Telematik Infrastruktur - Anbindung des Konnektors

[raia-admin]

Hallo OPNsense und TI Wissende!

Mein erster Post hier, deshalb ein freundliches "Moin" an die Leser!

Wir (mein Arbeitgeber und ich als Admin) sind Umsteiger von Sophos SG (ehemals Astaro) auf OPNsense. Leider muss ich gestehen, dass ich den Umstiegsaufwand unterschätzt habe und in einige Schwierigkeiten gelaufen bin, die ich alleine nicht gelöst bekomme. Wir sind ein Betrieb (Apotheke), der auf funktionierende Telematik-Infrastruktur angewiesen ist, das geht bisher mit der SG unproblematisch, ich habe es bei der Einführung des E-Rezeptes eingerichtet.
In einem etwas älteren Thread hier im Forum habe ich vom User knebb einen Post gefunden, der unsere Konfiguration gut beschreibt. Konfiguriert ist OPNsense mit MultiWAN im HA-Modus, der TI-Konnektor soll ausgehend aber ausschließlich die bei der PPPoE Einwahl zugewiesene IP via Telekom ONT nutzen.
Der TI-Konnektor hat eine IP im LAN und baut den VPN-Tunnel auf, die Clients, die die TI nutzen sollen, haben manuell eine Route eingetragen mit den Zielen der TI und dem TI-Konnektor als Gateway. Das funktioniert in der Sophos SG reibungslos. Dort habe ich eine Paketfilterregel "accept" mit allen TI-Teilnehmern (Konnektor und Clients) und den Ports der TI (53, 80, 389, 639, 443, 500, 4500, 4742, 9443) auf alle Ziele der TI extern (4 Netze und 8 Einzelhosts). Das Netz mit dem Konnektor wird maskiert (in der SG "NAT Masquerading", also Source NAT) ohne Zusatzoptionen.
Diese Konfiguration bekomme ich auf der OPNsense nur soweit zum Laufen, dass der Konnektor sich an der TI anmeldet - der Verbindungstest ist erfolgreich. Ein Client kann ausgehend Daten in die TI übertragen, aber die Antworten kommen nicht beim Client an. Im Log des Konnektors findet sich danach folgender Eintrag:

Code Select Expand

2026-06-23 08:25:56.742 +02:00 [INF] ["160.002.388.933.005.64"] Ändere eRezept 160.002.388.933.005.64 (zwD4opwamTsQldW7Np5DtlUc2/zM2HdvZWygH4Ign/nPB5eHrenHjhRu50zt0Kxy0MPDayvwt8eExJ47XITgQygKECGV0HeuRo5oyVx;VtgduaGTJOveYWpol1IedfK) (Quittieren)
2026-06-23 08:25:56.813 +02:00 [ERR]  Fehler beim automatischen Bestätigen der Abgabe des eRezeptes 160.002.388.933.005.64.
Adg.TI.IdentityModel.IdentityProviderClientException: Fehler beim Abrufen des AccessToken.Wenn ich von der OPNsense auf die SG zurückwechsle, bekomme ich ohne irgendeiner Änderung am Konnektor (kein Neustart, keine SMC-B Verifzierung) sofort eine Antwort:

Code Select Expand

2026-06-23 08:27:47.777 +02:00 [INF] ["160.002.386.471.256.22"] Ändere eRezept 160.002.386.471.256.22 (wNHOhfoawcp7+bywLlFrhq2/etTA9X36oaNFusdfznoesmILTdjYatk1aCY3ukax6q2WeuHG2JMelikJxs+8bbgzGXZ59hexmJH024JhdadlahTcHNPPTo) (Quittieren)
2026-06-23 08:27:48.505 +02:00 [INF] ["eGK (Terminal 00:0D:F8:0C:8B:DD, Slot 1, ICCSN 84027600596801043202)"] Es wurden 3 eRezepte für den Versicherten gefunden. Davon sind 0 abgelaufen und werden nicht abgerufen.
2026-06-23 08:27:49.387 +02:00 [INF] ["eGK (Terminal 00:0D:F8:0C:8B:DD, Slot 1, ICCSN 84027600596801043202)", "160.002.385.599.749.05"] Ändere eRezept 160.002.385.599.749.05 (OpqO+4psMh5V56Qf/FH4Ca3ogMCAdKchIciZbqJoYp0QIGRuJByCn+T2T6t0gGIjcUZdamlbjewr6QAsdYRnpOeyxzAAt/g15AlbiKTd68werY/6Ca1gs3W+SkDF7) (eRezept per eGK einlesen)
(keine Originalhashes, alles gescrambled)

