Was ist ein SAPRouter?

SAPRouter

kurz und knapp

Der SAPRouter ist eine Software für die Sicherung der Supportverbindung zur SAP. Wir legen damit u.a. fest, auf welche SAP-Server in unserem Netzwerk ein Support-Mitarbeiter der SAP zugreifen darf.

Und wofür braucht ein SAP-Basis-Administrator das?

Womit man sich als SAP-Basis-Administrator nicht alles herumschlagen muss! Nun also auch noch mit Netzwerksicherheit und Verschlüsselung! Irgendwie hat man manchmal den Eindruck, dass unsere eigentliche Aufgabe, der Betrieb der SAP-Server, auf das Nebengleis gerät. Aber denken Sie daran, dass wir manchmal Support von der SAP benötigen! Der SAPRouter macht genau das möglich. Er erlaubt einem SAP-Mitarbeiter, der uns helfen möchte, eine verschlüsselte Verbindung zu unserem SAP-System aufzubauen. Und noch etwas: Wenn Sie einen SAPRouter zum Laufen gebracht haben, dann haben Sie etwas über die Grundlagen von Firewalls, Verschlüsselungstechniken und Zertifikaten gelernt. Das sind doch lohnende Ziele!

Die Herstellung einer SAP-Support-Verbindung ist Hauptinhalt dieses Artikels.

Wie funktioniert der SAPRouter?

Der SAPRouter fügt sich in die Unternehmens-Firewall ein. In den Firewall-Regeln werden IP-Adressen und Ports freigegeben, auf die die SAP zugreifen darf. Der SAPRouter regelt die Details, wie auf die einzelnen Server zugegriffen werden darf. Stellen Sie sich die Firewall als Wand vor. In diese Wand ist eine Tür eingelassen (Firewall-Regeln). Der SAPRouter hat den Schlüssel für diese Tür und regelt den Einlass. Er ist sozusagen der Türsteher und verwehrt allen unberechtigten Eindringlingen den Zugang: „Du kommst hier nicht rein! – Nicht mit diesem Protokoll!“

Darüber hinaus ermöglicht er den Zugriff auf Server mit nicht öffentlichen IP-Adressen innerhalb des Firmennetzwerks.

Der SAPRouter kann die Verbindung verschlüsseln. In diesem Falle muss SNC eingerichtet werden.

Wie wird der SAPRouter installiert?

Den neuesten SAPRouter findet man im SAP-Portal im Download-Bereich unter Support Packages and Patches. Es gibt ihn u.a. für Windows und Linux.
Man kann den SAPRouter auf einem separaten (z.B. Windows-)Server installieren:

  • Verzeichnis anlegen, z.B. …\saprouter
  • Executables saprouter.exe und niping.exe hineinkopieren

Für SNC-Verbindungen benötigen Sie noch die Verschlüsselungssoftware, die bei SAP zu beziehen ist. Die Dateien sapcrypto*.* und sapgenpse.exe werden ebenfalls in das saprouter-Verzeichnis kopiert.

Aufruf des SAPRouters

saprouter.exe kann manuell gestartet oder als Service eingerichtet werden (ntscmgr install).
saprouter -r -S 3299 -K „p:CN=, OU=, OU=SAProuter, O=SAP, C=DE“

  • servername ist der Name des Servers, auf dem der SAPRouter läuft
  • kundennummer ist Ihre SAP-Kundennummer, unter der der SAProuter registriert ist

Bis hierher haben Sie nur die halbe Miete: Der SAPRouter funktioniert nun rein technisch, regelt aber noch nicht den Verkehr. Er muss erst noch eingerichtet werden:

Wie richtet man einen SAPRouter ein?

In der Datei saprouttab im Installationsverzeichnis werden die Zugriffsregeln festgelegt. Diese Datei wird beim Start vom SAPRouter gelesen und ist als Textdatei mit folgendem Inhalt – es handelt sich hier um Beispiele – neu anzulegen:

				
					# SNC-Verbindung zu und von SAP
KT "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 194.39.131.34 *

# Gesicherter Zugriff von SAP auf lokale SAP-Systeme für Support
# Alle Server / alle SAP-Ports:
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" * *
# Oder spezifischer SAP-Server mit Instanznummer 00:
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" 10.10.100.11 3200
# Web-Zugriff auf Port 8000:
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" * 8000

#Zugriff aus dem lokalen Netz an das SAP-R/3-Frontend (OSS)
# (Alle Server im Subnetz 10.10.100.*)
P 10.10.100.* 194.39.131.34 3299

				
			

Die IP-Adresse 194.39.131.34 bezeichnet den SAPRouter bei der SAP. Dieser läuft über den Port 3299.

Das Jokerzeichen * hat hier eine weniger weitreichende Bedeutung als gewohnt: Es werden nur die SAP-spezifischen Ports freigeschaltet (z.B. 3200 ff.). Darüberhinausgehende Ports, z.B. 8000 für einen Browserzugriff, müssen explizit angegeben werden.

Wie funktioniert die Einrichtung von SNC?

Für die Einrichtung von SNC-Verbindungen benötigt man die Verschlüsselungssoftware von SAP und ein Zertifikat.
Beides erhält man vom SAP-Portal:

https://support.sap.com/en/tools/connectivity-tools/saprouter.html

Mit der Schaltfläche Apply for a SAPRouter certificate kann man das Zertifikat generieren und wird dabei durch den Prozess der Einrichtung geführt.

Die Firewall

Und denken Sie an die Firewall! Damit das alles funktioniert, benötigen Sie noch die Tür in der Wand. Also bitten Sie Ihren Netzwerk-Kollegen um eine neue Firewall-Regel:
Alle Ports sollen für den SAPRouter der SAP (194.39.131.34) in beide Richtungen (einwärts und auswärts) zum eigenen SAPRouter geöffnet werden.

Registrierung im SAP-Portal

Ihr neuer SAPRouter muss nun im SAP-Portal unter Ihrer Kundennummer registriert werden. Dazu eröffnen Sie ein neues Ticket mit den Daten des SAPRouters und der Bitte um die Registrierung unter Ihrer Kundennummer.

Ist das erfolgt, können Sie in der Systemverwaltung im SAP-Portal jedem SAP-System diesen SAPRouter zuweisen. Hier haben Sie auch die Möglichkeit, die Verbindung zu den SAP-Systemen zu testen und zu analysieren.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie uns noch heute: