Datenverbindungen
Die Notarnetzbox wird in Konfiguration "ohne Sicherheitspaket" mit nur einem Netzwerkanschluss (wie ein Arbeitsplatz oder ein Netzwerkdrucker) im LAN angeschlossen. Der für die Services im Notarnetz bestimmte Datenverkehr durch geeignete Routing-Maßnahmen von den betreffenden Arbeitsplätzen LAN-Seitig zur Notarnetzbox geleitet, dort verschlüsselt in einem Tunnel-Protokoll über dasselbe Netzwerk-Interface zum Internet-Gateway und von dort über das Internet zu den Einwahl-Servern des Notarnetzs geleitet.
- WAN-seitig darf der Tunnel zwischen Notarnetzbox und Einwahl-Servern des Notarnetzes nicht behindert werden.
- In der Regel wird die Notarnetzbox im Subnetz zusammen mit den betreffenden Arbeitsplatz-Rechnern angeschlossen. Andernfalls sind geeignete Maßnahmen erforderlich, damit Daten zwischen den Arbeitsplätzen und der Notarnetzbox den Hin- und Rückweg finden.
Im Folgenden wird unterschieden:
- Tunnelverbindung zwischen Notarnetzbox und den Einwahl-Servern als Gegenstelle
- Datenverbindung und Routing zwischen den betreffenden Arbeitsplätzen und der Notarnetzbox
Tunnel-Verbindung zwischen Notarnetzbox und Bundesnotarkammer
Damit der Datenverkehr des Tunnels zwischen Notarnetzbox und den VPN- / LN-Servern im Rechenzentrum der Bundesnotarkammer über das Internetgateway ungehindert passieren kann, sind die in den folgenden Kapiteln beschriebenen Punkte zu beachten. Eine aktive Tunnel-Verbindung wird an der Notarnetzbox durch dauerhaftes Leuchten der PPP-LED angezeigt.
Das verwendete L2TP-Protokoll muss passieren können. Dazu muss ausgehend UDP 1701 für die IP-Adresse der Notarnetzbox offen und L2TP-Passthrough möglich sein. In manchen Fällen hilft ein Port-Forwarding eingehend für UDP 1701 zur IP-Adresse der Notarnetzbox bzw. ein Port-Triggering für UDP 1701 ein- und ausgehend. Die Tunnel-Gegenstellen (LN-Server) liegen unter den im Kapitel ZIEL-NETZE UND ROUTING ZU DEN ZENTRALEN SERVICES angegebenen IP-Adressbereichen. Bei Bedarf kann eine Portfreigabe auf diesen Adressbereich einerseits und auf die Notarnetzbox andererseits eingegrenzt werden. Außerdem muss die MTU insbesondere auch WAN-seitig über die Internetverbindung ausreichend groß sein (1492). Schalten Sie möglichst WAN-seitig ICMP frei. Sofern die Notarnetzbox in der DMZ betrieben wird, bitte den Zugriff IP- oder Port-basierend einschränken
Unter Umständen werden UDP-Datenpakete zwischen Notarnetzbox und der Gegenstelle, den LN-Servern, von Firewall- / Router-Regeln blockiert oder als Angriff gewertet. Dies kann zu folgenden Effekten führen:
- Sehr langsame Verbindung durch Verzögern oder Blockieren eines Teils von Datenpaketen
- Zeitweise Unterbrechung und automatischer Wiederaufbau des Tunnels
- Verbindungsunterbrechung des Tunnels bis der Internet-Router / die Firewall neu gestartet wird. In einigen Fällen muss zusätzlich die Notarnetzbox neu gestartet werden
In manchen Fällen treten Tunnelabbrüche regelmäßig auf, z.B. 24 h nach Neustart des Internet-Routers. Auslöser ist i. d. R die Zwangstrennung des Internetproviders. Internetprovider haben unterschiedliche Regelungen und Zeiten bezüglich der Zwangstrennung. Je nach Leitungsprodukt gibt es keine Zwangstrennung. Durch Neustart der Firewall / des Internet-Routers wird die Blockade häufig bis zur nächsten Zwangstrennung aufgehoben.
Wie im Kapitel Port- und Protokollfreigabe ausgeführt, kann ein explizites Port-Forwarding zur IP-Adresse der Notarnetzbox oder ein Port-Trigger die Blockaden unterbinden. Bei hochwertigen Routern / Firewalls können explizit Ausnahmen in Firewall und Intrusion-Detection gesetzt werden.
Die Blockaden können auch beim Internet-Anschluss liegen. Bei einigen Providern gibt es beispielsweise für Produkte, die für den Privatgebrauch angeboten werden, Einschränkungen bei der Datenweiterleitung.
