Schulrouter Plus

 030 293 69 89 0  kontakt@time-for-kids.de  www.time-for-kids.de
TI M E for kids
Kurzanleitung Handbuch Handbuch
a Schulrouter Plus
a Schulrouter Plus
a Schulflter Plus
Handbuch
a Antivirus Plus
Handbuch
Version: 1.0.1
Stand: November 2009
Handbuch Schulrouter Plus TI M E for kids
Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung
geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden.
TIME for kids Schulrouter Plus und TIME for kids Schulflter Plus sind Markenzeichen der
TIME for kids Informationstechnologien GmbH.
Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General
Public License (http://www.gnu.org/licenses/gpl.html) distributiert.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU
Free Documentation License, Version 1.2 or any later version published by the Free Software Founda-
tion; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled >GNU Free Documentation License<.
© 2009 TIME for kids Informationstechnologien GmbH.
Gubener Str. 47, 10243 Berlin
www.time-for-kids.de
Handbuch Schulrouter Plus Handbuch Schulrouter Plus TI M E for kids
ÌNHALTSVERZEÌCHNÌS
1 Einleitung 7
1.1 DasSchulrouterPlusKonzept 7
1.2 DasHandbuch 7
1.3 EffektiveNutzungdesHandbuches 8
1.3.1 Szenario1–VorkonfgurierterSchulrouterPlus 8
1.3.2 Szenario2–GrundkonfgurationdesSchulrouterPlusinEigen-regie 8
1.3.3 Szenario3–BesondereZusatzeinstellungendesSchulrouterPlusvornehmen 9
1.4 Orientierungshilfe 10
1.4.1 WasmachteinRouter? 10
1.4.2 UnterschiedDSL-Modem/Router 10
1.5 IntegrationinsSchulnetzwerk 11
1.5.1 BenötigteNetzwerkinformationen 11
1.5.2 Grundszenario 11
1.5.3 Netzwerksegmentierung 12
1.5.4 KombinationmitanderenServerdienstenimNetzwerk 13
1.5.5 Client-PCskonfgurieren 13
1.6 SchulflterPluskonfgureieren 14
1.7 DasSchulflterPlusCockpit 15
2 HauptmenüSystem 17
2.1 Startseite 17
2.2 Updates 19
2.3 Passwörter 20
2.4 Fernwartung/Support 21
2.5 Benutzeroberfäche 22
2.6 Datensicherung 23
2.7 Herunterfahren 25
3 HauptmenüStatus 26
3.1 System-Status 26
3.2 Netzwerkstatus 27
3.3 Systemdiagramm 28
Handbuch Schulrouter Plus TI M E for kids
3.4 Netzwerkdiagramme 29
3.5 Proxydiagramme 30
3.6 Verbindungen 31
3.7 OpenVPNVerbindungen 31
3.8 SMTPMailstatistik 31
3.9 Email-Warteschlange 31
4 HauptmenüNetzwerk 32
4.1 Netzwerkkonfguration 32
4.2 Hostbearbeiten 37
4.3 Routing 38
4.4 Internet/WAN 39
5 HauptmenüDienste 40
5.1 DHCPServer 40
5.2 DynamischerDNS 45
5.3 Antivirus 47
5.4 Zeitserver 49
5.5 Traffcshaping 50
5.6 SpamTraining 52
5.7 Einbruchdetektierung 54
5.8 Datenverkehrsüberwachung 55
6 HauptmenüFirewall 56
6.1 Portweiterleitung/NAT 56
6.1.1 Portweiterleitung 56
6.1.2 SourceNAT 58
6.2 AusgehenderDatenverkehr 60
6.3 InternerDatenverkehr 63
6.4 Systemzugriffe 64
7 HauptmenüProxy 66
7.1 HTTP 66
7.1.1 Konfguration 66
7.1.1.1 ErlaubtePortsundSSlPorts 68
7.1.1.2 Log-Einstellungen 68
7.1.1.3 ErlaubteSubnetzeproZone 69
7.1.1.4 InternerDatenverkehr 69
Handbuch Schulrouter Plus Handbuch Schulrouter Plus TI M E for kids
7.1.1.5 Umgehung/AusgeschlosseneQuellenundZiele 70
7.1.1.6 CacheVerwaltung 70
7.1.1.7 VorgelagerterProxy 71
7.1.2 Authentifzierung 72
7.1.2.1 LokaleAuthentifzierung 74
7.1.2.1.1Benutzerverwaltung 74
7.1.2.2LDAP 75
7.1.2.3Windows 76
7.1.2.4Radius 77
7.1.3 Standardrichtlinie 78
7.1.4 Antivirus 80
7.1.5 Gruppenregeln 81
7.2 POP3 82
7.2.1 GlobaleEinstellungen 82
7.2.2 SpamFilter 83
7.3 FTP 84
7.4 SMTP 85
7.4.1 Hauptseite 85
7.4.2 Antivirus 87
7.4.3 Spam 88
7.4.4 Dateierweiterungen 90
7.4.5 Blacklist-Whitelist 91
7.4.6 Domains 93
7.4.7 Mailrouting 94
7.4.8 Erweitert 95
7.5 DNS 98
7.5.1 DNSProxy 98
7.5.2 BenutzerdefnierterNameserver 98
7.5.3 Anti-Spyware 99
8 HauptmenüVPN 100
8.1 OpenVPNServer 103
8.1.1 Serverkonfguration 103
8.1.2 Konten 104
8.1.3 Erweitert 106
Handbuch Schulrouter Plus TI M E for kids
8.2 OpenVPNClient(Gw2Gw) 108
8.3 IPSec 110
9 HauptmenüProtokolle 115
9.1 Zusammenfassung 115
9.2 System 116
9.3 Dienst 117
9.4 Firewall 118
9.5 Proxy 119
9.5.1 http 119
9.5.2 SMTP 120
9.5.3 SIP 120
9.6 Einstellungen 121
10 HauptmenüSchulflterPlus 123
11 HauptmenüLogout 123
12 Anhang 123
12.1 Impressum 123
12.2 Haftungsausschluss 124
12.3 GNUFreeDocumentationLicense 125
Handbuch Schulrouter Plus
7
Konfiguration Schulrouter Plus

Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu
konfgurieren. Folgende Darstellungskonventionen wurden vorgenommen, um Ihnen dies zu erleich-
tern. Wenn Sie einmal nicht weiter wissen, können Sie gern unser Service-Center für Schulen kontak-
tieren. http://support.time-for-kids.de
Textmarkierungen: Symbole:

Verweis auf externe Quelle
>Verweis auf anderen Bereich im Handbuch<
B e f e h l s e i n g a b e
Webseite / Link
AUFFORDERUNG ZUM TASTENDRUCK
1 Einleitung
1.1 Das Schulrouter Plus Konzept

Der Schulrouter Plus mit integriertem Schulflter Plus und Antivirus Plus ist die Basis für alle Schul-
netzwerke. Er ist sowohl für kleine, mittlere und große Schulen mit ihren unterschiedlichen Anforder-
ungen geeignet. Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini, Classic und BIG eine
skalierbare Hardwarebasis. Die Software-Basis und die Bedieneroberfächen sind bei allen Schulrouter
Plus Modellen gleich. Die Konfguration des Schulrouter Plus erfolgt über das so genannte Cockpit,
eine webbasierte Bedieneroberfäche. Diese bietet hauptsächlich Rechte und Funktionen für den
Administrator.
Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste. Bitte prüfen Sie vor der
Einrichtung, ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und
ggf. durch den Schulrouter Plus ersetzt werden können. Dies kann zu einer Optimierung und einer
Kostenreduktion in der Schule führen.
Im Schulrouter Plus sind der Schulflter Plus und der Antivirus Plus integriert und können sofort verwendet
werden. Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden Handbücher oder
wenden sie sich an das TIME for kids Service-Center für Schulen.
Die TIME for kids Produkte Schulrouter Plus, Schulflter Plus und Antivirus Plus passen sich hervorra-
gend in jedes Betriebs- und Servicekonzept ein. Der Administrator der Schule kann ganz oder teilweise
Aufgaben auf andere Service Partner delegieren.
Das webbasierte TIME for kids Service-Center bietet Servicepartnern wie Schulträgern, Medienzentren,
Kommunalen-Rechenzentren und IT-Dienstleistern vor Ort für die Betreuung einer Vielzahl von Schulen mit
dem Schulrouter Plus eine Managementoberfäche für das Monitoring und die Fernwartung. Alle Akteure
können entsprechend ihrem Service-Level-Auftrag Rechte erhalten.
Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs- und Servicekonzeptes.
1.2 Das Handbuch
Wichtige Information
Warnhinweis !
ê
i
8
Konfiguration Schulrouter Plus
1.3 Effektive Nutzung des Handbuches
Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches
beschrieben. Bitte schauen Sie sich die Szenarien an und entscheiden dann, welcher Teil des Hand-
buches für Sie relevant ist.
1.3.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus
TIME for kids stellt für Sie einen besonderen Service bereit. Ihr Schulrouter Plus kann für Ihre Netz-
werksituation vorkonfguriert werden. Der besondere Vorteil besteht darin, dass Sie den Schulrouter
Plus nach der Lieferung nur noch mit dem Strom- und Schulnetz sowie dem DSL-Modem verbinden
müssen um eine Arbeitsfähigkeit herzustellen.
In diesem Handbuch sind nach einer Vorkonfguration für Sie nur noch die kurzen Kapitel 1.4, 1.5 und
1.6 relevant (Umfang: ca. 4 Seiten). Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur
notwendig, wenn Sie weitere tiefergehende Einstellungen vornehmen möchten.
Um einen Vorkonfgurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor:
Schulrouter Plus bei TIME for kids bestellen
Über die Webseite www.schulrouterplus.de/vorkonfguration Ihre Konfgurationsdaten an
TIME for kids übermitteln.
Gelieferten, vorkonfgurierten Schulrouter Plus auspacken und anschließen, siehe Aufauanlei
tung im Karton.
1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie
Sollten Sie den Vorkonfgurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind
für die Grundkonfguration des Schulrouter Plus in diesem Handbuch die Kapitel 1,4, und 7.1 relevant
(Umfang ca. 31 Seiten).
Um den Schulrouter Plus zu erhalten und zu konfgurieren gehen sie wie folgt vor:
Schulrouter Plus bei TIME for kids bestellen
Gelieferten Schulrouter Plus auspacken und anschließen, siehe Aufauanleitung im Karton.
Handbuch studieren, Kapitel 1,4,7.1
Grundkonfguration des Schulrouter Plus vornehmen
Konfiguration Schulrouter Plus
9
Konfiguration Schulrouter Plus
1.3.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen
Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere
Nut-zung des Internets in Ihrer Schule.
Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen
empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca. 100 Seiten). Gern können
Sie auch die Hilfe unseres Service-Center für Schulen in Anspruch nehmen.
10
Konfiguration Schulrouter Plus
Ein Router ist ein Gerät, das mehrere Netzwerke koppelt. Das bedeutet, bei ihm eintrefende Netzwerk-
Pakete eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet),
also bspw. von einem internen Schulnetz ins Internet. Der TIME for kids Schulrouter Plus übernimmt
zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste, siehe Punkt 1.5.3.
Das DSL-Modem, im Fachjargon „NTBBA“ ist ein Modem zur Übertragung von Daten über eine
DSL-Leitung. Das DSL-Modem bildet den Netzabschluss für die DSL-Leitung. DSL-Modems können
direkt an einen PC (z.B. per USB), oder an ein Netzwerk (mit einem Router) angeschlossen werden.
Heutzutage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft.
Im Nachfolgenden einige optische Beispiele.
Router
DSL-Modem und Router im Vergleich
1.4.1 Was macht ein Router?
1.4.2 Unterschied DSL-Modem/Router
1.4 Orientierungshilfe
DSL-Modem
Konfiguration Schulrouter Plus
11
Konfiguration Schulrouter Plus
1.5 Integration ins Schulnetzwerk
Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfgurierten Schulrouter
Plus oder folgende Daten und Kenntnisse Ihres Netzwerks:
Internet-Zugangsdaten
Informationen über bestehende Netzwerke
IP-Adress-Bereiche der internen Netze
Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt?
Wie sind die Client-PCs konfguriert? Ist eventuell schon ein Proxy eingestellt?
Active Directory-Einstellungen, sowie Administrator-Zugang (optional)

Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem, er übernimmt dann auch
die Einwahl. Haben Sie bereits einen Router in Betrieb, können Sie den Schulrouter Plus auch an Ihren
Router anschließen und die Einwahl Ihrem Router überlassen. In den meisten Fällen kann auf den
vorhandenen Router verzichtet werden.
Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke:
Über die rote Schnittstelle wird nach außen der Gefahrenbereich, also das Internet, eingebun
den. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen, muss
eine freie Schnittstelle entsprechend um konfguriert werden. Lesen Sie hierzu bitte das
Kapitel 4.4
Das grüne Netz repräsentiert Ihr erstes Netzwerk, das im Normalfall die Schüler-PCs bein-haltet.

Mit dem blauen Netz können Sie bspw. Ihre Verwaltung (und somit kritische Daten) von dem
Schüler-Netz trennen.
Das orange Netz steht zur freien Verfügung, z.B. für eine DMZ oder ein weiteres Netz.
Alle Netze sind komplett voneinander getrennt und können sich nicht sehen. Daher müssen
auch alle Netze unterschiedliche IP-Adress-Bereiche besitzen!
1.5.1 Benötigte Netzwerkinformationen
1.5.2 Grundszenario
12
Konfiguration Schulrouter Plus
Schaubild Schulrouter Plus – Einordnung im Netzwerk
Wie in Punkt 1.5.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen,
somit muss auch das Netzwerk darauf abgestimmt sein, dass PCs nicht auf Server in einem anderen
Netzwerk zugreifen können.
Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden, der
sich im Schüler-Netz befndet.
In solchen Fälle ist zu überlegen, ob diese Konstellation erhalten bleiben muss. Die Firewall des
Schulrouter Plus kann so konfguriert werden, dass ein eingeschränkter Zugrif auf spezifsche
Ressourcen zwischen den Netzen möglich wird.
1.5.3 Netzwerksegmentierung
Konfiguration Schulrouter Plus
13
Konfiguration Schulrouter Plus
Der Schulrouter Plus stellt unter Anderem folgende Serverdienste zur Verfügung:
Proxy
Internetflter (Schulflter Plus)
DHCP
DNS
VPN
Firewall
AntiSpam
Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus
ersetzt werden.
Weiterhin ist darauf zu achten, dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchti-
gen, z.B. ein zweiter DHCP-Server mit anderen Einstellungen.

Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. Ihren
vorgelagerten Router mit der roten Schnittstelle, sowie einen PC (oder Ihr Netzwerk) mit der grünen
Schnittstelle verbunden haben (siehe Markierungen auf der Rückseite des Gerätes).
Bei Ihren, an den Schulrouter Plus angeschlossenen, Client-PCs müssen Sie darauf achten, dass
folgende Einstellungen getätigt werden:
In den benutzten Browsern darf kein Proxy eingestellt sein:
Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras ’ Internetoptionen ’ Reiter
„Verbindungen“ ’ Button „LAN-Einstellungen“ ’ die Elemente unter Proxyserver sind ausgegraut
Die entsprechende IP des Schulrouter Plus (im grünen Netz, die der Schnittstelle Grün) ist als
Stan-dardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfguration das vorsieht) oder auf
“IP-Adresse automatisch beziehen” gesetzt.

1.5.4 Kombination mit anderen Serverdiensten im Netzwerk
1.5.5 Client-PCs konfigurieren
14
Konfiguration Schulrouter Plus
Screenshot - IP Einstellungen am Client
Ihr Schulrouter Plus ist jetzt einsatzfähig. Wenn Sie mit einem Schüler-PC im Internet surfen greift
bereits ein voreingestellter Grundschutz. Um den integrierten Schulflter Plus an Ihre Bedürfnisse
anzupassen, benutzen Sie die Weboberfäche (Cockpit) des Schulflter Plus. Dieses erreichen Sie
entweder über den Link im Menü des Schulrouter Plus oder über die Adresse
http://RouterIP:83
Das Handbuch zum Schulflter Plus fnden Sie separat auf unserer Support-Seite
http://support.time-for-kids.de
1.6 Schulfilter Plus konfigureieren
Konfiguration Schulrouter Plus
15
Konfiguration Schulrouter Plus

Die Konfguration des Schulrouter Plus nehmen Sie über das so genannte Cockpit, eine webbasierte
Bedienoberfäche, vor.
Um das Cockpit zu erreichen schließen Sie mindestens einen PC an die GRÜNE LAN-Schnittstelle des
Schulrouter Plus an.


Der angeschlossene PC muss so konfguriert sein, dass er seine IP-Adresse per DHCP
automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes
befndet. Die Grundkonfguration entnehmen Sie bitte dem Beipackzettel im Karton

Jetzt können Sie das Cockpit über die Eingabe h T T p : // R O UT E R I p : 8 1 in einem Internetbrowser
auf Ihrem PC erreichen. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht. Ihr
Internet-Browser wird Sie über unsignierte Sicherheitszertifkate informieren und zur Bestätigung
aufordern. Dies können Sie ohne Bedenken bestätigen.
Sie werden nun aufgefordert sich mit einem Benutzeraccount und einem Passwort anzumelden.
Verwenden Sie hierfür „tfadmin“ als Benutzername und Passwort. Nach dem erfolgreichen Login
sollten Sie das Passwort sofort ändern (>siehe Kapitel 2.3 Passwörter<).
Das Schulrouter Plus Cockpit gliedert sich in drei Teile:
1. Hauptmenü
2. Untermenü zum jeweiligen Hauptmenü
3. Konfgurationsseiten
!
ê
1.7 Das Schulfilter Plus Cockpit
16
Konfiguration Schulrouter Plus
Generell sollten Sie bei größeren Veränderungen der Konfguration immer eine Datensicherung
vornehmen, um die Möglichkeit zu besitzen den Schulrouter Plus ggf. wieder auf einen vorherigen
Konfgurationsstand zu bringen.
Bei einigen Konfgurationen wird nach der Speicherung der Einstellungen ein Neustart der entsprechenden
Dienste durchgeführt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.
Die Konfgurationsseiten des Cockpits enthalten folgende Standardelemente, welche Sie für die
Bedienung benötigen:

Auswahl/ Bestätigung
(aktiviert/ deaktiviert)
Exportieren
Löschen
Wiederherstellen
Hinzufügen/ Erstellen
Verbindung testen
Editieren
Erweitern/ Öfnen
Minimieren/ Schließen
Verschieben/ Reihenfolge ändern
Firewall akzeptiert
Firewall anhalten
Firewall verwerfen
Verweigert
Info
Warnung
Tipp
Speicher-Button o.ä. sind
entsprechend gekennzeichnet
Konfiguration Schulrouter Plus
17
Konfiguration Schulrouter Plus
System
2 Hauptmenü System
2.1 Startseite

Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk).
Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung
angezeigt. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen
„Primäre WAN-Verbin-dung“.
Stati der Verbindungen:
“Angehalten”
Es besteht keine Onlineverbindung.
“Baue Verbindung auf.”
Die Verbindung wird gerade hergestellt.
“Verbunden”
Die Verbindung ist erfolgreich aufgebaut.
“Beende Verbindung.”
Die Verbindung wird getrennt.
“Fehler”
Es gibt einen Fehler beim Verbindungsaufau.
18
Konfiguration Schulrouter Plus
System

“Wiederverbindungs Timeout”
Es gab einen Fehler beim Wiederherstellen der Verbindung. Es wird weiter versucht.
“Verbindung unterbrochen”
Die Verbindung ist zwar hergestellt, aber der Host, der zur Überprüfung defniert ist, ist nicht
erreichbar. Das heißt normalerweise, dass die Verbindung nicht zu nutzen ist.
Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. Im Modus
“Verwaltet” überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbind-
ung automatisch wieder her. Wird der Modus “Verwaltet” deaktiviert, kann die Verbindung manuell
her-gestellt oder getrennt werden. Es wird kein automatischer Wiederaufau der Verbindung
eingeleitet, wenn die Verbindung getrennt wird.
Konfiguration Schulrouter Plus
19
Konfiguration Schulrouter Plus
System
2.2 Updates
Der Bereich Updates ist in drei Abschnitte aufgeteilt:
Automatische Updates
Im ersten Abschnitt haben Sie die Möglichkeit automatische Updates zu aktivieren.
Rechts wird automatisch der nächste freie Update-Zeitpunkt angezeigt. Durch das klicken auf den
Button NEU GENE-RIEREN wird ein neuer Zeitpunkt berechnet.
Verfügbare Updates
Jedes Mal, wenn die Seite Update aufgerufen wird, wird die Verfügbarkeit neuer Updates
überprüft. Neu verfügbare Updates werden mit einer kurzen Beschreibung angezeigt. Um ein Update
auszuführen, klicken Sie auf den Button hERUNTERlADEN UND INSTAllIEREN, der dann verfügbar
ist. Das Update wird heruntergeladen und sofort ausgeführt. Sie können außerdem alle verfügbaren
Updates hintereinander installieren, indem Sie den Button AllE UpDATES hERUNTERlADEN UND
INSTAllIEREN anklicken.
Installierte Updates
Nachdem ein Update installiert wurde, wird hier der entsprechende Eintrag ergänzt. Durch Klicken auf
den Button UpDATE DEINSTAllIEREN können Sie das letzte Update rückgängig machen.
Nur ofzielle Schulrouter-Updates werden auf dem Schulrouter Plus installiert. Einige
Updates führen einen automatischen Neustart des Schulrouter aus. Lesen Sie
deshalb bitte alle Update-Informationen, bevor Sie ein Update installieren und lassen Sie die
Updates nur in Zeiten ausführen, in denen es zu keiner Betriebsstörung kommen kann.
i
20
Konfiguration Schulrouter Plus
System
2.3 Passwörter
Passwörter ändern
Sie können hier jedes Passwort für sich ändern. Geben Sie jedes neue Passwort zweimal ein und
drücken auf pASSwORT äNDERN. Die Passwörter folgender Benutzer können verändert werden:
admin
Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf.
root
Der Benutzer, der sich auf der Linux-Konsole anmelden kann.
Konfiguration Schulrouter Plus
21
Konfiguration Schulrouter Plus
System
Zugangseinstellung
Auf der Seite Fernwartung/ Support können Sie festlegen, ob ein gesicherter Fernzugrif für den
Schulrouter Plus möglich sein soll oder nicht. Außerdem können Sie hier weitere Parameter für den
Fernzugrif-Prozess konfgurieren.
Folgende Optionen können über diese Seite konfguriert werden:
Fernwartung/ Support
Das Einschalten aktiviert den SSH-Zugrif. Wenn der externe Systemzugrif
(siehe Kapitel >6.4 Systemzugrife<) nicht aktiviert ist, ist SSH nur über das grüne Netzwerk
erreichbar. Mit aktiviertem SSH-Zugrif kann sich jeder, der das root-Passwort kennt, auf der
Kommandozeile anmelden.
Unterstützung für Version 1 des SSH-Protokolls:
Diese Option aktiviert die Unterstützung der Version 1 des SSH-Protokolls. Von der Verwenung
dieser Option wird dringend abgeraten, da bekannte Sicherheitslücken der Version 1
existieren.
Erlaube TCP Weiterleitung
Diese Option ermöglicht es, SSH-verschlüsselte Tunnelverbindungen aufzubauen.
2.4 Fernwartung / Support
22
Konfiguration Schulrouter Plus
System
2.5 Benutzeroberfläche
Einstellungen
Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen.
Folgende Optionen können über diese Seite konfguriert werden:
Wählen Sie Ihre Sprache
Über dieses Drop-Down-Menü können Sie eine Sprache wählen, mit der die Seiten des
Schulrouter Plus Cockpits dargestellt werden.
Hostname im Fenstertitel anzeigen:
Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. Dies kann
hilfreich sein, wenn Sie mehr als einen Schulrouter Plus administrieren.
Passwortbasierte Authentifzierung zulassen
Diese Option ermöglicht es Benutzern, sich beim Schulrouter Plus mittels des root-Passworts
anzumelden. Wenn Sie diese Option ausschalten, müssen Sie zunächst Ihre SSH Schlüssel-
dateien konfgurieren und sicherstellen, dass Sie sich mit den Schlüsseldateien einloggen
können.

Authentifzierung auf Basis öfentlicher Schlüssel zulassen
Mit dieser Option wird die Authentifzierung auf Basis öfentlicher Schlüssel zugelassen. Dies
ist die bevorzugte Methode, den SSH-Zugrif auf dem Schulrouter Plus abzusichern.

SSH Host Schlüssel
Dieser Abschnitt listet die Fingerabdrücke der von Schulrouter Plus verwendeten SSH-Schlüssel auf, die
Sie verwenden können, um eine SSH-Verbindung mit dem Schulrouter Plus zu verifzieren. Wenn Sie
das erste Mal eine SSH-Verbindung zum Schulrouter Plus erstellen, wird der Fingerabdruck angezeigt,
und Sie werden aufgefordert, die Korrektheit zu bestätigen. Sie können den angezeigten Schlüssel mit
der Darstellung auf dieser Seite vergleichen.
Konfiguration Schulrouter Plus
23
Konfiguration Schulrouter Plus
System
In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten
Datensicherung zurückspringen. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert
und können auf Ihren Computer heruntergeladen werden. Es ist auch möglich, die Konfguration auf
einen Wiederherstellungspunkt zurück zu setzen und regelmäßig automatisierte Datensicherungen
durchzuführen.
Folgende Optionen können über diese Seite konfguriert werden:
Datensicherungssätze
Beim Klicken auf NEUE DATENSIChERUNG DURChFühREN öfnet sich ein Dialog zur Konfguration
der geplanten Datensicherung:
Konfguration einschließen
Schließt alle Einstellungen mit ein.
Konfguration und Datenbankinhalt einschließen
Schließt zusätzlich alle Datenbankinhalte mit ein.
2.6 Datensicherung
24
Konfiguration Schulrouter Plus
System
Logs aufnehmen
Schließt die aktuellen Protokolle mit ein.
Log Archive aufnehmen
Schließt ältere Protokolle mit ein. Diese Einstellung kann den Umfang der Datensicherungs-
menge stark erhöhen.
Anmerkung
Hier kann ein zusätzlicher Kommentar hinterlassen werden.
Klicken Sie auf BACKUp ERZEUGEN um die Datensicherung mit den oben gemachten Einstellungen zu
erzeugen.
In der Liste der vorhandenen Datensicherungen können Sie, durch einen Klick auf das entsprechende
ICON auf der rechten Seite, ausgewählte Datensicherungen herunterladen, löschen oder wieder-
herstellen. Jede Datensicherung ist mit einer Markierung versehen:
S: Einstellungen. Die Datensicherung beinhaltet alle Einstellungen.

D: Datenbankinhalt. Die Datensicherung beinhaltet auch Datenbankinhalte.
E: Archiv ist verschlüsselt. Die Datensicherung ist verschlüsselt.
L: Log Dateien. Die Datensicherung beinhaltet Protokolle
A: Log Archive. Die Datensicherung beinhaltet ältere Log Dateien
!: Fehler beim Senden der Sicherung. Die Datensicherung ist fehlerhaft.


Datensicherungsarchive mit einem öfentlichen GPG Schlüssel verschlüsseln
Sie können einen GPG public key bereitstellen, der für die Verschlüsselung verwendet wird. Laden
Sie den GPG public key von Ihrem Client-PC und stellen Sie sicher, dass „Datensicherungsarchive
verschlüsseln“ aktiviert ist. Mit Klick auf SpEIChERN laden Sie den Schlüssel hoch und aktivieren die
Verschlüsselung.
Datensicherungsarchiv importieren
Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus
importieren. Wählen Sie die Datei des Sicherungssatzes auf Ihrem lokalen PC aus. Mit der Angabe
einer Anmerkung und dem Klicken auf IMpORTIEREN laden Sie den Sicherungssatz hoch.
Der Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden.
Konfiguration Schulrouter Plus
25
Konfiguration Schulrouter Plus
System
Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten.
Sie können einfach einen der entsprechenden BUTTONS anklicken, um die Aktion sofort auszuführen.
2.7 Herunterfahren
26
Konfiguration Schulrouter Plus
Status
3 Hauptmenü Status
3.1 System-Status

Dienste
Zeigt alle Dienste und deren aktuellen Status an.
Speicher
Zeigt die Auslastung von Arbeitsspeicher und Swapdatei.
Festplattenbelegung
Zeigt den verfügbaren und belegten Festplattenplatz
Konfiguration Schulrouter Plus
27
Konfiguration Schulrouter Plus
Status
Schnittstellen
Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. Dies beinhaltet
u.a. Informationen aller Netzwerk-Schnittstellen inkl. PPP, IPSec, Loopback, etc..

Netzwerkkarten
Zeigt bestimmte Eigenschaften der Netzwerkkarten, wie z.B. ob ein Link augebaut ist, oder welche
Geschwindigkeit ausgehandelt wurde.
Routingtabelleneinträge
Zeigt die Einträge der Routingtabelle an.
ARP Tabelleneinträge
Zeigt die Einträge der ARP-Tabelle an.
3.2 Netzwerkstatus
28
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt Ihnen für den aktuellen Tag bzw. für die aktuelle Woche, Monat und Jahr, folgende
Diagramme:
• CPU-Nutzung
• Speichernutzung
• Nutzung von Auslagerungsspeicher (Swap)
• Festplattenzugrif
Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.
3.3 Systemdiagramm
Konfiguration Schulrouter Plus
29
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen
Netzwerk-Schnittstellen an.
Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.
3.4 Netzwerkdiagramme
30
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt die Diagramme der Zugrifsstatistiken des HTTP-Proxy der letzten 24 Stunden an.
Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.
Diagramme zur Proxyauslastung
Zugrife
Zeigt die Anzahl der Zugrife auf den Proxy an.
Übertragungen
Zeigt die Größe der Daten-Übertragungen über den Proxy an.
Durchschnittliche TCP-Übertragungsdauer
Zeigt die Dauer der Übertragungen an.
3.5 Proxydiagramme
Konfiguration Schulrouter Plus
31
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den
Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle
gekennzeichnet. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei
weitere Farben benutzt: Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbin-
dungen über ein VPN.
3.6 Verbindungen
Diese Seite zeigt eine Liste mit Verbindungen über OpenVPN. Es gibt hier die Möglich Verbindungen zu
beenden oder verbundene Benutzer zu blockieren.
3.7 OpenVPN Verbindungen
Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur
zur Verfügung, wenn der SMTP-Proxy verwendet wird.
3.8 SMTP Mailstatistik
Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn
der SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.
3.9 Email-Warteschlange
32
Konfiguration Schulrouter Plus
Netzwerk
4 Hauptmenü Netzwerk
4.1 Netzwerkkonfiguration

