Warnung: Windows 11 pro letztes Update zerballert das Indamed TI Gateway. – Seite 3 – MEDICAL OFFICE Forum

#21 · 31. Oktober 2025, 7:35

Passt: Habe Wlan in der Praxis ausgeschaltet, keiner außer meiner, darf ins Internet und wir haben keinen Emailverkehr. Kein Patient kann an einen Rechner kommen, ohne einzubrechen.

Mailbox.org, als app ohne Browser zu öffnen, habe ich gleich mal getestet, das wäre was, um Rezeptanfragen etc aus der Praxishompage zu empfangen.

#22 · 31. Oktober 2025, 9:57

Zitat von Dr. M. Rothsching am 30. Oktober 2025, 17:49 Uhr

Die KV ist nicht dafür bekannt, dass sie große Expertise in IT Sicherheit hat. Da nachzufragen macht vermutlich wenig Sinn. Meine Antwort ist immer, BSI zertifizierte professionelle Hardware für den Schutz des Internetzugangs ist immer eine gute Idee.

Mal abgesehen davon, dass die KV da evtl. auch einfach nicht zuständig ist, hätten Sie von der KV da andere Vorstellungen, dass Sie da mehr in die Verantwortung genommen wird, die IT Sicherheit in den Praxen zu prüfen und zu fördern?

An den Info-Telefonen gehen halt keine IT’ler dran, eher Sacharbeiter die davon nicht wirklich ein IT-Background haben. Da stellt sich jede KV aber auch anders auf.

#23 · 31. Oktober 2025, 11:20

Von der KV wollte ich eine rechtliche Bestätigung. Dass die nicht kompetent wären, glaube ich nicht. Meine KV hat einen Itler der jetzt in die Wirtschaft gewechselt ist. Vielleicht hätte ich einen Teltonika Router genommen, hätte ich eine andere Antwort bekommen. Zusammen mit mailbox.org, dass ich heute installiert habe (Dank an PQ) sollte das erst mal ausreichen.

#24 · 31. Oktober 2025, 13:59

Zitat von bro am 31. Oktober 2025, 7:35 Uhr

Passt: Habe Wlan in der Praxis ausgeschaltet, keiner außer meiner, darf ins Internet und wir haben keinen Emailverkehr. Kein Patient kann an einen Rechner kommen, ohne einzubrechen.

Mailbox.org, als app ohne Browser zu öffnen, habe ich gleich mal getestet, das wäre was, um Rezeptanfragen etc aus der Praxishompage zu empfangen.

Alles ,was die Sicherheit verbessert ist gut. Mailbox.org war schon mal eine gute Idee. Solange sie das WLAN nicht für ihre Praxisgeräte nutzen, ist es nicht verwerflich, es einzuschalten. Ein Kompromiss wäre es, das WLAN nur automatisch während der Praxiszeiten einzuschalten, das sollte die Fritzbox können.

Sie können natürlich ihre E-Mails auch mit z.B. Thunderbird abfragen. Mailbox.org bietet die sogenannten App-Passworte an, diese bieten nochmals mehr Sicherheit. Einen wesentlichen Beitrag zu mehr Sicherheit bietet auch das Sperren der USB-Ports für Wechseldatenträger (USB-Stickes etc.). Auch das Laden von Handys an USB-Ports der Rechner bietet eine hohes Risiko.

Das automatische Abschalten der Bildschirme nach x Minuten hilft und das Sperren der Rechner, wenn „man“ den Rechner verlässt, ist hilfreich. Windows+ L ist schnell gedrückt, dann gibt es keine Probleme. Leere Passsworte oder das Abschalten der Passworte ist keine gute Idee.

#25 · 31. Oktober 2025, 14:10

Zitat von Peter Quick am 30. Oktober 2025, 22:46 Uhr

also bleibt die zusätzliche Sicherheit für den Internetverkehr von innen. Selbstverständlich hat dann eine Profi – Firewall wesentliche Vorteile bei der Kontrolle des Netzverkehrs. Schützt das zuverlässig vor Virenbefall oder Abfluss der Daten?

Diese Firewalls können u.a. den ausgehenden Netzwerkverkehr kontrollieren und einschränken. Daneben prüfen diese Geräte etwa auf „böse“ Verbindungen (Command and Control) und blockieren diese. Ein großes Plus ist die GEOIP Funktion, damit können Sie einfach den Netzwerkverkehr in und aus bestimmten Ländern sperren.