Damit der Datenverkehr des Tunnels zwischen Notarnetzbox und den VPN- / LN-Servern im Rechenzentrum der Bundesnotarkammer über das Internetgateway ungehindert passieren kann, sind die in den folgenden Kapiteln beschriebenen Punkte zu beachten. Eine aktive Tunnel-Verbindung wird an der Notarnetzbox durch dauerhaftes Leuchten der PPP-LED angezeigt
Wenn auf dem Router / der Firewall bereits L2TP-VPNs unter Verwendung von UDP 1701 terminieren, kann es zu Konflikten kommen, wenn der Router die für die Notarnetzbox bestimmten Datenpakete nicht weiterleitet. Wenn weitere VPN-Clients im LAN hinter dem Router platziert sind, kann es ebenfalls zu Konflikten kommen. Nicht alle Router / Firewalls können mit den beschriebenen Szenarien umgehen. Erfahrungsgemäß liegt dies zum Teil an Fehlern in der Router-Software, die durch ein Update der Firmware oder Austausch des Internet-Routers behoben werden kann.
Die Notarnetzbox baut einen L2TP-Tunnel zur IT der Bundesnotarkammer auf. Es ist zu vermeiden, dass WAN-seitig dieser Tunnel über bereits per L2TP oder PPTP VPN getunnelte Verbindungen erfolgt. Bei einer Verschachtelung mehrerer gleichartiger VPNs wird oftmals die zulässige Netzwerk-Paketgröße überschritten. Neben Performance-Einschränkungen kommt es dann zu sporadisch auftretenden fehlerhaften Netzwerkpaketen. Um diese Problematik zu vermeiden, sollte darauf geachtet werden, dass die Notarnetzbox in einem Subnetz / an einem Standort mit direktem Zugang zum Internet installiert wird – siehe auch Kapitel „Notarnetzbox in einem anderen Subnetz“.
Datenroute vom Notar-Arbeitsplatz zur Notarnetzbox
Während bei NotarnetzPlus der gesamte externe Datenverkehr der Notar-Arbeitsplätze über den Notarnetz-Anschluss läuft (Notarnetzbox als Standardgateway) und Routing sowie Internet-Breakout mit entsprechenden Internet-Schutz-Einrichtungen als zentrale Services zentral geleistet werden, muss dies bei dem Notarnetz-Zugang ohne Sicherheitspaket im lokalen IT-System bereitgestellt werden. Die Notarnetzbox wird dementsprechend bei Bestellung anders konfiguriert:
- Die Notarnetzbox hat nur einen Anschluss für das lokale Netzwerk. Die zum Notarnetz ausgehende Tunnel-Verbindung wird über denselben Anschluss zum allgemeinen Internet-Gateway des lokalen Netzes geleitet.
- Von der Notarnetzbox werden nur die IT-Services der Bundesnotarkammer betreffenden IP-Netze über die Tunnel-Verbindung geleitet, Zugriffe auf anxdere IP-Netze werden direkt an das allgemeine Internet-Gateway weitergeleitet.
- Der Datenverkehr von den Notar-Arbeitsplätzen muss also durch entsprechende Routing-Maßnahmen im lokalen Netz so geleitet werden, dass Hin- und Rückweg für alle Ziele eindeutig definiert ist.
Ziel-Netze und Routing zu den zentralen Services
Folgende IP-Netzbereiche werden derzeit für dien Zugriff auf die zentralen Services im Notarnetz verwendet. Die Datenverbindungen von den Notar-Arbeitsplätzen zu den zentralen Services müssen über die Notarnetzbox geleitet werden.
77.76.214.0/23
185.47.125.0/24
185.47.126.0/24
185.47.127.0/24
Daten-Route - Konfiguration und Besonderheiten
Die Routen-Einstellungen werden im einfachen Fall (nur) an den betreffenden Notar-Arbeitsplätzen eingereichtet oder an zentraler Stelle verwaltet. In jedem Fall sind geeignete Maßnahmen erforderlich:
- um nur Geräten, die für die notarielle Amtstätikeit genuutzt werden, die Datenverbindung zum Notarnetz zu ermöglichen
- und zum Schutz der Konfiguration vor Manipulation.
Routen und Anschluss-Szenario
Die Notarnetzbox wird normalerweise im Subnetz zusammen mit den Notar-Arbeitsplatzrechnern angeschlossen. Wenn die Notarnetzbox in einem anderen Subnetz platziert werden muss, sind besondere Maßnahmen notwendig. Bei Einsatz von Proxy-Servern ist zu beachten, dass die Proxy-Konfiguration neben den Routen-Einstellungen an Rechnern und Routern den Weg des Datenflusses bestimmt.