Die Konfguration der Netzwerkschnittstellen kann schnell und einfach mit dem Netzwerksetup-
Assistenten geändert werden. Der Assistent ist in mehrere Schritte unterteilt. Sie können mit <<< und
>>> vor und zurück navigieren und die Änderungen mit ABBREChEN verwerfen. Sie werden erst im
letzten Schritt gefragt, ob die Einstellungen übernommen werden sollen.
Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Während dessen ist die
Konfgurationsoberfäche nicht erreichbar.
Im Folgenden ist jeder der einzelnen Schritte beschrieben:
Schritt 1 - Typ für ROT auswählen
Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfgurieren (üblicherweise die Verbindung
zu Ihrem Provider). Der Schulrouter Plus unterstützt die folgenden Verbindungs-Typen:
Ethernet statisch
Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen.
Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten Router
vebunden ist.
Ethernet DHCP
Sie möchten, dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem
vorgelagerten Gerät holt. Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem
vorgelagerten Router verbunden ist, der DHCP liefert. Zu empfehlen ist aber dabei eher die
Einstellung “Ethernet statisch”.
PPPoE (DSL-Direkteinwahl)
Diese Option ist zu wählen, wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist
und die Einwahl vom Schulrouter Plus gemacht werden soll.
Konfiguration Schulrouter Plus
33
Konfiguration Schulrouter Plus
Netzwerk
Schritt 2 - Netzwerkzonen auswählen
An diesem Punkt haben Sie bereits zwei Schnittstellen defniert:
GRÜN
Das grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die
Schüler-Endgeräte befnden.
ROT
Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene
DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann
auch ein zweites rotes Netzwerk defniert werden. Hierdurch ist eine Erhöhung der Internetbandbreite
z.B. über eine zweite DSL-Leitung möglich.
Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind:
BLAU
Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulver-
waltungs-Endgeräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist
physikalisch vom Schulnetzwerk getrennt. Es kann aber bei Bedarf eine gesicherte Verbindung zwischen den
Netzwerken zur Datenübertragung eingerichtet werden.
ORANGE
Das orange Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden
z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch
eine höhere Absicherung vor unberechtigten Zugrifen benötigen. Das orange Netzwerk kann aber
auch als „normales“ drittes Netzwerk verwendet werden.
34
Konfiguration Schulrouter Plus
Netzwerk
Schritt 3 - Netzwerkeinstellungen
In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen defniert (Grün, Blau,
Orange). Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt:
IP Adresse
Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll. (z.B. 1 92 . 1 6 8 . 0. 1 ). Achten
Sie darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach
dem Ändern der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden
(z.B. DHCP-Server oder erlaubte Subnetze im Proxy).
Netzwerkmaske
Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten
im Subnetz dieselbe Netzwerkmaske verwenden.
Weitere Adressen
Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen.
Schnittstellen
Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei
mindestens einer Schnittstelle zugeordnet sein. Eine Schnittstelle kann man allerdings nur
einer Zone zuordnen. Ordnen Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnitt-
stellen so, als wären sie Teil eines Switches. Ein Symbol zeigt den aktuelle Status der Schnitt
stelle: ein grüner Hacken zeigt, dass der Link aktiv ist. Ein rotes Kreuz zeigt, dass kein Link
vorhanden ist.
Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.
Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich
nicht mit anderen Schnittstellen überschneidet. Zum Beispiel:
IP = 1 92 . 1 6 8 . 0. 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für GRÜN
IP = 1 92 . 1 6 8 . 1 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für ORANGE
IP = 1 92 . 1 6 8 . 2 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für BLAU
!
ê
Konfiguration Schulrouter Plus
35
Konfiguration Schulrouter Plus
Netzwerk
Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den
privaten Bereich reserviert sind:
1 0. 0. 0. 0 - 1 0. 2 5 5 . 2 5 5 . 2 5 5 ( 1 0. 0. 0. 0 / 8 ) , 1 6 . 7 7 7. 2 1 6 Adressen
1 7 2 . 1 6 . 0. 0 - 1 7 2 . 3 1 . 2 5 5 . 2 5 5 ( 1 7 2 . 1 6 . 0. 0 / 1 2 ) , 1 . 0 4 8 . 5 7 6 Adressen
1 92 . 1 6 8 . 0. 0 - 1 92 . 1 6 8 . 2 5 5 . 2 5 5 ( 1 92 . 1 6 8 . 0. 0 / 1 6 ) , 6 5 . 5 3 6 Adressen
Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die
Broadcastadresse und dürfen nicht vergeben werden.
Schritt 4 - Internetverbindungseinstellungen
Diese Schritte erlauben die Konfguration der roten Schnittstelle und somit die Konfguration des
Internetzugangs.
Sie fnden auf dieser Seite unterschiedliche Konfgurationsmöglichkeiten, je nachdem welche Option
Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen nachsich
ziehen.
Hier werden die Konfgurationen für jeden Typ erklärt:
Für Alle
Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit
der sich der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmelde-
diensten nötig).
Ethernet statisch
Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben.
Weiterhin müssen Sie die IP-Adresse des Standardgateways festlegen.
Ethernet DHCP
Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP
empfangen werden soll oder ob dieser von Ihnen festgelegt wird.
PPPoE
Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an.
Für die Authentifzierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet
werden. Sie können auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische
von Ihrem Provider übergeben wird (Standard-Einstellung) oder manuell eingegeben werden
muss.
36
Konfiguration Schulrouter Plus
Netzwerk
Schritt 5 - DNS-Server konfgurieren
Hier defnieren Sie bis zu zwei DNS-Server, wenn sie nicht automatisch zugewiesen werden. Soll nur
ein Nameserver verwendet werden, muss die IP-Adresse doppelt eingetragen werden. Die IP-Adresse
muss für den Schulrouter Plus erreichbar sein.
Schritt 6 - Konfguration anwenden
Mit dem letzten Schritt bestätigen Sie die neuen Einstellungen.
Klicken Sie OK, KONFIGURATION üBERNEhMEN um die Konfguration abzuschließen. Das
Übernehmen der Einstellungen kann bis zu einer Minute dauern. Während dieser Zeit ist das
Cockpit nicht erreichbar und eine Verbindungen zu und durch den Schulrouter Plus ist nicht möglich.
Das Cockpit aktualisiert sich nach den Änderungen automatisch. Wenn Sie die IP-Adresse von GRÜN
geändert haben, werden Sie automatisch an die richtige IP-Adresse weitergeleitet. In diesem Fall, oder
wenn sie den Hostnamen geändert haben, wird ein neues SSL-Zertifkat generiert und es kann evtl. ein
Warnhinweis vom Browser erscheinen.
Konfiguration Schulrouter Plus
37
Konfiguration Schulrouter Plus
Netzwerk
Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht, neben der Zwischenspeicherung von
DNS-Informationen aus dem Internet, auch die manuelle Eingabe von Hostcomputern, deren
Adressinformationen lokal verwaltet werden sollen. Bei diesen Hostcomputern kann es sich
beispielsweise um lokale Computer oder Computer im Internet handeln, deren Adressinformationen
überschrieben werden sollen.
Aktuelle Hosts
In diesem Bereich werden die aktuell konfgurierten lokalen DNS-Einträge angezeigt. Sie können
die Liste sortieren, indem Sie auf eine der drei unterstrichenen SpAlTENüBERSChRIFTEN klicken.
Ein weiterer Klick dreht die Sortierreihenfolge um. Zum Bearbeiten eines Eintrags klicken Sie auf
das zugehörige STIFT-SyMBOl. Die Daten des Eintrags werden in dem Formular darüber angezeigt.
Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann im Formular auf die Schaltfäche
AKTUAlISIEREN.
Zum Löschen eines Eintrags klicken Sie auf das zugehörige löSChEN-SyMBOl.
Über hOST hINZUFüGEN können Sie einen manuellen Host anlegen.
Folgende Daten müssen eingegeben werden:
IP-Adresse
Geben Sie in dieses Feld die IP-Adresse ein.
Hostname
Geben Sie in dieses Feld den Hostnamen ein.
Domainname
Geben Sie in dieses Feld den Domänennamen ein, falls sich der Hostcomputer in einer
anderen Domäne befndet.
4.2 Host bearbeiten
38
Konfiguration Schulrouter Plus
Netzwerk
Statisches Routing
Aktuelle Routing-Einträge
Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden.
Wird an dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet, muss hier für jedes
VLAN ein Eintrag mit der IP des Switch als Gateway gesetzt werden.
Klicken Sie auf EINE NEUE ROUTE hINZUFüGEN um eine neue Route mit folgenden Feldern
anzulegen:
Quell-Netz
Quell-Netz in CIDR-Schreibweise (Bsp.: 1 92 . 1 6 8 . 1 0. 0 / 2 4 )
Ziel-Netz
Ziel-Netz in CIDR-Schreibweise (Bsp.: 1 92 . 1 6 8 . 2 0. 0 / 2 4 )
Route über
Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus.
4.3 Routing
Konfiguration Schulrouter Plus
39
Konfiguration Schulrouter Plus
Netzwerk
Hier können mit einem Klick auf wAN-VERBINDUNG ERSTEllEN weitere WAN-Verbindungen
defniert werden. Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende
Formular aus. Die Felder sind weitestgehend identisch mit dem Netzwerkassistenten. Folgende Felder
unterscheiden sich zum Netzwerkassistenten:

WAN-Verbindung beim Starten aktivieren
Diese Einstellung legt fest, ob diese WAN-Verbindung beim Starten des Schulrouter Plus
automatisch verbunden werden soll.
Wenn diese WAN-Verbindung fehlschlägt aktiviere
Hier können Sie festlegen, ob eine andere WAN-Verbindung gewählt werden soll, falls diese
WAN-Verbindung ausfällt.
Wiederverbindungs- Timeout
Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird,
wenn die Verbindung ausfällt. Bleibt das Feld leer, wird sofort die Wiederverbindung versucht.
4.4 Internet/WAN
Aktiviert
Markieren zum Aktivieren (Standard).
Anmerkung
Geben Sie der Regel eine Anmerkung.

Klicken Sie auf ROUTE hINZUFüGEN um die Regel zu bestätigen. Sie können die Route mit den
entsprechenden ICONS aktivieren bzw. deaktivieren.
40
Konfiguration Schulrouter Plus
Dienste
5 Hauptmenü Dienste
5.1 DHCP Server

DHCP (Dynamic Host Confguration Protocol) ermöglicht eine Steuerung der Netzwerk-
konfguration aller Computer über den Schulrouter Plus. Computer, die eine Verbindung zum
Netzwerk herstellen, wird eine gültige IP-Adresse zugewiesen und ihre DNS-Konfguration wird vom
Schulrouter Plus festgelegt. Um diese Funktion verwenden zu können, müssen die Computer im
Netzwerk so konfguriert sein, dass sie ihre Netzwerkkonfguration automatisch erhalten.
Sie können auswählen, welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden
soll. Aktivieren Sie einfach die entsprechenden Kontrollkästchen. Sie können auswählen, welchem
internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. Aktivieren Sie einfach die
entsprechenden KONTROllKäSTChEN.
DHCP-Server Parameter
Aktiviert:
Markieren Sie dieses Feld, um den DHCP-Server für dieses Netzwerk zu aktivieren.
Konfiguration Schulrouter Plus
41
Konfiguration Schulrouter Plus
Dienste

Anfangsadresse und Endadresse:
Sie können die unterste und die oberste Adresse angeben, die der Server für andere Computer
bereitstellt. Wenn sich in Ihrem Netzwerk Computer befnden, die DHCP nicht verwenden,
deren IP-Adressen also manuell festgelegt werden, sollten Sie die Anfangs- und Endadresse
so wählen, dass der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt.
Standard Lease Zeit (Min):
Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert
zu verwenden.
Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten, die für IP-Adress-Leases reserviert
werden. Vor dem Ablauf der Lease (der Zeitpunkt, zu dem die zugewiesene IP-Adresse
verfällt) fordern die Clientcomputer, unter Angabe ihrer aktuell gültigen IP-Adresse, eine
Erneuerung der Lease an. Bei einer Anforderung auf eine Erneuerung der Lease werden ggf.
durchgeführte Änderungen an DHCP-Parametern berücksichtigt und die Clientkonfgura
tion wird entsprechend aktualisiert. Im Allgemeinen werden IP-Adresszuordnungen vom
Server erneuert.
Maximale Lease Zeit (Min):
Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen
Wert zu verwenden. Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten), in dem der
DHCP-Server Clientanfragen auf Erneuerung der Lease für die aktuell gültige IP-Adresse
immer zustimmt. Nach Ablauf der maximalen Vorhaltezeit kann die IP-Adresse des Clients
vom Server geändert werden. Wenn der Bereich des Pools für die Vergabe von IP-Adressen (der
dynamische IP-Adressbereich) zwischenzeitlich geändert wurde, erhält der Client eine neue
IP-Adresse aus dem neuen dynamischen IP-Adressbereich.
Domain-Name-Sufx:
Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf, dass das Format keinen
führenden “Punkt” vorsieht. Hier wird der Domänenname festgelegt, den der DHCP-Server
für seine Clients verwendet. Wenn ein Hostname nicht aufgelöst werden kann, versucht der
Client erneut, den ursprünglichen Namen mit dem als Namen angegeben Sufx aufzulösen.
Die DHCP-Server von vielen Internetdienstanbietern sind so konfguriert, dass als Standard
domänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf, beim
Internetzugrif “www” als Standard-Homepage in ihrem Browser festzulegen.
“www” ist jedoch kein voll qualifzierter Domänen-Name (FQDN). Der voll qualifzierte
Domänenname des Webservers wird jedoch automatisch clientseitig über die Software Ihres
Computers erstellt, indem das Sufx des Domänennamens, wie von dem DHCP-Server des
Internetdienstanbieters vorgegeben, angehängt wird. Legen Sie das Domänen-Name-Sufx
entsprechend der Vorgabe des DHCP-Servers Ihres Internetdienstan bieters fest, damit die
Benutzer in Ihrem Intranet die Teiladresse “www” weiterhin nicht eingeben müssen.
42
Konfiguration Schulrouter Plus
Dienste

Primärer DNS:
Legt für die Clients des DHCP-Servers fest, welcher Server als primärer DNS-Server verwendet
werden soll. Da der Schulrouter Plus auch einen DNS-Proxy enthält, wird in der Regel
empfohlen, den Standardwert zu verwenden. In diesem Fall wird für den primären DNS-Server
die IP-Adresse des Schulrouter Plus verwendet. Wenn Sie einen eigenen separaten DNS-Server
verwenden, geben Sie dessen IP-Adresse in das Feld ein.
Sekundärer DNS:
Sie können auch einen sekundären DNS-Server angeben, der verwendet wird, falls der primäre
DNS-Server nicht verfügbar sein sollte. Dieser DNS-Server könnte beispielsweise ein weiterer
DNS-Server in Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein.
Erster NTP-Server:
Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen
NTP-Servers an Geräte in Ihrem Netzwerk weiterleiten wollen, können Sie die IP-Adresse des
NTP-Servers in dieses Feld eingeben. Der DHCP-Server gibt diese Adresse bei der Übergabe der
Netzwerkparameter an alle Clients weiter.
Zweiter NTP-Server:
Wenn Sie eine zweite NTP-Server-Adresse haben, geben Sie diese hier ein. Der DHCP-Server
gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter.
Erste/zweite WINS-Server Adresse:
Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server
(Windows Internet Naming Service-Server) verwenden, können Sie in diese Felder den
primären und, falls vorhanden, sekundären WINS-Server eintragen. Der DHCP-Server gibt
diese Adresse bei der Übergabe der Netzwerkparameter an die Hostcomputer weiter.
Für erfahrene Benutzer ist es möglich, weitere angepasste DHCP-Regeln zu der Konfgura-
tion hinzufügen. Diese können in dem Textfeld „Benutzerdefnierte Konfgurationszeilen“
eingetragen werden. Beachten Sie, dass hier keine Prüfung der Syntax durch den Schulrouter
Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers verhindern können.
i
Konfiguration Schulrouter Plus
43
Konfiguration Schulrouter Plus
Dienste
Aktuelle feste Zuordnungen
Wenn sich in Ihrem Netzwerk Computer befnden, deren IP-Adressen zentral verwaltet werden sollen,
für die es jedoch darüber hinaus auch erforderlich ist, dass sie stets dieselbe IP-Adresse erhalten,
können Sie über den DHCP-Server festlegen, dass diesen Computern auf Grundlage der MAC-Adresse
der in dem Computer installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. Diese Art
der Konfguration unterscheidet sich wesentlich von der manuellen Adresszuweisung, da auch diese
Computer weiterhin ihre IP-Adressen von dem DHCP-Server beziehen. Die Adressen werden also nicht
manuell auf dem Computer selbst, sondern zentral über den DCHP-Server vergeben.
Für feste Zuordnungen können die folgenden Parameter festgelegt werden:
MAC-Adresse:
Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers,
für den die feste Zuordnung gelten soll.
Das Format der MAC-Adresse lautet x x : x x : x x : x x : x x : x x , und nicht x x - x x - x x - x x - x x - x x ,
wie es auf einigen Computern angezeigt wird (Beispiel: 0 0 : E 5 : B 0 : 0 0 : 02 : D 2 ).
IP-Adresse:
Dies ist die fest zugeordnete IP-Adresse, die der DHCP-Server stets für die angegebene
MAC-Adresse vergeben soll. Stellen Sie sicher, dass Sie keine IP-Adresse aus dem dynamischen
Adressbereich des DHCP-Servers vergeben.
Beschreibung:
Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen.
Nächste Adresse:
Möglicherweise befnden sich in Ihrem Netzwerk Computer, die eine Startdatei von einem
Server im Netzwerk erhalten müssen (sog. Thin Clients). Bei Bedarf können Sie in diesem Feld
die Serveradresse angeben.
44
Konfiguration Schulrouter Plus
Dienste

Dateiname
Geben Sie den Namen der Startdatei für diesen Computer an.
Rootpfad
Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befndet, können Sie in
diesem Feld den Pfad zu der Startdatei angeben.
Aktiviert
Aktivieren Sie dieses Kontrollkästchen, um den DHCP-Server anzuweisen, die angegebene
feste Zuordnung bereitzustellen. Ist das Kontrollkästchen nicht aktiviert, wird der
entsprechende Datensatz zwar in den Dateien des Schulrouter Plus gespeichert, der
DHCP-Server gibt die Zuordnung jedoch nicht aus.
Liste der festen Zuordnung
In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und können
bearbeitet oder gelöscht werden. Sie können die Liste sortieren, indem Sie auf die
unterstrichenen Spaltenüberschriften MAC-ADRESSE oder Ip-ADRESSE klicken. Ein weiterer
Klick dreht die Sortierreihenfolge um. Zum Bearbeiten einer bestehenden festen Zuordnung
klicken Sie auf das zugehörige STIFT-SyMBOl. Die Werte für die feste Zuordnung werden im
Ausschnitt “Fixe Lease hinzufügen” weiter oben angezeigt. Nehmen Sie die gewünschten
Änderungen vor und klicken Sie dann auf SpEIChERN. Zum Löschen einer bestehenden
festen Zuordnung klicken Sie auf das zugehörige pApIER-KORB-SyMBOl.
Konfiguration Schulrouter Plus
45
Konfiguration Schulrouter Plus
Dienste
Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen,
auch wenn dieser über keine statische öfentliche IP-Adresse verfügt. Um dynDNS verwenden zu
können, müssen Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren.
Anschließend muss Ihr Server jedes Mal, wenn eine Verbindung zum Internet hergestellt und ihm von
Ihrem Internetdienstanbieter eine IP-Adresse zugewiesen wird, dem dynDNS-Server diese IP-Adresse
mitteilen. Hostcomputer, die eine Verbindung zu Ihrem Server herstellen möchten, lösen die Adresse
über den dynDNS-Server auf, der die aktuellste gültige IP-Adresse bereitstellt. Ist diese IP-Adresse
aktuell, kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt, die
festgelegten >Firewall-Regeln< lassen dies zu).
Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die
automatische Aktualisierung bei zahlreichen dynDNS-Anbietern.
Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen, bekommt er in aller Regel von
Ihrem Provider eine externe IP zugeordnet, mit der Sie auch von außen auf den Schulrouter Plus
zugreifen können. Diese Adresse sehen Sie auf der Startseite. Wird dort eine externe IP angezeigt,
wählen Sie hier den ersten Auswahlpunkt.
Wird dort eine IP-Adresse angezeigt, die in Ihrem internen Netzwerk liegt - wenn Sie also bspw. einen
vorgelagerten Router verwenden - wählen Sie die zweite Variante, die versucht, die externe IP über
eine Webseite zu bekommen.
5.2 Dynamischer DNS
46
Konfiguration Schulrouter Plus
Dienste
Aktuelle Hosts
Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden:
Dienst
Wählen Sie einen dynDNS-Anbieter aus der DROpDOwNlISTE aus. Sie sollten bei dem aus
gewählten Anbieter bereits registriert sein.
Hinter einem Proxy
Aktivieren Sie dieses KONTROllKäSTChEN nur dann, wenn Sie als Anbieter “no-ip.com”
gewählt haben und der Schulrouter Plus sich hinter einem Proxyserver befndet.
Dieses KONTROllKäSTChEN wird bei Auswahl eines anderen Anbieters nicht berücksichtigt.
Platzhalter erlauben
Wenn Sie Platzhalterzeichen zulassen, ermöglichen Sie, dass alle Unterdomänen Ihres dyna-
mischen DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. Ist das
KONTROllKäSTChEN aktiviert, erhält beispielsweise die Unterdomäne www.srp.dyndns.org
dieselbe IP-Adresse wie die übergeordnete Domäne timeforkids.dyndns.org.
Wenn Sie als Anbieter “no-ip.com” gewählt haben, wird das KONTROllKäSTChEN nicht
berücksichtigt, da dieser Anbieter die Einstellung dieser Option ausschließlich über seine
Website ermöglicht.
Hostname
Geben Sie den Hostnamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Domäne
Geben Sie den Domänennamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Benutzername
Geben Sie den Benutzernamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Passwort
Geben Sie das Kennwort für den Benutzernamen ein.
Aktiviert
Aktivieren Sie dieses KONTROllKäSTChEN, damit der Schulrouter Plus die auf dem dynDNS-
Server hinterlegten Daten aktualisiert. Die Daten werden auch auf dem Schulrouter Plus ge-
speichert, wenn das KONTROllKäSTChEN deaktiviert ist. Auf diese Weise können Sie die
dynDNS-Aktualisierung zu einem späteren Zeitpunkt wieder aktivieren, ohne die Daten
erneut eingeben zu müssen.
Hinter einem Router (NAT)
Wählen Sie dies aus, wenn der Schulrouter Plus über einen vorgelagerten Router ins Internet
geht. In diesem Fall wird der Dienst von http://checkip.dyndns.org verwendet um die externe
IP herauszufnden.
Konfiguration Schulrouter Plus
47
Konfiguration Schulrouter Plus
Dienste
Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von
ClamAV. In diesem Bereich können Sie einstellen, wie ClamAV mit Archiv-Bomben umgeht und wie oft
Virenupdates heruntergeladen werden.
Antivirus Konfguration
Um diese Arten von Angrifen zu unterbinden, ist der Antivirus-Dienst so vorkonfguriert, dass Archive
mit bestimmten Eigenschaften nicht gescannt werden:
Max. Größe des Archives
Archive, die größer als die angegebene MB-Zahl sind.
Max. Archive in Archiven
Archive, die wiederum andere Archive beinhalten, wenn die Anzahl der eingebetteten Archive
diese Zahl übersteigt.
Max. Anzahl von Dateien in Archiven
Archive , die mehr als die hier angegebene Anzahl von Dateien enthalten.
Max. Kompressionsverhältnis
Archive, deren unkomprimierte Größe die komprimierte Größe um mehr als den hier angege-
benen x-fachen Wert übersteigen. Der Standardwert ist 1000. Normalerweise übersteigt der
Faktor der Komprimierung selten 10.
5.3 Antivirus
48
Konfiguration Schulrouter Plus
Dienste
Umgang mit gefährlichen Archiven
Was soll mit den Archiven passieren, die in dieses Raster fallen? Es ist möglich zwischen
„Nicht scannen aber durchlassen“ und „als Virus blockieren“ zu wählen.
Verschlüsselte Archive blockieren
Seitdem es technisch unmöglich ist, verschlüsselte (passwortgeschützte) Archive zu scannen,
stellen diese ein Sicherheitsrisiko dar. Sie können hier auswählen, ob verschlüsselte Archive
standardmäßig blockiert werden sollen.
Aktualisierungszeitplan der Antivirus Signaturen
Ein anderer, sehr wichtiger Aspekt bei einem Antivirus-Scanner sind die Signatur-Updates:
Informationen über neue Viren müssen regelmäßig von einem ClamAV-Server geladen werden.
Rechts können Sie auswählen, wie oft diese Aktualisierungen herunter geladen werden.
Der voreinstellte Standard ist stündlich.
Antivirus Viren Signaturen
Dieser Bereich zeigt an, wann das letzte Update geladen wurde und welches die letzte
geladene Signatur-Version ist. Klicken Sie auf SIGNATUREN jETZT AKTUAlISIEREN, um das
Update sofort auszuführen - beachten Sie, dass dies einige Zeit in Anspruch nimmt. Falls Sie
nach Informationen über einen bestimmten Virus suchen möchten, gelangen Sie mit dem
angezeigten Link direkt zur ClamAV Online-Virus-Datenbank.
Konfiguration Schulrouter Plus
49
Konfiguration Schulrouter Plus
Dienste
Der Schulrouter Plus kann so konfguriert werden, dass die Uhrzeit mit einem Zeitserver im Internet
abgeglichen wird.
Eine Anzahl von Zeitservern ist bereits voreingestellt.
Mit Aktivieren von STANDARD NTp SERVER üBERSChREIBEN können Sie eigene NTP-Server eintragen.
Hier muss jeder NTP-Server in eine eigene Zeile geschrieben werden.
Darunter können Sie auch die Zeitzone festlegen.
Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.
5.4 Zeitserver
50
Konfiguration Schulrouter Plus
Dienste
Trafcshaping, also die Optimierung der Datenübertragung, ermöglicht die Festlegung von Vorrang-
regeln für die verschiedenen Datenströme, die durch die Firewall geleitet werden.
Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit, die Übertragungsverfahren des
Datenaufommens selbst Ihren Bedürfnissen entsprechend zu optimieren. Die Steuerung erfolgt
durch die Einstufung des Datenaufommens in Prioritätsstufen “Hoch”, “Mittel” und “Niedrig”.
Die Ping-Übertragung erhält stets die höchste Priorität, damit Sie auch dann die Geschwindigkeit
Ihrer Verbindung genau überprüfen können, während umfangreiche Downloads aus dem Internet
durchgeführt werden.
So verwenden Sie die Trafcshaping-Funktionalität im Schulrouter Plus:
1. Verwenden Sie einen DSL Speedtest im Internet, um die maximalen Upload- und Download-
geschwindigkeiten zu ermitteln. Geben Sie die so ermittelten Geschwindigkeiten in die
entsprechenden Felder im Bereich Einstellungen der Webseite ein.
2. Aktivieren Sie die Übertragungsoptimierung, indem Sie die WAN-Verbindung bearbeiten
und die maximal zu verwendende Geschwindigkeit eingeben.
3. Ermitteln Sie, welche Dienste in Ihrem Netzwerk verwendet werden, bei denen Daten-
übertragungen über die Firewall vom bzw. ins Internet erfolgen.
5.5 Trafficshaping
Konfiguration Schulrouter Plus
51
Konfiguration Schulrouter Plus
Dienste
4. Weisen Sie diesen die gewünschte Priorität zu. Beispiel:
a. Interaktivem Datenaufommen wie SSH (Port 22) und VoIP wird die Prioritätsstufe „Hoch“
zugeordnet.
b. Standarddatenaufommen wie surfen (Port 80) und Kommunikation (bspw. E-Mail-Verkehr
über Port 25 bzw. 110) s owie Audio- und Videostreaming wird die Prioritäts-stufe „Mittel“
zugeordnet.
c. Dauerdatenübertragungen wie beispielsweise P2P-Dateifreigaben erhalten die Prioritäts-
stufe „Niedrig“.
5. Erstellen Sie durch den Klick auf EINEN DIENST ERSTEllEN eine Liste mit Diensten und den
jeweils zugeordneten Prioritätsstufen.
Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfgurationen zur Optimierung
der Übertragung des Datenaufommens. Sie sollten die Einstufung in die drei Prioritätskategorien
entsprechend den Anforderungen in Ihrem Netzwerk anpassen.
52
Konfiguration Schulrouter Plus
Dienste
Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfguriert werden, um automatisch
zu lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermöglichen, benötigt der
Dienst einen über IMAP erreichbaren Mailserver, damit dort voreingestellte Ordner überprüft werden.
Die Standardkonfguration wird noch nicht für das Training verwendet.
Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern, die darunter
konfguriert wird. Durch Klick auf STANDARDKONFIGURATION BEARBEITEN öfnet sich darunter ein
neuer Bereich, in dem die Stand-ardeinstellungen gesetzt werden können:
Standard IMAP Host
Der IMAP-Mailserver, der die Trainingsordner beinhaltet.
Standard-Benutzername
Der Anmeldename für den IMAP-Mailserver.
Standard-Passwort
Das zugehörige Passwort.
Standard-Hamordner
Der Name des Ordners, der nur HAM-Mails beinhaltet. Dieser Ordner beinhaltet Mails, die
nicht als Spam zu klassifzieren sind.
Standard-Spamordner
Der Name des Ordners, der nur Spam-Mails beinhaltet.
Für automatisches Spamflter-Training vormerken
Das Intervall zwischen den Prüfungen. Das regelmäßige Training kann entweder deaktiviert
werden, so dass es nur manuell durchgeführt werden kann (z.B. nach einer Überprüfung der
entsprechenden Ordner auf Richtigkeit) oder in regelmäßigen Abständen automatisch
ausgeführt werden.
5.6 Spam Training
Konfiguration Schulrouter Plus
53
Konfiguration Schulrouter Plus
Dienste
In dem Bereich darunter können die entsprechenden “Trainingsserver” konfguriert werden. Durch
einen Klick auf IMAp SpAM TRAININGSqUEllE hINZUFüGEN öfnet sich ein neuer Bereich.
Die Einstellungen für weitere “Trainingsserver” entspricht den Standardeinstellungen. Es fehlt nur die
Einstellung der Regelmäßigkeit. Diese wird immer von den Standardeinstellungen übernommen.
Drei weitere Optionen sind verfügbar:
Aktiviert
Erst wenn hier eine MARKIERUNG gesetzt ist, wird diese Quelle für das Training verwendet.
Anmerkung
In diesem Feld können Sie eine Anmerkung einfügen.
Bearbeitete Mails löschen
Nach dem Training werden die verwendeten E-Mails gelöscht.
Die anderen Optionen können genauso wie in der Standardkonfguration vorgenommen werden.
Wenn Sie hier gesetzt werden überschreiben Sie die Standardeinstellung. Eine Quelle wird mit dem
entsprechenden Button getestet, aktiviert, bearbeitet oder gelöscht.
Es ist auch möglich die Verbindung zu allen Quellen zu testen, indem Sie oben auf den Button AllE
VERBINDUNGEN TESTEN klicken. Wenn mehrere Quellen defniert sind, kann dies einige Zeit in
Anspruch nehmen, abhängig von der Geschwindigkeit der Mailserver und der Anzahl der defnierten
Quellen.
Um das Training sofort zu starten, klicken Sie auf TRAINING jETZT STARTEN. Abhängig von der Anzahl
der Quellen, der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails,
die für das Training zur Verfügung stehen, kann das Training einige Zeit in Anspruch nehmen.
Sie können das Anti-Spam-Training auch manuell durchführen, wenn der SMTP Proxy angeschaltet ist.
Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an spam@spam.spam für
Spamnachrichten und an ham@ham.ham für Hamnachrichten machen.
Dafür ist notwendig, dass die Domänen “spam.spam” und “ham.ham” aufgelöst werden können
indem Sie unter >4.2 Netzwerk - Hosts bearbeiten< auf den Schulrouter Plus zeigen.
54
Konfiguration Schulrouter Plus
Dienste
Der Schulrouter Plus enthält ein hochleistungsfähiges System zur Einbruchserkennung, das die von
der Firewall empfangenen IP-Pakete analysiert und nach bekannten Signaturen für schädliche
Aktivitäten durchsucht.
Der Schulrouter Plus kann IP-Pakete überwachen, die über jedes genutzte Netzwerk übertragen
werden. Aktivieren Sie einfach die gewünschten KONTROllKäSTChEN.
Die Regeln zur Einbruchdetektierung werden von snort.org gepfegt.
Mit dem Haken EINBRUChDETEKTIERUNG AUTOMATISCh hERUNTERlADEN und dem darunter
liegenden Updateintervall können sie die Einbruchdetektierung vom Schulrouter Plus automatisch
aktuell halten.
Für erfahrene Benutzer besteht die Möglichkeit, eigenen Regeln auf dem Schulrouter Plus einzusetzen.
Die im Feld BENUTZERDEFINIERTE EINBRUChDETEKTIERUNGSREGElN einzufügende Regeln müssen
entweder direkt “.rules- oder gepackte .tar-”, “.gz- oder .zip-Dateien” sein.
5.7 Einbruchdetektierung
Konfiguration Schulrouter Plus
55
Konfiguration Schulrouter Plus
Dienste
Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den BUTTON
oben aktiviert oder deaktiviert werden. Wenn die Datenverkehrsüberwachung aktiviert ist, erscheint
darunter ein Link, der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrs-
überwachung weiterleitet. Diese Administrationsoberfäche wird ebenfalls von „ntop“ geliefert und
enthält detaillierte Statistiken über den Datenverkehr.
Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben, wobei
der Verkehr nach Host, Protokoll, Schnittstellen und weiteren Parametern gefltert werden kann.
Für detaillierte Informationen über die ntop-Administrationsoberfäche besuchen Sie die „ntop“
Dokumentation unter: >http://www.ntop.org/documentation.html<
5.8 Datenverkehrsüberwachung
56
Konfiguration Schulrouter Plus
Firewall
6 Hauptmenü Firewall
6.1 Portweiterleitung / NAT

Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz. Manchmal
kann diese Einstellung zu restriktiv sein. Wenn Sie z.B. einen Webserver betreiben, würden alle von
außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. Dies
würde bedeuten, dass der Webserver nur aus dem internen Netz zu nutzen wäre. Dies ist natürlich
nicht die Normalsituation für einen Webserver. In den meisten Fällen sollen Außenstehende den
Zugrif auf Ihren Webserver erhalten. Für diese Fälle gibt es Port-Weiterleitungen. Wenn Sie diese Ports
kennen, können Sie die Port-Weiterleitung im Schulrouter Plus konfgurieren.
Klicken Sie auf EINE NEUE pORTwEITERlEITUNG hINZUFüGEN, um eine Portweiterleitung zu
erstellen.
Sie können individuell defnieren, welche Anfragen von welcher Schnittstelle über welchen Port zu
welchem Client geleitet werden. Folgende Parameter müssen dabei festgelegt werden:

