"
Hallo OPNsense und TI Wissende!
Mein erster Post hier, deshalb ein freundliches "Moin" an die Leser!
Wir (mein Arbeitgeber und ich als Admin) sind Umsteiger von Sophos SG (ehemals Astaro) auf OPNsense. Leider muss ich gestehen, dass ich den Umstiegsaufwand unterschätzt habe und in einige Schwierigkeiten gelaufen bin, die ich alleine nicht gelöst bekomme. Wir sind ein Betrieb (Apotheke), der auf funktionierende Telematik-Infrastruktur angewiesen ist, das geht bisher mit der SG unproblematisch, ich habe es bei der Einführung des E-Rezeptes eingerichtet.
In einem etwas älteren Thread hier im Forum habe ich vom User knebb einen Post gefunden, der unsere Konfiguration gut beschreibt. Konfiguriert ist OPNsense mit MultiWAN im HA-Modus, der TI-Konnektor soll ausgehend aber ausschließlich die bei der PPPoE Einwahl zugewiesene IP via Telekom ONT nutzen.
Der TI-Konnektor hat eine IP im LAN und baut den VPN-Tunnel auf, die Clients, die die TI nutzen sollen, haben manuell eine Route eingetragen mit den Zielen der TI und dem TI-Konnektor als Gateway. Das funktioniert in der Sophos SG reibungslos. Dort habe ich eine Paketfilterregel "accept" mit allen TI-Teilnehmern (Konnektor und Clients) und den Ports der TI (53, 80, 389, 639, 443, 500, 4500, 4742, 9443) auf alle Ziele der TI extern (4 Netze und 8 Einzelhosts). Das Netz mit dem Konnektor wird maskiert (in der SG "NAT Masquerading", also Source NAT) ohne Zusatzoptionen.
Diese Konfiguration bekomme ich auf der OPNsense nur soweit zum Laufen, dass der Konnektor sich an der TI anmeldet - der Verbindungstest ist erfolgreich. Ein Client kann ausgehend Daten in die TI übertragen, aber die Antworten kommen nicht beim Client an. Im Log des Konnektors findet sich danach folgender Eintrag:
Vielleicht kennt jemand eine solche Konfiguration und hat einen Tipp für mich, wie das in der OPNSense abzubilden ist...
Vielen Dank fürs Lesen
Nicky
Mein erster Post hier, deshalb ein freundliches "Moin" an die Leser!
Wir (mein Arbeitgeber und ich als Admin) sind Umsteiger von Sophos SG (ehemals Astaro) auf OPNsense. Leider muss ich gestehen, dass ich den Umstiegsaufwand unterschätzt habe und in einige Schwierigkeiten gelaufen bin, die ich alleine nicht gelöst bekomme. Wir sind ein Betrieb (Apotheke), der auf funktionierende Telematik-Infrastruktur angewiesen ist, das geht bisher mit der SG unproblematisch, ich habe es bei der Einführung des E-Rezeptes eingerichtet.
In einem etwas älteren Thread hier im Forum habe ich vom User knebb einen Post gefunden, der unsere Konfiguration gut beschreibt. Konfiguriert ist OPNsense mit MultiWAN im HA-Modus, der TI-Konnektor soll ausgehend aber ausschließlich die bei der PPPoE Einwahl zugewiesene IP via Telekom ONT nutzen.
Der TI-Konnektor hat eine IP im LAN und baut den VPN-Tunnel auf, die Clients, die die TI nutzen sollen, haben manuell eine Route eingetragen mit den Zielen der TI und dem TI-Konnektor als Gateway. Das funktioniert in der Sophos SG reibungslos. Dort habe ich eine Paketfilterregel "accept" mit allen TI-Teilnehmern (Konnektor und Clients) und den Ports der TI (53, 80, 389, 639, 443, 500, 4500, 4742, 9443) auf alle Ziele der TI extern (4 Netze und 8 Einzelhosts). Das Netz mit dem Konnektor wird maskiert (in der SG "NAT Masquerading", also Source NAT) ohne Zusatzoptionen.
Diese Konfiguration bekomme ich auf der OPNsense nur soweit zum Laufen, dass der Konnektor sich an der TI anmeldet - der Verbindungstest ist erfolgreich. Ein Client kann ausgehend Daten in die TI übertragen, aber die Antworten kommen nicht beim Client an. Im Log des Konnektors findet sich danach folgender Eintrag:
Code Select
2026-06-23 08:25:56.742 +02:00 [INF] ["160.002.388.933.005.64"] Ändere eRezept 160.002.388.933.005.64 (zwD4opwamTsQldW7Np5DtlUc2/zM2HdvZWygH4Ign/nPB5eHrenHjhRu50zt0Kxy0MPDayvwt8eExJ47XITgQygKECGV0HeuRo5oyVx;VtgduaGTJOveYWpol1IedfK) (Quittieren)
2026-06-23 08:25:56.813 +02:00 [ERR] Fehler beim automatischen Bestätigen der Abgabe des eRezeptes 160.002.388.933.005.64.
Adg.TI.IdentityModel.IdentityProviderClientException: Fehler beim Abrufen des AccessToken.Wenn ich von der OPNsense auf die SG zurückwechsle, bekomme ich ohne irgendeiner Änderung am Konnektor (kein Neustart, keine SMC-B Verifzierung) sofort eine Antwort:Code Select
2026-06-23 08:27:47.777 +02:00 [INF] ["160.002.386.471.256.22"] Ändere eRezept 160.002.386.471.256.22 (wNHOhfoawcp7+bywLlFrhq2/etTA9X36oaNFusdfznoesmILTdjYatk1aCY3ukax6q2WeuHG2JMelikJxs+8bbgzGXZ59hexmJH024JhdadlahTcHNPPTo) (Quittieren)
2026-06-23 08:27:48.505 +02:00 [INF] ["eGK (Terminal 00:0D:F8:0C:8B:DD, Slot 1, ICCSN 84027600596801043202)"] Es wurden 3 eRezepte für den Versicherten gefunden. Davon sind 0 abgelaufen und werden nicht abgerufen.
2026-06-23 08:27:49.387 +02:00 [INF] ["eGK (Terminal 00:0D:F8:0C:8B:DD, Slot 1, ICCSN 84027600596801043202)", "160.002.385.599.749.05"] Ändere eRezept 160.002.385.599.749.05 (OpqO+4psMh5V56Qf/FH4Ca3ogMCAdKchIciZbqJoYp0QIGRuJByCn+T2T6t0gGIjcUZdamlbjewr6QAsdYRnpOeyxzAAt/g15AlbiKTd68werY/6Ca1gs3W+SkDF7) (eRezept per eGK einlesen)
(keine Originalhashes, alles gescrambled)Vielleicht kennt jemand eine solche Konfiguration und hat einen Tipp für mich, wie das in der OPNSense abzubilden ist...
Vielen Dank fürs Lesen
Nicky