Ein großes Thema ist z.b. den Druckern den Weg ins Internet zu sperren.

https://business-services.heise.de/security/bedrohungen-schwachstellen/beitrag/drucker-das-unterschaetzte-sicherheitsrisiko-3143

Ein wichtiges Thema ist die Nutzung von DNS über https. Mit einem Dienst wie NEXTDNS können Sie sehr einfach für mehr Sicherheit sorgen.

#26 · 31. Oktober 2025, 15:17

Mailbox.org check

WLAN verboten

Laden von Handys an USB-Ports verboten

automatische Abschalten der Bildschirme check

Thomas Schössow hat auf diesen Beitrag reagiert.

#27 · 31. Oktober 2025, 22:52

Zitat von Thomas Schössow am 31. Oktober 2025, 14:10 Uhr

Zitat von Peter Quick am 30. Oktober 2025, 22:46 Uhr

also bleibt die zusätzliche Sicherheit für den Internetverkehr von innen. Selbstverständlich hat dann eine Profi – Firewall wesentliche Vorteile bei der Kontrolle des Netzverkehrs. Schützt das zuverlässig vor Virenbefall oder Abfluss der Daten?

Diese Firewalls können u.a. den ausgehenden Netzwerkverkehr kontrollieren und einschränken. Daneben prüfen diese Geräte etwa auf „böse“ Verbindungen (Command and Control) und blockieren diese. Ein großes Plus ist die GEOIP Funktion, damit können Sie einfach den Netzwerkverkehr in und aus bestimmten Ländern sperren.

Ein großes Thema ist z.b. den Druckern den Weg ins Internet zu sperren.

https://business-services.heise.de/security/bedrohungen-schwachstellen/beitrag/drucker-das-unterschaetzte-sicherheitsrisiko-3143

Ein wichtiges Thema ist die Nutzung von DNS über https. Mit einem Dienst wie NEXTDNS können Sie sehr einfach für mehr Sicherheit sorgen.

Vielen Dank für die Anregungen. Werde ich auf jeden Fall drüber nachdenken. Mein DNS läuft über Pi-Hole, das sehr viele Schadseiten aussperrt. Meine Drucker dürfen und brauchen nicht ins Netz (habe Kyocera 3045 und 2040).

ich hätte auch prinzipiell kein Problem, damit, 50 € pro Monat für eine funktionierende und gute Firewall auszugeben. Irgendjemand muss das Ganze aber konfigurieren und ich muss es auch verstehen können. Denn ich möchte nicht prinzipiell immer externe Hilfe in Anspruch nehmen müssen und selbst nicht verstehen, was genau passiert.

wenn mir jemand zum Beispiel für 200 € oder 300 € die Firewall vernünftig konfiguriert und mir auch zeigt, was ich genau tun kann, wenn ich was ändern möchte, wäre das für mich völlig in Ordnung. Es muss für mich nur auch ein echter Mehrwert entstehen und ich glaube, ich habe schon mein Angriffsprofil sehr verkleinert…

Thomas Schössow hat auf diesen Beitrag reagiert.

#28 · 1. November 2025, 11:00

Zitat von bro am 1. November 2025, 11:00 Uhr
KI Dein Freund kann Dir das einrichten, ich habs mal durchgespielt für einen Teltonika Router. Den habe ich schon mal eingerichtet, nur ohe die Firewall Nummer. Das kann man tatsächlich Schritt für Schritt so abarbeiten. Das geht auch für Menschen wie mich, die das nicht wirklich verstehen. Man braucht dann noch ein z.B. ALLNET ALL‑BM200VDSL2V Bridge Modem, wenn man nicht über 5G Funk geht. Wer kein WLAN nutz kann auch diesen nehmen. Teltonika RUTX10 Unter 200 € gleiche Firewall. Leider kenne sich die FLS damit nicht aus.

🔒 Zielsetzung

RUTX50 als sichere, gehärtete Internet-Firewall:

Kein externer Zugriff von außen.

Nur notwendige Ports (HTTP/HTTPS/DNS/NTP) nach außen.

Schutz gegen Angriffe aus dem Internet.