Protokoll: TCP, UDP, GRE (generic routing encapsulation) wird von Tunneln verwendet, z.B.
PPTP-VPN) oder Alle Protokolle.
Eingehende IP
Die externe Schnittstelle. Hier kann eine der verwendeten roten Schnittstellen, alle roten
Schnittstellen oder VPN-Verbindungen gewählt werden.
Eingehender Port
Auf welchem Port (1 - 65535) soll der Schulrouter Plus an den roten Schnittstellen auf Anfragen
warten.
6.1.1 Portweiterleitung
Konfiguration Schulrouter Plus
57
Konfiguration Schulrouter Plus
Firewall
Ziel-IP-Adresse
Die IP-Adresse des internen Clients, an den die Anfrage von extern geleitet werden soll.
Ziel-Port
Der Port am Client intern an, den die externe Anfrage geleitet werden soll.
Anmerkung
Eine eigene Anmerkung, um später die Regel schnell wiederzufnden.
Aktiviert
Diese Regel aktivieren
SNAT eingehende Verbindungen
Legen Sie fest, ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus
(aktiviert) oder mit der externen IP des Anfragenden ankommen.
Enable log
Alle Pakete über diese Regel protokollieren.
Klicken Sie auf hINZUFüGEN um die Regel zu bestätigen. Sie können die Regel in der Zeile mit
den entsprechenden SyMBOlEN bearbeiten, de-/aktivieren oder sie löschen.
Vergessen Sie nicht nach dem Ändern bzw. Hinzufügen der Regeln oben auf üBERNEhMEN zu klicken!
Wenn eine Regel defniert ist, können Sie den Zugrif von außen beschränken. Mit dem Klick auf das
plUS-SyMBOl der entsprechenden Regel öfnet sich darüber eine Maske, in der Sie die IP-Adresse oder
das Netz derjenigen eintragen können, die nur die Weiterleitung nutzen dürfen. Das setzt voraus, dass
diese eine feste externe IP haben. Um weitere Quellen zu defnieren wiederholen Sie den Schritt.
58
Konfiguration Schulrouter Plus
Firewall
In diesem Unterabschnitt können Sie defnieren, für welche ausgehende Verbindungen
„Source Network Adress Translation“ (SourceNAT) genutzt werden sollen. SourceNAT kann nützlich
sein, wenn ein Server im internen Netz eine eigene externe IP bekommen und für den Datenverkehr
des Servers ins Internet nicht die externe IP-Adresse der roten Schnittstelle verwendet werden soll.
Das Hinzufügen von SourceNAT-Regeln ist identisch zu der Bearbeitung von Portweiterleitungen. Die
folgenden Einstellungen können gesetzt werden:
Quelle
Legen Sie fest, für welche Quellen SourceNAT verwendet werden sollen. Sie können zwischen
bestimmten IP-Adressen, Netzwerke oder Benutzern wählen.
Ziel
Hier können Sie, genau wie bei der Quelle, ein Ziel defnieren, bei dem die Regel aktiv ist (also
das Ziel, dass der Client anfragt). Zusätzlich können Sie auch Zonen und WAN-Verbindungen
nutzen.
Dienst/Port
Hier können Sie den Dienst/Port, der beeinfusst werden soll, auswählen.
NAT
Hier wählen Sie aus, ob Sie SourceNAT nutzen möchten oder nicht. Wenn Sie sich für NAT
entscheiden, können Sie die IP-Adresse wählen, die nach außen für diese Regel sichtbar
sein soll. In der Vorauswahl erscheint automatisch die entsprechend zugehörige IP-Adresse.
Aktivieren
Hier aktivieren Sie die Regel.
6.1.2 SourceNAT
Konfiguration Schulrouter Plus
59
Konfiguration Schulrouter Plus
Firewall
Anmerkung
Hier können Sie eine kurze Anmerkung eintragen.
Position
Hier können Sie festlegen, an welcher Stelle die Regel eingefügt werden soll.
Zum Speichern der Regel klicken Sie auf REGEl ERSTEllEN.
Beispiel:
Konfgurieren eines SMTP-Mailservers auf der IP 1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 (davon ausgehend, dass
1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 eine weitere IP des roten Schnittstelle ist) in der DMZ mit SourceNAT:
1. Konfgurieren Sie die orange Schnittstelle so, damit der Server ins Internet kommt.
2. Konfgurieren Sie den Mailserver so, damit er auf Port 25 mit seiner internen IP der
Orangenen Zone reagiert.
3. Fügen Sie eine WAN-Verbindung mit der IP 1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 (Ethernet statisch) im
Abschnitt >4.4 Internet/WAN< hinzu.
4. Fügen Sie eine SourceNAT-Regel hinzu und defnieren Sie als Quelle die interne (orange) IP.
60
Konfiguration Schulrouter Plus
Firewall
Die ausgehende Verbindungsfrewall regelt den Datenverkehr von den internen Netzen nach außen.
Die Standardeinstellungen reichen aus, um im Internet surfen und E-Mails abholen zu können. Sie
können diese Regeln nach Ihren Bedürfnissen erweitern, um bspw. Lernsoftware die Verbindung ins
Internet über benötigte Ports zu gewähren.
Mit dem Schalter AUSGEhENDE FIREwAll DEAKTIVIEREN/AKTIVIEREN können Sie die aus
gehende Verbindungsfrewall komplett deaktivieren, so dass jeglicher Datenverkehr von innen
nach außen gelangt.
Mit der Einstellung AllE AKZEpTIERTEN AUSGEhENDEN VERBINDUNGEN pROTOKOllIEREN
protokolliert der Schulrouter Plus alle akzeptierten Pakete im >Firewalllog<. Dies schließt
nicht die abgewiesenen Pakete ein.
6.2 Ausgehender Datenverkehr
Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das
System verlangsamen.
!
ê
Konfiguration Schulrouter Plus
61
Konfiguration Schulrouter Plus
Firewall
Im Abschnitt “Aktuelle Regeln” sind alle bereits defnierten aktivierten Firewall-Regeln aufgelistet.
Diese sind nach ihrer Priorität absteigend sortiert: Ist bspw. als erstes der Port 80 freigegeben und
darunter eine Regel, die die Ports 50 bis 100 sperrt, wird dennoch Port 80 freigegeben. In dieser
Ansicht können Sie auch die Priorität der Regeln ändern, indem Sie die Pfeile in der entsprechenden
Zeile benutzen. Außerdem können Sie die Regeln de-/aktivieren, bearbeiten und löschen.
Am Ende der Seite werden die Systemregeln angezeigt. Diese Regeln werden automatisch vom
Schulrouter Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Sie können
nicht verändert oder gelöscht werden.
Wenn Sie eine neue Firewallregel anlegen möchten, klicken Sie auf „EINE NEUE FIREwAllREGEl
hINZUFüGEN. Zum Bearbeiten klicken Sie auf das entsprechende STIFT-SyMBOl in der Zeile der Regel,
die Sie bearbeiten möchten. Es öfnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Um
die Regel zu de-/aktivieren, setzen Sie entsprechend den hAKEN in den Punkt “Aktiviert:” und drücken
den Button SpEIChERN, nachdem alle Einstellungen für diese Regel getätigt sind.
Folgende Einstellungen können gesetzt werden:
Quelle:
Für welche Quelle soll diese Regel gelten. Sie können entweder Netzwerkschnittstellen,
Zonen, IP-Adressen/IP-Bereiche oder MAC-Adressen verwenden. Es können mehrere Quellen
gleichen Typs verwendet werden.
Ziel IP Adresse:
Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet
verwendet werden. Sie können hier entweder WAN-Verbindungen oder
IP-Adressen/IP-Bereiche wählen. Es können mehrere Quellen gleichen Typs verwendet werden.
Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefniert Port und Pro
tokoll selber festlegen.
Aktionen:
Legen Sie fest, ob der Vorgang gestattet oder abgelehnt werden soll.
Anmerkung:
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufnden.
62
Konfiguration Schulrouter Plus
Firewall
Position:
Wie bereits erwähnt, ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller
Regeln festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Alle akzeptierten Pakete loggen:
Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog<
aufgeführt.
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Es erscheint eine Meldung mit dem entsprechenden Hinweis!
!
ê
Konfiguration Schulrouter Plus
63
Konfiguration Schulrouter Plus
Firewall
Hier legen Sie fest, ob Datenverkehr zwischen den einzelnen internen (alle außer ROT)
Netzwerksegmenten gesendet werden darf.
Der Schulrouter Plus ist standardmäßig so eingestellt, dass der Datenverkehr nur im jeweiligen
Netzwerksegment bleiben darf. Ein Senden in eine andere Zone ist nicht erlaubt. Dies ist notwendig,
um bspw. das pädagogische Netz und die Verwaltung zu trennen.
Dies betrift aber nur den Datenverkehr, der auch über den Schulrouter Plus übertragen wird. Sprich,
nur die Pakete, die von einer zu einer anderen Schnittstelle übertragen werden. Der Datenverkehr, der
im internen Netzwerk geschieht und über den dort stehenden Switch läuft, ist davon nicht betrofen.
Analog zu “Ausgehender Datenverkehr” können Sie diese Einstellungen ein-/ausschalten, Regeln
bearbeiten, löschen und hinzufügen.
6.3 Interner Datenverkehr
Wird der interne Datenverkehr deaktiviert, werden alle Verbindungen untereinander erlaubt
(Datenverkehr zu ROT ausgeschlossen). Dies ist nicht zu empfehlen! Durch Klick auf
EINE NEUE INTERNE FIREwAllREGEl hINZUFüGEN können Sie eine neue Regel hinzufügen.
Die Einstellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!
!
ê
!
ê
64
Konfiguration Schulrouter Plus
Firewall
Hier können Sie den Zugrif direkt auf den Schulrouter Plus regeln. Es gibt eine Liste vorkonfgurierter
Regeln, die für den Betrieb der einzelnen Dienste und für den Zugrif auf die Konfgurationsober-
fächen notwendig sind. Klicken Sie auf EINE NEUE SySTEMZUGANGSREGEl hINZUFüGEN um eine
neue Regel für den Systemzugrif zu erstellen.
Diese Einstellungen können gemacht werden:
Quelladresse
Legen Sie eine oder mehrere IP-Adressen, Netzwerke oder MAC-Adressen fest, deren Zugrif
mit dieser Regel festgelegt werden soll. Diese Einstellung ist optional, wenn Sie den
kompletten Zugrif aus bestimmten Zonen (Quellschnittstellen) gewähren wollen.
Quellschnittstelle
Legen Sie fest, aus welcher Zone oder über welche Schnittstelle dieser Zugrif geregelt werden
soll.
Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefniert Port und
Protokoll selber festlegen.
Aktion
Stellen Sie ein, ob der Zugrif gewährt, abgelehnt (ohne Rückmeldung) oder abgewiesen
(Meldung an den Sender) werden.
Anmerkung
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufnden.
6.4 Systemzugriffe
Konfiguration Schulrouter Plus
65
Konfiguration Schulrouter Plus
Firewall
Position
Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln
festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Aktiviert
Anhaken zum Aktivieren der Regel (Standard).
Alle akzeptierten Pakete loggen
Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog<
aufgeführt.
Klicken Sie auf REGEl hINZUFüGEN um die Regel zu bestätigen.
Durch den Klick auf das entsprechende SyMBOl rechts in der Zeile der erstellten Regel, können Sie die
entsprechenden Regeln de-/aktivieren, bearbeiten oder löschen.
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!
!
ê
66
Konfiguration Schulrouter Plus
Proxy
7 Hauptmenü Proxy
7.1 HTTP

Der integrierte HTTP-Proxy ist ein vollwertiger Proxy, der als Vermittler der Daten zwischen Netz-
werkverkehr und dem integrierten Schulflter Plus agiert und auch Webobjekte zwischenspeichern
kann. Außerdem bietet der integrierte Proxy weitere grundsätzliche Einstellungsmöglichkeiten zur
Filterung des Datenverkehrs und zur Authentifzierung.
Um den Datenverkehr über den Schulflter Plus zu leiten, muss der Proxy für die entsprechende
Schnittstelle aktiviert sein. Sie können in dieser Übersicht den Proxy für jede Schnittstelle aktivieren
oder deaktivieren.
So können Sie beispielsweise Ihr Schüler-Netz (z.B. im Grünen Netz) über den Schulflter Plus fltern
lassen und für Ihr Verwaltungsnetz separat den Proxy deaktivieren, so dass die Verwaltungsrechner
(z.B. im Blauen Netz) ohne Filterung und ohne weitere Einstellungen am Filter vorbei gehen können.
Bei dieser Auswahl haben Sie die Optionen zwischen:
Deaktiviert
Der Proxy ist auf dieser Schnittstelle deaktiviert. Es wird ein reines Routing gemacht.
7.1.1 Konfiguration
Ist an einem Client noch ein Proxy eingestellt, so gibt der Browser eine Fehlermeldung zurück. !
ê
Konfiguration Schulrouter Plus
67
Konfiguration Schulrouter Plus
Proxy
Keine Authentifzierung
Der Proxy ist aktiviert. Um den Proxy zu nutzen, muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden.
Authentifzierung benötigt
Der Proxy ist aktiviert. Um den Proxy zu nutzen muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden. Weiterhin ist die Anbindung des Proxy an einen Verzeichnisdienst
notwendig, so dass die Anmeldedaten des Clients abgefragt werden und auch an den Schul-
flter Plus weitergegeben werden können.
Transparent
Der Proxy ist aktiviert und fängt selbständig alle http-Anfragen (über Port 80) ein. Es muss
am Client für den http-Verkehr kein Proxy eingetragen werden. In diesem Fall ist aber keine
Authentifzierung gegen einen Verzeichnisdienst möglich.
Proxy Port
Wenn Sie den Proxy nicht transparent einsetzen wollen, müssen Sie einen Port wählen, der
bei den Clients eingestellt wird. Standardmäßig ist der Port 800 eingestellt, da dabei die
Gefahr einer Mehrfachnutzung durch andere Programme relativ klein ist.
Achten Sie beim Einstellen des Ports darauf, dass keine anderen Programme auf Ihren Clients
diesen Port beanspruchen.
Sichtbarer Hostname
Zeigt in Fehlermeldungen des Schulrouter Plus nicht den Hostnamen, sondern den hier
eingetragenen Namen an.
Cache Administrator E-Mail
Diese E-mail-Adresse wird in Fehlermeldungen des Schulrouter Plus als Kontakt angezeigt.
Sprache der Fehlermeldungen
Wählen Sie die Sprache, in der Fehlermeldungen angezeigt werden sollen.
Max. Größe von Uploads (KB)
Limit für http-Dateiuploads (so wie z.B. Anhänge in Formularen) in KB (0 bedeutet unbegrenzt).
68
Konfiguration Schulrouter Plus
Proxy
Hier werden die zulässigen Ziel-Ports geführt, über die HTTP(S)-Anfragen an den Schulrouter Plus
gesendet werden dürfen, um weitergeleitet zu werden.
7.1.1.1 Erlaubte Ports und SSl Ports
7.1.1.2 Log-Einstellungen
Log aktiviert
Aktivieren Sie hier die Protokollierung aller Aktivitäten über den http-Proxy. Sie können das
Protokoll in den >Proxy-Logdateien< einsehen. Diese Daten zu sammeln kann Datenschutz-
richtlinien und die Privatsphäre der Benutzer verletzen. Bitte prüfen Sie die Datenschutzricht-
linien Ihres Bundeslandes.
Diese Einstellung ist unabhängig von der Protokollierung des Schulflter Plus, kann also für
eine reine Protokollierung der Filterereignisse ausgeschaltet bleiben.
Protokolliere Query Terms
Standardmäßig werden dynamische Abfragen bei der Protokollierung abgeschnitten. Ist
dieser Punkt aktiviert, werden auch diese protokolliert.
Z.B.: http://www.time-for-kids.de/index.php?user=hallo&passwort=welt


dynamische Abfragen
Protokolliere User Agents
So werden auch die verwendeten User-Agents, bspw. wenn der Browser mit dem die Internet-
seite angesehen wird, protokolliert.
Dieser Punkt sollte nur zur Fehlersuche aktiviert werden. Die User-Agents sind nicht in der
Weboberfäche zu sehen, sondern nur in der Datei “/var/log/squid/useragent.log”
Firewall protokolliert ausgehende Verbindungen
Alle Proxy-Anfragen werden auch im Firewalllog protokolliert (nur bei transparentem Proxy).
Konfiguration Schulrouter Plus
69
Konfiguration Schulrouter Plus
Proxy
7.1.1.3 Erlaubte Subnetze pro Zone
Hier werden die Zugrifsrechte auf den Webzugrif über den Proxy geregelt. Nur Anfragen aus
diesen Subnetzen wird der Webzugrif über den HTTP-Proxy genehmigt, alle anderen bekommen eine
Fehlermeldung.
Standardmäßig werden hier automatisch die Subnetze von den Schnittstellen Grün, Blau und
Orange eingetragen. Sie können diese manuell editieren, um bspw. nur einem kleineren IP-Bereich den
Internetzugrif zu gewähren.
Wenn Sie die IP-Adressen und dementsprechend auch den Adressbereich ändern
(also bspw. 1 92 . 1 6 8 . 0. 1 ü 1 92 . 1 6 8 . 1 0 0. 1 ), müssen Sie den Bereich auch hier manuell
ändern! Alternativ können Sie das komplette Feld leeren und SpEIChERN klicken. Dann holt sich der Proxy
automatisch die richtigen Einstellungen.
7.1.1.4 Interner Datenverkehr
Verweigere Zugang von GRÜN auf BLAU / ORANGE
Diese Einstellung verhindert direkte HTTP-Zugrife auf lokale Web-Server in den anderen
internen Zonen durch den http-Proxy hindurch.
Beispiel:
Solange der Proxy-Zugrif untereinander deaktiviert ist, werden Anfragen gewöhnlich nach ROT weiter
geleitet. Wenn aber ein Client von Blau auf einen Web-Server in Grün zugreifen möchte, dann nimmt
der Proxy-Server eine interne Abkürzung zwischen den Schnittstellen Grün und Blau, unabhängig von
jeglichen Firewall-Regeln.
Um die Server zu schützen, wird empfohlen diese Option zu aktivieren und falls notwendig den
Zugrif über den internen Datenverkehr zu regeln.
!
ê
!
ê
70
Konfiguration Schulrouter Plus
Proxy
7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele
Hier können Sie festlegen, ob bestimmten PCs nicht den HTTP-Proxy nutzen müssen.
Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele
Diese Quellen oder Ziele werden nicht über den Proxy geleitet, selbst wenn er im Modus
“Transparent” läuft.
Den Proxy von folgenden Quell-IPs/Quell-MAC-Adressen umgehen
Für die in diesen Feldern eingetragenen IP- bzw. MAC-Adressen gelten die >Einstellungen der
Standardrichtlinie< nicht.
MAC-Adressen müssen im Format 0 0 - 0 0 - 0 0 - 0 0 - 0 0 - 0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
eingegeben werden.
Gesperrte IP-Adressen/MAC-Adresse
Alle in diesen Feldern angegebenen IP- bzw. MAC-Adressen bekommen beim Versuch über
den http-Proxy ins Internet zu gelangen die Fehlermeldung “Zugrif verweigert”.
MAC-Adressen müssen im Format 0 0 - 0 0 - 0 0 - 0 0 - 0 0 - 0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
eingegeben werden.
7.1.1.6 Cache Verwaltung
Der http-Proxy des Schulrouter Plus verfügt auch über einen Zwischenspeicher (Cache), um den
Internetdatenverkehr zu minimieren und die Seitenaufrufe bei den Clients möglichst schnell zu halten.
Sie können hier die Größe des Cache im Arbeitsspeicher (RAM) und auf der Festplatte defnie-
ren. Der Cache im RAM ist viel schneller und Strom sparender als auf der Festplatte. Er sollte
aber nicht zu groß gewählt werden, da sonst andere Dienste beeinträchtigt werden könnten.
Weiterhin können Sie auch festlegen, welche Größe die zwischengespeicherten Objekte
mindestens und maximal haben dürfen.
Mit der Option „Aktiviere Ofine-Modus“ werden die zwischengespeicherten Objekte nicht
auf dem Server auf Aktualität überprüft und es wird beim Abrufen auch auf evtl. veraltete
Objekte zugegrifen.
Im Eingabefeld „Diese Domains nicht zwischenspeichern“ können Sie eine Liste von Domains
führen, von denen keine Objekte zwischengespeichert werden sollen. Objekte dieser Domains
werden also immer direkt vom Server geholt.
Die Einträge müssen immer mit einem Punkt beginnen und es muss für jede Domain eine neue Zeile
verwendet werden.
Beispiel: “.time-for-kids.de” “.schulrouterplus.de”
Konfiguration Schulrouter Plus
71
Konfiguration Schulrouter Plus
Proxy
7.1.1.7 Vorgelagerter Proxy
Gibt es einen weiteren Proxy in Ihrem Netzwerk, über den der Schulrouter Plus ins Internet gehen soll,
müssen Sie hier die passenden Daten eintragen:
Geben Sie zuerst den Hostnamen mit dem Proxyport in dem Format Hostname:Port an.
Verlangt der vorgelagerte Proxy, dass Sie sich authentifzieren, geben Sie darunter
Benutzername und Passwort ein.
Auf der rechten Seite können Sie festlegen, welche Daten mit an den Proxy übergeben
werden. So kann die IP-Adresse und der Benutzername des Clients weitergegeben werden.
72
Konfiguration Schulrouter Plus
Proxy

Der HTTP-Proxy des Schulrouter Plus unterstützt vier Authentifzierungsmethoden:
Lokal, LDAP, Windows, Radius. Jede dieser Methoden benötigt unterschiedliche Einstellungen, die
weiter unten beschrieben werden.
Die globalen Einstellungen für alle Authentifzierungsmethoden sind:
Anzahl der Authentifzierungsprozesse
Gibt an, wie viele Prozesse auf Authentifzierungsanfragen warten. Der Wert sollte erhöht
werden, wenn die Anmeldung zu lange dauert.
Authentifzierungscache TTL
Gibt in Minuten an, wie lange die Session der Anmeldung bestehen bleibt. Nach Ablauf der
Zeit muss sich der Benutzer neu anmelden. Schickt der angemeldete Benutzer während dieser
Zeit eine Anfrage ab (ruft bspw. eine Internetseite auf), beginnt die Zeit von neuem.
Begrenzung von IP-Adressen pro Benutzer
Gibt an, von wie vielen unterschiedlichen IP-Adressen aus sich ein Benutzer gleichzeitig
anmelden darf. Wenn das Feld leer bleibt, besteht keine Beschränkung.
7.1.2 Authentifizierung
Konfiguration Schulrouter Plus
73
Konfiguration Schulrouter Plus
Proxy
Benutzer/IP-Cache TTL
Gibt an, für welche Dauer die Beziehung von IP-Adresse zu Anmeldename gespeichert wird.
Diese Einstellung macht nur Sinn, wenn die Begrenzung von IP-Adressen pro Benutzer
genutzt wird. Meldet sich ein Benutzer an einem Client-PC an und wird die Begrenzung der
IP-Adressen bspw. auf eins gestellt, kann er sich erst wieder an einem anderen Client-PC
anmelden, sobald die hier eingegebene Zeit abgelaufen ist. Ist der Wert auf 0 gesetzt, besteht
keine Beschränkung.
Authentifzierungs-Realm Anzeige
Die hier eingegebene Bezeichnung wird auf der Anmeldmaske als Name des Proxy angezeigt.
Für die Anbindung eines Active Diretories über die Authentifzierungsmethode „Windows“
muss hier der FQDN-Domänenname stehen.
Authentifzierung für uneingeschränkte Quelladressen erforderlich
Aktivieren Sie diese Option, wenn Sie möchten, dass eine Anmeldung auch von IP-Adressen
geschehen soll, die unter Konfguration im Feld >Den Proxy von folgenden Quell-IPs umghen<
oder >Den Proxy von folgenden Quell-MAC-Adressen umgehen< stehen.
Domains ohne Authentifzierung
Hier können Sie eine Liste mit Internetseiten pfegen, für die keine Anmeldung erforderlich ist.
Zum Beispiel für Windows- und AntiVirus-Update.
Alle angegebenen Domains müssen mit einem Punkt beginnen.
Beispiel für Windows-Update: “.windowsupdate.com” “.microsoft.com”
Quellsubnetze/IP/MAC ohne Authentifzierung
Hier können Sie eine Liste mit Hosts (IP-Adressen/Netz/MAC-Adressen) pfegen, von denen
keine Anmeldung abgefragt wird.
74
Konfiguration Schulrouter Plus
Proxy
7.1.2.1 Lokale Authentifizierung
Bei der lokalen Benutzerauthentifzierung werden die Benutzer direkt auf dem Schulrouter Plus
gepfegt, ohne dass ein Authentifzierungsserver angebunden sein muss.
Über den Button BENUTZERVERwAlTUNG können Sie die Benutzer anlegen und bearbeiten.
Min. Passwordlänge
Geben Sie an, wie lang ein Passwort mindestens sein darf.
7.1.2.1.1 Benutzerverwaltung
Dies ist die Oberfäche, auf der die gesamte Benutzerverwaltung vorgenommen werden kann. Im
oberen Bereich sind die Eingabefelder, mit denen Sie neue Benutzer anlegen, bzw. Benutzer bearbeiten
können, im unteren Bereich die Übersicht der vorhandenen Benutzer. In der Übersichts-tabelle werden
die angelegten Benutzer nach Benutzernamen sortiert.
Gruppen
Hier können Sie den Benutzer einer bestimmten Gruppe zuordnen. Diese muss vorher bei den
>Gruppenregeln< erstellt worden sein.
Benutzer anlegen
Um einen neuen Benutzer anzulegen, geben Sie die entsprechenden Benutzerdaten in die
Eingabefelder ein und wählen Sie eine entsprechende Gruppe. Nachdem Sie auf den Button
BENUTZER ERSTEllEN klicken, erscheint der neue Benutzer in der Liste darunter.
Benutzer bearbeiten
Um vorhandene Benutzer zu bearbeiten, klicken Sie auf das STIFT-SyMBOl in der Zeile des
entsprechenden Benutzers. Daraufin erscheinen die Daten in der Eingabemaske oben.
Sie können bei dem zu bearbeitenden Benutzer nur Passwort und Gruppe ändern, nicht den
Benutzernamen. Wenn Sie die Einstellungen vorgenommen haben, klicken Sie auf den Button
BENUTZER AKTUAlISIEREN.
Benutzer löschen
Um einzelne Benutzer zu löschen, klicken Sie auf das pApIERKORp-SyMBOl am Ende der Zeile.
Konfiguration Schulrouter Plus
75
Konfiguration Schulrouter Plus
Proxy
7.1.2.2 LDAP
Diese Einstellung wird verwendet, um ein LDAP-Server anzubinden.
Folgende Einstellungen müssen gesetzt werden:
Base DN
Der „base distinguished name“, ist der Startpunkt der LDAP-Suche. Standardmäßig kann hier
der Domänenname verwendet werden.
Beispiel für die Domäne schule.local: dc=schule,dc=local
LDAP Server
Die IP-Adresse Ihres LDAP-Servers
LDAP-Typ
Hier können Sie wählen ob Sie ein Active Directory, Novell eDirectory, LDAP Server Version 2
oder einen LDAP Server Version 3 verwenden.
Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 389.
Bind DN Benutzername/Passwort
Der vollständige Benutzername und das Passwort eines Benutzers, der die Berechtigung
besitzt Benutzerattribute auszulesen.
Beispiel für den Benutzer Administrator eines Active Directory mit der Domäne schule.local:
cn=administrator,cn=users,dc=schule,dc=local
76
Konfiguration Schulrouter Plus
Proxy
7.1.2.3 Windows
Diese Einstellung wird verwendet, um ein Active Directory anzubinden.
Folgende Einstellungen müssen gesetzt werden:
Domäne
Geben Sie hier Ihren Domänenamen ein. Nutzen Sie die kurze Variante (NETBIOS), z.B.: schule
PDC Hostname
Der Hostname des primären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<
BDC Hostname
Der Hostname des sekundären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<
Benutzername/Passwort
Benutzername und Passwort
Der Benutzername und das Passwort des Benutzers mit dem der Schulrouter Plus der Domäne
beitreten kann. Dies muss ein Benutzer mit administrativen Rechten sein (z.B. der Domänen-
administrator).
Zugangsbeschränkungen
Hier können Sie in den sich darunter öfnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.
Mit dem Klick auf DOMäNE BEITRETEN wird der Schulrouter Plus nur als Computer in der
Domäne angelegt und erst mit Speichern wird die Einstellung auch gespeichert übernommen.
Single Sign-On gegen ein Active Directory
Um das Single Sing-On gegen ein Active Directory nutzen zu können müssen einige
Voraussetzungen geschafen werden:
• Der Schulrouter Plus muss der >Domäne beigetreten< sein.
• Die Uhrzeit des Schulrouter Plus und des Domänencontrollers müssen synchron laufen.
• Im >DNS-Proxy< muss der Domänencontroller als Nameserver für die interne Domäne festgelegt
werden.
• Der Schulrouter Plus muss in der Lage sein den Hostnamen des Domänencontrollers aufzulösen
(z.B. durch Bekanntmachung über >Hosts bearbeiten<)
• Die Authentifzierungs-Realm Anzeige muss der FQDN sein.
• Der >PDC Hostname< muss der Netbios-Computername des Domänencontrollers sein.
!
ê
i
Konfiguration Schulrouter Plus
77
Konfiguration Schulrouter Plus
Proxy
7.1.2.4 Radius
Diese Einstellung wird verwendet, um einen Radius-Server anzubinden.
Folgende Einstellungen müssen gesetzt werden:
RADIUS Server
Die IP-Adresse Ihres LDAP-Servers
Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 1645.
Kennung
Eine zusätzliche Kennung (Identifer) des Radius-Servers.
Shared secret
Das Kennwort für die Signierung der Kommunikation.
Zugangsbeschränkungen
Hier können Sie in den sich darunter öfnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.
78
Konfiguration Schulrouter Plus
Proxy

Die Standardrichtlinie gilt für alle Hosts, die über den HTTP-Proxy surfen.
Sie können hier einschränken welche Browser verwendet werden dürfen, welche Dateitypen
aufgerufen werden dürfen und die maximale Größe von Downloads festlegen.
Zulässige Clients für Webzugrife beschränken
Mit dieser Funktion können Sie die Client-PCs auf bestimmte Browser einschränken, so dass
Schüler bspw. nur noch den Microsft Internet Explorer nutzen können und nicht mehr ihren
mitgebrachten Portable Firefox.
Die Browser/Programme werden über ihre mit gesendete Kennung (Useragent) identifziert
und können so ziemlich sicher ausgefltert werden.
Aktivieren Sie zunächst die Funktion „Zulässige Clients für Webzugrife beschränken„ und
wählen Sie dann unten die Programme aus, mit denen der Internetzugrif gewährt werden soll.
7.1.3 Standardrichtlinie
Beachten Sie, dass dadurch eventuell AntiVirus-Updates oder andere Programme blockiert werden.
Möchten Sie es bspw. erlauben, dass auch mit einem Browser Videos angesehen werden können,
muss zusätzlich zu dem Browser auch der Windows Media Player aktiviert werden.
Alle hier nicht aufgeführten Programme werden dann blockiert.
!
ê
Konfiguration Schulrouter Plus
79
Konfiguration Schulrouter Plus
Proxy
Dateitypen blockieren
Um den Zugrif auf bestimmte Dateitypen zu verhindern, können Sie die zu blockierenden
Dateitypen in Form von MIME-Types hier angeben.
Beispiele:
application/octet-stream für ausführbare Dateien (*.bin *.exe *.com *.dll)
text/javascript für JavaScript (*.js)
Eine Übersicht der gängigen MIME-Types bekommen Sie bspw. bei >SelfHTML<
Max. Größe von Downloads
Legen sie hier fest, ob die maximale Größe von Downloads beschränkt werden soll.
„0“ bedeutet keine Beschränkung.
Sie können auch Teilausdrücke nutzen, so dass mit dem Eintrag javascript sowohl
“application/x-javascript” als auch “text/javascript” unterbinden.
i
80
Konfiguration Schulrouter Plus
Proxy

Hier können Sie die Virus-Scan-Engine, die vom HTTP-Proxy verwendet wird, konfgurieren.
Max. zu scannende Dateigröße
Defnieren Sie die maximale Größe von Dateien, die gescannt werden sollen.
Folgende URLs nicht durchsuchen
Eine Liste von Internetadressen, die nicht gescannt werden sollen.
7.1.4 Antivirus
Die Aktualität des Virenscanners kann bei >Abschnitt 7.1.4 Antivirus< überprüft werden.
i
Konfiguration Schulrouter Plus
81
Konfiguration Schulrouter Plus
Proxy

Hier können Sie bei Nutzung der Authentifzierungsmethoden Lokal oder Windows Gruppen
erstellen oder hinzufügen.
Bei der Nutzung der Authentifzierungsmethode Windows importieren Sie hier nach dem erfolg-
reichen Anbinden des Schulrouter Plus an die Domäne die Gruppen, denen der Zugrif über den
http-Proxy gewährt werden soll.
Bei Nutzung der Authentifzierungsmethode Lokal erstellen und bearbeiten Sie hier die Gruppen,
denen die Benutzer in der Benutzerverwaltung (L) zugeordnet sein müssen.
Das Richtlinien-Profl defniert die Einschränkungen bei der Nutzung des http-Proxys. Benutzer-
gruppen mit dem Profl „Standardeinstellungen“ nutzen den http-Proxy mit allen eingestellten
Einschränkungen der >Standardrichtlinie<.
Benutzergruppen mit dem Profl „Uneingeschränkt“ umgehen diese Einstellungen.
7.1.5 Gruppenregeln
Gruppen, die standardmäßig alle Benutzer abdecken, sind „Domänenmitglieder“ und
„Domänenadmins“.
i
82
Konfiguration Schulrouter Plus
Proxy

In diesem Abschnitt können Sie den POP3-Proxy für eingehende E-Mails konfgurieren.
7.2 POP3

Hier können Sie den POP3-Proxy für jedes einzelne Netzsegment aktivieren. Es ist weiterhin
möglich, den Virusscanner und Spamflter für eingehende E-Mails zu aktivieren.
Um jede ausgehende POP3-Verbindung im Firewalllog zu protokollieren, aktivieren Sie den
hAKEN „Firewall protokolliert ausgehende Verbindungen“.
7.2.1 Globale Einstellungen
Konfiguration Schulrouter Plus
83
Konfiguration Schulrouter Plus
Proxy

Hier defnieren Sie, wie sich der POP3-Proxy mit aktiviertem Spamflter verhält, wenn er eine
Spam-Nachricht entdeckt.
Spam Betrefzeile
Dieser Eintrag wird vor den Betref der Originalnachricht geschrieben.
benötigte Punktezahl
Diese Einstellung legt fest, bei welcher Punktzahl eine E-Mail als Spam defniert wird.
Die Anzahl der vergebenen Punkte wird durch die einzelnen Prüfalgorithmen des Spamflters
festgelegt und addiert.
Hash Spamprüfung aktivieren
Diese Option aktiviert die Spamerkennung über Prüfsummen. Hierbei wird die Prüfsumme einer als
Spam erkannten E-Mail an eine zentrale Datenbank gemeldet. Auf auf dem Schulrouter Plus werden
von allen eingehenden E-Mails die Prüfsumme generiert und mit dieser Datenbank verglichen.
7.2.2 Spam Filter
84
Konfiguration Schulrouter Plus
Proxy
Dies wird zu einer eheblichen Auslastung des Schulrouter Plus führen.
Whitelist/Blacklist
Hier können Absenderadressen defnieren, die nie bzw. immer als Spam erkannt werden
sollen. Sie können hierbei auch Platzhalter verwenden (z.B. *@example.com)

Der FTP-Proxy ist nur als transparenter Proxy einsetzbar. Dies erlaubt das Scannen von Viren bei
FTP-Downloads.
Sie können hier den FTP-Proxy für die einzelnen Netzsegmente aktivieren und folgende Einstellungen
vornehmen:
Firewall protokolliert ausgehende Verbindungen
Hiermit werden alle ausgehenden FTP-Verbindungen im Firewalllog protokolliert.
Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele
Sie können festlegen, dass bestimmte Hosts den FTP-Proxy umgehen bzw. für bestimmte
Ziele der FTP-Proxy nicht verwendet wird.
7.3 FTP
Die Transparenz greift nur auf den Standardport 21 zu. Das heißt: Wenn Sie Ihre Clients
einstellen, und Sie den http-Proxy für alle Ports verwenden, wird der FTP-Proxy umgangen.
!
ê
!
ê
Konfiguration Schulrouter Plus
85
Konfiguration Schulrouter Plus
Proxy
Der SMTP-Proxy kann ausgehender E-Mails weiterleiten und fltern.
Der Einsatzbereich des SMTP-Proxys ist, den SMTP-E-Mail-Verkehr zu steuern, zu optimieren und Ihr
Netzwerk vor Angrifen über das SMTP-Protokoll zu schützen.
Die Konfguration ist in mehrere Abschnitte unterteilt:
7.4 SMTP

Dies ist der Hauptschnitt zur generellen Konfguration des SMTP-Proxys. Er beinhaltet folgende
Einstellungsmöglichkeiten:
Aktiviert
Dies aktiviert den SMTP-Proxy, so dass er SMTP-Anfragen auf Port 25 annimmt.
Transparent
Wenn die Transparenz aktiviert ist, werden alle Anfragen an den Zielport 25 abgefangen und
an den SMTP-Proxy weitergegeben, ohne dass bei dem Client ein Proxy eingestellt sein muss.
Virusprüfung aktiviert
Aktivieren Sie die Antivirenprüfung der ausgehenden E-Mail. Die Konfguration kann im
Abschnitt >Antivirus< vorgenommen werden.
Spamprüfung aktiviert
Aktivieren Sie diese Option, um ausgehende E-Mails auf Spamnachrichten zu prüfen. Die
Konfguration kann im Abschnitt >7.4.3 Spam< vorgenommen werden.
7.4.1 Hauptseite
86
Konfiguration Schulrouter Plus
Proxy
Blockiere Dateiendungen
Aktivieren Sie diese Option, um E-Mails mit bestimmten Dateianhängen zu blockieren. Die
Konfguration kann im Abschnitt >7.4.4 Dateierweiterungen< vorgenommen werden.
Eingehende Mail aktiviert
Wenn Sie in Ihrem Netzwerk einen internen E-Mail-Server betreiben, können Sie diese Option
aktivieren um eingehende an den internen Mailserver weiterzuleiten.

