziel
Port
Dienst
Konnektor
83.137.38.5
4500
VPN-Konzentrator TI
Konnektor
146.185.115.6
4500
VPN-Konzentrator TI
Konnektor
146.185.115.3
4500
VPN-Konzentrator TI
Konnektor
83.137.38.6
4500
VPN-Konzentrator TI
Konnektor
83.137.38.3
4500
VPN-Konzentrator TI
Konnektor
146.185.115.28
500
VPN-Konzentrator SIS
Konnektor
146.185.115.29
500
VPN-Konzentrator SIS
Konnektor
83.137.38.28
500
VPN-Konzentrator SIS
Konnektor
83.137.38.29
500
VPN-Konzentrator SIS
Konnektor
146.185.115.28
4500
VPN-Konzentrator SIS
Konnektor
146.185.115.29
4500
VPN-Konzentrator SIS
Konnektor
83.137.38.28
4500
VPN-Konzentrator SIS
Konnektor
83.137.38.29
4500
VPN-Konzentrator SIS
Das Kartenterminal kommuniziert mit dem Konnektor über das lokale Netz, sollte hier ebenfalls eine Firewall zum Einsatz kommen gelten die folgenden Kommunikationswege:
Quelle
Ziel
Port
Dienst
Konnektor
Kartenterminal
4742
SICCT (TCP/UDP)
Kartenterminal
Konnektor
4742
SICCT (TCP/UDP)
Sollte sich das Primärsystem nicht im gleichen Netz befinden und ebenfalls eine Firewall zum Einsatz kommen, gelten die folgenden Kommunikationswege:
Quelle
Ziel
Port
Dienst
Primärsystem
Konnektor
80
SOAP/HTTP

Quelle
Ziel
Port
Dienst
Primärsystem
Konnektor
443
SOAP/HTTPS
Konnektor
Primärsystem
???
CETP (Port wird von PS vergeben)

Bewerten
- +