Server baut WireGuard-Tunnel auf, nicht der Router. Cave: TI Gateway das ist die Stelle wo man Probleme bekommt und ohne FLS eventuell nicht weiter kommt

Der Router muss nur den VPN-Verkehr (UDP 51820) ausgehend erlauben.

Kein eingehender Port aus dem Internet nötig.

LAN-Clients und Server dürfen ins Internet, aber strikt kontrolliert.

Optional: Protokollierung und Zugriffsbeschränkung auf Update-Domains.

⚙️ Schritt-für-Schritt-Konfiguration (RUTX50)

1. Grundhärte (Baseline Security)

Firmware aktualisieren:

System → Firmware → Check for updates → installieren (Sicherheitslücken schließen).

Admin-Zugang sichern:

Neues starkes Passwort, SSH nur mit Key (falls nötig).

Web-GUI nur per HTTPS (System → Administration → Access control).

Unnötige Dienste abschalten:

TR-069, SNMP, Teltonika RMS, Modbus etc. deaktivieren, wenn nicht genutzt.

Zeitsynchronisation:

System → Time → NTP-Server eintragen (z. B. time.cloudflare.com).

Syslog aktivieren:

System → Maintenance → Logging → Remote Logging aktivieren (z. B. auf Praxis-Server).

2. Netzwerkaufbau

Network → Interfaces

Interface IP-Adresse / Zweck Hinweise

LAN 192.168.100.1/24 DHCP an (z. B. für 192.168.100.10-200)

WAN PPPoE oder LTE Internetzugang

(kein WireGuard-Interface am Router nötig!) WireGuard läuft auf dem Server

→ Save & Apply

3. Firewall-Zonen

Network → Firewall → Zones

Zone Networks Input Output Forward Masquerade Forward to

LAN br-lan ACCEPT ACCEPT ACCEPT no WAN

WAN wan DROP ACCEPT DROP yes

Erklärung:

WAN → Router: alles geblockt (DROP).

LAN → WAN: erlaubt, damit Internet funktioniert.

NAT (Masquerade) für WAN aktiv.

4. Traffic-Regeln (nur das Nötigste offen)

Firewall → Traffic Rules → Add

Name Src Dst Protocol Ports Action Kommentar

Allow DNS LAN → WAN UDP 53 ACCEPT DNS-Anfragen erlauben

Allow HTTPS LAN → WAN TCP 443 ACCEPT Web-Updates

Allow HTTP LAN → WAN TCP 80 ACCEPT Paketupdates

Allow NTP LAN → WAN UDP 123 ACCEPT Zeitsync

Allow WireGuard outbound LAN → WAN UDP 51820 ACCEPT Server darf VPN aufbauen

👉 Optional: Wenn du willst, kannst du den „Allow WireGuard outbound“ auf die IP des RISe-Farm-Servers einschränken, z. B.

Destination IP: 203.0.113.45 Destination Port: 51820

Alles andere wird standardmäßig verworfen.

5. DHCP / DNS-Sicherheit

Network → LAN → Advanced Settings → Local DNS = 192.168.100.1

Network → DHCP Server → Advanced Settings → DHCP-Options

6,9.9.9.9,1.1.1.1

(setzt DNS-Server für Clients)

Optional: DNS-Rebinding-Schutz aktivieren (Security → DNS Settings).

6. Server (Praxis) – WireGuard-Konfiguration

Auf dem Praxis-Server (Linux-Beispiel, wg0.conf):

[Interface] Address = 10.254.0.2/32 PrivateKey = DNS = 9.9.9.9
[Peer] PublicKey = AllowedIPs = 10.254.0.1/32 Endpoint = :51820 PersistentKeepalive = 25

Firewall des Servers:

Eingehend: nur SSH von LAN, nur Established/Related.

Outgoing: UDP 51820 → RISe-Farm erlaubt.

Damit baut der Server den Tunnel auf und spricht sicher mit dem TI-Gateway in der Farm.

7. Internet-Zugang für Clients

Die Clients im LAN verwenden den RUTX50 als Gateway:

IP automatisch per DHCP (z. B. 192.168.100.x)

Gateway: 192.168.100.1

DNS: 192.168.100.1 (oder die im Router hinterlegten externen DNS).
→ Sie kommen über den Router ins Internet, ohne dass Ports von außen offen sind.

8. Test-Plan

Vom Server aus:

ping 8.8.8.8 → Internet ok ping → erreichbar über WireGuard? wg show → Handshake ok?