Über Routing der Ziel-Netze im Subnetz der Arbeitsplätze werden die Daten zur Notarnetzbox geleitet. Im Rückkanal finden die Datenpakete innerhalb des Subnetzes den betreffenden Arbeitsplatz-Rechner. Die Routen zur Notarnetzbox werden individuell am Arbeitsplatz oder an auf andere Weise gesetzt. Siehe hierzu auch das Kapitel Routen-Einstellungen unter Betriebnahme der Notarnetzbox in 5 Schritten.
Da in der Notarnetzbox nur das Gateway für ausgehenden Datenverkehr nicht aber das Gateway für die Rückroute zu den Arbeitsplätzen konfiguriert werden kann, muss die Notarnetzbox entweder im Subnetz mit den Arbeitsplätzen platziert werden oder es muss über NATing gewährleistet werden, dass die Daten den Rückweg zu den betreffenden Arbeitsplatz-Rechnern in anderen Subnetzen über dazwischenliegende Gateways finden. Alternative Router-Konfigurationen sind mit den im erweiterten NotarnetzPlus-Programmmöglich. Mit NotarnetzPlus können beispielsweise individuelle Rückrouten gesetzt werden, und es ist bei Bedarf eine zweite Schnittstelle in ein Transfernetz möglich.
Für den Betrieb in einer DMZ muss die Notarnetzbox mit einer IP-Adresse aus der DMZ konfiguriert sein/werden. Der Zugriff außerhalb der DMZ auf die Notarnetzbox (fremdes Subnetz) muss via NATing erfolgen, da die Notarnetzbox eine Firewall-ACL besitzt, die den Zugriff zum Register von den SRC-Adressen des LAN einschränkt.
Die Notarnetzbox nutzt für den Zugriff auf die Dienste der Bundesnotarkammer folgende Protokolle:
- Aufbau des Tunnels per L2TP (Layer 2 Tunneling Protocol) Port UDP 1701
- Zugriffe auf die Dienste per HTTPS (Hypertext Transfer Protocol over SSL/TLS) Port TCP 443
Wenn Proxy-Server im Einsatz sind, müssen diese bei der Konfiguration der Daten-Routen vom Ar-beitsplatz zur Notarnetzbox und zurück berücksichtigt werden. Durch Setzen von Proxy-Ausnahmen an den betreffenden Arbeitsplätzen werden die betreffenden Datenpakete gemäß den Routen-Einstellungen am Arbeitsplatz zur Notarnetzbox geleitet und nicht zum Proxy-Server und von dort in das Internet. Wenn der Proxy-Server nicht beim Provider sondern im eigenen Netzwerk betrieben wird, können alternativ Regeln am Proxy-Server gesetzt werden, die die betreffenden Daten über die Notarnetzbox leiten.
Die Proxy- Ausnahmen für namensbasierte Adressierung lauten: *.bnotk.de;*.dnoti-online-plus.de
Für die direkte IP-basierende Adressierung verwenden Sie bitte die unter Ziel-Netze und Routing zu den zentralen Services angegebenen Adressbereiche.
Die Notarnetzbox kann als Standard-Gateway genutzt werden. Die Notarnetzbox routet die für die IT-Plattform der Bundesnotarkammer bestimmten Daten durch den VPN-Tunnel und alle anderen Daten zum allgemeinen Internet-Gateway. An den betreffenden Arbeitsplätzen wird die Notarnetzbox als Standardgateway eingestellt. Zu beachten ist, dass alle externen Datenpakete zunächst über die Notarnetzbox laufen, diese also eingeschaltet und funktionsfähig sein muss.
Betrieb der Notarnetzbox in VLAN-Infrastruktur
Prinzipiell kann die Notarnetzbox auch in VLAN-Infrastrukturen betrieben werden. Dabei sollten folgende Hinweise beachtet werden:
- Die Ports der Notarnetzbox sind „untagged“.
- Die Notarnetzbox verwendet intern das Native-VLAN VID 1.
- STP ist auf der Notarnetzbox für Native-VLAN per Standardeinstellung aktiv.
Sofern auf dem Ihrem Switch die Notarnetzbox in ein anderes VLAN gehängt wird, kann es vorkommen, dass der Switch den Port aufgrund eines VLAN-Missmatch blockiert. Dies sollte allerdings im Log des Switch ersichtlich sein bzw. lässt sich das Verhalten des Ports entsprechend einstellen.