Vielleicht kennt jemand eine solche Konfiguration und hat einen Tipp für mich, wie das in der OPNSense abzubilden ist...

Vielen Dank fürs Lesen
Nicky

[cwt]

Du schreibst: Multi-WAN. Wie sehen denn die Rules sowie das Outbound-NAT für den Konnektor aus?

Wenn via Rule das Gateway für den Konnektor vorgegeben wird, ist reply-to entsprechend gesetzt?

[raia-admin]

Danke für die Nachfrage. BTW: OPNsense business V. 26.4_20
Ja, Multi-WAN ist konfiguriert. 1x statische externe IP am /30-Subnet via Kabel, 1x PPPoE Telekom am ONT. Beide sind unter -> System -> Gateways -> Configuration  eingetragen, es gibt also kein doppeltes NAT. Der TI-Konnektor ist dort ebenfalls als Gateway mit seiner IP (10.14.15.254) aus dem internen Netz konfiguriert.
In -> System -> Gateways -> Group sind die beiden externen Gateways im Loadbalancing Modus jeweils mit Tier 3 konfiguriert, der TI-Konnektor steht mit Tier "Never" in der Gruppe, ist also vom Loadbalancing ausgeschlossen.

Outbound NAT ist als "Hybrid outbound NAT rule generation (manual over automatic)" konfiguriert.
1x manuell Interface Kabel: Source "This firewall", Destination "invert RFC1918" via Kabel IP
1x manuell Interface PPPoE: Source "This firewall", Destination "invert RFC1918" via PPPoE IP

Zu meinem ersten Posting muss ich eine Korrektur angeben. Die spezielle Route für die TI-Ziele (100.102.0.0/15 via 10.14.15.210) ist nicht mehr in den Clients angegeben. Diese Route ist ausschließlich als statische Route in der Sophos SG eingetragen. In der SG gibt es keine Gateway Regel für den TI-Konnektor, der kann sich mit seiner VPN-Gegenstelle über beide externen Zugänge verbinden, also entweder via Kabel oder via PPPoE. Diese statische Route habe ich nun unter -> System -> Routes -> Configuration in der OPNsense hinzugefügt.

Status ist also:
- Multi-WAN (2x public IP)
- Outbound-NAT Hybrid
- Route  100.102.0.0/15 via 10.14.15.210 (TI-Konnektor)

Zur OPNsense
In -> Firewall -> Rules (new) habe ich einiges ausprobiert. Zunächst hatte ich eine Regel für alle internen Geräte der TI zu allen externen TI-Zielen immer via PPPoE Gateway, das funktionierte nicht. Inzwischen gibt es für dieses Interface eine Regel, die ausgehenden Verkehr komplett erlaubt ohne zugewiesenes Gateway (none), damit sollte das Default Gateway verwendet werden. Es gibt jetzt also keine explizite Gateway Rule mehr, dementsprechend auch kein explizites reply-to.

In dieser Konfiguration verbindet sich der TI-Konnektor mit der TI extern, ein eingebauter Verbindungstest gibt "okay, no error" zurück. Die Antworten im Log sind aber immer noch " [ERR]  Fehler beim Empfang von Benachrichtigungen über neue eRezept-Nachrichten" wegen eines fehlenden AccessTokens.

[cwt]

Das ,,riecht" verdächtig nach asymmetrischem Routing. OPN ist im Vergleich zu Sophos strikter. Bzw. Sophos legt bei Rules im Hintergrund auch NAT-rules an, was OPN nicht tut. Da Du noch Zugriff auf die Sophos hast, würde ich die NAT-Tabellen mal vergleichen.