Von Client aus:

ping 8.8.8.8 → Internet ok

Externen Port-Scan durchführen (z. B. über ShieldsUP oder nmap von außerhalb)
→ Es sollte kein offener Port sichtbar sein.

9. Optionale Zusatz-Härtung

Thema Maßnahme

IDS/IPS Teltonika unterstützt Suricata – kann aktiviert werden.

DNS-Filter Nur vertrauenswürdige Resolver (Quad9, Cloudflare, Telekom Secure DNS).

VPN-Fallback RUTX50 kann per RMS oder SMS-Trigger neustarten, falls Server-VPN hängt.

Monitoring SNMP deaktivieren, stattdessen Syslog an zentralen Server.

✅ Zusammenfassung: Minimal, sicher, TI-konform

Bereich Zweck Status

WAN-Eingang Alles geblockt ✅

Outbound Nur DNS/HTTP/HTTPS/NTP/WireGuard ✅

LAN-NAT aktiv (Masquerade) ✅

WireGuard-Traffic (Server → Farm) erlaubt ✅

WebUI-Zugang nur intern, HTTPS ✅

Logging aktiv ✅

Wenn du willst, kann ich dir jetzt noch:

die komplette WebUI-Checkliste (jede Maske, jeder Feldwert zum Abhaken) oder

ein automatisiertes UCI/CLI-Skript (damit du es auf mehrere RUTX50 gleichzeitig ausrollen kannst)

vorbereiten.

👉 Was soll ich dir liefern – WebUI-Checkliste oder CLI-Skript?

Du:

was ist der unUnterschied

ChatGPT:

Ah, perfekt — dann erkläre ich dir den Unterschied ganz klar und praxisnah. Es geht darum, wie die Konfiguration auf dem Teltonika RUTX50 umgesetzt wird:

1️⃣ WebUI-Checkliste (grafische Oberfläche)

Beschreibung:

Du gehst auf die Weboberfläche des Routers (https://).

Jede Einstellung wird manuell über Menüs, Felder, Dropdowns gesetzt.

Ich würde dir Schritt für Schritt zeigen: „Gehe zu X → Klicke Y → Trage Z ein → Speichern“.

Eignet sich perfekt, wenn du einen Router hast, alles visuell nachvollziehen willst und keine CLI-Erfahrung hast.

Vorteil: Sehr sicher, du siehst sofort, was du tust.

Nachteil: Aufwändig, wenn du viele Router einrichten willst.

Beispiel:

WebUI → Network → LAN → IP = 192.168.100.1

WebUI → Firewall → Zone „LAN“ → Masquerade aktiv

WebUI → Firewall → Traffic Rule → Allow TCP 443, UDP 53

…jede Einstellung wird angeklickt / ausgewählt

2️⃣ CLI/UCI-Skript (Terminal / Automatisierung)

Beschreibung:

Teltonika-Router basiert auf RutOS/OpenWrt, du kannst Einstellungen per Kommandozeile oder Skript setzen.

UCI (Unified Configuration Interface) ist die RutOS-Konfigurationsschnittstelle, quasi die „Konfigurationsdatei hinter der WebUI“.

Du erstellst ein Skript mit allen Befehlen, lädst es hoch, startest → Router konfiguriert sich automatisch.

Vorteil:

Schnell auf vielen Routern gleichzeitig (z. B. mehrere Praxen).

Reproduzierbar, Versionierbar, Backup einfach.

Nachteil:

Weniger visuell, Fehler in Skript → falsche Konfiguration, schwerer zu debuggen ohne CLI-Erfahrung.

Beispiel:

# LAN IP setzen uci set network.lan.ipaddr='192.168.100.1' uci commit network /etc/init.d/network restart # Firewall Zone LAN -> WAN mit Masquerade uci set firewall.@zone[1].masq='1' uci commit firewall /etc/init.d/firewall restart
# Allow DNS / HTTPS / WireGuard uci add firewall rule uci set firewall.@rule[-1].src='lan' uci set firewall.@rule[-1].dest='wan' uci set firewall.@rule[-1].proto='tcp udp' uci set firewall.@rule[-1].dest_port='53 80 443 51820' uci set firewall.@rule[-1].target='ACCEPT' uci commit firewall /etc/init.d/firewall restart