Firewall protokolliert ausgehende Verbindungen
Aktivieren Sie diese Option, um alle ausgehenden SMTP-Verbindungen im >Firewalllog< zu
protokollieren. Beachten Sie dabei die Datenschutzbestimmungen.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
Sie müssen weiterhin die E-Mail-Domains defnieren für die der SMTP-Server verantwortlich sein
soll. Sie können diese im Abschnitt “Domains” (L) defnieren.
i
Konfiguration Schulrouter Plus
87
Konfiguration Schulrouter Plus
Proxy

Die Antivirenprüfung ist eine der Hauptaufgaben des SMTP-Proxys. Drei Reaktionen können festgelegt
werden, wenn einen virenbefallene E-Mail versendet wird. Es ist auch möglich eine E-Mail -Adresse für
Benachrichtigungen festzulegen:
Standardeinstellung
Sie können zwischen drei Reaktionen auf infzierte E-Mails wählen:
“Verwerfen”: Die infzierte E-Mail wird sofort gelöscht.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.
Mailadresse zur Virus Benachrichtigung (Virus Admin)
Hier können Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung über den Fund
infzierter E-Mails geschickt werden soll.
Virus Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert
· Virus-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab
· E-Mail-Adresse – Wenn Sie eine gültige E-Mail-Adresse angeben, werden infzierte
E-Mails dorthin weitergeleitet
Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART.
7.4.2 Antivirus
88
Konfiguration Schulrouter Plus
Proxy

Der Antispamschutz des Schulrouter Plus kennt verschiedene Wege, um Sie vor Spammails zu
schützen: Regelbasierter Spamflter und Greylisting. Wobei beim Greylisting wird die Nachrichten von
unbekannten (noch nie zugestellt) Absendern zuerst abgewiesen und erst nach einer gewissen Zeit
angenommen.
Während die meisten einfachen Spamnachrichten von bekannten Mailservern versendet und vom
Spamflter geblockt werden, verändern Spammer ständig beim Versenden ihre Nachrichten. Dafür
ist es absolut notwendig, den Spam-Filter zu trainieren, um einen für Sie wirkenden Spamschutz zu
bekommen.
Folgende Einstellungen betrefen die regelbasierte Spamflterung:
Spam Ziel
Was soll mit erkannten Spamnachrichten geschehen.
“Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.
E-mail zur Benachrichtigung bei Spam Alarm (Spam Admin)
Hier können Sie eine E-Mail -Adresse angeben, an die eine Benachrichtigung über den Fund
von Spammails geschickt werden soll.
Spam Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert.
· Spam-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab.
· E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben, werden infzierte E-Mails
dorthin weitergeleitet.
7.4.3 Spam
Konfiguration Schulrouter Plus
89
Konfiguration Schulrouter Plus
Proxy
Spam Kennzeichnungsstufe
Wenn die angegebene Summe der addierten zutrefenden Regeln überschritten wird, wird
dem Header der Nachricht die Tags X-Spam-Status und X-Spam-Level hinzugefügt. Diese
beschreiben welche Regeln mit welchem Punkten gegrifen hat.
Spam Markierungsstufe
Wenn die angegebene Summe der addierten zutrefenden Regeln überschritten wird, wird die
Nachricht als Spam eingestuft und wie in “Spam Subjekt” angegeben die Kopfzeile erweitert.
Spam Quarantäne Level
Wenn die angegebene Summe der addierten zutrefenden Regeln überschritten wird, wird die
Nachricht als Spam eingestuft und in die Quarantäne verschoben.
Maximale SPAM Punktezahl für Senderbenachrichtigung
Senden nur eine Benachrichtigung an den oben angegebenen Spam-Admin, wenn diese Zahl
unterschritten bleibt.
Spam Subjekt
Hier können Sie festlegen, welche Nachricht in die Kopfzeile der zugestellten Nachricht
geschrieben wird.
Der zweite Abschnitt dieser Seite enthält die Einstellungen für das Greylisting:
Greylisting aktiviert
Aktiviert die Spamprüfung mittels Greylisting.
Verzögerung
Hier könen Sie die Zeit einstellen wie lange eine Nachricht abgewiesen wird, bis sie zugestellt
wird. Dies kann ein Wert zwischen 30 und 3600 Sekunden sein.
Whitelist Empfänger
Sie können hier E-Mail-Adressen oder ganze Domains freigeben, die nicht durch Greylisting
geprüft werden.
Whitelist Client
Sie können hier Mailserver freigeben, die nicht durch Greylisting geprüft werden. Das heißt,
dass E-Mails, die von diesem Server eintrefen, nicht geprüft werden.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
90
Konfiguration Schulrouter Plus
Proxy

Sie können hier bestimmte Dateianhänge sperren:
Blockierte Dateierweiterungen
Hier können Sie eine oder mehrere Dateitypen wählen, die gesperrt werden.
Aktion bei gesperrten Dateiendungen
Was soll mit blockierten Nachrichten geschehen?
“Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.
Quarantäne für verbotene Dateien
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert.
· Banned-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab.
· E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben, werden infzierte E-Mails
dorthin weitergeleitet.
7.4.4 Dateierweiterungen
Konfiguration Schulrouter Plus
91
Konfiguration Schulrouter Plus
Proxy
E-Mail für Warnmeldungen bei blockierten Dateien (Admin)
Hier können Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung über den Fund
von E-Mails mit geblockten Dateien geschickt werden soll.
Doppelte Dateiendungen verbieten
Wenn Sie diese Option aktivieren, werden Dateien mit doppelten Anhängen blockiert.
Doppelte Dateiendungen sind Endungen mit irgendeiner Dateiendung gefolgt von
.exe, .com, .vbs, .pif, .scr, .bat, .cmd oder .dll
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.

Eine oft genutzte Methode, um Spamnachrichten zu blockieren, sind so genannte real-time Blacklists
(RBL). Diese Listen werden von unterschiedlichen Organisationen gepfegt.
Wenn eine Domäne oder IP-Adresse in einer der aktivierten Liste aufgeführt ist, wird sie ohne
Rückmeldung abgelehnt. Dies spart Ressourcen im Vergleich zum Antispam, da hier keine E-Mail
angenommen und analysiert werden müssen.
Es gibt hier auch die Möglichkeit bestimmte Absender, Empfänger, IP-Adressen oder Netzwerke zu
sperren oder freizugeben.
7.4.5 Blacklist-Whitelist
92
Konfiguration Schulrouter Plus
Proxy
Folgende Listen können verwendet werden:
“bl.spamcop.net “
“zen.spamhaus.org”
“cbl.abuseat.org”
“dul.dnsbl.sorbs.net”
“list.dsbl.org”
“dsn.rfc-ignorant.org”
“ix.dnsbl.manitu.net”
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
Konfiguration Schulrouter Plus
93
Konfiguration Schulrouter Plus
Proxy

Wenn Sie auf der Hauptseite „Eingehende Mail“ aktiviert haben und Nachrichten zu einem internen
Mailserver weiterleiten wollen, müssen Sie die Domänen defnieren, die vom SMTP-Proxy akzeptiert
werden sollen und welcher Ihrer Mailserver diese Nachrichten empfangen soll.
Es ist möglich mehrere Mailserver für unterschiedliche Domänen zu verwenden. Geben Sie hier
einfach die Domäne und den internen Mailserver an. Fügen Sie alle notwendigen Mailserver der Liste
hinzu.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
7.4.6 Domains
94
Konfiguration Schulrouter Plus
Proxy

Diese Einstellung erlaubt es Ihnen eine blind carbon copy (BCC) an eine spezielle E-Mail-Adresse zu
senden. Diese Kopie wir gesendet, sobald eine E-Mail zu einem bestimmten Empfänger oder von
einem bestimmten Absender gesendet wird.
Richtung
Legen Sie fest, ob die Kopie erstellt werden soll, wenn die Nachricht zu einem bestimmte
Empfänger oder von einem bestimmten Absender gesendet wird.
Mailadresse
Hier geben Sie die entsprechend zu prüfenden Empfänger- oder Absenderadresse an.
BCC Adresse
Dies ist die E-Mail-Adresse an die die Kopie geschickt werden soll.
Durch Klick auf MAIlROUTE hINZUFüGEN wird die Regel hinzugefügt und durch Klick auf SpEIChERN
UND NEUSTART übernommen.
7.4.7 Mailrouting
Weder Empfänger noch Absender werden informiert. Dies kann den Datenschutzrichtlinien
widersprechen!
!
ê
Konfiguration Schulrouter Plus
95
Konfiguration Schulrouter Plus
Proxy

Hier können Sie erweiterte Einstellungen für den SMTP-Proxy vornehmen.
Im Abschnitt Smarthost können folgende Einstellungen vorgenommen werden:
Zustellung über externen Mailserver (Smarthost)
Aktivieren Sie diese Einstellung wenn Sie einen Smarthost oder Relay-Server verwenden
wollen. Ein Smarthost ist ein Mailserver, der von einem Sender E-Mails annimmt und an
beliebige Dritte weiterleitet.
Adresse des Smarthostes
Geben Sie die Adresse des Smarthosts an.
Smarthost benötigt Authentifzierung
Aktivieren Sie dieses Feld, wenn der Smarthost eine Anmeldung benötigt und geben sie
darunter die entsprechenden Anmeldedaten an.
Authentifzierungsmethode
Hier können Sie die Authentifzierungsmethoden festlegen, die Ihr Smarthost unterstützt.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
7.4.8 Erweitert
96
Konfiguration Schulrouter Plus
Proxy
Im Abschnitt „IMAP Server für die SMTP Authentifzierung“ können Sie festlegen welcher IMAP-Server
für die Authentifzierung beim Versenden von E-Mails verwendet werden soll.
In den erweiterten Einstellungen können Sie noch folgende Einstellungen vornehmen:
smtpd HELO benötigt
Ist dies aktiviert, muss der Client ein HELO beim Aufau der Verbindung senden
Ungültige Rechnernamen abweisen
Die Verbindung wird abgewiesen, wenn das HELO-Signal des Clients einen ungültigen
Hostnamen enthält.
Unvollständige Rechnernamen abweisen (FQDN)
Die Verbindung wird abgewiesen, wenn das HELO-Signal keinen voll qualifzierten
Hostnamen (FQDN) enthält.
Unvollständige Empfangsadresse abweisen (FQDN)
Die Verbindung wird abgewiesen, wenn die Empfängeradresse keinen voll qualifzierten
Hostnamen (FQDN) ist.
Unbekannte Sender Domain abweisen
Die Verbindung wird abgewiesen, wenn die Domäne der Absender- E-Mail-Adresse keinen
DNS A oder MX-Eintrag hat.
Unbekannte Empfänger abweisen
Die Verbindung wird abgewiesen, wenn die Domäne der Empfänger- E-Mail-Adresse keinen
DNS A oder MX-Eintrag hat.
SMTP HELO Name
Dies ist der Hostname, der mit dem ausgehenden HELO-Signal gesendet wird. Standard ist die
IP-Adresse der roten Schnittstelle.
Wenn der Schulrouter Plus eine dynamische IP-Adresse bekommt, weil der Provider bei jeder
Einwahl eine neue Ip-Adresse vergibt, kann es sein, dass Sie Probleme beim Versenden von E-Mails
über den SMTP-Proxy bekommen. Immer mehr Mailserver überprüfen, ob ihre IP als dynamische IP-Adresse
bekannt ist und verweigert ggf. die Verbindung. Dafür kann es hilfreich sein, einen Smarthost zu verwenden.
Normalerweise können Sie den Mailserver Ihres E-Mail-Providers verwenden.
!
ê
Konfiguration Schulrouter Plus
97
Konfiguration Schulrouter Plus
Proxy
Immer an BCC Adresse
Optional können Sie hier eine E-Mail-Adresse angeben, die eine Kopie von jeder E-Mail erhält,
die über den SMTP-Proxy versandt wird.

Das Zusenden von solchen E-Mails kann Datenschutzrichtlinien und die Privatsphäre der
Benutzer verletzen. Bitte prüfen Sie die Datenschutzrichtlinien Ihres Bundeslandes.
SMTP Daemon Hard Error Limit
Dies ist die maximale Anzahl von Fehlern, welche beim Abschicken einer E-Mail von ein und
demselben SMTP Client auftreten dürfen.
Der SMTP Proxy schließt die Verbindung wenn dieses Limit überschritten wird.
Sprache der Email-Vorlage
Die Sprache in der Fehlermeldungen des SMTP-Proxys angezeigt werden.
Maximal Email-Größe
Die maximale Größe, die eine einzelne E-Mail haben darf.
Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART.
98
Konfiguration Schulrouter Plus
Proxy

Auf dieser Seite können Sie den transparenten DNS-Proxy aktivieren und konfgurieren. Sie können
den DNS-Proxy für die einzelnen Schnittstellen aktivieren und außerdem festlegen bei welchen Quell-
und Zieladressen der DNS-Proxy umgangen werden soll.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
7.5.1 DNS Proxy
7.5 DNS

Hier können Sie Nameserver für bestimmte Domänen festlegen, wie z.B. den Domänencontroller Ihrer
internen Domäne.
Geben Sie dazu einfach nach dem Klick auf EINEN NEUEN BENUTZERDEFINIERTEN NAMESERVER FüR
EINE DOMAIN hINZUFüGEN die Domäne und den dafür zuständigen Nameserver an.
7.5.2 Benutzerdefinierter Nameserver
Konfiguration Schulrouter Plus
99
Konfiguration Schulrouter Plus
Proxy

Hier können Sie festlegen wie der Schulrouter Plus reagieren soll, wenn der Domänenname für bekannt
ist für “Spyware-Angrife” bekannt ist.
Folgende Einstellungen können Sie setzen:
Aktiviert
Wenn aktiviert, werden die Anfragen an localhost umgeleitet.
Anfragen an den Spyware Listening Port weiterleiten
Ist dies aktiviert, werden die Anfragen anstatt an localhost an das Spyware-Modul
weitergegeben.
Erlaubte/Blacklist Domains
Hier eingegebene Domains werden entweder nicht oder immer als Spyware klassifziert.
Spyware Domainlisten Updateintervall
Hier können Sie festlegen, wie oft die Spyware Domain Liste aktualisiert wird.

7.5.3 Anti-Spyware
100
Konfiguration Schulrouter Plus
VPN
8 Hauptmenü VPN
Virtual Private Networks oder VPNs erlauben es zwei Netzwerken, sich direkt über ein anderes
Netzwerk, z.B. das Internet, miteinander zu verbinden. Alle Daten werden sicher über einen
verschlüsselten Tunnel versendet, geschützt vor neugierigen Blicken. Auf die gleiche Weise kann sich
ein einzelner Computer mit einem anderen Netzwerk verbinden.
Der Schulrouter Plus kann sehr einfach VPNs zwischen anderen Schulrouter Plus aufauen. Im
Schulrouter Plus werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz defniert. Diese sind
zu 100% optional; Sie sollten diesen Abschnitt sicherheitshalber ignorieren, wenn Sie diese Funktion
nicht benutzen wollen.
Die meisten aktuellen Betriebssysteme unterstützen IPSec. Das beinhaltet Windows, Macintosh OSX,
Linux und die meisten Unix-Varianten. Unglücklicherweise bieten diese Tools sehr unterschiedliche
Unterstützungen und könnten daher schwierig einzustellen sein.
1. VERBINDGUNSARTEN
Netz-zu-Netz
Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke über das Internet
miteinander, indem sie einen “Tunnel” aufauen. In einem Netz-zu-Netz VPN muss
mindestens eines der beteiligten Netzwerke per Schulrouter Plus mit dem Internet
verbunden sein. Das andere Netzwerk kann an einen Schulrouter Plus angeschlossen sein,
oder an einen an deren VPN-fähigen Router oder Firewall.
Diesen Routern/Firewalls wurde eine öfentliche IP von einem Provider zugewiesen und
sie benutzen höchstwahrscheinlich NAT (Network Address Translation). Falls gewünscht,
kann auch ein VPN zwischen den Clients in den internen Netzen und dem Schulrouter Plus
aufgebaut werden. Das stellt sicher, dass der Datenverkehr im entsprechen den Netzwerk
nicht mit Snifern abgehorcht werden kann.
Host-zu-Netz
Eine Host-zu-Netz Verbindung besteht, wenn der Schulrouter Plus an dem einem Ende des
VPN-Tunnels steht und ein Remote- oder Mobilbenutzer am anderen Ende. Der Mobilbenutzer
ist höchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen,
dynamischen öfentlichen IP. Man nennt diese Konstellation daher Host-zu-Netz oder
Roadwarrior.
Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfgurieren können,
müssen Sie sich für eine der Authentifzierungsmethoden pre-shared key (PSK) bzw.
Passwort-/Passphrase oder X.509-Zertifkat entscheiden. Mit der Authentifzierungsmethode
identifziert sich der Benutzer für den Zugang zum VPN.
Konfiguration Schulrouter Plus
101
Konfiguration Schulrouter Plus
VPN
2. AUTHENTIFIZIERUNGSMETHODEN
Pre-Shared Key
Die pre-shared key (PSK) Authentifzierungsmethode ist eine einfache Methode, die eine
schnelle Konfguration von VPNs ermöglicht.
Für diese Methode geben Sie eine Authentifzierungsphrase ein. Dabei kann es sich um eine
beliebige Zeichenfolge handeln, vergleichbar zu einem Passwort. Diese Phrase muss für die
Authentifzierung beim Schulrouter Plus und dem VPN-Client verfügbar sein.
Die PSK-Methode benötigt weniger Schritte als bei einer Authentifzierung über Zertifkate.
Sie kann verwendet werden, um Verbindungstests durchzuführen und Erfahrungen beim
Aufau einer VPN-Verbindung zu sammeln.
Die System-Uhrzeiten an jedem Ende des VPN-Tunnels sollten aktuell sein, bevor das VPN
konfguriert wird.
i
102
Konfiguration Schulrouter Plus
VPN
X.509 Zertifkate
X.509 Zertifkate stellen einen sehr sicheren Weg für die Verbindung von VPN-Servern dar.
Um X.509-Zertifkate zu implementieren, müssen Sie entweder die Zertifkate auf dem Schulrouter
Plus erzeugen oder durch eine andere Zertifzierungsstelle in Ihrem Netzwerk ausstellen lassen.
X.509 Begrife
X.509 Zertifkate auf dem Schulrouter Plus und vielen anderen Implementierungen werden über
OpenSSL verwaltet. SSL (Secure Socket Layer) hat seine eigenen Begrifsdefnitionen.
X.509 Zertifkate enthalten, abhängig vom Anwendungsfall, öfentliche und private Schlüssel,
Passphrasen und Informationen über die zugehörige Funktionseinheit. Diese Zertifkate dienen dazu,
von Zertifzierungsstellen (Certifcate Authorities oder CA) validiert zu werden.
Webbrowser beinhalten die CAs von öfentlichen Zertifzierungsstellen. Ein Host-Zertifkat wird von
der dazugehörigen CA validiert. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer
lokalen Maschine liegen. Im Falle von Schulrouter Plus ist dies der Schulrouter Plus selbst.
Zertifzierungsanfragen sind Anfragen für X.509 Zertifkate, die von CAs signiert (digital unter-
schrieben) werden.
Dabei entsteht aus der Anfrage das eigentliche Zertifkat, das dann zum Anforderer zurückgeschickt
wird. Dieses Zertifkat ist dann der CA bekannt, da es durch sie ausgestellt wurde.
X.509 Zertifkate können in drei verschiedenen Formaten gespeichert werden, die Anhand der
Dateiendung erkannt werden können. PEM ist das Standard-Format für OpenSSL. Es kann alle zum
Zertifkat gehörenden Informationen in lesbarer Form enthalten. Das DER-Format enthält nur die
Key-Informationen und keine separaten X.509-Informationen. Dies ist das Standard-Format für die
meisten Browser.
Das PEM-Format ergänzt das DER-Format durch Kopf-Informationen. PKCS#12, PFK oder P12 Zertifkate
enthalten im Binärformat dieselben Informationen wie PEM-Dateien. Mit dem OpenSSL-Kommando
können die Formate untereinander konvertiert werden. Um ein Zertifkat benutzen zu können, muss
es der Gegenstelle bekannt gemacht werden. Die IPSec-Implementierung vom Schulrouter Plus
enthält ihre eigene, selbst erstellte CA.
CAs können auch auf Roadwarrior-Maschinen laufen. Wenn die IPSec-Implementierung auf den
Roadwarrior-Maschinen keine eigenen CA-Fähigkeiten besitzt, können Sie eine Zertifkatsanforderung
(Request) erstellen, die dann von der CA des Schulrouter Plus signiert wird. Das daraus resultierende
Zertifkat kann dann auf der Roadwarrior-Maschine importiert werden.
Konfiguration Schulrouter Plus
103
Konfiguration Schulrouter Plus
VPN

Hier können Sie den OpenVPN Server aktivieren, um eine VPN-Verbindung zu diesem Schulrouter Plus
von einem einzelnen PC oder einem anderen Schulrouter Plus aufzubauen.
Weiterhin legen Sie fest, welcher IP-Bereich aus dem Grünen Netz für die VPN-Clients zur Verfügung
gestellt wird.
Mit dem Button SpEIChERN UND NEUSTART übernehmen Sie die Einstellungen und starten den
OpenVPN Server.
Im Abschnitt VERBINDUNGSSTATUS UND –KONTROllE werden die momentan aufgebauten
VPN-Verbindungen angezeigt.
Dort ist es möglich VPN-Verbindungen zu trennen (kill) oder die dazugehörigen Benutzer zu verban-
nen (ban). In beiden Fällen wird die VPN-Verbindung getrennt. Mit „ban“ hat der verbannte Benutzer
nicht mehr die Möglichkeit sich wiederzuverbinden.
8.1 OpenVPN Server
8.1.1 Serverkonfiguration
104
Konfiguration Schulrouter Plus
VPN

In diesem Abschnitt wird die OpenVPN-Konten für PSK-Verbindungen verwaltet.
Mit dem Button ACCOUNT hINZUFüGEN erstellen Sie einen neuen OpenVPN-Zugang mit folgenden
Einstellungen:
Account Information
Benutzername
Anmeldename des Benutzers
Passwort / Passwort bestätigen
Das dazugehörige Passwort (doppelt)
Client Routing
Den gesamten Client Datenverkehr über den VPN Server leiten.
Wenn Sie dies auswählen, wird sämtlicher Datenverkehr des Clients (unabhängig von der
Richtung) durch den Schulrouter Plus geleitet. Ohne diese Funktion wird nur der Verkehr
mit dem den internen Zonen des Schulrouter Plus als Ziel über den VPN-Tunnel gesendet und
bspw. kein Internetverkehr.
Pushe keine Routen zu den Clients
(fortgeschritten) normalerweise wird, wenn sich ein Cleint verbindet, die Route zu den Zonen
hinter dem Schulrouter Plus automatisch am Client eingerichtet. Möchten Sie dies manuell
tun, aktivieren Sie diese Funktion.
Netzwerke hinter dem Client
Diese Einstellung wird nur bei der Gw2Gw-Verbindung benötigt (Gateway zu Gateway), wenn
Sie diesen Schulrouter Plus als Client verwenden möchten. Geben Sie in diese Feld die Netz
werke hinter diesem Schulrouter Plus an, die Sie an die Gegenstelle pushen möchten.

8.1.2 Konten
Konfiguration Schulrouter Plus
105
Konfiguration Schulrouter Plus
VPN
Pushe nur diese Netzwerke
Fügen Sie Ihre eigenen Routen hinzu, die zum Client gepusht werden sollen. Dies überschreibt
die automatisch gepushten Routen.
Individuelle Push Konfguration
Statische IP Adresse
Normalerweise werden die IP-Adressen dynamisch den VPN-Clients zugewiesen
(entsprechend Reiter „Serverkonfguration“). Diese Einstellung können Sie hier überschrieben
und eine feste IP-Adresse vergeben.
Diese Nameserver pushen
Pushen Sie einen weiteren internen Nameserver zum VPN-Client.
Domäne pushen
Pushen Sie einen Domänennamen zum VPN-Client.
In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z.B.
1 92 . 1 6 8 . 1 0. 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an: http://www.heise.
de/netze/lib/netzwerk-rechner.shtml (L)
Klicken Sie auf SpEIChERN, um das Konto anzulegen oder zu speichern.
Sie können jederzeit die angelegten Konten de-/aktivieren, bearbeiten oder löschen durch klick auf
das entsprechende SyMBOl.
Wenn Sie planen zwei oder mehr Netzwerke hinter einem Schulrouter Plus miteinander zu verbinden
(Gw2Gw), ist es zu empfehlen in diesen Netzwerken jeweils unterschiedliche Subnetze zu wählen.
Zum Beispiel hat eine Gegenstelle ein Grünes Netz mit 1 92 . 1 6 8 . 1 . 0 / 2 4 und die andere benutzt
1 92 . 1 6 8 . 2 . 0 / 2 4 . Nur auf diesem Weg funktionieren die automatisch generierten Routen.

106
Konfiguration Schulrouter Plus
VPN

Mit diesem Reiter können Sie die erweiterten Einstellungen bearbeiten. Neben anderen Einstellungen
können Sie hier auch festlegen, wie die Authentifzierung erfolgen soll (Benutzer/Passwort oder über
Zertifkat).
Der erste Abschnitt ERwEITERTE EINSTEllUNGEN beinhaltet allgemeine Einstellungen für den
OpenVPN-Server:
Port / Protokoll
Port 1194 und Protokoll UDP sind die Standardeinstellungen. Es ist zu empfehlen diese zu
belassen wie sie sind.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk
bekommen, die mit Ihrem lokalen DHCP-Server in Konfikt geraten.
Datenverkehr zwischen Clients nicht blockieren
Standardmäßig werden die VPN-Clients voneinander getrennt. Aktivieren Sie diese Option,
wenn Sie Datenverkehr zwischen einzelnen VPN-Clients erlauben wollen.

8.1.3 Erweitert
Konfiguration Schulrouter Plus
107
Konfiguration Schulrouter Plus
VPN
Im zweiten Abschnitt können Sie die globalen Pushoptionen festlegen:
Diese Netzwerke pushen
Wenn aktiviert, werden die festgelegten Routen zu den verbundenen VPN-Clients gepusht.
Diese Nameserver pushen
Wenn aktiviert, werden die festgelegten Nameserver zu den VPN-Clients gepusht.
Domäne pushen
Wenn aktiviert, werden die festgelegten Domänennamen zu den VPN-Clients gepusht.
In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden
(z.B. 1 92 . 1 6 8 . 1 0. 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an:
http://www.heise.de/netze/lib/netzwerk-rechner.shtml
Im dritten Abschnitt bestimmen Sie die Authentifzierungsmethode:
Standardmäßig nutzt der Schulrouter Plus die Methode PSK (Benutzername/Passwort) zur
Authentifzierung. Wenn Sie PSK weiterhin nutzen möchten, müssen Sie in diesem Abschnitt nichts
verändern.
Der Link „CA Zertifkat herunterladen“ stellt das CA-Zertifkat für diesen OpenVPn-Server zur
Verfügung. Dieses Zertifkat benötigen Sie am Client zum Herstellen der VPN-Verbindung. Weiterhin
können Sie dieses Zertifkat im PKCS#12-Format mit dem Link ExpORTIERE CA AlS pKCS#12 DATEI
herunterladen. Dies können Sie in den Fallback-Server importieren.
Letztendlich können Sie ein PKCS#12-Zertifkat hochladen, wenn dieser Schulrouter Plus ein Fallback-
Server sein soll.
Wenn Sie dennoch die Methode „X.509 Zertifkat“ (entweder nur mit Zertifkat oder auch zusammen
mit PSK) verwenden möchten, wird die Einrichtung etwas komplizierter. Verwenden Sie dazu die
separate Anleitung zu diesem Thema.

108
Konfiguration Schulrouter Plus
VPN

In diesem Abschnitt können Sie die Client-Seite der Gw2Gw-Verbindung (Gateway zu Gateway)
zwischen zwei Schulrouter Plus einrichten.
Klicken Sie auf TUNNElKONFIGURATION hINZUFüGEN, um die Informationen über den oder die
entsprechenden OpenVPN-Server einzutragen:
Name für die Verbindung
Nur eine Bezeichnung für diese Verbindung.
Verbinden mit
Hier wird der externe Hostname eingetragen, über den der OpenVPN-Server erreichbar ist.
Die Portangabe ist optional und nur nötig falls nicht der Standardport 1194 verwendet wird.
Zertifkat hochladen
Wenn der OpenVPN-Server auf dem Schulrouter Plus der Gegenstelle für die Authentif-
zierungsmethode PSK konfguriert ist, müssen Sie hier dessen Hostzertifkat (CA-Zertifkat)
hochladen. Andernfalls, wenn auf Basis von Zertifkaten authentifziert wird, müssen Sie das
PKCS#12-Zertifkat angeben.
PKCS#12 Challange Passwort
Geben Sie das dazu gehörige Passwort an, wenn eins angegeben wurde.
8.2 OpenVPN Client (Gw2Gw)
Konfiguration Schulrouter Plus
109
Konfiguration Schulrouter Plus
VPN
Benutzername / Passwort
Wenn die Gegenstelle für PSK-Authentifzierung (Benutzername und Passwort) oder Zertifkat
+ PSK konfguriert ist, geben Sie hier die entsprechenden Zugangsdaten ein.
Anmerkung
Tragen Sie hier Ihren Kommentar zu der Verbindung ein.
Klicken Sie auf ERwEITERTE TUNNElKONFIGURATION um mehr Optionen einzurichten:
Fallback VPN Servers
Legen Sie für diese Verbindung ein oder mehrere (einer pro Zeile) Fallback-Server im Format
srp.example.com:port fest. Der Port ist optional und standardmäßig 1194. Wenn die Verbind
ung zum oben angegebenen Server fehlschlägt, wird der hier angegebene Fallbackserver
verwendet.
Verbindungstyp
“gerouted” (Der Schulrouter Plus-Client agiert als Gateway für das remote LAN) oder
“gebridget” (Als wäre der Schulrouter Plus-Client Bestandteil des remote LAN).
Standard ist „geroutet“.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk
bekommen, die mit Ihrem lokalen DHCP-Server in Konfikt geraten.
NAT
Wählen Sie dies aus, wenn Anfragen von Clients hinter dem Schulrouter Plus-Client versteckt
werden sollen und nur die IP des Schulrouter Plus die Gegenstelle erreicht.
Protokoll
UDP (Standard) oder TCP, entsprechend der Einstellung der Gegenstelle.
HTTP Proxy
Wenn Ihr Schulrouter Plus das Internet nur über einen externen HTTP-Proxy erreicht, können
Sie hier die Zugangsdaten des vorgelagerten Proxies eingeben.
Klicken Sie auf SpEIChERN um das Konto anzulegen oder zu speichern. Sie können jederzeit die an-
gelegten Tunnel de-/aktivieren, Bearbeiten oder Löschen durch klick auf das entsprechende SyMBOl.
110
Konfiguration Schulrouter Plus
VPN

Globale Einstellungen
Geben Sie die VPN-Server-Details ein, entweder den vollen Domainnamen oder die öfentliche
IP-Adresse von der ROT-Schnittstelle. Wenn Sie einen dynamischen DNS-Service benutzen, sollten Sie
hier den dynamischen DNS-Namen benutzen.
VPNs und dynamisches DNS
Falls Ihr Provider Ihre IP-Adresse geändert haben sollte (z.B. nach der Zwangstrennung),
müssen sie sich darüber bewusst sein, dass Sie die Netz-zu-Netz VPNs möglicherweise an
beiden Enden des Tunnels neu starten müssen. Roadwarriors müssen in diesem Falle ebenfalls
deren Verbindungen neu herstellen.
Aktivieren Sie VPN auf dem Schulrouter Plus, indem Sie das Feld “lokaler VPN Hostname/IP”
ausfüllen, das Kästchen AKTIVIEREN anhaken und dann auf den SpEIChERN-Button drücken.
Um ein VPN mit einem internen Netz außer Grün herstellen zu können, müssen Sie das
entsprechende Kästchen VpN AUF BlAU/ORANGE aktivieren.
Verbindungsstatus und –kontrolle

Um eine VPN-Verbindung zu erzeugen, benutzen Sie den Button hINZUFüGEN. Daraufin
erscheint die Seite für den VPN Verbindungstyp.
8.3 IPSec
Konfiguration Schulrouter Plus
111
Konfiguration Schulrouter Plus
VPN
Zertifzierungsstellen
Erzeugen der Zertifkate für den Schulrouter Plus
Um eine Schulrouter Plus Zertifkats-Authority oder CA zu erstellen, geben Sie einen Namen für Ihre
Organisation o.ä. in das entsprechende Textfeld ein. Der gewählte Name sollte sich vom Hostnamen
des Schulrouter Plus unterscheiden, um Missverständnisse zu vermeiden. Zum Beispiel “srpa” für
Benutzer und “srp” für den Hostnamen.
Dann klicken Sie auf den Button ERZEUGE ROOT/hOST ZERTI-FIKATE. Die Seite zur Erstellung von
“Root/Host Zertifkaten” erscheint. Füllen Sie das Formular aus und beide, ein X.509 Root und Host
Zertifkat, werden erzeugt.
Name der Organisation
Geben Sir hier den Namen der Organisation ein, den Sie im Zertifkat benutzen wollen. Wenn
Ihr VPN zum Beispiel einige Schulen in einem Schulbezirk zusammenschließt, könnten Sie
beispielsweise “Schulbezirk Ost” als Namen verwenden.
Hostname des Schulrouter Plus
Dies sollte der voll qualifzierte Domainname des Schulrouter Plus sein. Wenn Sie einen
dynamischen DNS nutzen, nehmen Sie diesen.
Ihre E-Mail Adresse
Geben Sie hier Ihre E-Mail-Adresse an, damit man mit Ihnen in Kontakt treten kann. Die
nächsten drei Angaben (Abteilung, Stadt und Staat/Bundesland) sind optional und können
weggelassen werden.
Ihre Abteilung
Dies ist der Abteilungs- oder Unterabteilungsname. Um das Schulbeispiel weiterzuführen,
könnten dies die Ofenburger Grund- und Hauptschulen sein.
Stadt
Die Stadt oder Postanschrift Ihrer Maschine.
Staat oder Bundesland
Der Staat bzw. das Bundesland der Postanschrift.
Land
Dieses Pull-Down-Menü beinhaltet jeden bekannten ISO-Ländernamen. Benutzen Sie dieses
zur Auswahl des Landes, das zum Zertifkat passt.
Subjekt Alternativer Name
Diese optionale Einstellung ermöglicht es Ihnen, weitere Identifkationsmerkmale
unterzubringen.
Nach dem vollständigen Ausfüllen des Formulars klicken Sie auf den Button ERZEUGE ROOT/hOST
ZERTIFIKATE, um die Zertifkate zu erzeugen.
112
Konfiguration Schulrouter Plus
VPN
Verbindungstyp
Wählen Sie entweder Host-zu-Netz für mobile Anwender, die Zugrif zum grünen Netzwerk
benötigen, oder Netz-zu-Netz, um Benutzern eines anderen Netzwerks Zugang zu Ihrem
Grünen Netzwerk zu erlauben.
Wählen Sie den Verbindungstyp, den Sie erstellen möchten und klicken Sie auf den Button
HINZUFüGEN.
Die nächste Seite die erscheint, beinhaltet zwei Bereiche. Der Verbindungs-Bereich kann je nach dem
hinzuzufügenden Verbindungstyp variieren. Der Authentifzierungs-Bereich bleibt gleich.
PC-zu-Netz Verbindung
Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen), um diese
Verbindung zu identifzieren.
Schnittstelle
Wählen Sie die Netzwerk-Schnittstelle, mit der sich der Roadwarrior verbinden soll.
Die Auswahl der roten Schnittstelle erlaubt es dem Roadwarrior, sich vom Internet aus zu
verbinden. Die Auswahl einer internen Schnittstelle erlaubt es dem Roadwarrior, sich über
ein lokales Netzsegment mit dem Grünen Netzwerk zu verbinden.
Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks defniert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.
Anmerkung
Hier können Sie eine optionale Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.
Aktivieren
Klicken Sie das KONTROllKäSTChEN an, wenn Sie diese Verbindung aktivieren wollen.

