Guten Morgen,
wir machen für einen Mandanten (Zahnarzt) den Zahlungsverkehr und dazu gehört auch, dass wir in seinem Praxisprogramm die Zahlungen der Patienten austragen, damit er ggf. Mahnungen erstellen kann. Dazu schalten wir uns aus der Kanzlei per Remotesitzung auf sein Netzwerk wir.
Wie sind asp-Kunde (früher Drittanbieter jetzt Original DATEV) und nutzen für den Internetzugang auf der lokalen Rechnerebene DATEVnet.
Mit dem Wechsel von dem Drittanbieter zu DATEV funktionierte der Zugang über Remotedesktop nicht mehr.
Zuerst hatten wir eigenes technisches Unvermögen vermutet, aber nach langem Suchen stellte sich heraus, dass es eine Einstellung/ Sperre im DATEVnet-Router war, der dies nicht zuließ.
Unsere aktuelle Lösung (schnell und schmutzig) ist, dass wir einen separaten Rechner genommen haben und dessen Netzwerkdose "am Router vorbei" direkt ins Internet gepatcht haben.
Da der Raum jetzt anders genutzt wird, stellt sich die Frage (bevor wir eine andere Netzwerkdose patchen), ob es nicht eine andere, vernünftigere Lösung gibt.
Die DATEV zu zwingen, den Port freizugeben, wäre sicherlich eine Lösung, ist aber bei der Beweglichkeit der Datev in solchen Dingen eher anstrengend und daher nur die drittbeste Lösung.
Sonnige Grüße aus Hamburg
Heinz-Günter Fritsche
Gelöst! Gehe zu Lösung.
Für die Portfreigabe gibt es in den Untiefen von Lexinform/Info-DB ein Formular. Einmal flugs ausgefüllt und an DATEV geschickt, und der/die gewünschten Ports sind freigegeben.
MfG,
F. Berger
Fragt sich, ob DATEV das macht. Port 3389 RDP vermute ich da einige Probleme, insbesondere weil im RDP Protokoll immer wieder große Lücken klaffen, die gepatcht werden müssen und DATEV daher das Risiko nicht eingehen möchte.
Aber ich bin selber gespannt und freue mich auf eine Rückmeldung.
Unsere aktuelle Lösung (schnell und schmutzig) ist, dass wir einen separaten Rechner genommen haben und dessen Netzwerkdose "am Router vorbei" direkt ins Internet gepatcht haben.
Wäre auch meine Lösung gewesen.
Moin Herr Berger,
super Hinweis.
Das Formular gibt es zwar nicht in LexInform - aber es existiert.
Das Formular gibt es nicht zum Download - auch nicht versteckt - weil man bei der DATEV nicht möchte, dass man "einfach" ein paar Ports freischaltet. Man muss sich also melden und den Wunsch äußern, dann bekommt man Formular.
Und man muss wissen, dass es geht und ein solches Formular gibt.
Ich hatte damals einen Datev-Mitarbeiter, der mir erklärte: "das geht grundsätzlich nicht".
Der Hinweis, dass wir Auftraggeber sind und bezahlen (wer die Musik bezahlt, bestimmt auch, was gespielt wird ) wurde geantwortet: "Stimmt, aber dann muss man einen Antrag beim Vorstand stellen mit weitreichendem Haftungsausschluss" usw. Also ein echter Abwimmler.
Das hier mit dem Formular geht deutlich einfacher (kostet übrigens 50 Euro)
Moin,
habe schon dem Kollegen geschrieben, dass es geht mit dem Formular.
Es geht aber nur für die Lancom Router der DATEV (Typ 1781EF und 1781EF+).
Wenn man andere Router hat (?) geht es nicht.
Es wird dann von 2 unterschiedlichen Abteilungen geprüft, ob das, was man vorhat, technisch geht und sicherheitstechnisch "vertretbar" ist.
Und es geht auch nur für ausgehende Verbindungen - aber das ist eine vertretbare Einschränkung.
.... öffentlich zugänglich ( in der Info-Datenbank) ist aber wenigstens ein Hinweis, dass eine Portfreigabe möglich ist
VG
Michael Vogtsburger
Ganz einfach:
Servicekontakt an datevnet (ist sogar im SK auswählbar) mit dem Hinweis/Bitte auf eine Portfreischaltung
dann bekommt man Antwort mit dem Dokument, dass füll man aus und schickt es zurück.
Wenn man es schnell erledigt haben möchte, nimmt man den Eilservice in Anspruch. Dann ist die Sache in einer Stunde erledigt.
Ansonsten geht es aber auch sehr schnell, diese Fachabteilung ist gut aufgestellt!
fritsche: Welcher Port würde denn von der DATEV dazu freigeschaltet? 3389 wie vermutet? Würde mich wirklich sehr interessieren.
... ja, wäre interessant ....
... aber auch gefährlich , oder ? ...
... aber auch gefährlich , oder ? ...
Genau deshalb bin ich ja so neugierig, weil es schon wieder Lücken im RDP Protokoll gab, die mit den kumulativen August Updates geschlossen worden sind und ähnlich gefährlich waren wie #EternalBlue.
Dejablue: Erneut Sicherheitslücken im Windows-Remote-Desktop - Golem.de
Hi,
Mandanten machen mitunter schon komische Dinge... RDP/VNC/u.s.w. hart im Internet... ein einziges Security-Desaster... und dann auch noch in einem Netzwerk mit Schutzklasse 4 Daten (Patientendaten). Den Zahnarzt würde ich auf jeden Fall wechseln.
Bevor ich nun stundenlang mit der DATEVasp-Abteilung verhandeln würde:
Eine kleine UTM mit ins Kanzleinetz. Diese bekommt einen Weg ins Internet (am ASP-Router vorbei) und eine Gateway-Route für die ASP-Server auf den ASP-Router. Der/die Rechner, die nun bei dem Mandanten zugreifen müssen, bekommen die UTM als Standard-Gateway.
Zudem würde sich anbieten bei dem Mandanten ggf. ein Gegenstück aufzustellen, welches dann eine Tunnelverbindung aufbaut. Dann kann alles im Tunnel erledigt werden und der Techniker beruhigt wieder schlafen...
Grüße
Chr.Ockenfels
Bsp: Kanzlei/Mandant mit einer Sophos-SG105 mit Network-Protection und fertig. Es gehen natürlich auch andere Produkte.
Moin,
Einen kurzen Zwischenstand:
unser Zugang zum Mandanten ist zweistufig:
erst wird ein VPN-Tunnel aufgebaut
und dann wird über den Tunnel die RDP-Sitzung aufgebaut.
Die Sicherheitslücken spielen daher (wohl) keine Rolle.
Die Angaben zu den Ports erhalte ich demnächst vom IT-Dienstleister unseres Mandanten
Die Sicherheitslücken spielen daher (wohl) keine Rolle.
Na immerhin sind die Lücken dann im Tunnel - auch nicht schön aber doch recht sicher. Aktuelle Windows Updates sollte man dennoch installieren.
Danke für die Info!