Kaskadiertes USW-Lite-8-PoE hinter USW-24-PoE / Probleme mit Verbindung zwischen Client und TI-Konnektor

    Hallo liebes Forum,

    erst ein Mal ein ganz großes Dankeschön an Euch und Eure Arbeit. Ich habe die IT-Infrastruktur in der Praxis meiner Frau fast ausschließlich durch Euch und Euer Wissen aus diversen Beiträgen in Betrieb nehmen können. Als Neu-Gründer wo Budget immer eine Rolle spielt, war dass eine verdammt große Hilfe für uns. Ganz lieben Dank <3.

    Die Topologie ist auch kein Hexenwerk: Ein Telekom Business DSL Anschluss per Draytek Vigor 167 Modem an einer UDM-Pro --> 24 Port PoE Switch / zwei U6-Pro AP's / ein UNAS / und das Sorgenkind = ein 8 Port Lite PoE Switch.

    Grundsätzliche Struktur: Der Serverschrank steht im "Archiv". Dort läuft auf einem MacMini das Praxisverwaltungssystem Tomedo-Server. Auch im Schrank ist der so genannte TI-Konnektor der die Praxis an die TelematikInfrastruktur ankoppelt. Gearbeitet wird nun auf einem weiteren MacMini auf dem der Tomedo-Client läuft. Ist dieser Client an das 24 Port Switch angeschlossen, funktioniert alles einwandfrei!!! Träumchen.

    Jetzt das Problem: Ins Büro wurde nur eine Netzwerkleitung gelegt. Also möchte ich diese nutzen, um am Schreibtisch im Büro den Kartenleser (RJ45 via PoE) UND den Tomedo-Client zu verbinden. Dazu haben ich ein USW-Lite-8-PoE gekauft und diesen an das 24 Port Switch angeschlossen. Die Ports habe ich am 8er genau so konfiguriert wie am 24er (Verwaltungsnetzwerk + PVS-VLAN getaggt). Der Kartenleser funktioniert einwandfrei. Der MacMini (Client) aber, kann nicht mehr auf den Konnektor zugreifen. Der lässt sich auch nicht anpingen. Ziehe Ich das Kabel raus, und Verbinde den MacMini über Wlan (AP ist ja am 24er), dann funktioniert auch der Client wieder. Alles läuft.

    Ich wäre jetzt mal so vermessen, die Fehlerquelle auf das Switch einzugrenzen. Aber was ist falsch??? Auf dem Port am 24er wo das 8er dran hängt sind alle VLANs getaggt... selbes gilt für den "empfangen" Port am 8er. Ich hab wirklich alles hoch und runter probiert.
    Hat vielleicht jemand von Euch noch Mal einen Ansatz für mich den Ich verfolgen könnte? In der angehangen Topologie ist der MacMini (aa:fd) wieder im WLan, soll aber eig an das 8er Switch.

    Lieben Dank für Eure Hilfe,
    Gruss aus dem Rheinland
    Alex

    Wie sehen denn die Ports aus, an denen die Geräte hängen? Nach deiner Schilderung würde ja eigentlich alles im Verwaltungsnetzwerk hängen. Was ist das PVS-VLAN?!? Bei mehreren VLANs sollten die Ports weder am 8er noch a 24er Switch alle gleich sein. Verwaltungsnetzwerk nativ plus PVS-VLAN getaggt ist bei allen Router-Switch, Switch-Switch und Switch-Accesspoints ok. Alle Ports an denen aber ein normales Netzwerk Gerät angeschlossen ist, sollten aber als natives Netz das VLAN eingetragen haben, in dem die Geräte dann letzten Endes betrieben werden sollen. Auf diesen Ports sollten dann alle anderen Netze geblockt werden.

    Man könnte ja mal abchecken, welche IP der Mac am Kabel und im WLAN bekommt ... Tendenziell würde ich auf fehlerhafte Portkonfiguration bei den VLAN Port-Profilen tippen.