Erweiterte Einstellungen bearbeiten
Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN, wENN FERTIG
an, wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen.
Konfiguration Schulrouter Plus
113
Konfiguration Schulrouter Plus
VPN
Netz-zu-Netz Verbindung
Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen) um diese
Verbindung zu identifzieren.
Schulrouter Plus Seite
Wählen Sie eine Seite für den Schulrouter Plus, Rechts oder Links, die in den IPSec Konfgura-
tionsdateien verwendet wird, um die Seite der Verbindung dieses Schulrouter Plus auf dieser
Maschine zu identifzieren (siehe Hinweis).
Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks defniert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.
Gegenstelle/IP
Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. Sie
können auch den kompletten qualifzierten Domänennamen des entfernten Servers angeben.
Wenn der entfernte Server einen dynamischen DNS-Dienst benutzt, könnte es sein, dass Sie
das VPN neu starten müssen, falls sich die IP-Adresse ändert.
Subnetz der Gegenseite
Geben Sie die Netzwerk-Adresse und Subnetz-Maske des entfernten Netzwerks im selben
Format wie das lokale Subnetz-Feld an. Dieses Netzwerk muss sich vom lokalen Subnetz
unterscheiden, weil IPSec Routing-Tabellen-Einträge erstellt, um IP-Pakete zum richtigen
entfernten Netzwerk zu schicken.
Anmerkung
Hier können Sie optional eine Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.
Aktivieren
Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.
Erweiterte Einstellungen bearbeiten
Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN, wENN FERTIG
an, wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen.
114
Konfiguration Schulrouter Plus
VPN
Hinweise zur IPSec Terminologie IPSec benutzt die Begrife Rechts und Links für die beiden Seiten
einer Verbindung bzw. eines Tunnels. Diese Begrife haben keine wirkliche Bedeutung.
Es ist am besten, wenn man sich das Ganze als „Seite A“ und „Seite B“ einer alten Langspielplatte vorstellt.
IPSec orientiert sich anhand von Netzwerkadressen und Routen. Wenn es einmal festgestellt hat, welche
Netzwerkverbindung (Rechts oder Links) zu benutzen ist, um auf die andere Seite der Verbindung zu
gelangen, folgen alle anderen Rechts/Links Parameter automatisch. Viele benutzen Links für die lokale
Seite einer Verbindung und Rechts für die entfernte Seite. Dies ist nicht notwendig.
i
Konfiguration Schulrouter Plus
115
Konfiguration Schulrouter Plus
Protokolle
9 Hauptmenü Protokolle
9.1 Zusammenfassung

Auf dieser Seite sehen Sie eine Zusammenfassung der Protokolle. Folgende Bedienungselemente sind
verfügbar:
Monat/Tag
Hier können Sie das Datum der Anzeige auswählen.
<< / >>
Durch die Nutzung der Pfeile können Sie einen Tag vor und zurück springen.
Aktualisieren
Durch den Klick hierauf wird die Anzeige aktualisiert, z.B. beim Ändern des Anzeigedatums.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Entsprechend dem Detaillierungsgrad unter Einstellungen können hier mehr oder weniger Informa-
tionen angezeigt werden.
116
Konfiguration Schulrouter Plus
Protokolle
9.2 System

Auf dieser Seite können Sie Sich verschiedene System-Protokolle ausgeben lassen. Sie können nach
Einträgen suchen, indem Sie folgende Bedienungselemente verwenden:
Abschnitt
Hier wählen Sie das Protokoll aus, das Sie einsehen möchten.
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Gehe zum Datum
Wählen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.
Konfiguration Schulrouter Plus
117
Konfiguration Schulrouter Plus
Protokolle
9.3 Dienst

In den Dienst-Protokollen können Sie die Protokolle der Dienste Einbruchsdetektierung, OpenVPN und
Antivirus in deren Abschnitte ansehen.
Sie können nach Einträgen suchen indem Sie folgende Bedienungselemente verwenden:
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Gehe zum Datum
Wählen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.
118
Konfiguration Schulrouter Plus
Protokolle
9.4 Firewall

Das Firewall-Protokoll zeigt Ihnen je nach Firewall-Log-Einstellung alle Pakete oder nur die blockierten
Pakete, die die Firewall passiert haben. Die Bedienung entspricht der der Dienst-Protokolle.
Konfiguration Schulrouter Plus
119
Konfiguration Schulrouter Plus
Protokolle
9.5.1 http

Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Quell IP-Adresse
Anzeige auf bestimmte Quell-IP beschränken.
„Ignorieren“-Filter
Zeilen, die dies beinhalten, werden nicht angezeigt. Die Standardeinstellung beinhaltet Bilder,
Stylesheets und Javascript.
“Ignorieren”-Filter ein
Aktivieren Sie diese Einstellung, um den „ignorieren-Filter“ zu nutzen.
Gehe zum Datum
Wählen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Voreinstellung wiederherstellen
Dies stellt die Filter wieder her.
9.5 Proxy
120
Konfiguration Schulrouter Plus
Protokolle
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.
9.5.2 SMTP

Die Bedienung des SMTP-Protokolls entspricht die der Dienst-Protokolle.
9.5.3 SIP

Die Bedienung des SIP-Protokolls entspricht die der Dienst-Protokolle.
Konfiguration Schulrouter Plus
121
Konfiguration Schulrouter Plus
Protokolle
9.6 Einstellungen

Auf dieser Seite können Sie die globalen Einstellungen der Protokoll-Ansicht setzen. Folgende
Optionen können gesetzt werden:
Anzahl der anzuzeigenden Zeilen
Wie viele Zeilen sollen pro Seite angezeigt werden?
In umgekehrter chronologischer Reihenfolge sortieren
Hiermit werden die neuesten Einträge an oberster Stelle angezeigt.
Zusammenfassungen aufeben für __ Tage
Wie lange sollen die Protokolle gespeichert werden?
Detaillierungsgrad
Wie viele Details sollen in der Zusammenfassung ausgegeben werden?
Aktiviert (Remote logging)
Aktivieren Sie Remote logging, um die Protkolle zu einem anderen Syslog-Server zu senden.
Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.
122
Konfiguration Schulrouter Plus
Protokolle
Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.
Pakete mit verdächtigen TCP Flags protokollieren
Wenn aktiviert, werden im Firewall-Protokoll ungewöhnliche TCP Flags protokolliert.
Neue Verbindungen ohne SYN Flag protokollieren
Wenn aktiviert, werden im Firewall-Protokoll neue TCP-Verbindungen ohne SYN Flag proto-
kolliert.
Alle akzeptierten ausgehenden Verbindungen protokollieren
Wenn Sie auch alle Anfragen protokollieren wollen, die von der Firewall zugelassen wurden,
aktivieren Sie diese Option.
Abgewiesene Pakete protokollieren
Wenn Sie die Anfragen protokollieren wollen, die von der Firewall abgelehnt wurden, aktivie-
ren Sie diese Option.
Konfiguration Schulrouter Plus
123
Konfiguration Schulrouter Plus

Über diesen Link können Sie das Cockpit des Schulflter Plus direkt aufrufen.
10 Hauptmenü Schulfilter Plus

Hiermit melden Sie sich von der Schulrouter Plus-Konfgurationsoberfäche ab.
11 Hauptmenü Logout
12 Anhang
12.1 Impressum
TIME for kids Informationstechnologien GmbH
Gubener Straße 47
10243 Berlin
Tel.: +49 (0)30 293 698 90
Fax: +49 (0)30 293 698 919
E-Mail: kontakt@time-for-kids.de
WWW: www.time-for-kids.de
Vertretungsberechtigte Personen:
Marian Schroeder (Geschäftsführer)
Jan Arne Schmock (Geschäftsführer)
Verantwortlicher im Sinne von § 10 Abs. 3
des Mediendienste - Staatsvertrages:
Marian Schroeder (Geschäftsführer)
Jan Arne Schmock (Geschäftsführer)
Registergericht:
Berlin-Charlottenburg
Registernummer:
HRB 82365
Umsatzsteuer-ID gemäß § 27 a Umsatzsteuergesetz:
37/191/20440
124
Konfiguration Schulrouter Plus
12.2 Haftungsausschluss
1. Inhalt des Handbuchs
Der Verfasser übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der
bereitgestellten Informationen. Haftungsansprüche gegen den Verfasser, welche sich auf Schäden materieller
oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw.
durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich
ausgeschlossen, sofern seitens des Verfassers kein nachweislich vorsätzliches oder grob fahrlässiges
Verschulden vorliegt. Der Verfasser behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Werk
ohne gesonderte Ankündigung zu verändern, zu ergänzen oder die Veröfentlichung zeitweise oder endgültig
einzustellen.
2. Verweise und Links
Bei direkten oder indirekten Verweisen auf fremde Internetseiten (“Links”), die außerhalb des Verantwortungs-
bereiches des Verfassers liegen, würde eine Haftungsverpfichtung ausschließlich in dem Fall in Kraft treten,
in dem der Verfasser von den Inhalten Kenntnis hat und es ihm technisch möglich und zumutbar wäre, die
Nutzung im Falle rechtswidriger Inhalte zu verhindern.
Der Verfasser erklärt hiermit ausdrücklich, dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf
den zu verlinkenden Seiten erkennbar waren. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die
Urheberschaft der gelinkten/verknüpften Seiten hat der Verfasser keinerlei Einfuss. Deshalb distanziert
er sich hiermit ausdrücklich von allen Inhalten aller gelinkten/ verknüpften Seiten, die nach der Linksetzung
verändert wurden.
Für illegale, fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden, die aus der Nutzung oder
Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite, auf welche
verwiesen wurde, nicht derjenige, der über Links auf die jeweilige Veröfentlichung lediglich verweist.
3. Urheber- und Kennzeichenrecht
Alle innerhalb des Dokumentes genannten und ggf. durch Dritte geschützten Marken- und Warenzeichen
unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitz-
rechten der jeweiligen eingetragenen Eigentümer. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu
ziehen, dass Markenzeichen nicht durch Rechte Dritter geschützt sind!
Alle anderen Handels- und Produktnamen sind Gebrauchsnamen, Handelsnamen, Warenbezeichnungen der
entsprechenden Firmen. Das Copyright für veröfentlichte, vom Verfasser selbst erstellte Objekte bleibt allein
beim Verfasser der Seiten.
Eine Vervielfältigung oder Verwendung solcher Grafken und Texte in anderen elektronischen oder gedruckten
Publikationen ist ohne ausdrückliche Zustimmung des Verfassers nicht gestattet.
4. Rechtswirksamkeit dieses Haftungsausschlusses
Sofern Teile oder einzelne Formulierungen dieses Dokumentes der geltenden Rechtslage nicht, nicht mehr
oder nicht vollständig entsprechen sollten, bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer
Gültigkeit davon unberührt. Gerichtsstand ist Berlin.
Konfiguration Schulrouter Plus
125
Konfiguration Schulrouter Plus
12.3 GNU Free Documentation License
Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.
51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document “free” in
the sense of freedom: to assure everyone the efective freedom to copy and redistribute it, with or without
modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and
publisher a way to get credit for their work, while not being considered responsible for modifcations made by
others.
This License is a kind of “copyleft”, which means that derivative works of the document must themselves be free
in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free
software.
We have designed this License in order to use it for manuals for free software, because free software needs free
documentation: a free program should come with manuals providing the same freedoms that the software
does. But this License is not limited to software manuals; it can be used for any textual work, regardless of
subject matter or whether it is published as a printed book. We recommend this License principally for works
whose purpose is instruction or reference.
1. APPLICABILITY AND DEFINITIONS
This License applies to any manual or other work, in any medium, that contains a notice placed by the
copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide,
royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The “Document”,
below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as “you”. You
accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law.
A “Modifed Version” of the Document means any work containing the Document or a portion of it, either
copied verbatim, or with modifcations and/or translated into another language.
A “Secondary Section” is a named appendix or a front-matter section of the Document that deals exclusively
with the relationship of the publishers or authors of the Document to the Document’s overall subject (or to
related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document
is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship
could be a matter of historical connection with the subject or with related matters, or of legal, commercial,
philosophical, ethical or political position regarding them.
The “Invariant Sections” are certain Secondary Sections whose titles are designated, as being those of Invariant
Sections, in the notice that says that the Document is released under this License. If a section does not ft the
126
Konfiguration Schulrouter Plus
above defnition of Secondary then it is not allowed to be designated as Invariant. The Document may contain
zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.
The “Cover Texts” are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts,
in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5
words, and a Back-Cover Text may be at most 25 words.
A “Transparent” copy of the Document means a machine-readable copy, represented in a format whose
specifcation is available to the general public, that is suitable for revising the document straightforwardly with
generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely
available drawing editor, and that is suitable for input to text formatters or for automatic translation to a
variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent fle format
whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modifcation by
readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy
that is not “Transparent” is called “Opaque”.
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input
format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML,
PostScript or PDF designed for human modifcation. Examples of transparent image formats include PNG, XCF
and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word
processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the
machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.
The “Title Page” means, for a printed book, the title page itself, plus such following pages as are needed to hold,
legibly, the material this License requires to appear in the title page. For works in formats which do not have any
title page as such, “Title Page” means the text near the most prominent appearance of the work’s title,
preceding the beginning of the body of the text.
A section “Entitled XYZ” means a named subunit of the Document whose title either is precisely XYZ or
contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specifc
section name mentioned below, such as “Acknowledgements”, “Dedications”, “Endorsements”, or “History”.) To
“Preserve the Title” of such a section when you modify the Document means that it remains a section “Entitled
XYZ” according to this defnition.
The Document may include Warranty Disclaimers next to the notice which states that this License applies to
the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only
as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and
has no efect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided
that this License, the copyright notices, and the license notice saying this License applies to the Document are
reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may
not use technical measures to obstruct or control the reading or further copying of the copies you make or
distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough
number of copies you must also follow the conditions in section 3.
Konfiguration Schulrouter Plus
127
Konfiguration Schulrouter Plus
You may also lend copies, under the same conditions stated above, and you may publicly display copies.
3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the Document,
numbering more than 100, and the Document’s license notice requires Cover Texts, you must enclose the copies
in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover
Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies.
The front cover must present the full title with all words of the title equally prominent and visible. You may add
other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve
the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to ft legibly, you should put the frst ones listed (as
many as ft reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either
include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque
copy a computer-network location from which the general network-using public has access to download using
public-standard network protocols a complete Transparent copy of the Document, free of added material. If you
use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies
in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least
one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that
edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing any
large number of copies, to give them a chance to provide you with an updated version of the Document.
4. MODIFICATIONS
You may copy and distribute a Modifed Version of the Document under the conditions of sections 2 and 3
above, provided that you release the Modifed Version under precisely this License, with the Modifed
Version flling the role of the Document, thus licensing distribution and modifcation of the Modifed Version to
whoever possesses a copy of it. In addition, you must do these things in the Modifed Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of
previous versions (which should, if there were any, be listed in the History section of the Document). You may
use the same title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the
modifcations in the Modifed Version, together with at least fve of the principal authors of the Document (all
of its principal authors, if it has fewer than fve), unless they release you from this requirement.
C. State on the Title page the name of the publisher of the Modifed Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifcations adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the
Modifed Version under the terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the
Document’s license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled “History”, Preserve its Title, and add to it an item stating at least the title, year,
new authors, and publisher of the Modifed Version as given on the Title Page. If there is no section Entitled
128
Konfiguration Schulrouter Plus
“History” in the Document, create one stating the title, year, authors, and publisher of the Document as given
on its Title Page, then add an item describing the Modifed Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Doc-
ument, and likewise the network locations given in the Document for previous versions it was based on. These
may be placed in the “History” section. You may omit a network location for a work that was published at least
four years before the Document itself, or if the original publisher of the version it refers to gives permission.
K. For any section Entitled “Acknowledgements” or “Dedications”, Preserve the Title of the section, and preserve
in the section all the substance and tone of each of the contributor acknowledgements and/or dedications
given therein.
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers
or the equivalent are not considered part of the section titles.
M. Delete any section Entitled “Endorsements”. Such a section may not be included in the Modifed Version.
N. Do not retitle any existing section to be Entitled “Endorsements” or to confict in title with any Invariant
Section.
O. Preserve any Warranty Disclaimers.
If the Modifed Version includes new front-matter sections or appendices that qualify as Secondary Sections
and contain no material copied from the Document, you may at your option designate some or all of these
sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modifed Version’s license
notice. These titles must be distinct from any other section titles.
You may add a section Entitled “Endorsements”, provided it contains nothing but endorsements of your
Modifed Version by various parties--for example, statements of peer review or that the text has been approved
by an organization as the authoritative defnition of a standard.
You may add a passage of up to fve words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover
Text, to the end of the list of Cover Texts in the Modifed Version. Only one passage of Front-Cover Text and one
of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already
includes a cover text for the same cover, previously added by you or by arrangement made by the same entity
you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission
from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for
publicity for or to assert or imply endorsement of any Modifed Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms defned in
section 4 above for modifed versions, provided that you include in the combination all of the Invariant Sections
of all of the original documents, unmodifed, and list them all as Invariant Sections of your combined work in its
license notice, and that you preserve all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be
replaced with a single copy. If there are multiple Invariant Sections with the same name but diferent contents,
make the title of each such section unique by adding at the end of it, in parentheses, the name of the original
author or publisher of that section if known, or else a unique number. Make the same adjustment to the section
titles in the list of Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections Entitled “History” in the various original documents,
forming one section Entitled “History”; likewise combine any sections Entitled “Acknowledgements”, and any
Konfiguration Schulrouter Plus
129
Konfiguration Schulrouter Plus
sections Entitled “Dedications”. You must delete all sections Entitled “Endorsements.”
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License, and
replace the individual copies of this License in the various documents with a single copy that is included in the
collection, provided that you follow the rules of this License for verbatim copying of each of the documents in
all other respects.
You may extract a single document from such a collection, and distribute it individually under this License,
provided you insert a copy of this License into the extracted document, and follow this License in all other
respects regarding verbatim copying of that document.
7. AGGREGATION WITH INDEPENDENT WORKS
A compilation of the Document or its derivatives with other separate and independent documents or works, in
or on a volume of a storage or distribution medium, is called an “aggregate” if the copyright resulting from the
compilation is not used to limit the legal rights of the compilation’s users beyond what the individual works
permit. When the Document is included in an aggregate, this License does not apply to the other works in the
aggregate which are not themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document
is less than one half of the entire aggregate, the Document’s Cover Texts may be placed on covers that bracket
the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form.
Otherwise they must appear on printed covers that bracket the whole aggregate.
8. TRANSLATION
Translation is considered a kind of modifcation, so you may distribute translations of the Document under
the terms of section 4. Replacing Invariant Sections with translations requires special permission from their
copyright holders, but you may include translations of some or all Invariant Sections in addition to the original
versions of these Invariant Sections. You may include a translation of this License, and all the license notices
in the Document, and any Warranty Disclaimers, provided that you also include the original English version of
this License and the original versions of those notices and disclaimers. In case of a disagreement between the
translation and the original version of this License or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled “Acknowledgements”, “Dedications”, or “History”, the requirement
(section 4) to Preserve its Title (section 1) will typically require changing the actual title.
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this
License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will
automatically terminate your rights under this License. However, parties who have received copies, or rights,
from you under this License will not have their licenses terminated so long as such parties remain in full
compliance.
10. FUTURE REVISIONS OF THIS LICENSE
The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from
time to time. Such new versions will be similar in spirit to the present version, but may difer in detail to address
130
Konfiguration Schulrouter Plus
new problems or concerns. See http://www.gnu.org/copyleft/.
Each version of the License is given a distinguishing version number. If the Document specifes that a particular
numbered version of this License “or any later version” applies to it, you have the option of following the terms
and conditions either of that specifed version or of any later version that has been published (not as a draft)
by the Free Software Foundation. If the Document does not specify a version number of this License, you may
choose any version ever published (not as a draft) by the Free Software Foundation.

T I M E for kids

Handbuch Schulrouter Plus

Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden. TIME for kids Schulrouter Plus und TIME for kids Schulfilter Plus sind Markenzeichen der TIME for kids Informationstechnologien GmbH. Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General Public License (http://www.gnu.org/licenses/gpl.html) distributiert. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled >GNU Free Documentation License<. © 2009 TIME for kids Informationstechnologien GmbH. Gubener Str. 47, 10243 Berlin www.time-for-kids.de

T I M E for kids

Handbuch Schulrouter Plus

InhaltsverzeIchnIs
1

Einleitung
1.1 1.2 1.3 Das Schulrouter Plus Konzept Das Handbuch Effektive Nutzung des Handbuches 1.3.1 1.3.2 1.3.3 1.4.1 1.4.2 Szenario 1 – Vorkonfigurierter Schulrouter Plus Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen Was macht ein Router? Unterschied DSL-Modem/Router

7
7 7 8 8 8 9 10 10 10 11 11 11 12 13 13 14 15

1.4

Orientierungshilfe

1.5

Integration ins Schulnetzwerk 1.5.1 1.5.2 1.5.3 1.5.4 1.5.5 Benötigte Netzwerkinformationen Grundszenario Netzwerksegmentierung Kombination mit anderen Serverdiensten im Netzwerk Client-PCs konfigurieren

1.6 1.7

Schulfilter Plus konfigureieren Das Schulfilter Plus Cockpit

2

Hauptmenü System
2.1 2.2 2.3 2.4 2.5 2.6 2.7 Startseite Updates Passwörter Fernwartung / Support Benutzeroberfläche Datensicherung Herunterfahren

17
17 19 20 21 22 23 25

3

Hauptmenü Status
3.1 3.2 3.3 System-Status Netzwerkstatus Systemdiagramm

26
26 27 28

1.6 3.1.1.1 6.1 Konfiguration 7.6 5.1 HTTP 7.8 DHCP Server Dynamischer DNS Antivirus Zeitserver Trafficshaping Spam Training Einbruchdetektierung Datenverkehrsüberwachung 40 40 45 47 49 50 52 54 55 6 Hauptmenü Firewall 6.3 5.9 Netzwerkdiagramme Proxydiagramme Verbindungen OpenVPN Verbindungen SMTP Mailstatistik Email-Warteschlange 29 30 31 31 31 31 4 Hauptmenü Netzwerk 4.8 3.1.1.2 4.1.2 6.T I M E for kids Handbuch Schulrouter Plus 3.1 5.1.1 Erlaubte Ports und SSl Ports 7.3 Erlaubte Subnetze pro Zone 7.4 Netzwerkkonfiguration Host bearbeiten Routing Internet/WAN 32 32 37 38 39 5 Hauptmenü Dienste 5.7 3.4 Portweiterleitung / NAT Portweiterleitung SourceNAT Ausgehender Datenverkehr Interner Datenverkehr Systemzugriffe 56 56 56 58 60 63 64 7 Hauptmenü Proxy 7.1 4.2 5.1.4 3.5 3.1.2 6.4 5.3 4.7 5.4 Interner Datenverkehr 66 66 66 68 68 69 69 .1 6.1.1.3 6.2 Log-Einstellungen 7.5 5.

2.5.4.1.4.4.2 7.2 7.1 Benutzerverwaltung 7.1.5 7.2 LDAP 7.4 7.3 7.1.2 8.4 7.3 7.1 7.2.1 OpenVPN Server 8.5.4 Radius 7.2.4.4.1.4 8 Hauptmenü VPN 8.7 7.2 Authentifizierung 7.1.1.5 7.1 Lokale Authentifizierung 7.1.1 7.2 FTP SMTP 7.3 7.7 Vorgelagerter Proxy 7.3 Serverkonfiguration Konten Erweitert 100 103 103 104 106 .1 8.8 7.1.2.1 7.5.1.1.2.1.3 Hauptseite Antivirus Spam Dateierweiterungen Blacklist-Whitelist Domains Mailrouting Erweitert DNS DNS Proxy Benutzerdefinierter Nameserver Anti-Spyware Globale Einstellungen Spam Filter Standardrichtlinie Antivirus Gruppenregeln 70 70 71 72 74 74 75 76 77 78 80 81 82 82 83 84 85 85 87 88 90 91 93 94 95 98 98 98 99 7.2 7.1.5 POP3 7.3 Windows 7.2.1.5 Umgehung / Ausgeschlossene Quellen und Ziele 7.1.1.4.1.6 7.1.1.4.4.1.6 Cache Verwaltung 7.2.T I M E for kids Handbuch Schulrouter Plus 7.

3 Impressum Haftungsausschluss GNU Free Documentation License 123 123 123 123 124 125 .4 9.1 12.1 9.5.5.2 9.3 OpenVPN Client (Gw2Gw) IPSec 108 110 9 Hauptmenü Protokolle 9.6 Einstellungen Hauptmenü Schulfilter Plus Hauptmenü Logout Anhang 12.2 12.T I M E for kids Handbuch Schulrouter Plus 8.5.2 8.5 Zusammenfassung System Dienst Firewall Proxy 9.2 9.3 9.3 http SMTP SIP 115 115 116 117 118 119 119 120 120 121 10 11 12 9.1 9.

Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden Handbücher oder wenden sie sich an das TIME for kids Service-Center für Schulen. Kommunalen-Rechenzentren und IT-Dienstleistern vor Ort für die Betreuung einerVielzahl von Schulen mit dem Schulrouter Plus eine Managementoberfläche für das Monitoring und die Fernwartung. ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und ggf. Dies kann zu einer Optimierung und einer Kostenreduktion in der Schule führen.und Servicekonzeptes. Der Administrator der Schule kann ganz oder teilweise Aufgaben auf andere Service Partner delegieren. Folgende Darstellungskonventionen wurden vorgenommen.2 Das Handbuch Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu konfigurieren. Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs. Er ist sowohl für kleine. Das webbasierte TIME for kids Service-Center bietet Servicepartnern wie Schulträgern. Medienzentren. Classic und BIG eine skalierbare Hardwarebasis.Konfiguration Schulrouter Plus 1 1. mittlere und große Schulen mit ihren unterschiedlichen Anforderungen geeignet. Im Schulrouter Plus sind der Schulfilter Plus und der Antivirus Plus integriert und können sofort verwendet werden. Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste.time-for-kids. um Ihnen dies zu erleichtern. 1. Diese bietet hauptsächlich Rechte und Funktionen für den Administrator.de Textmarkierungen: Verweis auf externe Quelle >Verweis auf anderen Bereich im Handbuch< Befehlseingabe Webseite / Link AUFFORDERUNG ZUM TASTENDRUCK Symbole: i ! ê Wichtige Information Warnhinweis 7 . Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini. können Sie gern unser Service-Center für Schulen kontaktieren. Die TIME for kids Produkte Schulrouter Plus. Schulfilter Plus und Antivirus Plus passen sich hervorragend in jedes Betriebs. Alle Akteure können entsprechend ihrem Service-Level-Auftrag Rechte erhalten. Wenn Sie einmal nicht weiter wissen. http://support. Bitte prüfen Sie vor der Einrichtung. durch den Schulrouter Plus ersetzt werden können.1 Einleitung Das Schulrouter Plus Konzept Der Schulrouter Plus mit integriertem Schulfilter Plus und Antivirus Plus ist die Basis für alle Schulnetzwerke. Die Software-Basis und die Bedieneroberflächen sind bei allen Schulrouter Plus Modellen gleich.und Servicekonzept ein. Die Konfiguration des Schulrouter Plus erfolgt über das so genannte Cockpit. eine webbasierte Bedieneroberfläche.

4 Seiten). dass Sie den Schulrouter Plus nach der Lieferung nur noch mit dem Strom. und 7. Ihr Schulrouter Plus kann für Ihre Netzwerksituation vorkonfiguriert werden.4. welcher Teil des Handbuches für Sie relevant ist.1 relevant (Umfang ca. vorkonfigurierten Schulrouter Plus auspacken und anschließen.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus TIME for kids stellt für Sie einen besonderen Service bereit.6 relevant (Umfang: ca. Um einen Vorkonfigurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor: Schulrouter Plus bei TIME for kids bestellen Über die Webseite www. Um den Schulrouter Plus zu erhalten und zu konfigurieren gehen sie wie folgt vor: Schulrouter Plus bei TIME for kids bestellen Gelieferten Schulrouter Plus auspacken und anschließen. 31 Seiten).Konfiguration Schulrouter Plus 1. wenn Sie weitere tiefergehende Einstellungen vornehmen möchten.und Schulnetz sowie dem DSL-Modem verbinden müssen um eine Arbeitsfähigkeit herzustellen. Der besondere Vorteil besteht darin. Bitte schauen Sie sich die Szenarien an und entscheiden dann. Gelieferten.4. siehe Aufbauanleitung im Karton. siehe Aufbauanlei tung im Karton. 1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie Sollten Sie den Vorkonfigurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind für die Grundkonfiguration des Schulrouter Plus in diesem Handbuch die Kapitel 1. Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur notwendig.4.de/vorkonfiguration Ihre Konfigurationsdaten an TIME for kids übermitteln.7.3 Effektive Nutzung des Handbuches Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches beschrieben.schulrouterplus.5 und 1.1 Grundkonfiguration des Schulrouter Plus vornehmen 8 . Handbuch studieren. 1. In diesem Handbuch sind nach einer Vorkonfiguration für Sie nur noch die kurzen Kapitel 1. 1. Kapitel 1.3.

Gern können Sie auch die Hilfe unseres Service-Center für Schulen in Anspruch nehmen.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere Nut-zung des Internets in Ihrer Schule. 100 Seiten). 9 .Konfiguration Schulrouter Plus 1. Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca.3.

3.5.Konfiguration Schulrouter Plus 1. Das DSL-Modem bildet den Netzabschluss für die DSL-Leitung. siehe Punkt 1.4. oder an ein Netzwerk (mit einem Router) angeschlossen werden.B. Der TIME for kids Schulrouter Plus übernimmt zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste.4.4 Orientierungshilfe 1. Heutzutage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft. 1.1 Was macht ein Router? Ein Router ist ein Gerät.2 Unterschied DSL-Modem/Router Das DSL-Modem. Das bedeutet. von einem internen Schulnetz ins Internet. also bspw. im Fachjargon „NTBBA“ ist ein Modem zur Übertragung von Daten über eine DSL-Leitung. per USB). DSL-Modems können direkt an einen PC (z. Im Nachfolgenden einige optische Beispiele. DSL-Modem Router DSL-Modem und Router im Vergleich 10 . das mehrere Netzwerke koppelt. bei ihm eintreffende NetzwerkPakete eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet).

Daher müssen auch alle Netze unterschiedliche IP-Adress-Bereiche besitzen! 11 . können Sie den Schulrouter Plus auch an Ihren Router anschließen und die Einwahl Ihrem Router überlassen. Lesen Sie hierzu bitte das Kapitel 4. für eine DMZ oder ein weiteres Netz. also das Internet. er übernimmt dann auch die Einwahl. z.Konfiguration Schulrouter Plus 1.2 Grundszenario Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem. Alle Netze sind komplett voneinander getrennt und können sich nicht sehen. eingebun den. sowie Administrator-Zugang (optional) 1.1 Integration ins Schulnetzwerk Benötigte Netzwerkinformationen Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfigurierten Schulrouter Plus oder folgende Daten und Kenntnisse Ihres Netzwerks: Internet-Zugangsdaten Informationen über bestehende Netzwerke IP-Adress-Bereiche der internen Netze Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt? Wie sind die Client-PCs konfiguriert? Ist eventuell schon ein Proxy eingestellt? Active Directory-Einstellungen. Mit dem blauen Netz können Sie bspw. In den meisten Fällen kann auf den vorhandenen Router verzichtet werden.B.4 Das grüne Netz repräsentiert Ihr erstes Netzwerk. Das orange Netz steht zur freien Verfügung. Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke: Über die rote Schnittstelle wird nach außen der Gefahrenbereich. muss eine freie Schnittstelle entsprechend um konfiguriert werden.5 1.5. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen.5. Haben Sie bereits einen Router in Betrieb. Ihre Verwaltung (und somit kritische Daten) von dem Schüler-Netz trennen. das im Normalfall die Schüler-PCs bein-haltet.

12 . dass PCs nicht auf Server in einem anderen Netzwerk zugreifen können.5.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen. ob diese Konstellation erhalten bleiben muss. somit muss auch das Netzwerk darauf abgestimmt sein. Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden.3 Netzwerksegmentierung Wie in Punkt 1. Die Firewall des Schulrouter Plus kann so konfiguriert werden. der sich im Schüler-Netz befindet. dass ein eingeschränkter Zugriff auf spezifische Ressourcen zwischen den Netzen möglich wird.5. In solchen Fälle ist zu überlegen.Konfiguration Schulrouter Plus Schaubild Schulrouter Plus – Einordnung im Netzwerk 1.