✅ Zusammengefasst

Aspekt WebUI CLI/UCI-Skript

Bedienung Maus/Tastatur, visuell Terminal / Script

Geschwindigkeit Eher manuell Schnell, automatisierbar

Fehleranfälligkeit geringer (leicht nachvollziehbar) höher bei Syntaxfehlern

Ideal für 1-2 Router Viele Router / wiederholbare Installationen

Backup/Versionierung Export Config Skript in Git oder Share

💡 Kurz gesagt: WebUI = klick und sehen, CLI/UCI = skripten und automatisieren.
Beide Methoden führen zum gleichen Ergebnis; es ist nur eine Frage der Skalierung und Präferenz.

Wenn du willst, kann ich dir beide Varianten direkt auf deine Praxis + RUTX50 + TI/Farm-Setup anpassen:

WebUI-Checkliste: Feld-für-Feld, Schritt-für-Schritt für einen Router.

CLI/UCI-Skript: automatisierbares Script für Server + Firewall + NAT + VPN-Traffic.

Willst du zuerst die WebUI-Anleitung oder das CLI-Skript?

KI Dein Freund kann Dir das einrichten, ich habs mal durchgespielt für einen Teltonika Router. Den habe ich schon mal eingerichtet, nur ohe die Firewall Nummer. Das kann man tatsächlich Schritt für Schritt so abarbeiten. Das geht auch für Menschen wie mich, die das nicht wirklich verstehen. Man braucht dann noch ein z.B. ALLNET ALL‑BM200VDSL2V Bridge Modem, wenn man nicht über 5G Funk geht. Wer kein WLAN nutz kann auch diesen nehmen. Teltonika RUTX10 Unter 200 € gleiche Firewall. Leider kenne sich die FLS damit nicht aus.

🔒 Zielsetzung

RUTX50 als sichere, gehärtete Internet-Firewall:
- Kein externer Zugriff von außen.
- Nur notwendige Ports (HTTP/HTTPS/DNS/NTP) nach außen.
- Schutz gegen Angriffe aus dem Internet.
Server baut WireGuard-Tunnel auf, nicht der Router. Cave: TI Gateway das ist die Stelle wo man Probleme bekommt und ohne FLS eventuell nicht weiter kommt
- Der Router muss nur den VPN-Verkehr (UDP 51820) ausgehend erlauben.
- Kein eingehender Port aus dem Internet nötig.
LAN-Clients und Server dürfen ins Internet, aber strikt kontrolliert.
- Optional: Protokollierung und Zugriffsbeschränkung auf Update-Domains.

⚙️ Schritt-für-Schritt-Konfiguration (RUTX50)

1. Grundhärte (Baseline Security)

Firmware aktualisieren:
- System → Firmware → Check for updates → installieren (Sicherheitslücken schließen).
Admin-Zugang sichern:
- Neues starkes Passwort, SSH nur mit Key (falls nötig).
- Web-GUI nur per HTTPS (System → Administration → Access control).
Unnötige Dienste abschalten:
- TR-069, SNMP, Teltonika RMS, Modbus etc. deaktivieren, wenn nicht genutzt.
Zeitsynchronisation:
- System → Time → NTP-Server eintragen (z. B. time.cloudflare.com).
Syslog aktivieren:
- System → Maintenance → Logging → Remote Logging aktivieren (z. B. auf Praxis-Server).

2. Netzwerkaufbau

Network → Interfaces

Interface	IP-Adresse / Zweck	Hinweise
LAN	`192.168.100.1/24`	DHCP an (z. B. für 192.168.100.10-200)
WAN	PPPoE oder LTE	Internetzugang
(kein WireGuard-Interface am Router nötig!)		WireGuard läuft auf dem Server

→ Save & Apply

3. Firewall-Zonen

Network → Firewall → Zones

Zone	Networks	Input	Output	Forward	Masquerade	Forward to
LAN	br-lan	ACCEPT	ACCEPT	ACCEPT	no	WAN
WAN	wan	DROP	ACCEPT	DROP	yes

Erklärung:

WAN → Router: alles geblockt (DROP).
LAN → WAN: erlaubt, damit Internet funktioniert.
NAT (Masquerade) für WAN aktiv.