    Danke für den Input. Ich schau später mal nach. Grundsätzlich sind die Clients aber dem passenden VLan zugeordnet und bekommen auch Ihre IP aus dem Bereich. Ich meld mich 👍🏼

    Hey... Ich hab gerade noch Mal geschaut:

    Die "Endgeräte" (also MacMini, etc.) haben nativ das VLan-PVS. Das passt. zusätzlich drauf getagt ist das Verwaltungsnetz und das IO-Netz in welchen Drucker, Digitale Whiteboards, etc sind.
    Sie auch dazu den Anhang. Ich kann jetzt auch wieder den TI-Konnektor sauber anpingen. Und sogar auch den Server! Also alles innerhalb des Plan-PVS... nur Das "Tool" von der Firma Tomedo meldet bei Kabelverbindung, "keine Verbindung zum Server". Bei WLan aber schon... Was kann zwischen Lan und WLan noch so unterschiedlich sein???


    Interessanter Fakt: Verbinde ich den MacMini via Wlan, baut erst die Verbindung zum Server auf... und dann die zum TI-Konnektor. Alles läuft.
    Verbinde ich nun das Kabel und schalte dann das Wlan aus, läuft es ebenfalls weiter.... erst wenn ich den MacMini dann neu starte rein im Lan, dann ist wieder vorbei!

    Ich habe die Anfrage jetzt auch mal an den Hersteller selber gestellt. Vielleicht kennt der das Phänomen und es liegt eher an seinem Tool.

    Lieben Gruss
    Alex

    Hallo Alex,

    nochmal nachträglich willkommen hier nun auch als aktives Forenmitglied!

    Deine Portkonfigurationen sinb definitiv ein Problem. Du versuchst, Endgeräte mit gataggten Ethernet-Frames zu bombadieren, diese verstehen aber gar nicht, was sie damit anfangen sollten.

    Grundlegendes: Mit VLAN-Tags arbeiten nahezu ausschließlich Netzwerkkomponenten. Router, Switches, Access Points. Alles andere hat mit Tags nichts zu tun und ist häufig technisch nicht mal in der Lage, sie zu verarbeiten. Ausnahme wären beispielsweise Hypervisor, aber deren Verbindung ins Netzwerk ist letztendlich auch wieder ein (virtueller) Switch.

    Ergo: Jeder Port, an dem bei Dir kein Unifi-Gerät hängt, bekommt als natives VLAN das Netz, in dem sich das dranhängende Endgerät einfinden soll. Darüber hinaus ist die Einstellung "block all"! Lösche demnach alle benutzerdefinierten Einstellungen an dieser Stelle.

    Was ich nicht verstehe: Die Praxis ist neu gegründet, hat aber trotzdem einen Einbox-Konnektor (kleine Kiste lokal in der Praxis)? Es werden aktuell sämtliche Praxen umgestellt auf virtuelle Konnektoren, daher würde es mich wundern.

    Und: Was genau soll der Tomedo-Client tun? Bezieht er sich auf das PVS selbst oder die TI-Verbindung?

    Okay! Lieben Dank.

    Dann werde ich Morgen mal Stück für Stück auf dem Switch aufräumen. Dazu eine kurze Frage: "Ein und Ausgabegeräte" wie Drucker, Scanner, Digitales Whiteboard, Lautsprecher sind in einem separatem VLAN untergebracht (VLAN_IO). Habt Ihr bestimmt gesehen. Muss ich die dann alle in das VLAN-PVS umziehen? denn wenn ich die Voll-Isoliere, kann doch zB das Digitale Whiteboard nicht mehr auf das NAS zugreifen oder?

    Thema TI Konnektor: Auch für mich eher ein Ärgernis. Die Firma Tomedo fängt frühestens Mitte Q04/2025 mit dem Wechsel auf TI as a Service an. Aber wir brauchten halt JETZT ne Lösung und es sollte unbedingt Tomedo werden (Wunsch meiner Frau).