5 Client-PCs konfigurieren Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. an den Schulrouter Plus angeschlossenen.5. Bei Ihren. Weiterhin ist darauf zu achten.Konfiguration Schulrouter Plus 1. sowie einen PC (oder Ihr Netzwerk) mit der grünen Schnittstelle verbunden haben (siehe Markierungen auf der Rückseite des Gerätes). die der Schnittstelle Grün) ist als Stan-dardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfiguration das vorsieht) oder auf “IP-Adresse automatisch beziehen” gesetzt. ein zweiter DHCP-Server mit anderen Einstellungen.B. Ihren vorgelagerten Router mit der roten Schnittstelle.4 Kombination mit anderen Serverdiensten im Netzwerk Der Schulrouter Plus stellt unter Anderem folgende Serverdienste zur Verfügung: Proxy Internetfilter (Schulfilter Plus) DHCP DNS VPN Firewall AntiSpam Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus ersetzt werden. Client-PCs müssen Sie darauf achten. 1. dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchtigen.5. 13 . z. dass folgende Einstellungen getätigt werden: In den benutzten Browsern darf kein Proxy eingestellt sein: Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras ’ Internetoptionen ’ Reiter „Verbindungen“ ’ Button „LAN-Einstellungen“ ’ die Elemente unter Proxyserver sind ausgegraut Die entsprechende IP des Schulrouter Plus (im grünen Netz.

benutzen Sie die Weboberfläche (Cockpit) des Schulfilter Plus.de 14 . Wenn Sie mit einem Schüler-PC im Internet surfen greift bereits ein voreingestellter Grundschutz.IP Einstellungen am Client 1.Konfiguration Schulrouter Plus Screenshot .time-for-kids. Um den integrierten Schulfilter Plus an Ihre Bedürfnisse anzupassen. Dieses erreichen Sie entweder über den Link im Menü des Schulrouter Plus oder über die Adresse http://RouterIP:83 Das Handbuch zum Schulfilter Plus finden Sie separat auf unserer Support-Seite http://support.6 Schulfilter Plus konfigureieren Ihr Schulrouter Plus ist jetzt einsatzfähig.

Sie werden nun aufgefordert sich mit einem Benutzeraccount und einem Passwort anzumelden. vor.Konfiguration Schulrouter Plus 1. Das Schulrouter Plus Cockpit gliedert sich in drei Teile: 1. eine webbasierte Bedienoberfläche.7 Das Schulfilter Plus Cockpit Die Konfiguration des Schulrouter Plus nehmen Sie über das so genannte Cockpit. Hauptmenü 2.3 Passwörter<). Um das Cockpit zu erreichen schließen Sie mindestens einen PC an die GRÜNE LAN-Schnittstelle des Schulrouter Plus an. dass er seine IP-Adresse per DHCP automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes befindet. ! ê Der angeschlossene PC muss so konfiguriert sein. Nach dem erfolgreichen Login sollten Sie das Passwort sofort ändern (>siehe Kapitel 2. Dies können Sie ohne Bedenken bestätigen. Ihr Internet-Browser wird Sie über unsignierte Sicherheitszertifikate informieren und zur Bestätigung auffordern. Die Grundkonfiguration entnehmen Sie bitte dem Beipackzettel im Karton Jetzt können Sie das Cockpit über die Eingabe h T T p : // R O U T E R I p : 8 1 in einem Internetbrowser auf Ihrem PC erreichen. Untermenü zum jeweiligen Hauptmenü 3. Konfigurationsseiten 15 . Verwenden Sie hierfür „tfkadmin“ als Benutzername und Passwort. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht.

um die Möglichkeit zu besitzen den Schulrouter Plus ggf.ä. Bei einigen Konfigurationen wird nach der Speicherung der Einstellungen ein Neustart der entsprechenden Dienste durchgeführt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.Konfiguration Schulrouter Plus Generell sollten Sie bei größeren Veränderungen der Konfiguration immer eine Datensicherung vornehmen. sind entsprechend gekennzeichnet 16 . wieder auf einen vorherigen Konfigurationsstand zu bringen. Die Konfigurationsseiten des Cockpits enthalten folgende Standardelemente. welche Sie für die Bedienung benötigen: Auswahl/ Bestätigung (aktiviert/ deaktiviert) Exportieren Löschen Wiederherstellen Hinzufügen/ Erstellen Verbindung testen Editieren Erweitern/ Öffnen Minimieren/ Schließen Verschieben/ Reihenfolge ändern Firewall akzeptiert Firewall anhalten Firewall verwerfen Verweigert Info Warnung Tipp Speicher-Button o.

” Die Verbindung wird getrennt. “Baue Verbindung auf.Konfiguration Schulrouter Plus 2 2. Stati der Verbindungen: “Angehalten” Es besteht keine Onlineverbindung. “Fehler” Es gibt einen Fehler beim Verbindungsaufbau. “Verbunden” Die Verbindung ist erfolgreich aufgebaut. Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung angezeigt.1 Hauptmenü System Startseite Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk). “Beende Verbindung. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen „Primäre WAN-Verbin-dung“.... System 17 .” Die Verbindung wird gerade hergestellt..

Konfiguration Schulrouter Plus “Wiederverbindungs Timeout” Es gab einen Fehler beim Wiederherstellen der Verbindung. System 18 . dass die Verbindung nicht zu nutzen ist. kann die Verbindung manuell her-gestellt oder getrennt werden. Im Modus “Verwaltet” überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbindung automatisch wieder her. Es wird kein automatischer Wiederaufbau der Verbindung eingeleitet. aber der Host. Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. Wird der Modus “Verwaltet” deaktiviert. wenn die Verbindung getrennt wird. “Verbindung unterbrochen” Die Verbindung ist zwar hergestellt. ist nicht erreichbar. Das heißt normalerweise. Es wird weiter versucht. der zur Überprüfung definiert ist.

der dann verfügbar ist.Konfiguration Schulrouter Plus 2. indem Sie den Button AllE UpDATES hERUNTERlADEN UND INSTAllIEREN anklicken.2 Updates Der Bereich Updates ist in drei Abschnitte aufgeteilt: Automatische Updates Im ersten Abschnitt haben Sie die Möglichkeit automatische Updates zu aktivieren. in denen es zu keiner Betriebsstörung kommen kann. Durch Klicken auf den Button UpDATE DEINSTAllIEREN können Sie das letzte Update rückgängig machen. Jedes Mal. Einige Updates führen einen automatischen Neustart des Schulrouter aus. Neu verfügbare Updates werden mit einer kurzen Beschreibung angezeigt. i System 19 . Sie können außerdem alle verfügbaren Updates hintereinander installieren. Das Update wird heruntergeladen und sofort ausgeführt. klicken Sie auf den Button hERUNTERlADEN UND INSTAllIEREN. wird hier der entsprechende Eintrag ergänzt. bevor Sie ein Update installieren und lassen Sie die Updates nur in Zeiten ausführen. Durch das klicken auf den Button NEU GENE-RIEREN wird ein neuer Zeitpunkt berechnet. Nur offizielle Schulrouter-Updates werden auf dem Schulrouter Plus installiert. wird die Verfügbarkeit neuer Updates überprüft. Um ein Update auszuführen. Lesen Sie deshalb bitte alle Update-Informationen. wenn die Seite Update aufgerufen wird. Rechts wird automatisch der nächste freie Update-Zeitpunkt angezeigt. Verfügbare Updates Installierte Updates Nachdem ein Update installiert wurde.

Der Benutzer. der auf das Schulrouter Plus Cockpit zugreifen darf.3 Passwörter Passwörter ändern Sie können hier jedes Passwort für sich ändern. Geben Sie jedes neue Passwort zweimal ein und drücken auf pASSwORT äNDERN. der sich auf der Linux-Konsole anmelden kann. System 20 .Konfiguration Schulrouter Plus 2. Die Passwörter folgender Benutzer können verändert werden: admin root Der Benutzer.

Von der Verwenung dieser Option wird dringend abgeraten. Außerdem können Sie hier weitere Parameter für den Fernzugriff-Prozess konfigurieren.4 Fernwartung / Support Zugangseinstellung Auf der Seite Fernwartung/ Support können Sie festlegen. System 21 .4 Systemzugriffe<) nicht aktiviert ist. Folgende Optionen können über diese Seite konfiguriert werden: Fernwartung/ Support Das Einschalten aktiviert den SSH-Zugriff.Konfiguration Schulrouter Plus 2. Erlaube TCP Weiterleitung Diese Option ermöglicht es. Unterstützung für Version 1 des SSH-Protokolls: Diese Option aktiviert die Unterstützung der Version 1 des SSH-Protokolls. SSH-verschlüsselte Tunnelverbindungen aufzubauen. auf der Kommandozeile anmelden. ob ein gesicherter Fernzugriff für den Schulrouter Plus möglich sein soll oder nicht. der das root-Passwort kennt. Mit aktiviertem SSH-Zugriff kann sich jeder. Wenn der externe Systemzugriff (siehe Kapitel >6. da bekannte Sicherheitslücken der Version 1 existieren. ist SSH nur über das grüne Netzwerk erreichbar.

mit der die Seiten des Schulrouter Plus Cockpits dargestellt werden.5 Benutzeroberfläche Einstellungen Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen. Folgende Optionen können über diese Seite konfiguriert werden: Wählen Sie Ihre Sprache Über dieses Drop-Down-Menü können Sie eine Sprache wählen. die Korrektheit zu bestätigen. wenn Sie mehr als einen Schulrouter Plus administrieren.Konfiguration Schulrouter Plus Passwortbasierte Authentifizierung zulassen Diese Option ermöglicht es Benutzern. Authentifizierung auf Basis öffentlicher Schlüssel zulassen Mit dieser Option wird die Authentifizierung auf Basis öffentlicher Schlüssel zugelassen. Wenn Sie das erste Mal eine SSH-Verbindung zum Schulrouter Plus erstellen. um eine SSH-Verbindung mit dem Schulrouter Plus zu verifizieren. die Sie verwenden können. sich beim Schulrouter Plus mittels des root-Passworts anzumelden. Dies kann hilfreich sein. müssen Sie zunächst Ihre SSH Schlüsseldateien konfigurieren und sicherstellen. Wenn Sie diese Option ausschalten. Hostname im Fenstertitel anzeigen: Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. und Sie werden aufgefordert. den SSH-Zugriff auf dem Schulrouter Plus abzusichern. Sie können den angezeigten Schlüssel mit der Darstellung auf dieser Seite vergleichen. SSH Host Schlüssel Dieser Abschnitt listet die Fingerabdrücke der von Schulrouter Plus verwendeten SSH-Schlüssel auf. wird der Fingerabdruck angezeigt. dass Sie sich mit den Schlüsseldateien einloggen können. 2. Dies ist die bevorzugte Methode. System 22 .

Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert und können auf Ihren Computer heruntergeladen werden. System 23 . die Konfiguration auf einen Wiederherstellungspunkt zurück zu setzen und regelmäßig automatisierte Datensicherungen durchzuführen.6 Datensicherung In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten Datensicherung zurückspringen. Konfiguration und Datenbankinhalt einschließen Schließt zusätzlich alle Datenbankinhalte mit ein.Konfiguration Schulrouter Plus 2. Es ist auch möglich. Folgende Optionen können über diese Seite konfiguriert werden: Datensicherungssätze Beim Klicken auf NEUE DATENSIChERUNG DURChFühREN öffnet sich ein Dialog zur Konfiguration der geplanten Datensicherung: Konfiguration einschließen Schließt alle Einstellungen mit ein.

dass „Datensicherungsarchive verschlüsseln“ aktiviert ist. Anmerkung Hier kann ein zusätzlicher Kommentar hinterlassen werden. L: Log Dateien. löschen oder wiederherstellen. durch einen Klick auf das entsprechende ICON auf der rechten Seite. ausgewählte Datensicherungen herunterladen. Sie können einen GPG public key bereitstellen. Die Datensicherung beinhaltet alle Einstellungen. In der Liste der vorhandenen Datensicherungen können Sie. der für die Verschlüsselung verwendet wird. Mit Klick auf SpEIChERN laden Sie den Schlüssel hoch und aktivieren die Verschlüsselung. Die Datensicherung ist fehlerhaft. Die Datensicherung ist verschlüsselt. Wählen Sie die Datei des Sicherungssatzes auf Ihrem lokalen PC aus. Log Archive aufnehmen Schließt ältere Protokolle mit ein. Klicken Sie auf BACKUp ERZEUGEN um die Datensicherung mit den oben gemachten Einstellungen zu erzeugen.Konfiguration Schulrouter Plus Logs aufnehmen Schließt die aktuellen Protokolle mit ein. Die Datensicherung beinhaltet ältere Log Dateien !: Fehler beim Senden der Sicherung. Jede Datensicherung ist mit einer Markierung versehen: S: Einstellungen. Die Datensicherung beinhaltet Protokolle A: Log Archive. Der Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden. E: Archiv ist verschlüsselt. Laden Sie den GPG public key von Ihrem Client-PC und stellen Sie sicher. Mit der Angabe einer Anmerkung und dem Klicken auf IMpORTIEREN laden Sie den Sicherungssatz hoch. Datensicherungsarchive mit einem öffentlichen GPG Schlüssel verschlüsseln Datensicherungsarchiv importieren Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus importieren. Diese Einstellung kann den Umfang der Datensicherungsmenge stark erhöhen. Die Datensicherung beinhaltet auch Datenbankinhalte. D: Datenbankinhalt. System 24 .

Konfiguration Schulrouter Plus 2. um die Aktion sofort auszuführen.7 Herunterfahren Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten. System 25 . Sie können einfach einen der entsprechenden BUTTONS anklicken.

Speicher Zeigt die Auslastung von Arbeitsspeicher und Swapdatei.Konfiguration Schulrouter Plus 3 3.1 Hauptmenü Status System-Status Dienste Zeigt alle Dienste und deren aktuellen Status an. Festplattenbelegung Zeigt den verfügbaren und belegten Festplattenplatz Status 26 .

2 Netzwerkstatus Schnittstellen Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. ob ein Link augebaut ist. Loopback. PPP. Routingtabelleneinträge ARP Tabelleneinträge Zeigt die Einträge der Routingtabelle an. Dies beinhaltet u. wie z.Konfiguration Schulrouter Plus 3. Status 27 .. Zeigt die Einträge der ARP-Tabelle an. etc.a. IPSec. oder welche Geschwindigkeit ausgehandelt wurde. Netzwerkkarten Zeigt bestimmte Eigenschaften der Netzwerkkarten. Informationen aller Netzwerk-Schnittstellen inkl.B.

für die aktuelle Woche.3 Systemdiagramm Diese Seite zeigt Ihnen für den aktuellen Tag bzw. folgende Diagramme: • • • • CPU-Nutzung Speichernutzung Nutzung von Auslagerungsspeicher (Swap) Festplattenzugriff Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag. Monat und Jahr gewechselt werden. Woche. Monat und Jahr. Status 28 .Konfiguration Schulrouter Plus 3.

Konfiguration Schulrouter Plus
3.4 Netzwerkdiagramme

Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen Netzwerk-Schnittstellen an. Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und Jahr gewechselt werden.

Status

29

Konfiguration Schulrouter Plus
3.5 Proxydiagramme

Diese Seite zeigt die Diagramme der Zugriffsstatistiken des HTTP-Proxy der letzten 24 Stunden an. Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.

Diagramme zur Proxyauslastung
Zugriffe Zeigt die Anzahl der Zugriffe auf den Proxy an. Übertragungen Zeigt die Größe der Daten-Übertragungen über den Proxy an. Durchschnittliche TCP-Übertragungsdauer Zeigt die Dauer der Übertragungen an.

Status

30

Konfiguration Schulrouter Plus
3.6 Verbindungen

Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle gekennzeichnet. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei weitere Farben benutzt: Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbindungen über ein VPN.

3.7

OpenVPN Verbindungen

Diese Seite zeigt eine Liste mit Verbindungen über OpenVPN. Es gibt hier die Möglich Verbindungen zu beenden oder verbundene Benutzer zu blockieren.

3.8

SMTP Mailstatistik

Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur zur Verfügung, wenn der SMTP-Proxy verwendet wird.

3.9

Email-Warteschlange

Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn der SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.

Status

31

Zu empfehlen ist aber dabei eher die Einstellung “Ethernet statisch”. Im Folgenden ist jeder der einzelnen Schritte beschrieben: Schritt 1 . wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist und die Einwahl vom Schulrouter Plus gemacht werden soll. Ethernet DHCP Sie möchten. der DHCP liefert. Netzwerk 32 . Der Assistent ist in mehrere Schritte unterteilt. Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. wenn der Schulrouter Plus mit einem vorgelagerten Router vebunden ist. PPPoE (DSL-Direkteinwahl) Diese Option ist zu wählen.1 Hauptmenü Netzwerk Netzwerkkonfiguration Die Konfiguration der Netzwerkschnittstellen kann schnell und einfach mit dem NetzwerksetupAssistenten geändert werden. Sie können mit <<< und >>> vor und zurück navigieren und die Änderungen mit ABBREChEN verwerfen.Konfiguration Schulrouter Plus 4 4.Typ für ROT auswählen Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfigurieren (üblicherweise die Verbindung zu Ihrem Provider). Dies ist üblicherweise der Fall. dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem vorgelagerten Gerät holt. Der Schulrouter Plus unterstützt die folgenden Verbindungs-Typen: Ethernet statisch Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen. wenn der Schulrouter Plus mit einem vorgelagerten Router verbunden ist. ob die Einstellungen übernommen werden sollen. Während dessen ist die Konfigurationsoberfläche nicht erreichbar. Sie werden erst im letzten Schritt gefragt. Dies ist üblicherweise der Fall.

Konfiguration Schulrouter Plus
Schritt 2 - Netzwerkzonen auswählen An diesem Punkt haben Sie bereits zwei Schnittstellen definiert: GRÜN Das grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die Schüler-Endgeräte befinden. ROT Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann auch ein zweites rotes Netzwerk definiert werden. Hierdurch ist eine Erhöhung der Internetbandbreite z.B. über eine zweite DSL-Leitung möglich. Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind: BLAU Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulverwaltungs-Endgeräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist physikalischvomSchulnetzwerkgetrennt.EskannaberbeiBedarfeinegesicherteVerbindungzwischenden Netzwerken zur Datenübertragung eingerichtet werden. ORANGE Das orange Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch eine höhere Absicherung vor unberechtigten Zugriffen benötigen. Das orange Netzwerk kann aber auch als „normales“ drittes Netzwerk verwendet werden.

Netzwerk

33

Konfiguration Schulrouter Plus
Schritt 3 - Netzwerkeinstellungen In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen definiert (Grün, Blau, Orange). Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt: IP Adresse Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll. (z.B. 1 9 2 . 1 6 8 . 0 . 1 ). Achten Sie darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach dem Ändern der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden (z.B. DHCP-Server oder erlaubte Subnetze im Proxy). Netzwerkmaske Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten im Subnetz dieselbe Netzwerkmaske verwenden. Weitere Adressen Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen. Schnittstellen Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei mindestens einer Schnittstelle zugeordnet sein. Eine Schnittstelle kann man allerdings nur einer Zone zuordnen. Ordnen Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnittstellen so, als wären sie Teil eines Switches. Ein Symbol zeigt den aktuelle Status der Schnitt stelle: ein grüner Hacken zeigt, dass der Link aktiv ist. Ein rotes Kreuz zeigt, dass kein Link vorhanden ist. Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.

! ê

Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich nicht mit anderen Schnittstellen überschneidet. Zum Beispiel: IP = 1 9 2 . 1 6 8 . 0 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für GRÜN IP = 1 9 2 . 1 6 8 . 1 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für ORANGE IP = 1 9 2 . 1 6 8 . 2 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für BLAU

Netzwerk

34

Konfiguration Schulrouter Plus
Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den privaten Bereich reserviert sind: 1 0 . 0 . 0 . 0 - 1 0 . 2 5 5 . 2 5 5 . 2 5 5 ( 1 0 . 0 . 0 . 0 / 8 ) , 1 6 . 7 7 7 . 2 1 6 Adressen 1 7 2 . 1 6 . 0 . 0 - 1 7 2 . 3 1 . 2 5 5 . 2 5 5 ( 1 7 2 . 1 6 . 0 . 0 / 1 2 ) , 1 . 0 4 8 . 5 7 6 Adressen 1 9 2 . 1 6 8 . 0 . 0 - 1 9 2 . 1 6 8 . 2 5 5 . 2 5 5 ( 1 9 2 . 1 6 8 . 0 . 0 / 1 6 ) , 6 5 . 5 3 6 Adressen Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die Broadcastadresse und dürfen nicht vergeben werden. Schritt 4 - Internetverbindungseinstellungen Diese Schritte erlauben die Konfiguration der roten Schnittstelle und somit die Konfiguration des Internetzugangs. Sie finden auf dieser Seite unterschiedliche Konfigurationsmöglichkeiten, je nachdem welche Option Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen nachsich ziehen. Hier werden die Konfigurationen für jeden Typ erklärt: Für Alle Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit der sich der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmeldediensten nötig). Ethernet statisch Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben. Weiterhin müssen Sie die IP-Adresse des Standardgateways festlegen. Ethernet DHCP Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP empfangen werden soll oder ob dieser von Ihnen festgelegt wird. PPPoE Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an. Für die Authentifizierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet werden. Sie können auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische von Ihrem Provider übergeben wird (Standard-Einstellung) oder manuell eingegeben werden muss.

Netzwerk

35

Klicken Sie OK. oder wenn sie den Hostnamen geändert haben. Netzwerk 36 . Das Übernehmen der Einstellungen kann bis zu einer Minute dauern. werden Sie automatisch an die richtige IP-Adresse weitergeleitet.Konfiguration Schulrouter Plus Schritt 5 .Konfiguration anwenden Mit dem letzten Schritt bestätigen Sie die neuen Einstellungen. wird ein neues SSL-Zertifikat generiert und es kann evtl. Während dieser Zeit ist das Cockpit nicht erreichbar und eine Verbindungen zu und durch den Schulrouter Plus ist nicht möglich. ein Warnhinweis vom Browser erscheinen. In diesem Fall. Die IP-Adresse muss für den Schulrouter Plus erreichbar sein. Soll nur ein Nameserver verwendet werden. Schritt 6 .DNS-Server konfigurieren Hier definieren Sie bis zu zwei DNS-Server. wenn sie nicht automatisch zugewiesen werden. Das Cockpit aktualisiert sich nach den Änderungen automatisch. muss die IP-Adresse doppelt eingetragen werden. KONFIGURATION üBERNEhMEN um die Konfiguration abzuschließen. Wenn Sie die IP-Adresse von GRÜN geändert haben.

Die Daten des Eintrags werden in dem Formular darüber angezeigt. Über hOST hINZUFüGEN können Sie einen manuellen Host anlegen. Ein weiterer Klick dreht die Sortierreihenfolge um. indem Sie auf eine der drei unterstrichenen SpAlTENüBERSChRIFTEN klicken. Aktuelle Hosts In diesem Bereich werden die aktuell konfigurierten lokalen DNS-Einträge angezeigt. Zum Löschen eines Eintrags klicken Sie auf das zugehörige löSChEN-SyMBOl. Domainname Geben Sie in dieses Feld den Domänennamen ein. Folgende Daten müssen eingegeben werden: IP-Adresse Geben Sie in dieses Feld die IP-Adresse ein.2 Host bearbeiten Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht. Netzwerk 37 . deren Adressinformationen lokal verwaltet werden sollen. Hostname Geben Sie in dieses Feld den Hostnamen ein. auch die manuelle Eingabe von Hostcomputern. Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann im Formular auf die Schaltfläche AKTUAlISIEREN. falls sich der Hostcomputer in einer anderen Domäne befindet. neben der Zwischenspeicherung von DNS-Informationen aus dem Internet. deren Adressinformationen überschrieben werden sollen.Konfiguration Schulrouter Plus 4. Sie können die Liste sortieren. Zum Bearbeiten eines Eintrags klicken Sie auf das zugehörige STIFT-SyMBOl. Bei diesen Hostcomputern kann es sich beispielsweise um lokale Computer oder Computer im Internet handeln.

2 0 . 1 6 8 .Konfiguration Schulrouter Plus 4. 0 / 2 4 ) Ziel-Netz Ziel-Netz in CIDR-Schreibweise (Bsp. 0 / 2 4 ) Route über Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus. 1 0 .: 1 9 2 . Wird an dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet. 1 6 8 . muss hier für jedes VLAN ein Eintrag mit der IP des Switch als Gateway gesetzt werden.3 Routing Statisches Routing Aktuelle Routing-Einträge Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden. Netzwerk 38 .: 1 9 2 . Klicken Sie auf EINE NEUE ROUTE hINZUFüGEN um eine neue Route mit folgenden Feldern anzulegen: Quell-Netz Quell-Netz in CIDR-Schreibweise (Bsp.

deaktivieren. 4. falls diese WAN-Verbindung ausfällt. Klicken Sie auf ROUTE hINZUFüGEN um die Regel zu bestätigen. wenn die Verbindung ausfällt. Netzwerk 39 . Wiederverbindungs. ob eine andere WAN-Verbindung gewählt werden soll. wird sofort die Wiederverbindung versucht. Bleibt das Feld leer. Anmerkung Geben Sie der Regel eine Anmerkung.4 Internet/WAN Hier können mit einem Klick auf wAN-VERBINDUNG ERSTEllEN weitere WAN-Verbindungen definiert werden. Wenn diese WAN-Verbindung fehlschlägt aktiviere Hier können Sie festlegen. Folgende Felder unterscheiden sich zum Netzwerkassistenten: WAN-Verbindung beim Starten aktivieren Diese Einstellung legt fest. Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende Formular aus. Sie können die Route mit den entsprechenden ICONS aktivieren bzw. ob diese WAN-Verbindung beim Starten des Schulrouter Plus automatisch verbunden werden soll. Die Felder sind weitestgehend identisch mit dem Netzwerkassistenten.Konfiguration Schulrouter Plus Aktiviert Markieren zum Aktivieren (Standard).Timeout Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird.

1 Hauptmenü Dienste DHCP Server DHCP (Dynamic Host Configuration Protocol) ermöglicht eine Steuerung der Netzwerkkonfiguration aller Computer über den Schulrouter Plus. müssen die Computer im Netzwerk so konfiguriert sein. Um diese Funktion verwenden zu können. welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. um den DHCP-Server für dieses Netzwerk zu aktivieren. Aktivieren Sie einfach die entsprechenden KONTROllKäSTChEN. Sie können auswählen. die eine Verbindung zum Netzwerk herstellen. Aktivieren Sie einfach die entsprechenden Kontrollkästchen. welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. Dienste 40 . Computer. dass sie ihre Netzwerkkonfiguration automatisch erhalten. DHCP-Server Parameter Aktiviert: Markieren Sie dieses Feld.Konfiguration Schulrouter Plus 5 5. wird eine gültige IP-Adresse zugewiesen und ihre DNS-Konfiguration wird vom Schulrouter Plus festgelegt. Sie können auswählen.

beim Internetzugriff “www” als Standard-Homepage in ihrem Browser festzulegen. Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten). Der voll qualifizierte Domänenname des Webservers wird jedoch automatisch clientseitig über die Software Ihres Computers erstellt. unter Angabe ihrer aktuell gültigen IP-Adresse. Bei einer Anforderung auf eine Erneuerung der Lease werden ggf. erhält der Client eine neue IP-Adresse aus dem neuen dynamischen IP-Adressbereich. in dem der DHCP-Server Clientanfragen auf Erneuerung der Lease für die aktuell gültige IP-Adresse immer zustimmt. Hier wird der Domänenname festgelegt. Standard Lease Zeit (Min): Verwenden Sie den Vorgabewert. Dienste 41 . damit die Benutzer in Ihrem Intranet die Teiladresse “www” weiterhin nicht eingeben müssen. eine Erneuerung der Lease an. “www” ist jedoch kein voll qualifizierter Domänen-Name (FQDN). dass das Format keinen führenden “Punkt” vorsieht. Wenn der Bereich des Pools für die Vergabe von IP-Adressen (der dynamische IP-Adressbereich) zwischenzeitlich geändert wurde. Domain-Name-Suffix: Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf. dass der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt. Nach Ablauf der maximalen Vorhaltezeit kann die IP-Adresse des Clients vom Server geändert werden. Die DHCP-Server von vielen Internetdienstanbietern sind so konfiguriert. sollten Sie die Anfangs. zu dem die zugewiesene IP-Adresse verfällt) fordern die Clientcomputer. wie von dem DHCP-Server des Internetdienstanbieters vorgegeben.und Endadresse so wählen. deren IP-Adressen also manuell festgelegt werden. Wenn ein Hostname nicht aufgelöst werden kann. Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten. dass als Standard domänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf. Wenn sich in Ihrem Netzwerk Computer befinden. indem das Suffix des Domänennamens. Im Allgemeinen werden IP-Adresszuordnungen vom Server erneuert. die DHCP nicht verwenden. die der Server für andere Computer bereitstellt.Konfiguration Schulrouter Plus Anfangsadresse und Endadresse: Sie können die unterste und die oberste Adresse angeben. wenn Sie keinen triftigen Grund haben. einen anderen Wert zu verwenden. versucht der Client erneut. die für IP-Adress-Leases reserviert werden. Maximale Lease Zeit (Min): Verwenden Sie den Vorgabewert. angehängt wird. den ursprünglichen Namen mit dem als Namen angegeben Suffix aufzulösen. Vor dem Ablauf der Lease (der Zeitpunkt. wenn Sie keinen triftigen Grund haben. einen anderen Wert zu verwenden. durchgeführte Änderungen an DHCP-Parametern berücksichtigt und die Clientkonfigura tion wird entsprechend aktualisiert. Legen Sie das Domänen-Name-Suffix entsprechend der Vorgabe des DHCP-Servers Ihres Internetdienstan bieters fest. den der DHCP-Server für seine Clients verwendet.

der verwendet wird. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an die Hostcomputer weiter. falls der primäre DNS-Server nicht verfügbar sein sollte.Konfiguration Schulrouter Plus Primärer DNS: Legt für die Clients des DHCP-Servers fest. Wenn Sie einen eigenen separaten DNS-Server verwenden. wird in der Regel empfohlen. In diesem Fall wird für den primären DNS-Server die IP-Adresse des Schulrouter Plus verwendet. können Sie in diese Felder den primären und. weitere angepasste DHCP-Regeln zu der Konfiguration hinzufügen. falls vorhanden. geben Sie diese hier ein. geben Sie dessen IP-Adresse in das Feld ein. den Standardwert zu verwenden. Erste/zweite WINS-Server Adresse: Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server (Windows Internet Naming Service-Server) verwenden. können Sie die IP-Adresse des NTP-Servers in dieses Feld eingeben. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter. Zweiter NTP-Server: Wenn Sie eine zweite NTP-Server-Adresse haben. Dieser DNS-Server könnte beispielsweise ein weiterer DNS-Server in Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein. Sekundärer DNS: Sie können auch einen sekundären DNS-Server angeben. Beachten Sie. Erster NTP-Server: Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen NTP-Servers an Geräte in Ihrem Netzwerk weiterleiten wollen. dass hier keine Prüfung der Syntax durch den Schulrouter Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers verhindern können. Da der Schulrouter Plus auch einen DNS-Proxy enthält. Diese können in dem Textfeld „Benutzerdefinierte Konfigurationszeilen“ eingetragen werden. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter. sekundären WINS-Server eintragen. welcher Server als primärer DNS-Server verwendet werden soll. i Dienste 42 . Für erfahrene Benutzer ist es möglich.

Diese Art der Konfiguration unterscheidet sich wesentlich von der manuellen Adresszuweisung. Stellen Sie sicher. können Sie über den DHCP-Server festlegen. Die Adressen werden also nicht manuell auf dem Computer selbst.x x . dass diesen Computern auf Grundlage der MAC-Adresse der in dem Computer installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. für die es jedoch darüber hinaus auch erforderlich ist.x x . sondern zentral über den DCHP-Server vergeben. Für feste Zuordnungen können die folgenden Parameter festgelegt werden: MAC-Adresse: Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers. deren IP-Adressen zentral verwaltet werden sollen. Thin Clients). Nächste Adresse: Möglicherweise befinden sich in Ihrem Netzwerk Computer. die der DHCP-Server stets für die angegebene MAC-Adresse vergeben soll. da auch diese Computer weiterhin ihre IP-Adressen von dem DHCP-Server beziehen.x x . Dienste 43 . IP-Adresse: Dies ist die fest zugeordnete IP-Adresse. die eine Startdatei von einem Server im Netzwerk erhalten müssen (sog. und nicht x x . dass sie stets dieselbe IP-Adresse erhalten. für den die feste Zuordnung gelten soll. Das Format der MAC-Adresse lautet x x : x x : x x : x x : x x : x x . wie es auf einigen Computern angezeigt wird (Beispiel: 0 0 : E 5 : B 0 : 0 0 : 0 2 : D 2 ).Konfiguration Schulrouter Plus Aktuelle feste Zuordnungen Wenn sich in Ihrem Netzwerk Computer befinden. dass Sie keine IP-Adresse aus dem dynamischen Adressbereich des DHCP-Servers vergeben.x x . Beschreibung: Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen.x x . Bei Bedarf können Sie in diesem Feld die Serveradresse angeben.

wird der entsprechende Datensatz zwar in den Dateien des Schulrouter Plus gespeichert. die angegebene feste Zuordnung bereitzustellen. Aktiviert Aktivieren Sie dieses Kontrollkästchen.Konfiguration Schulrouter Plus Dateiname Geben Sie den Namen der Startdatei für diesen Computer an. Zum Bearbeiten einer bestehenden festen Zuordnung klicken Sie auf das zugehörige STIFT-SyMBOl. Dienste 44 . Die Werte für die feste Zuordnung werden im Ausschnitt “Fixe Lease hinzufügen” weiter oben angezeigt. um den DHCP-Server anzuweisen. indem Sie auf die unterstrichenen Spaltenüberschriften MAC-ADRESSE oder Ip-ADRESSE klicken. Ist das Kontrollkästchen nicht aktiviert. Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann auf SpEIChERN. Ein weiterer Klick dreht die Sortierreihenfolge um. Sie können die Liste sortieren. Rootpfad Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befindet. Zum Löschen einer bestehenden festen Zuordnung klicken Sie auf das zugehörige pApIER-KORB-SyMBOl. Liste der festen Zuordnung In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und können bearbeitet oder gelöscht werden. können Sie in diesem Feld den Pfad zu der Startdatei angeben. der DHCP-Server gibt die Zuordnung jedoch nicht aus.

die versucht. Hostcomputer. auch wenn dieser über keine statische öffentliche IP-Adresse verfügt. dem dynDNS-Server diese IP-Adresse mitteilen. Dienste 45 . Diese Adresse sehen Sie auf der Startseite. Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die automatische Aktualisierung bei zahlreichen dynDNS-Anbietern. lösen die Adresse über den dynDNS-Server auf. Wird dort eine externe IP angezeigt. Anschließend muss Ihr Server jedes Mal.Konfiguration Schulrouter Plus 5. bekommt er in aller Regel von Ihrem Provider eine externe IP zugeordnet. Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen.2 Dynamischer DNS Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen. die festgelegten >Firewall-Regeln< lassen dies zu). einen vorgelagerten Router verwenden .wenn Sie also bspw. kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt. Wird dort eine IP-Adresse angezeigt. Um dynDNS verwenden zu können. der die aktuellste gültige IP-Adresse bereitstellt. Ist diese IP-Adresse aktuell. die externe IP über eine Webseite zu bekommen.wählen Sie die zweite Variante. müssen Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren. wenn eine Verbindung zum Internet hergestellt und ihm von Ihrem Internetdienstanbieter eine IP-Adresse zugewiesen wird. die eine Verbindung zu Ihrem Server herstellen möchten. wählen Sie hier den ersten Auswahlpunkt. die in Ihrem internen Netzwerk liegt . mit der Sie auch von außen auf den Schulrouter Plus zugreifen können.