4. Traffic-Regeln (nur das Nötigste offen)

Firewall → Traffic Rules → Add

Name	Src	Dst	Protocol	Ports	Action
Allow DNS	LAN → WAN	UDP	53	ACCEPT	DNS-Anfragen erlauben
Allow HTTPS	LAN → WAN	TCP	443	ACCEPT	Web-Updates
Allow HTTP	LAN → WAN	TCP	80	ACCEPT	Paketupdates
Allow NTP	LAN → WAN	UDP	123	ACCEPT	Zeitsync
Allow WireGuard outbound	LAN → WAN	UDP	51820	ACCEPT	Server darf VPN aufbauen

👉 Optional: Wenn du willst, kannst du den „Allow WireGuard outbound“ auf die IP des RISe-Farm-Servers einschränken, z. B.

Alles andere wird standardmäßig verworfen.

5. DHCP / DNS-Sicherheit

Network → LAN → Advanced Settings → Local DNS = 192.168.100.1
Network → DHCP Server → Advanced Settings → DHCP-Options

6,9.9.9.9,1.1.1.1

(setzt DNS-Server für Clients)
Optional: DNS-Rebinding-Schutz aktivieren (Security → DNS Settings).

6. Server (Praxis) – WireGuard-Konfiguration

Auf dem Praxis-Server (Linux-Beispiel, wg0.conf):

Firewall des Servers:

Eingehend: nur SSH von LAN, nur Established/Related.
Outgoing: UDP 51820 → RISe-Farm erlaubt.

Damit baut der Server den Tunnel auf und spricht sicher mit dem TI-Gateway in der Farm.

7. Internet-Zugang für Clients

Die Clients im LAN verwenden den RUTX50 als Gateway:

IP automatisch per DHCP (z. B. 192.168.100.x)
Gateway: 192.168.100.1
DNS: 192.168.100.1 (oder die im Router hinterlegten externen DNS).
→ Sie kommen über den Router ins Internet, ohne dass Ports von außen offen sind.

8. Test-Plan

Vom Server aus:

ping 8.8.8.8 → Internet ok ping → erreichbar über WireGuard? wg show → Handshake ok?
Von Client aus:

ping 8.8.8.8 → Internet ok
Externen Port-Scan durchführen (z. B. über ShieldsUP oder nmap von außerhalb)
→ Es sollte kein offener Port sichtbar sein.

9. Optionale Zusatz-Härtung

Thema	Maßnahme
IDS/IPS	Teltonika unterstützt Suricata – kann aktiviert werden.
DNS-Filter	Nur vertrauenswürdige Resolver (Quad9, Cloudflare, Telekom Secure DNS).
VPN-Fallback	RUTX50 kann per RMS oder SMS-Trigger neustarten, falls Server-VPN hängt.
Monitoring	SNMP deaktivieren, stattdessen Syslog an zentralen Server.

✅ Zusammenfassung: Minimal, sicher, TI-konform

Bereich	Zweck	Status
WAN-Eingang	Alles geblockt	✅
Outbound	Nur DNS/HTTP/HTTPS/NTP/WireGuard	✅
LAN-NAT	aktiv (Masquerade)	✅
WireGuard-Traffic (Server → Farm)	erlaubt	✅
WebUI-Zugang	nur intern, HTTPS	✅
Logging	aktiv	✅

Wenn du willst, kann ich dir jetzt noch:

die komplette WebUI-Checkliste (jede Maske, jeder Feldwert zum Abhaken) oder
ein automatisiertes UCI/CLI-Skript (damit du es auf mehrere RUTX50 gleichzeitig ausrollen kannst)

vorbereiten.

👉 Was soll ich dir liefern – WebUI-Checkliste oder CLI-Skript?

was ist der unUnterschied

Ah, perfekt — dann erkläre ich dir den Unterschied ganz klar und praxisnah. Es geht darum, wie die Konfiguration auf dem Teltonika RUTX50 umgesetzt wird:

1️⃣ WebUI-Checkliste (grafische Oberfläche)

Beschreibung:

Du gehst auf die Weboberfläche des Routers (https://).
Jede Einstellung wird manuell über Menüs, Felder, Dropdowns gesetzt.
Ich würde dir Schritt für Schritt zeigen: „Gehe zu X → Klicke Y → Trage Z ein → Speichern“.
Eignet sich perfekt, wenn du einen Router hast, alles visuell nachvollziehen willst und keine CLI-Erfahrung hast.
Vorteil: Sehr sicher, du siehst sofort, was du tust.
Nachteil: Aufwändig, wenn du viele Router einrichten willst.