    Der Tomedo Client ist auf einem MacMini welcher im Büro meiner Frau steht. Dort trägt meine Frau Leistungsziffern etc. PP ein. Die Sitzung an sich wird auf einem iPad dokumentiert auf dem die Tomedo Client-App läuft.
    Und da in den kommenden Monaten weitere Therapeuten hinzu kommen sollen, brauchte es eine Variante mit "einem" Server und diversen Clients.

    Quote from A_Kottke

    Die Sitzung an sich wird auf einem iPad dokumentiert auf dem die Tomedo Client-App läuft.

    Ach so, Psychos seid Ihr. ;) Ich hatte erst an Allgemeinmediziner gedacht.


    Quote from A_Kottke

    Dazu eine kurze Frage: "Ein und Ausgabegeräte" wie Drucker, Scanner, Digitales Whiteboard, Lautsprecher sind in einem separatem VLAN untergebracht (VLAN_IO). Habt Ihr bestimmt gesehen. Muss ich die dann alle in das VLAN-PVS umziehen? denn wenn ich die Voll-Isoliere, kann doch zB das Digitale Whiteboard nicht mehr auf das NAS zugreifen oder?


    Naja, VLANs sind ja kein Selbstzweck. Sprich, irgendein größerer Plan sollte existieren, welche VLANs man erstellt und welche Geräte man wo zuordnet. Ob Du jetzt aufgrund besserer Übersicht beim Management oder um Geräte voneinander zu isolieren VLANs eingerichtet hast, wissen wir ja nicht.

    Geräte können auch über VLAN-Grenzen miteinander reden. Wenn Du in der Firewall noch keine explizite Trennung zwischen den VLANs eingestellt hast, tun sie das bislang sowieso fleißig. ;)

    Üblich ist ein Setup, in dem man die Kommunikation zwischen VLANs grundsätzlich unterbindet und dann gezielt einzelne Verbindungen in einem Whitelisting-Ansatz wieder freigibt. Computer sollten Drucker ja üblicherweise erreichen können. Es ist dabei möglich, die Firewall so zu konfigurieren dass zwar Gerät A eine Anfrage zu Gerät B senden darf, andersherum aber nicht.

    Den einen, richtigen Weg gibt es hier nicht, VLANs und Firewallregeln sind nur ein Werkzeug um Deine persönliche Struktur und Sicherheitsarchitektur aufzuziehen bzw. durchzusetzen. Überlege Dir also, was Du wovon isolieren möchtest und dann plane die VLANs entsprechend.

    In einem Kleinbetrieb wie einer Arztpraxis ist es kein Verbrechen, PCs, Drucker, medizinisches Gerät und TI-Krempel im selben Subnetz/VLAN zu betreiben. Alles was private Endgeräte sind sollte man aber auf jeden Fall separieren.


    Quote from A_Kottke

    Thema TI Konnektor: Auch für mich eher ein Ärgernis. Die Firma Tomedo fängt frühestens Mitte Q04/2025 mit dem Wechsel auf TI as a Service an.

    Ihr könntet jeden beliebigen TI-Anbieter auf dem Markt nehmen, mit dem PVS hat das grundsätzlich nichts zu tun. Genauso wie man sich auch als KIM-Provider einen völlig frei aussuchen kann. Aber vermutlich haben Euch die Vertriebler auch wortreich und wiederholt erzählt, dass nur dann alles funktioniert, wenn es auch "aus einer Hand" kommt? In der Praxis ist das leider sogar zum Teil wahr, aber auf der anderen Seite dürfen sämtliche Anbieter ihren Krempel nur deshalb verkaufen, weil ihre Produkte und Schnittstellen von KBV und Gematik zugelassen wurden - und gemäß diesen Zulassungskriterien zueinander kompatibel sein müssen...

    Aber bevor ich wieder Puls entwickle... Gute Nacht! :)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login