Benutzername Geben Sie den Benutzernamen ein.com” gewählt haben und der Schulrouter Plus sich hinter einem Proxyserver befindet. ermöglichen Sie. Ist das KONTROllKäSTChEN aktiviert. ohne die Daten erneut eingeben zu müssen. Hinter einem Router (NAT) Wählen Sie dies aus.com” gewählt haben. Aktiviert Aktivieren Sie dieses KONTROllKäSTChEN. Dieses KONTROllKäSTChEN wird bei Auswahl eines anderen Anbieters nicht berücksichtigt.dyndns. Wenn Sie als Anbieter “no-ip. Auf diese Weise können Sie die dynDNS-Aktualisierung zu einem späteren Zeitpunkt wieder aktivieren. damit der Schulrouter Plus die auf dem dynDNSServer hinterlegten Daten aktualisiert. wenn Sie als Anbieter “no-ip. Domäne Geben Sie den Domänennamen ein. den Sie bei Ihrem dynDNS-Anbieter registriert haben.org.Konfiguration Schulrouter Plus Aktuelle Hosts Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden: Dienst Wählen Sie einen dynDNS-Anbieter aus der DROpDOwNlISTE aus. Sie sollten bei dem aus gewählten Anbieter bereits registriert sein.dyndns. Platzhalter erlauben Wenn Sie Platzhalterzeichen zulassen. Hostname Geben Sie den Hostnamen ein. Dienste 46 . wenn das KONTROllKäSTChEN deaktiviert ist. erhält beispielsweise die Unterdomäne www. dass alle Unterdomänen Ihres dynamischen DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. In diesem Fall wird der Dienst von http://checkip.dyndns.srp. den Sie bei Ihrem dynDNS-Anbieter registriert haben. wenn der Schulrouter Plus über einen vorgelagerten Router ins Internet geht.org verwendet um die externe IP herauszufinden. den Sie bei Ihrem dynDNS-Anbieter registriert haben. Die Daten werden auch auf dem Schulrouter Plus gespeichert. da dieser Anbieter die Einstellung dieser Option ausschließlich über seine Website ermöglicht. Passwort Geben Sie das Kennwort für den Benutzernamen ein. Hinter einem Proxy Aktivieren Sie dieses KONTROllKäSTChEN nur dann.org dieselbe IP-Adresse wie die übergeordnete Domäne timeforkids. wird das KONTROllKäSTChEN nicht berücksichtigt.

Normalerweise übersteigt der Faktor der Komprimierung selten 10. Der Standardwert ist 1000. wie ClamAV mit Archiv-Bomben umgeht und wie oft Virenupdates heruntergeladen werden. Archive in Archiven Archive. dass Archive mit bestimmten Eigenschaften nicht gescannt werden: Max. die mehr als die hier angegebene Anzahl von Dateien enthalten. Größe des Archives Archive. die wiederum andere Archive beinhalten. Dienste 47 . ist der Antivirus-Dienst so vorkonfiguriert. Max.3 Antivirus Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von ClamAV. Max. Max. Kompressionsverhältnis Archive. deren unkomprimierte Größe die komprimierte Größe um mehr als den hier angegebenen x-fachen Wert übersteigen. wenn die Anzahl der eingebetteten Archive diese Zahl übersteigt. Antivirus Konfiguration Um diese Arten von Angriffen zu unterbinden. die größer als die angegebene MB-Zahl sind. Anzahl von Dateien in Archiven Archive . In diesem Bereich können Sie einstellen.Konfiguration Schulrouter Plus 5.

Dienste 48 . ob verschlüsselte Archive standardmäßig blockiert werden sollen.Konfiguration Schulrouter Plus Umgang mit gefährlichen Archiven Was soll mit den Archiven passieren. die in dieses Raster fallen? Es ist möglich zwischen „Nicht scannen aber durchlassen“ und „als Virus blockieren“ zu wählen. sehr wichtiger Aspekt bei einem Antivirus-Scanner sind die Signatur-Updates: Informationen über neue Viren müssen regelmäßig von einem ClamAV-Server geladen werden. stellen diese ein Sicherheitsrisiko dar.beachten Sie. Verschlüsselte Archive blockieren Seitdem es technisch unmöglich ist. Sie können hier auswählen. Aktualisierungszeitplan der Antivirus Signaturen Ein anderer. gelangen Sie mit dem angezeigten Link direkt zur ClamAV Online-Virus-Datenbank. Antivirus Viren Signaturen Dieser Bereich zeigt an. Falls Sie nach Informationen über einen bestimmten Virus suchen möchten. wann das letzte Update geladen wurde und welches die letzte geladene Signatur-Version ist. Rechts können Sie auswählen. dass dies einige Zeit in Anspruch nimmt. Klicken Sie auf SIGNATUREN jETZT AKTUAlISIEREN. wie oft diese Aktualisierungen herunter geladen werden. Der voreinstellte Standard ist stündlich. verschlüsselte (passwortgeschützte) Archive zu scannen. um das Update sofort auszuführen .

Dienste 49 . dass die Uhrzeit mit einem Zeitserver im Internet abgeglichen wird.4 Zeitserver Der Schulrouter Plus kann so konfiguriert werden.Konfiguration Schulrouter Plus 5. Eine Anzahl von Zeitservern ist bereits voreingestellt. Hier muss jeder NTP-Server in eine eigene Zeile geschrieben werden. Mit Aktivieren von STANDARD NTp SERVER üBERSChREIBEN können Sie eigene NTP-Server eintragen. Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen. Darunter können Sie auch die Zeitzone festlegen.

Ermitteln Sie. Die Steuerung erfolgt durch die Einstufung des Datenaufkommens in Prioritätsstufen “Hoch”. bei denen Datenübertragungen über die Firewall vom bzw. Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit. Die Ping-Übertragung erhält stets die höchste Priorität. Aktivieren Sie die Übertragungsoptimierung. damit Sie auch dann die Geschwindigkeit Ihrer Verbindung genau überprüfen können.5 Trafficshaping Trafficshaping.Konfiguration Schulrouter Plus 5. Verwenden Sie einen DSL Speedtest im Internet. um die maximalen Upload. So verwenden Sie die Trafficshaping-Funktionalität im Schulrouter Plus: 1. 2. “Mittel” und “Niedrig”. während umfangreiche Downloads aus dem Internet durchgeführt werden. die Übertragungsverfahren des Datenaufkommens selbst Ihren Bedürfnissen entsprechend zu optimieren. ermöglicht die Festlegung von Vorrangregeln für die verschiedenen Datenströme. Dienste 50 . also die Optimierung der Datenübertragung. ins Internet erfolgen. die durch die Firewall geleitet werden. 3. welche Dienste in Ihrem Netzwerk verwendet werden. indem Sie die WAN-Verbindung bearbeiten und die maximal zu verwendende Geschwindigkeit eingeben. Geben Sie die so ermittelten Geschwindigkeiten in die entsprechenden Felder im Bereich Einstellungen der Webseite ein.und Downloadgeschwindigkeiten zu ermitteln.

c. Beispiel: a. Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfigurationen zur Optimierung der Übertragung des Datenaufkommens.Konfiguration Schulrouter Plus 4. b. Interaktivem Datenaufkommen wie SSH (Port 22) und VoIP wird die Prioritätsstufe „Hoch“ zugeordnet. Sie sollten die Einstufung in die drei Prioritätskategorien entsprechend den Anforderungen in Ihrem Netzwerk anpassen. E-Mail-Verkehr über Port 25 bzw.und Videostreaming wird die Prioritäts-stufe „Mittel“ zugeordnet. Standarddatenaufkommen wie surfen (Port 80) und Kommunikation (bspw. Dienste 51 . Weisen Sie diesen die gewünschte Priorität zu. Erstellen Sie durch den Klick auf EINEN DIENST ERSTEllEN eine Liste mit Diensten und den jeweils zugeordneten Prioritätsstufen. 5. Dauerdatenübertragungen wie beispielsweise P2P-Dateifreigaben erhalten die Prioritätsstufe „Niedrig“. 110) s owie Audio.

Standard-Passwort Das zugehörige Passwort. nach einer Überprüfung der entsprechenden Ordner auf Richtigkeit) oder in regelmäßigen Abständen automatisch ausgeführt werden. Standard-Benutzername Der Anmeldename für den IMAP-Mailserver. Dienste 52 . so dass es nur manuell durchgeführt werden kann (z. Standard-Spamordner Der Name des Ordners.6 Spam Training Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfiguriert werden. benötigt der Dienst einen über IMAP erreichbaren Mailserver.B. Das regelmäßige Training kann entweder deaktiviert werden. in dem die Stand-ardeinstellungen gesetzt werden können: Standard IMAP Host Der IMAP-Mailserver. Durch Klick auf STANDARDKONFIGURATION BEARBEITEN öffnet sich darunter ein neuer Bereich. die nicht als Spam zu klassifizieren sind.Konfiguration Schulrouter Plus 5. der nur Spam-Mails beinhaltet. Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern. um automatisch zu lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermöglichen. der die Trainingsordner beinhaltet. Die Standardkonfiguration wird noch nicht für das Training verwendet. Für automatisches Spamfilter-Training vormerken Das Intervall zwischen den Prüfungen. der nur HAM-Mails beinhaltet. damit dort voreingestellte Ordner überprüft werden. Dieser Ordner beinhaltet Mails. die darunter konfiguriert wird. Standard-Hamordner Der Name des Ordners.

der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails. Drei weitere Optionen sind verfügbar: Aktiviert Erst wenn hier eine MARKIERUNG gesetzt ist. Die Einstellungen für weitere “Trainingsserver” entspricht den Standardeinstellungen. Sie können das Anti-Spam-Training auch manuell durchführen. Bearbeitete Mails löschen Nach dem Training werden die verwendeten E-Mails gelöscht. Anmerkung In diesem Feld können Sie eine Anmerkung einfügen. Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an spam@spam. Eine Quelle wird mit dem entsprechenden Button getestet. Es ist auch möglich die Verbindung zu allen Quellen zu testen. wenn der SMTP Proxy angeschaltet ist.ham” aufgelöst werden können indem Sie unter >4. kann das Training einige Zeit in Anspruch nehmen. indem Sie oben auf den Button AllE VERBINDUNGEN TESTEN klicken. Wenn mehrere Quellen definiert sind. Diese wird immer von den Standardeinstellungen übernommen. Es fehlt nur die Einstellung der Regelmäßigkeit.spam” und “ham. Dafür ist notwendig. bearbeitet oder gelöscht.Konfiguration Schulrouter Plus In dem Bereich darunter können die entsprechenden “Trainingsserver” konfiguriert werden.2 Netzwerk . Abhängig von der Anzahl der Quellen. dass die Domänen “spam.ham für Hamnachrichten machen. kann dies einige Zeit in Anspruch nehmen. aktiviert. die für das Training zur Verfügung stehen. klicken Sie auf TRAINING jETZT STARTEN. Die anderen Optionen können genauso wie in der Standardkonfiguration vorgenommen werden. Durch einen Klick auf IMAp SpAM TRAININGSqUEllE hINZUFüGEN öffnet sich ein neuer Bereich. Wenn Sie hier gesetzt werden überschreiben Sie die Standardeinstellung. wird diese Quelle für das Training verwendet. Um das Training sofort zu starten.Hosts bearbeiten< auf den Schulrouter Plus zeigen.spam für Spamnachrichten und an ham@ham. abhängig von der Geschwindigkeit der Mailserver und der Anzahl der definierten Quellen. Dienste 53 .

Mit dem Haken EINBRUChDETEKTIERUNG AUTOMATISCh hERUNTERlADEN und dem darunter liegenden Updateintervall können sie die Einbruchdetektierung vom Schulrouter Plus automatisch aktuell halten. “. Dienste 54 . Der Schulrouter Plus kann IP-Pakete überwachen.Konfiguration Schulrouter Plus 5.rules. die über jedes genutzte Netzwerk übertragen werden.7 Einbruchdetektierung Der Schulrouter Plus enthält ein hochleistungsfähiges System zur Einbruchserkennung.oder gepackte . das die von der Firewall empfangenen IP-Pakete analysiert und nach bekannten Signaturen für schädliche Aktivitäten durchsucht.org gepflegt. Für erfahrene Benutzer besteht die Möglichkeit.oder . eigenen Regeln auf dem Schulrouter Plus einzusetzen. Aktivieren Sie einfach die gewünschten KONTROllKäSTChEN.zip-Dateien” sein. Die Regeln zur Einbruchdetektierung werden von snort. Die im Feld BENUTZERDEFINIERTE EINBRUChDETEKTIERUNGSREGElN einzufügende Regeln müssen entweder direkt “.gz.tar-”.

Für detaillierte Informationen über die ntop-Administrationsoberfläche besuchen Sie die „ntop“ Dokumentation unter: >http://www.org/documentation. wobei der Verkehr nach Host.Konfiguration Schulrouter Plus 5. Wenn die Datenverkehrsüberwachung aktiviert ist. Schnittstellen und weiteren Parametern gefiltert werden kann. Protokoll. erscheint darunter ein Link. Diese Administrationsoberfläche wird ebenfalls von „ntop“ geliefert und enthält detaillierte Statistiken über den Datenverkehr.html< Dienste 55 .8 Datenverkehrsüberwachung Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den BUTTON oben aktiviert oder deaktiviert werden. der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrsüberwachung weiterleitet. Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben.ntop.

Für diese Fälle gibt es Port-Weiterleitungen.Konfiguration Schulrouter Plus 6 6.65535) soll der Schulrouter Plus an den roten Schnittstellen auf Anfragen warten. Eingehende IP Die externe Schnittstelle. Dies würde bedeuten. In den meisten Fällen sollen Außenstehende den Zugriff auf Ihren Webserver erhalten. Firewall 56 . UDP. Wenn Sie diese Ports kennen. Dies ist natürlich nicht die Normalsituation für einen Webserver. GRE (generic routing encapsulation) wird von Tunneln verwendet. dass der Webserver nur aus dem internen Netz zu nutzen wäre. Folgende Parameter müssen dabei festgelegt werden: Protokoll: TCP.1.B.1 Portweiterleitung Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz. Klicken Sie auf EINE NEUE pORTwEITERlEITUNG hINZUFüGEN. um eine Portweiterleitung zu erstellen. Manchmal kann diese Einstellung zu restriktiv sein. einen Webserver betreiben. welche Anfragen von welcher Schnittstelle über welchen Port zu welchem Client geleitet werden. z. Sie können individuell definieren.1 Hauptmenü Firewall Portweiterleitung / NAT 6. PPTP-VPN) oder Alle Protokolle. können Sie die Port-Weiterleitung im Schulrouter Plus konfigurieren. Wenn Sie z. würden alle von außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. Eingehender Port Auf welchem Port (1 .B. Hier kann eine der verwendeten roten Schnittstellen. alle roten Schnittstellen oder VPN-Verbindungen gewählt werden.

Das setzt voraus. ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus (aktiviert) oder mit der externen IP des Anfragenden ankommen. können Sie den Zugriff von außen beschränken. dass diese eine feste externe IP haben. Mit dem Klick auf das plUS-SyMBOl der entsprechenden Regel öffnet sich darüber eine Maske. Um weitere Quellen zu definieren wiederholen Sie den Schritt. Firewall 57 . Ziel-Port Der Port am Client intern an. Sie können die Regel in der Zeile mit den entsprechenden SyMBOlEN bearbeiten. um später die Regel schnell wiederzufinden. die nur die Weiterleitung nutzen dürfen. de-/aktivieren oder sie löschen. Anmerkung Eine eigene Anmerkung.Konfiguration Schulrouter Plus Ziel-IP-Adresse Die IP-Adresse des internen Clients. den die externe Anfrage geleitet werden soll. in der Sie die IP-Adresse oder das Netz derjenigen eintragen können. Vergessen Sie nicht nach dem Ändern bzw. Aktiviert Diese Regel aktivieren SNAT eingehende Verbindungen Legen Sie fest. Enable log Alle Pakete über diese Regel protokollieren. an den die Anfrage von extern geleitet werden soll. Klicken Sie auf hINZUFüGEN um die Regel zu bestätigen. Hinzufügen der Regeln oben auf üBERNEhMEN zu klicken! Wenn eine Regel definiert ist.

können Sie die IP-Adresse wählen. Zusätzlich können Sie auch Zonen und WAN-Verbindungen nutzen. Das Hinzufügen von SourceNAT-Regeln ist identisch zu der Bearbeitung von Portweiterleitungen. SourceNAT kann nützlich sein.2 SourceNAT In diesem Unterabschnitt können Sie definieren. Firewall 58 . wenn ein Server im internen Netz eine eigene externe IP bekommen und für den Datenverkehr des Servers ins Internet nicht die externe IP-Adresse der roten Schnittstelle verwendet werden soll. die nach außen für diese Regel sichtbar sein soll. für welche Quellen SourceNAT verwendet werden sollen. ein Ziel definieren. auswählen. der beeinflusst werden soll. genau wie bei der Quelle.Konfiguration Schulrouter Plus 6. dass der Client anfragt). In der Vorauswahl erscheint automatisch die entsprechend zugehörige IP-Adresse. für welche ausgehende Verbindungen „Source Network Adress Translation“ (SourceNAT) genutzt werden sollen. Sie können zwischen bestimmten IP-Adressen. bei dem die Regel aktiv ist (also das Ziel. Ziel Dienst/Port Hier können Sie den Dienst/Port. Hier können Sie.1. Die folgenden Einstellungen können gesetzt werden: Quelle Legen Sie fest. Netzwerke oder Benutzern wählen. NAT Hier wählen Sie aus. ob Sie SourceNAT nutzen möchten oder nicht. Wenn Sie sich für NAT entscheiden. Aktivieren Hier aktivieren Sie die Regel.

4. 1 2 3 . Konfigurieren Sie den Mailserver so. Konfigurieren Sie die orange Schnittstelle so. an welcher Stelle die Regel eingefügt werden soll.4 Internet/WAN< hinzu. 1 2 3 . 1 2 3 eine weitere IP des roten Schnittstelle ist) in der DMZ mit SourceNAT: 1. Position Hier können Sie festlegen. dass 1 2 3 . 1 2 3 . damit der Server ins Internet kommt. 1 2 3 . 1 2 3 . Fügen Sie eine WAN-Verbindung mit der IP 1 2 3 . Fügen Sie eine SourceNAT-Regel hinzu und definieren Sie als Quelle die interne (orange) IP. 1 2 3 . 1 2 3 (davon ausgehend. 2. Beispiel: Konfigurieren eines SMTP-Mailservers auf der IP 1 2 3 . 1 2 3 (Ethernet statisch) im Abschnitt >4. 3. Firewall 59 . Zum Speichern der Regel klicken Sie auf REGEl ERSTEllEN. damit er auf Port 25 mit seiner internen IP der Orangenen Zone reagiert.Konfiguration Schulrouter Plus Anmerkung Hier können Sie eine kurze Anmerkung eintragen.

Mit der Einstellung AllE AKZEpTIERTEN AUSGEhENDEN VERBINDUNGEN pROTOKOllIEREN protokolliert der Schulrouter Plus alle akzeptierten Pakete im >Firewalllog<. Firewall 60 . um im Internet surfen und E-Mails abholen zu können.2 Ausgehender Datenverkehr Die ausgehende Verbindungsfirewall regelt den Datenverkehr von den internen Netzen nach außen. so dass jeglicher Datenverkehr von innen nach außen gelangt. Sie können diese Regeln nach Ihren Bedürfnissen erweitern. Die Standardeinstellungen reichen aus. Lernsoftware die Verbindung ins Internet über benötigte Ports zu gewähren. Mit dem Schalter AUSGEhENDE FIREwAll DEAKTIVIEREN/AKTIVIEREN können Sie die aus gehende Verbindungsfirewall komplett deaktivieren. ! ê Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das System verlangsamen. Dies schließt nicht die abgewiesenen Pakete ein. um bspw.Konfiguration Schulrouter Plus 6.

die die Ports 50 bis 100 sperrt. klicken Sie auf „EINE NEUE FIREwAllREGEl hINZUFüGEN. auf welchen Ziel-Port und über welches Protokoll diese Regel angewendet wird. Es können mehrere Quellen gleichen Typs verwendet werden. Zonen. Diese sind nach ihrer Priorität absteigend sortiert: Ist bspw. ob der Vorgang gestattet oder abgelehnt werden soll. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen. die Sie bearbeiten möchten. Es öffnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Firewall 61 . wird dennoch Port 80 freigegeben. Außerdem können Sie die Regeln de-/aktivieren. Zum Bearbeiten klicken Sie auf das entsprechende STIFT-SyMBOl in der Zeile der Regel. nachdem alle Einstellungen für diese Regel getätigt sind. Ziel IP Adresse: Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet verwendet werden. so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Pro tokoll selber festlegen. setzen Sie entsprechend den hAKEN in den Punkt “Aktiviert:” und drücken den Button SpEIChERN. Dienst/Port: Weiterhin können Sie auch festlegen. In dieser Ansicht können Sie auch die Priorität der Regeln ändern. Sie können nicht verändert oder gelöscht werden. Um die Regel zu de-/aktivieren. Es können mehrere Quellen gleichen Typs verwendet werden. Folgende Einstellungen können gesetzt werden: Quelle: Für welche Quelle soll diese Regel gelten. Am Ende der Seite werden die Systemregeln angezeigt.Konfiguration Schulrouter Plus Im Abschnitt “Aktuelle Regeln” sind alle bereits definierten aktivierten Firewall-Regeln aufgelistet. als erstes der Port 80 freigegeben und darunter eine Regel. Aktionen: Legen Sie fest. indem Sie die Pfeile in der entsprechenden Zeile benutzen. Diese Regeln werden automatisch vom Schulrouter Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. bearbeiten und löschen. Wenn Sie eine neue Firewallregel anlegen möchten. um sie einfacher wieder aufzufinden. Sie können entweder Netzwerkschnittstellen. Sie können hier entweder WAN-Verbindungen oder IP-Adressen/IP-Bereiche wählen. Anmerkung: Geben Sie hier der Regel eine Beschreibung. IP-Adressen/IP-Bereiche oder MAC-Adressen verwenden.

Konfiguration Schulrouter Plus Position: Wie bereits erwähnt. ! ê Nachdem Regeln erstellt oder bearbeitet wurden. Alle akzeptierten Pakete loggen: Ist dieser Haken aktiviert. Es erscheint eine Meldung mit dem entsprechenden Hinweis! Firewall 62 . ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln festgelegt. Hier können Sie die Position der neuen bzw. werden die auftretenden Verbindungen im >Firewalllog< aufgeführt. bearbeiteten Regel festlegen. muss die Änderung immer noch übernommen werden.

ê ! Nachdem Regeln erstellt oder bearbeitet wurden. Analog zu “Ausgehender Datenverkehr” können Sie diese Einstellungen ein-/ausschalten.3 Interner Datenverkehr Hier legen Sie fest. Ein Senden in eine andere Zone ist nicht erlaubt. löschen und hinzufügen. Ist dies nötig. ! ê Wird der interne Datenverkehr deaktiviert. Dies ist notwendig. Der Schulrouter Plus ist standardmäßig so eingestellt. Der Datenverkehr. der im internen Netzwerk geschieht und über den dort stehenden Switch läuft. das pädagogische Netz und die Verwaltung zu trennen. der auch über den Schulrouter Plus übertragen wird. Die Einstellungen sind analog zum ausgehenden Datenverkehr (L) zu machen. ob Datenverkehr zwischen den einzelnen internen (alle außer ROT) Netzwerksegmenten gesendet werden darf. ist davon nicht betroffen. die von einer zu einer anderen Schnittstelle übertragen werden. Regeln bearbeiten. dass der Datenverkehr nur im jeweiligen Netzwerksegment bleiben darf. Dies ist nicht zu empfehlen! Durch Klick auf EINE NEUE INTERNE FIREwAllREGEl hINZUFüGEN können Sie eine neue Regel hinzufügen. Sprich. werden alle Verbindungen untereinander erlaubt (Datenverkehr zu ROT ausgeschlossen). Dies betrifft aber nur den Datenverkehr. um bspw. erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter! Firewall 63 . nur die Pakete. muss die Änderung immer noch übernommen werden.Konfiguration Schulrouter Plus 6.

deren Zugriff mit dieser Regel festgelegt werden soll. auf welchen Ziel-Port und über welches Protokoll diese Regel angewendet wird. Diese Einstellungen können gemacht werden: Quelladresse Legen Sie eine oder mehrere IP-Adressen. Aktion Stellen Sie ein.Konfiguration Schulrouter Plus 6. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen.4 Systemzugriffe Hier können Sie den Zugriff direkt auf den Schulrouter Plus regeln. abgelehnt (ohne Rückmeldung) oder abgewiesen (Meldung an den Sender) werden. so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen. ob der Zugriff gewährt. Quellschnittstelle Legen Sie fest. um sie einfacher wieder aufzufinden. Klicken Sie auf EINE NEUE SySTEMZUGANGSREGEl hINZUFüGEN um eine neue Regel für den Systemzugriff zu erstellen. wenn Sie den kompletten Zugriff aus bestimmten Zonen (Quellschnittstellen) gewähren wollen. Diese Einstellung ist optional. Netzwerke oder MAC-Adressen fest. Dienst/Port: Weiterhin können Sie auch festlegen. Firewall 64 . Anmerkung Geben Sie hier der Regel eine Beschreibung. Es gibt eine Liste vorkonfigurierter Regeln. aus welcher Zone oder über welche Schnittstelle dieser Zugriff geregelt werden soll. die für den Betrieb der einzelnen Dienste und für den Zugriff auf die Konfigurationsoberflächen notwendig sind.

werden die auftretenden Verbindungen im >Firewalllog< aufgeführt. bearbeiteten Regel festlegen. bearbeiten oder löschen. muss die Änderung immer noch übernommen werden. Klicken Sie auf REGEl hINZUFüGEN um die Regel zu bestätigen. können Sie die entsprechenden Regeln de-/aktivieren. Alle akzeptierten Pakete loggen Ist dieser Haken aktiviert. Hier können Sie die Position der neuen bzw. Ist dies nötig. ! ê Nachdem Regeln erstellt oder bearbeitet wurden. Aktiviert Anhaken zum Aktivieren der Regel (Standard). erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter! Firewall 65 . Durch den Klick auf das entsprechende SyMBOl rechts in der Zeile der erstellten Regel.Konfiguration Schulrouter Plus Position Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln festgelegt.

Bei dieser Auswahl haben Sie die Optionen zwischen: Deaktiviert Der Proxy ist auf dieser Schnittstelle deaktiviert.1 7. ! ê Ist an einem Client noch ein Proxy eingestellt. so dass die Verwaltungsrechner (z. der als Vermittler der Daten zwischen Netzwerkverkehr und dem integrierten Schulfilter Plus agiert und auch Webobjekte zwischenspeichern kann.Konfiguration Schulrouter Plus 7 7. im Grünen Netz) über den Schulfilter Plus filtern lassen und für Ihr Verwaltungsnetz separat den Proxy deaktivieren. Sie können in dieser Übersicht den Proxy für jede Schnittstelle aktivieren oder deaktivieren. Es wird ein reines Routing gemacht.1 Hauptmenü Proxy HTTP Konfiguration Der integrierte HTTP-Proxy ist ein vollwertiger Proxy.B. Um den Datenverkehr über den Schulfilter Plus zu leiten.B. Außerdem bietet der integrierte Proxy weitere grundsätzliche Einstellungsmöglichkeiten zur Filterung des Datenverkehrs und zur Authentifizierung. Proxy 66 . muss der Proxy für die entsprechende Schnittstelle aktiviert sein. So können Sie beispielsweise Ihr Schüler-Netz (z.1. so gibt der Browser eine Fehlermeldung zurück. im Blauen Netz) ohne Filterung und ohne weitere Einstellungen am Filter vorbei gehen können.

da dabei die Gefahr einer Mehrfachnutzung durch andere Programme relativ klein ist. Achten Sie beim Einstellen des Ports darauf. sondern den hier eingetragenen Namen an. in der Fehlermeldungen angezeigt werden sollen. Es muss am Client für den http-Verkehr kein Proxy eingetragen werden. dass keine anderen Programme auf Ihren Clients diesen Port beanspruchen.B. muss am Client die Einstellung zur Nutzung eines Proxys gesetzt werden. müssen Sie einen Port wählen. Cache Administrator E-Mail Diese E-mail-Adresse wird in Fehlermeldungen des Schulrouter Plus als Kontakt angezeigt. Anhänge in Formularen) in KB (0 bedeutet unbegrenzt). Sprache der Fehlermeldungen Wählen Sie die Sprache. In diesem Fall ist aber keine Authentifizierung gegen einen Verzeichnisdienst möglich. Proxy Port Wenn Sie den Proxy nicht transparent einsetzen wollen.Konfiguration Schulrouter Plus Keine Authentifizierung Der Proxy ist aktiviert. Um den Proxy zu nutzen. Standardmäßig ist der Port 800 eingestellt. Weiterhin ist die Anbindung des Proxy an einen Verzeichnisdienst notwendig. Sichtbarer Hostname Zeigt in Fehlermeldungen des Schulrouter Plus nicht den Hostnamen. Proxy 67 . Größe von Uploads (KB) Limit für http-Dateiuploads (so wie z. Um den Proxy zu nutzen muss am Client die Einstellung zur Nutzung eines Proxys gesetzt werden. Max. Authentifizierung benötigt Der Proxy ist aktiviert. der bei den Clients eingestellt wird. Transparent Der Proxy ist aktiviert und fängt selbständig alle http-Anfragen (über Port 80) ein. so dass die Anmeldedaten des Clients abgefragt werden und auch an den Schulfilter Plus weitergegeben werden können.

B. bspw.1. 7.2 Log-Einstellungen Log aktiviert Aktivieren Sie hier die Protokollierung aller Aktivitäten über den http-Proxy.1. Bitte prüfen Sie die Datenschutzrichtlinien Ihres Bundeslandes.Konfiguration Schulrouter Plus 7. Proxy 68 .: http://www. um weitergeleitet zu werden. sondern nur in der Datei “/var/log/squid/useragent. wenn der Browser mit dem die Internetseite angesehen wird. werden auch diese protokolliert.1.log” Firewall protokolliert ausgehende Verbindungen Alle Proxy-Anfragen werden auch im Firewalllog protokolliert (nur bei transparentem Proxy). Z. protokolliert. Sie können das Protokoll in den >Proxy-Logdateien< einsehen.1 Erlaubte Ports und SSl Ports Hier werden die zulässigen Ziel-Ports geführt. kann also für eine reine Protokollierung der Filterereignisse ausgeschaltet bleiben.php?user=hallo&passwort=welt dynamische Abfragen Protokolliere User Agents So werden auch die verwendeten User-Agents. Ist dieser Punkt aktiviert. über die HTTP(S)-Anfragen an den Schulrouter Plus gesendet werden dürfen.de/index. Die User-Agents sind nicht in der Weboberfläche zu sehen.time-for-kids. Protokolliere Query Terms Standardmäßig werden dynamische Abfragen bei der Protokollierung abgeschnitten.1. Diese Daten zu sammeln kann Datenschutzrichtlinien und die Privatsphäre der Benutzer verletzen. Diese Einstellung ist unabhängig von der Protokollierung des Schulfilter Plus. Dieser Punkt sollte nur zur Fehlersuche aktiviert werden.

1 6 8 .1. dann nimmt der Proxy-Server eine interne Abkürzung zwischen den Schnittstellen Grün und Blau. Sie können diese manuell editieren. Nur Anfragen aus diesen Subnetzen wird der Webzugriff über den HTTP-Proxy genehmigt.4 Interner Datenverkehr Verweigere Zugang von GRÜN auf BLAU / ORANGE Diese Einstellung verhindert direkte HTTP-Zugriffe auf lokale Web-Server in den anderen internen Zonen durch den http-Proxy hindurch. Wenn Sie die IP-Adressen und dementsprechend auch den Adressbereich ändern (also bspw.Konfiguration Schulrouter Plus 7. Standardmäßig werden hier automatisch die Subnetze von den Schnittstellen Grün.1. 1 9 2 .1. wird empfohlen diese Option zu aktivieren und falls notwendig den Zugriff über den internen Datenverkehr zu regeln. um bspw. Blau und Orange eingetragen.1. 1 ). Proxy 69 .3 Erlaubte Subnetze pro Zone Hier werden die Zugriffsrechte auf den Webzugriff über den Proxy geregelt. unabhängig von jeglichen Firewall-Regeln. werden Anfragen gewöhnlich nach ROT weiter geleitet. 1 0 0 . ! ê 7. Dann holt sich der Proxy automatisch die richtigen Einstellungen. 0 . alle anderen bekommen eine Fehlermeldung. nur einem kleineren IP-Bereich den Internetzugriff zu gewähren. Wenn aber ein Client von Blau auf einen Web-Server in Grün zugreifen möchte. 1 ü 1 9 2 . 1 6 8 . ! ê Um die Server zu schützen. Beispiel: Solange der Proxy-Zugriff untereinander deaktiviert ist. müssen Sie den Bereich auch hier manuell ändern! Alternativ können Sie das komplette Feld leeren und SpEIChERN klicken.