Beispiel:

WebUI → Network → LAN → IP = 192.168.100.1
WebUI → Firewall → Zone „LAN“ → Masquerade aktiv
WebUI → Firewall → Traffic Rule → Allow TCP 443, UDP 53
…jede Einstellung wird angeklickt / ausgewählt

2️⃣ CLI/UCI-Skript (Terminal / Automatisierung)

Beschreibung:

Teltonika-Router basiert auf RutOS/OpenWrt, du kannst Einstellungen per Kommandozeile oder Skript setzen.
UCI (Unified Configuration Interface) ist die RutOS-Konfigurationsschnittstelle, quasi die „Konfigurationsdatei hinter der WebUI“.
Du erstellst ein Skript mit allen Befehlen, lädst es hoch, startest → Router konfiguriert sich automatisch.
Vorteil:
- Schnell auf vielen Routern gleichzeitig (z. B. mehrere Praxen).
- Reproduzierbar, Versionierbar, Backup einfach.
Nachteil:
- Weniger visuell, Fehler in Skript → falsche Konfiguration, schwerer zu debuggen ohne CLI-Erfahrung.

Beispiel:

# LAN IP setzen

uci set network.lan.ipaddr='192.168.100.1'

uci commit network

/etc/init.d/network restart
# Firewall Zone LAN -> WAN mit Masquerade

uci set firewall.@zone[1].masq='1'

uci commit firewall

/etc/init.d/firewall restart

# Allow DNS / HTTPS / WireGuard uci add firewall rule uci set firewall.@rule[-1].src='lan' uci set firewall.@rule[-1].dest='wan' uci set firewall.@rule[-1].proto='tcp udp' uci set firewall.@rule[-1].dest_port='53 80 443 51820' uci set firewall.@rule[-1].target='ACCEPT' uci commit firewall /etc/init.d/firewall restart

✅ Zusammengefasst

Aspekt	WebUI	CLI/UCI-Skript
Bedienung	Maus/Tastatur, visuell	Terminal / Script
Geschwindigkeit	Eher manuell	Schnell, automatisierbar
Fehleranfälligkeit	geringer (leicht nachvollziehbar)	höher bei Syntaxfehlern
Ideal für	1-2 Router	Viele Router / wiederholbare Installationen
Backup/Versionierung	Export Config	Skript in Git oder Share

💡 Kurz gesagt: WebUI = klick und sehen, CLI/UCI = skripten und automatisieren.
Beide Methoden führen zum gleichen Ergebnis; es ist nur eine Frage der Skalierung und Präferenz.

Wenn du willst, kann ich dir beide Varianten direkt auf deine Praxis + RUTX50 + TI/Farm-Setup anpassen:

WebUI-Checkliste: Feld-für-Feld, Schritt-für-Schritt für einen Router.
CLI/UCI-Skript: automatisierbares Script für Server + Firewall + NAT + VPN-Traffic.

Willst du zuerst die WebUI-Anleitung oder das CLI-Skript?

#29 · 1. November 2025, 16:29

Das kann man natürlich alles so machen und ich nutze auch gerne die Hilfe von KI. Insbesondere Claude nutze ich mittlerweile sehr viel und die Software hilft mir gut. Bei solchen Sicherheitsdingen sollte man jedoch grundlegend auch verstehen, was passiert. Denn KI ist nicht fehlerfrei und wenn ihre Praxis entweder komplett vom Internet abgeschnitten ist oder die Firewall offen wie ein Scheunentor da steht, dann ist es ziemlich blöd…

unsere Kunden sprich Patienten heilen sich ja auch nicht mit KI selbst. Nicht umsonst gibt es noch uns, die wir das schon ziemlich lange machen… ich nutze in meinem Fachbereich die KI auch gerne als Diskussionspartner, weil sie einem noch mal neue Aspekte bringt, an die man vielleicht nicht selbst gedacht hat. Aber auch hier sollte man grundlegende Kenntnisse von dem haben, was man tut. Sonst gerät man ziemlich schnell auf die schiefe Bahn und in eine Sackgasse

Christian Schnell und Thomas Schössow haben auf diesen Beitrag reagiert.