0 0 .bzw. Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele Diese Quellen oder Ziele werden nicht über den Proxy geleitet. Objekte dieser Domains werden also immer direkt vom Server geholt.time-for-kids. Er sollte aber nicht zu groß gewählt werden.6 Cache Verwaltung Der http-Proxy des Schulrouter Plus verfügt auch über einen Zwischenspeicher (Cache). von denen keine Objekte zwischengespeichert werden sollen. MAC-Adressen gelten die >Einstellungen der Standardrichtlinie< nicht.de” Proxy 70 . MAC-Adressen müssen im Format 0 0 .0 0 . Der Cache im RAM ist viel schneller und Strom sparender als auf der Festplatte. welche Größe die zwischengespeicherten Objekte mindestens und maximal haben dürfen.0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0 eingegeben werden. 7.0 0 . Die Einträge müssen immer mit einem Punkt beginnen und es muss für jede Domain eine neue Zeile verwendet werden.0 0 .bzw. MAC-Adressen müssen im Format 0 0 . Sie können hier die Größe des Cache im Arbeitsspeicher (RAM) und auf der Festplatte definieren.schulrouterplus. Mit der Option „Aktiviere Offline-Modus“ werden die zwischengespeicherten Objekte nicht auf dem Server auf Aktualität überprüft und es wird beim Abrufen auch auf evtl.0 0 . um den Internetdatenverkehr zu minimieren und die Seitenaufrufe bei den Clients möglichst schnell zu halten.Konfiguration Schulrouter Plus 7.de” “.0 0 . da sonst andere Dienste beeinträchtigt werden könnten. Den Proxy von folgenden Quell-IPs/Quell-MAC-Adressen umgehen Für die in diesen Feldern eingetragenen IP.0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0 eingegeben werden. veraltete Objekte zugegriffen. selbst wenn er im Modus “Transparent” läuft.0 0 .1. MAC-Adressen bekommen beim Versuch über den http-Proxy ins Internet zu gelangen die Fehlermeldung “Zugriff verweigert”. Gesperrte IP-Adressen/MAC-Adresse Alle in diesen Feldern angegebenen IP.1.5 Umgehung / Ausgeschlossene Quellen und Ziele Hier können Sie festlegen.1. Im Eingabefeld „Diese Domains nicht zwischenspeichern“ können Sie eine Liste von Domains führen.1.0 0 . Beispiel: “. ob bestimmten PCs nicht den HTTP-Proxy nutzen müssen. Weiterhin können Sie auch festlegen.

dass Sie sich authentifizieren. So kann die IP-Adresse und der Benutzername des Clients weitergegeben werden.1.1. geben Sie darunter Benutzername und Passwort ein. müssen Sie hier die passenden Daten eintragen: Geben Sie zuerst den Hostnamen mit dem Proxyport in dem Format Hostname:Port an. Proxy 71 . Verlangt der vorgelagerte Proxy. welche Daten mit an den Proxy übergeben werden.Konfiguration Schulrouter Plus 7. Auf der rechten Seite können Sie festlegen. über den der Schulrouter Plus ins Internet gehen soll.7 Vorgelagerter Proxy Gibt es einen weiteren Proxy in Ihrem Netzwerk.

wie viele Prozesse auf Authentifizierungsanfragen warten. eine Internetseite auf). Nach Ablauf der Zeit muss sich der Benutzer neu anmelden. wie lange die Session der Anmeldung bestehen bleibt. Authentifizierungscache TTL Gibt in Minuten an.Konfiguration Schulrouter Plus 7. von wie vielen unterschiedlichen IP-Adressen aus sich ein Benutzer gleichzeitig anmelden darf. die weiter unten beschrieben werden. Begrenzung von IP-Adressen pro Benutzer Gibt an. Radius. Proxy 72 . Windows.2 Authentifizierung Der HTTP-Proxy des Schulrouter Plus unterstützt vier Authentifizierungsmethoden: Lokal. Jede dieser Methoden benötigt unterschiedliche Einstellungen. Wenn das Feld leer bleibt. Die globalen Einstellungen für alle Authentifizierungsmethoden sind: Anzahl der Authentifizierungsprozesse Gibt an. beginnt die Zeit von neuem. Der Wert sollte erhöht werden. wenn die Anmeldung zu lange dauert. LDAP. besteht keine Beschränkung.1. Schickt der angemeldete Benutzer während dieser Zeit eine Anfrage ab (ruft bspw.

Meldet sich ein Benutzer an einem Client-PC an und wird die Begrenzung der IP-Adressen bspw.microsoft. Alle angegebenen Domains müssen mit einem Punkt beginnen.com” “. wenn Sie möchten. wenn die Begrenzung von IP-Adressen pro Benutzer genutzt wird.windowsupdate. kann er sich erst wieder an einem anderen Client-PC anmelden. Domains ohne Authentifizierung Hier können Sie eine Liste mit Internetseiten pflegen. sobald die hier eingegebene Zeit abgelaufen ist.Konfiguration Schulrouter Plus Benutzer/IP-Cache TTL Gibt an. für die keine Anmeldung erforderlich ist. Beispiel für Windows-Update: “. dass eine Anmeldung auch von IP-Adressen geschehen soll. Proxy 73 . Diese Einstellung macht nur Sinn. besteht keine Beschränkung. Ist der Wert auf 0 gesetzt. Zum Beispiel für Windows. Authentifizierungs-Realm Anzeige Die hier eingegebene Bezeichnung wird auf der Anmeldmaske als Name des Proxy angezeigt. die unter Konfiguration im Feld >Den Proxy von folgenden Quell-IPs umghen< oder >Den Proxy von folgenden Quell-MAC-Adressen umgehen< stehen. Authentifizierung für uneingeschränkte Quelladressen erforderlich Aktivieren Sie diese Option. für welche Dauer die Beziehung von IP-Adresse zu Anmeldename gespeichert wird.com” Quellsubnetze/IP/MAC ohne Authentifizierung Hier können Sie eine Liste mit Hosts (IP-Adressen/Netz/MAC-Adressen) pflegen.und AntiVirus-Update. Für die Anbindung eines Active Diretories über die Authentifizierungsmethode „Windows“ muss hier der FQDN-Domänenname stehen. auf eins gestellt. von denen keine Anmeldung abgefragt wird.

mit denen Sie neue Benutzer anlegen. Benutzer bearbeiten Um vorhandene Benutzer zu bearbeiten. Daraufhin erscheinen die Daten in der Eingabemaske oben. Passwordlänge Geben Sie an. Diese muss vorher bei den >Gruppenregeln< erstellt worden sein. klicken Sie auf den Button BENUTZER AKTUAlISIEREN. bzw. Benutzer bearbeiten können. im unteren Bereich die Übersicht der vorhandenen Benutzer. nicht den Benutzernamen. Benutzer anlegen Um einen neuen Benutzer anzulegen. wie lang ein Passwort mindestens sein darf.1.1 Benutzerverwaltung Dies ist die Oberfläche. Wenn Sie die Einstellungen vorgenommen haben. geben Sie die entsprechenden Benutzerdaten in die Eingabefelder ein und wählen Sie eine entsprechende Gruppe. Sie können bei dem zu bearbeitenden Benutzer nur Passwort und Gruppe ändern. Über den Button BENUTZERVERwAlTUNG können Sie die Benutzer anlegen und bearbeiten.1.2. Gruppen Hier können Sie den Benutzer einer bestimmten Gruppe zuordnen. Proxy 74 . In der Übersichts-tabelle werden die angelegten Benutzer nach Benutzernamen sortiert. 7.1. ohne dass ein Authentifizierungsserver angebunden sein muss. erscheint der neue Benutzer in der Liste darunter. Im oberen Bereich sind die Eingabefelder.2. klicken Sie auf das pApIERKORp-SyMBOl am Ende der Zeile. Min.Konfiguration Schulrouter Plus 7. Nachdem Sie auf den Button BENUTZER ERSTEllEN klicken. Benutzer löschen Um einzelne Benutzer zu löschen. auf der die gesamte Benutzerverwaltung vorgenommen werden kann. klicken Sie auf das STIFT-SyMBOl in der Zeile des entsprechenden Benutzers.1 Lokale Authentifizierung Bei der lokalen Benutzerauthentifizierung werden die Benutzer direkt auf dem Schulrouter Plus gepflegt.

2 LDAP Diese Einstellung wird verwendet. Folgende Einstellungen müssen gesetzt werden: Base DN Der „base distinguished name“. Novell eDirectory.2.local: cn=administrator.local: dc=schule. Port Der Port auf dem der LDAP-Server die Anfrage erwartet. Bind DN Benutzername/Passwort Der vollständige Benutzername und das Passwort eines Benutzers.dc=local Proxy 75 .1. LDAP Server Version 2 oder einen LDAP Server Version 3 verwenden. Beispiel für die Domäne schule.dc=schule. ist der Startpunkt der LDAP-Suche.dc=local LDAP Server Die IP-Adresse Ihres LDAP-Servers LDAP-Typ Hier können Sie wählen ob Sie ein Active Directory. Beispiel für den Benutzer Administrator eines Active Directory mit der Domäne schule.cn=users. um ein LDAP-Server anzubinden. Der Standardport ist 389.Konfiguration Schulrouter Plus 7. Standardmäßig kann hier der Domänenname verwendet werden. der die Berechtigung besitzt Benutzerattribute auszulesen.

• Der Schulrouter Plus muss in der Lage sein den Hostnamen des Domänencontrollers aufzulösen (z.: über >Hosts bearbeiten< Benutzername/Passwort Benutzername und Passwort Der Benutzername und das Passwort des Benutzers mit dem der Schulrouter Plus der Domäne beitreten kann.3 Windows Diese Einstellung wird verwendet. Single Sign-On gegen ein Active Directory Um das Single Sing-On gegen ein Active Directory nutzen zu können müssen einige Voraussetzungen geschaffen werden: • Der Schulrouter Plus muss der >Domäne beigetreten< sein. der Domänenadministrator).B. ê ! i Mit dem Klick auf DOMäNE BEITRETEN wird der Schulrouter Plus nur als Computer in der Domäne angelegt und erst mit Speichern wird die Einstellung auch gespeichert übernommen.: über >Hosts bearbeiten< BDC Hostname Der Hostname des sekundären Active Directory-Servers.2.Konfiguration Schulrouter Plus 7. Dies muss ein Benutzer mit administrativen Rechten sein (z. Folgende Einstellungen müssen gesetzt werden: Domäne Geben Sie hier Ihren Domänenamen ein. z. • Im >DNS-Proxy< muss der Domänencontroller als Nameserver für die interne Domäne festgelegt werden.B. • Der >PDC Hostname< muss der Netbios-Computername des Domänencontrollers sein. • Die Uhrzeit des Schulrouter Plus und des Domänencontrollers müssen synchron laufen. Der hier angegebene Hostname muss vom Schulrouter Plus aufgelöst werden können.1. Nutzen Sie die kurze Variante (NETBIOS). Der hier angegebene Hostname muss vom Schulrouter Plus aufgelöst werden können.B.B.: schule PDC Hostname Der Hostname des primären Active Directory-Servers. um ein Active Directory anzubinden. Z. durch Bekanntmachung über >Hosts bearbeiten<) • Die Authentifizierungs-Realm Anzeige muss der FQDN sein. Proxy 76 . Zugangsbeschränkungen Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über den http-Proxy erlauben oder verbieten. Z.B.

Proxy 77 .2. Der Standardport ist 1645. Folgende Einstellungen müssen gesetzt werden: RADIUS Server Die IP-Adresse Ihres LDAP-Servers Port Der Port auf dem der LDAP-Server die Anfrage erwartet. um einen Radius-Server anzubinden. Kennung Eine zusätzliche Kennung (Identifier) des Radius-Servers.Konfiguration Schulrouter Plus 7. Zugangsbeschränkungen Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über den http-Proxy erlauben oder verbieten.4 Radius Diese Einstellung wird verwendet. Shared secret Das Kennwort für die Signierung der Kommunikation.1.

Alle hier nicht aufgeführten Programme werden dann blockiert.Konfiguration Schulrouter Plus 7. Proxy 78 . Sie können hier einschränken welche Browser verwendet werden dürfen. Zulässige Clients für Webzugriffe beschränken Mit dieser Funktion können Sie die Client-PCs auf bestimmte Browser einschränken. nur noch den Microsft Internet Explorer nutzen können und nicht mehr ihren mitgebrachten Portable Firefox. so dass Schüler bspw. ! ê Beachten Sie.1. dass auch mit einem Browser Videos angesehen werden können. erlauben.3 Standardrichtlinie Die Standardrichtlinie gilt für alle Hosts. die über den HTTP-Proxy surfen. dass dadurch eventuell AntiVirus-Updates oder andere Programme blockiert werden. muss zusätzlich zu dem Browser auch der Windows Media Player aktiviert werden. Die Browser/Programme werden über ihre mit gesendete Kennung (Useragent) identifiziert und können so ziemlich sicher ausgefiltert werden. Möchten Sie es bspw. Aktivieren Sie zunächst die Funktion „Zulässige Clients für Webzugriffe beschränken„ und wählen Sie dann unten die Programme aus. mit denen der Internetzugriff gewährt werden soll. welche Dateitypen aufgerufen werden dürfen und die maximale Größe von Downloads festlegen.

Max.com *. ob die maximale Größe von Downloads beschränkt werden soll. so dass mit dem Eintrag javascript sowohl “application/x-javascript” als auch “text/javascript” unterbinden.dll) für JavaScript (*. Beispiele: application/octet-stream text/javascript für ausführbare Dateien (*. Größe von Downloads Legen sie hier fest. bei >SelfHTML< i Sie können auch Teilausdrücke nutzen.exe *. „0“ bedeutet keine Beschränkung.js) Eine Übersicht der gängigen MIME-Types bekommen Sie bspw. können Sie die zu blockierenden Dateitypen in Form von MIME-Types hier angeben.Konfiguration Schulrouter Plus Dateitypen blockieren Um den Zugriff auf bestimmte Dateitypen zu verhindern.bin *. Proxy 79 .

i Die Aktualität des Virenscanners kann bei >Abschnitt 7.1. konfigurieren. die vom HTTP-Proxy verwendet wird.4 Antivirus< überprüft werden.1. die gescannt werden sollen. zu scannende Dateigröße Definieren Sie die maximale Größe von Dateien. Proxy 80 .Konfiguration Schulrouter Plus 7. Max. Folgende URLs nicht durchsuchen Eine Liste von Internetadressen. die nicht gescannt werden sollen.4 Antivirus Hier können Sie die Virus-Scan-Engine.

Bei Nutzung der Authentifizierungsmethode Lokal erstellen und bearbeiten Sie hier die Gruppen.1.5 Gruppenregeln Hier können Sie bei Nutzung der Authentifizierungsmethoden Lokal oder Windows Gruppen erstellen oder hinzufügen. Bei der Nutzung der Authentifizierungsmethode Windows importieren Sie hier nach dem erfolgreichen Anbinden des Schulrouter Plus an die Domäne die Gruppen.Konfiguration Schulrouter Plus 7. sind „Domänenmitglieder“ und „Domänenadmins“. Proxy 81 . Das Richtlinien-Profil definiert die Einschränkungen bei der Nutzung des http-Proxys. i Gruppen. Benutzergruppen mit dem Profil „Standardeinstellungen“ nutzen den http-Proxy mit allen eingestellten Einschränkungen der >Standardrichtlinie<. die standardmäßig alle Benutzer abdecken. Benutzergruppen mit dem Profil „Uneingeschränkt“ umgehen diese Einstellungen. denen die Benutzer in der Benutzerverwaltung (L) zugeordnet sein müssen. denen der Zugriff über den http-Proxy gewährt werden soll.

den Virusscanner und Spamfilter für eingehende E-Mails zu aktivieren.Konfiguration Schulrouter Plus 7.2 POP3 In diesem Abschnitt können Sie den POP3-Proxy für eingehende E-Mails konfigurieren. Es ist weiterhin möglich. 7. Um jede ausgehende POP3-Verbindung im Firewalllog zu protokollieren. Proxy 82 .1 Globale Einstellungen Hier können Sie den POP3-Proxy für jedes einzelne Netzsegment aktivieren.2. aktivieren Sie den hAKEN „Firewall protokolliert ausgehende Verbindungen“.

2. Hierbei wird die Prüfsumme einer als Spam erkannten E-Mail an eine zentrale Datenbank gemeldet. Auf auf dem Schulrouter Plus werden von allen eingehenden E-Mails die Prüfsumme generiert und mit dieser Datenbank verglichen.2 Spam Filter Hier definieren Sie. Proxy 83 .Konfiguration Schulrouter Plus 7. wenn er eine Spam-Nachricht entdeckt. Die Anzahl der vergebenen Punkte wird durch die einzelnen Prüfalgorithmen des Spamfilters festgelegt und addiert. benötigte Punktezahl Diese Einstellung legt fest. wie sich der POP3-Proxy mit aktiviertem Spamfilter verhält. Spam Betreffzeile Dieser Eintrag wird vor den Betreff der Originalnachricht geschrieben. bei welcher Punktzahl eine E-Mail als Spam definiert wird. Hash Spamprüfung aktivieren Diese Option aktiviert die Spamerkennung über Prüfsummen.

dass bestimmte Hosts den FTP-Proxy umgehen bzw. wird der FTP-Proxy umgangen. die nie bzw. und Sie den http-Proxy für alle Ports verwenden. Sie können hierbei auch Platzhalter verwenden (z.B. Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele Sie können festlegen. Sie können hier den FTP-Proxy für die einzelnen Netzsegmente aktivieren und folgende Einstellungen vornehmen: Firewall protokolliert ausgehende Verbindungen Hiermit werden alle ausgehenden FTP-Verbindungen im Firewalllog protokolliert. *@example.3 FTP Der FTP-Proxy ist nur als transparenter Proxy einsetzbar. Das heißt: Wenn Sie Ihre Clients einstellen. ! ê Die Transparenz greift nur auf den Standardport 21 zu. Dies erlaubt das Scannen von Viren bei FTP-Downloads.com) 7. für bestimmte Ziele der FTP-Proxy nicht verwendet wird.Konfiguration Schulrouter Plus ! ê Dies wird zu einer eheblichen Auslastung des Schulrouter Plus führen. immer als Spam erkannt werden sollen. Whitelist/Blacklist Hier können Absenderadressen definieren. Proxy 84 .

Virusprüfung aktiviert Aktivieren Sie die Antivirenprüfung der ausgehenden E-Mail. Spamprüfung aktiviert Aktivieren Sie diese Option.4. Transparent Wenn die Transparenz aktiviert ist.4. ohne dass bei dem Client ein Proxy eingestellt sein muss.4 SMTP Der SMTP-Proxy kann ausgehender E-Mails weiterleiten und filtern. werden alle Anfragen an den Zielport 25 abgefangen und an den SMTP-Proxy weitergegeben. den SMTP-E-Mail-Verkehr zu steuern. Er beinhaltet folgende Einstellungsmöglichkeiten: Aktiviert Dies aktiviert den SMTP-Proxy. Die Konfiguration kann im Abschnitt >Antivirus< vorgenommen werden. Die Konfiguration ist in mehrere Abschnitte unterteilt: 7. Der Einsatzbereich des SMTP-Proxys ist. um ausgehende E-Mails auf Spamnachrichten zu prüfen.3 Spam< vorgenommen werden.1 Hauptseite Dies ist der Hauptschnitt zur generellen Konfiguration des SMTP-Proxys. so dass er SMTP-Anfragen auf Port 25 annimmt. Die Konfiguration kann im Abschnitt >7. zu optimieren und Ihr Netzwerk vor Angriffen über das SMTP-Protokoll zu schützen.Konfiguration Schulrouter Plus 7. Proxy 85 .

klicken Sie unten auf SpEIChERN UND NEUSTART. Firewall protokolliert ausgehende Verbindungen Aktivieren Sie diese Option. Um die Einstellungen zu übernehmen. Die Konfiguration kann im Abschnitt >7. i Sie müssen weiterhin die E-Mail-Domains definieren für die der SMTP-Server verantwortlich sein soll. Sie können diese im Abschnitt “Domains” (L) definieren.4 Dateierweiterungen< vorgenommen werden. können Sie diese Option aktivieren um eingehende an den internen Mailserver weiterzuleiten.4. um alle ausgehenden SMTP-Verbindungen im >Firewalllog< zu protokollieren. Beachten Sie dabei die Datenschutzbestimmungen. Proxy 86 . um E-Mails mit bestimmten Dateianhängen zu blockieren.Konfiguration Schulrouter Plus Blockiere Dateiendungen Aktivieren Sie diese Option. Eingehende Mail aktiviert Wenn Sie in Ihrem Netzwerk einen internen E-Mail-Server betreiben.

Mailadresse zur Virus Benachrichtigung (Virus Admin) Hier können Sie eine E-Mail-Adresse angeben.Konfiguration Schulrouter Plus 7. “Annehmen”: Die E-Mail wird normal zugestellt. Proxy 87 . welche Art von Quarantäne verwendet werden soll. an die eine Benachrichtigung über den Fund infizierter E-Mails geschickt werden soll. “Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung. Gültige Werte sind: · Feld leer lassen – Die Quarantäne wird deaktiviert · Virus-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im Verzeichnis /var/amavis/virusmails ab · E-Mail-Adresse – Wenn Sie eine gültige E-Mail-Adresse angeben.2 Antivirus Die Antivirenprüfung ist eine der Hauptaufgaben des SMTP-Proxys. Virus Quarantäne Hier können Sie festlegen. werden infizierte E-Mails dorthin weitergeleitet Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART. Drei Reaktionen können festgelegt werden. wenn einen virenbefallene E-Mail versendet wird. Es ist auch möglich eine E-Mail -Adresse für Benachrichtigungen festzulegen: Standardeinstellung Sie können zwischen drei Reaktionen auf infizierte E-Mails wählen: “Verwerfen”: Die infizierte E-Mail wird sofort gelöscht.4.

Folgende Einstellungen betreffen die regelbasierte Spamfilterung: Spam Ziel Was soll mit erkannten Spamnachrichten geschehen. Wobei beim Greylisting wird die Nachrichten von unbekannten (noch nie zugestellt) Absendern zuerst abgewiesen und erst nach einer gewissen Zeit angenommen. den Spam-Filter zu trainieren. um einen für Sie wirkenden Spamschutz zu bekommen. Spam Quarantäne Hier können Sie festlegen. · E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben. “Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung. um Sie vor Spammails zu schützen: Regelbasierter Spamfilter und Greylisting. Während die meisten einfachen Spamnachrichten von bekannten Mailservern versendet und vom Spamfilter geblockt werden.Konfiguration Schulrouter Plus 7. verändern Spammer ständig beim Versenden ihre Nachrichten. “Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt. E-mail zur Benachrichtigung bei Spam Alarm (Spam Admin) Hier können Sie eine E-Mail -Adresse angeben. an die eine Benachrichtigung über den Fund von Spammails geschickt werden soll. “Annehmen”: Die E-Mail wird normal zugestellt. werden infizierte E-Mails dorthin weitergeleitet.3 Spam Der Antispamschutz des Schulrouter Plus kennt verschiedene Wege. Proxy 88 . Dafür ist es absolut notwendig.4. · Spam-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im Verzeichnis /var/amavis/virusmails ab. Gültige Werte sind: · Feld leer lassen – Die Quarantäne wird deaktiviert. welche Art von Quarantäne verwendet werden soll.

Dies kann ein Wert zwischen 30 und 3600 Sekunden sein. wird dem Header der Nachricht die Tags X-Spam-Status und X-Spam-Level hinzugefügt. die nicht durch Greylisting geprüft werden. Whitelist Client Sie können hier Mailserver freigeben. die von diesem Server eintreffen. wird die Nachricht als Spam eingestuft und wie in “Spam Subjekt” angegeben die Kopfzeile erweitert. Proxy 89 . wird die Nachricht als Spam eingestuft und in die Quarantäne verschoben. dass E-Mails. Um die Einstellungen zu übernehmen. Spam Subjekt Hier können Sie festlegen. Maximale SPAM Punktezahl für Senderbenachrichtigung Senden nur eine Benachrichtigung an den oben angegebenen Spam-Admin. Whitelist Empfänger Sie können hier E-Mail-Adressen oder ganze Domains freigeben. bis sie zugestellt wird. Spam Markierungsstufe Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird.Konfiguration Schulrouter Plus Spam Kennzeichnungsstufe Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird. Spam Quarantäne Level Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird. Der zweite Abschnitt dieser Seite enthält die Einstellungen für das Greylisting: Greylisting aktiviert Aktiviert die Spamprüfung mittels Greylisting. welche Nachricht in die Kopfzeile der zugestellten Nachricht geschrieben wird. die nicht durch Greylisting geprüft werden. wenn diese Zahl unterschritten bleibt. Das heißt. klicken Sie unten auf SpEIChERN UND NEUSTART. nicht geprüft werden. Verzögerung Hier könen Sie die Zeit einstellen wie lange eine Nachricht abgewiesen wird. Diese beschreiben welche Regeln mit welchem Punkten gegriffen hat.

die gesperrt werden.4. “Annehmen”: Die E-Mail wird normal zugestellt. Gültige Werte sind: · Feld leer lassen – Die Quarantäne wird deaktiviert. Proxy 90 . Aktion bei gesperrten Dateiendungen Was soll mit blockierten Nachrichten geschehen? “Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt. · E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben.Konfiguration Schulrouter Plus 7. werden infizierte E-Mails dorthin weitergeleitet. “Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung.4 Dateierweiterungen Sie können hier bestimmte Dateianhänge sperren: Blockierte Dateierweiterungen Hier können Sie eine oder mehrere Dateitypen wählen. Quarantäne für verbotene Dateien Hier können Sie festlegen. welche Art von Quarantäne verwendet werden soll. · Banned-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im Verzeichnis /var/amavis/virusmails ab.

Doppelte Dateiendungen verbieten Wenn Sie diese Option aktivieren. Dies spart Ressourcen im Vergleich zum Antispam. sind so genannte real-time Blacklists (RBL). Proxy 91 . . Empfänger. um Spamnachrichten zu blockieren.4.scr. Es gibt hier auch die Möglichkeit bestimmte Absender. . Doppelte Dateiendungen sind Endungen mit irgendeiner Dateiendung gefolgt von .exe.bat. wird sie ohne Rückmeldung abgelehnt. da hier keine E-Mail angenommen und analysiert werden müssen.Konfiguration Schulrouter Plus E-Mail für Warnmeldungen bei blockierten Dateien (Admin) Hier können Sie eine E-Mail-Adresse angeben. 7. werden Dateien mit doppelten Anhängen blockiert. . .com. an die eine Benachrichtigung über den Fund von E-Mails mit geblockten Dateien geschickt werden soll. klicken Sie unten auf SpEIChERN UND NEUSTART. . Wenn eine Domäne oder IP-Adresse in einer der aktivierten Liste aufgeführt ist.vbs.cmd oder .5 Blacklist-Whitelist Eine oft genutzte Methode.dll Um die Einstellungen zu übernehmen.pif. IP-Adressen oder Netzwerke zu sperren oder freizugeben. . Diese Listen werden von unterschiedlichen Organisationen gepflegt.

org” “dul. klicken Sie unten auf SpEIChERN UND NEUSTART.org” “ix.net “ “zen.dnsbl.org” “cbl.spamcop.manitu.net” “list.org” “dsn.dnsbl.sorbs.abuseat.dsbl.rfc-ignorant.net” Um die Einstellungen zu übernehmen. Proxy 92 .spamhaus.Konfiguration Schulrouter Plus Folgende Listen können verwendet werden: “bl.

6 Domains Wenn Sie auf der Hauptseite „Eingehende Mail“ aktiviert haben und Nachrichten zu einem internen Mailserver weiterleiten wollen. klicken Sie unten auf SpEIChERN UND NEUSTART. Um die Einstellungen zu übernehmen. Proxy 93 . die vom SMTP-Proxy akzeptiert werden sollen und welcher Ihrer Mailserver diese Nachrichten empfangen soll.4. Geben Sie hier einfach die Domäne und den internen Mailserver an. Fügen Sie alle notwendigen Mailserver der Liste hinzu. Es ist möglich mehrere Mailserver für unterschiedliche Domänen zu verwenden. müssen Sie die Domänen definieren.Konfiguration Schulrouter Plus 7.

ob die Kopie erstellt werden soll. BCC Adresse Dies ist die E-Mail-Adresse an die die Kopie geschickt werden soll. Diese Kopie wir gesendet. Richtung Legen Sie fest. sobald eine E-Mail zu einem bestimmten Empfänger oder von einem bestimmten Absender gesendet wird. ! ê Weder Empfänger noch Absender werden informiert.oder Absenderadresse an. Durch Klick auf MAIlROUTE hINZUFüGEN wird die Regel hinzugefügt und durch Klick auf SpEIChERN UND NEUSTART übernommen.4.7 Mailrouting Diese Einstellung erlaubt es Ihnen eine blind carbon copy (BCC) an eine spezielle E-Mail-Adresse zu senden. Dies kann den Datenschutzrichtlinien widersprechen! Proxy 94 . wenn die Nachricht zu einem bestimmte Empfänger oder von einem bestimmten Absender gesendet wird.Konfiguration Schulrouter Plus 7. Mailadresse Hier geben Sie die entsprechend zu prüfenden Empfänger.

4. Adresse des Smarthostes Geben Sie die Adresse des Smarthosts an. Ein Smarthost ist ein Mailserver. Smarthost benötigt Authentifizierung Aktivieren Sie dieses Feld. wenn der Smarthost eine Anmeldung benötigt und geben sie darunter die entsprechenden Anmeldedaten an. klicken Sie unten auf SpEIChERN UND NEUSTART. Im Abschnitt Smarthost können folgende Einstellungen vorgenommen werden: Zustellung über externen Mailserver (Smarthost) Aktivieren Sie diese Einstellung wenn Sie einen Smarthost oder Relay-Server verwenden wollen. Proxy 95 .8 Erweitert Hier können Sie erweiterte Einstellungen für den SMTP-Proxy vornehmen.Konfiguration Schulrouter Plus 7. Um die Einstellungen zu übernehmen. Authentifizierungsmethode Hier können Sie die Authentifizierungsmethoden festlegen. der von einem Sender E-Mails annimmt und an beliebige Dritte weiterleitet. die Ihr Smarthost unterstützt.

Unvollständige Empfangsadresse abweisen (FQDN) Die Verbindung wird abgewiesen. wenn die Domäne der Empfänger.Konfiguration Schulrouter Plus Wenn der Schulrouter Plus eine dynamische IP-Adresse bekommt. der mit dem ausgehenden HELO-Signal gesendet wird. Normalerweise können Sie den Mailserver Ihres E-Mail-Providers verwenden. Unbekannte Empfänger abweisen Die Verbindung wird abgewiesen. wenn die Empfängeradresse keinen voll qualifizierten Hostnamen (FQDN) ist. ob ihre IP als dynamische IP-Adresse bekannt ist und verweigert ggf. Proxy 96 . Unvollständige Rechnernamen abweisen (FQDN) Die Verbindung wird abgewiesen.E-Mail-Adresse keinen DNS A oder MX-Eintrag hat. Immer mehr Mailserver überprüfen. SMTP HELO Name Dies ist der Hostname. einen Smarthost zu verwenden. kann es sein. Unbekannte Sender Domain abweisen Die Verbindung wird abgewiesen. muss der Client ein HELO beim Aufbau der Verbindung senden Ungültige Rechnernamen abweisen Die Verbindung wird abgewiesen. die Verbindung. dass Sie Probleme beim Versenden von E-Mails über den SMTP-Proxy bekommen.E-Mail-Adresse keinen DNS A oder MX-Eintrag hat. wenn das HELO-Signal des Clients einen ungültigen Hostnamen enthält. Standard ist die IP-Adresse der roten Schnittstelle. wenn das HELO-Signal keinen voll qualifizierten Hostnamen (FQDN) enthält. In den erweiterten Einstellungen können Sie noch folgende Einstellungen vornehmen: smtpd HELO benötigt Ist dies aktiviert. ! ê Im Abschnitt „IMAP Server für die SMTP Authentifizierung“ können Sie festlegen welcher IMAP-Server für die Authentifizierung beim Versenden von E-Mails verwendet werden soll. wenn die Domäne der Absender. Dafür kann es hilfreich sein. weil der Provider bei jeder Einwahl eine neue Ip-Adresse vergibt.

Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART. die eine einzelne E-Mail haben darf. die eine Kopie von jeder E-Mail erhält. Das Zusenden von solchen E-Mails kann Datenschutzrichtlinien und die Privatsphäre der Benutzer verletzen. Sprache der Email-Vorlage Die Sprache in der Fehlermeldungen des SMTP-Proxys angezeigt werden. SMTP Daemon Hard Error Limit Dies ist die maximale Anzahl von Fehlern. welche beim Abschicken einer E-Mail von ein und demselben SMTP Client auftreten dürfen. Bitte prüfen Sie die Datenschutzrichtlinien Ihres Bundeslandes. Proxy 97 . die über den SMTP-Proxy versandt wird.Konfiguration Schulrouter Plus Immer an BCC Adresse Optional können Sie hier eine E-Mail-Adresse angeben. Der SMTP Proxy schließt die Verbindung wenn dieses Limit überschritten wird. Maximal Email-Größe Die maximale Größe.

1 DNS Proxy Auf dieser Seite können Sie den transparenten DNS-Proxy aktivieren und konfigurieren. klicken Sie unten auf SpEIChERN UND NEUSTART.B.Konfiguration Schulrouter Plus 7. Um die Einstellungen zu übernehmen.5 DNS 7. Geben Sie dazu einfach nach dem Klick auf EINEN NEUEN BENUTZERDEFINIERTEN NAMESERVER FüR EINE DOMAIN hINZUFüGEN die Domäne und den dafür zuständigen Nameserver an. Sie können den DNS-Proxy für die einzelnen Schnittstellen aktivieren und außerdem festlegen bei welchen Quellund Zieladressen der DNS-Proxy umgangen werden soll.5. 7. wie z.2 Benutzerdefinierter Nameserver Hier können Sie Nameserver für bestimmte Domänen festlegen.5. den Domänencontroller Ihrer internen Domäne. Proxy 98 .

werden die Anfragen an localhost umgeleitet. werden die Anfragen anstatt an localhost an das Spyware-Modul weitergegeben. Erlaubte/Blacklist Domains Hier eingegebene Domains werden entweder nicht oder immer als Spyware klassifiziert.Konfiguration Schulrouter Plus 7. Folgende Einstellungen können Sie setzen: Aktiviert Wenn aktiviert. Spyware Domainlisten Updateintervall Hier können Sie festlegen.5. wenn der Domänenname für bekannt ist für “Spyware-Angriffe” bekannt ist. Proxy 99 .3 Anti-Spyware Hier können Sie festlegen wie der Schulrouter Plus reagieren soll. Anfragen an den Spyware Listening Port weiterleiten Ist dies aktiviert. wie oft die Spyware Domain Liste aktualisiert wird.

wenn der Schulrouter Plus an dem einem Ende des VPN-Tunnels steht und ein Remote. Das stellt sicher. Auf die gleiche Weise kann sich ein einzelner Computer mit einem anderen Netzwerk verbinden. oder an einen an deren VPN-fähigen Router oder Firewall. Im Schulrouter Plus werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz definiert. Der Schulrouter Plus kann sehr einfach VPNs zwischen anderen Schulrouter Plus aufbauen. Alle Daten werden sicher über einen verschlüsselten Tunnel versendet. Macintosh OSX. Host-zu-Netz Eine Host-zu-Netz Verbindung besteht. müssen Sie sich für eine der Authentifizierungsmethoden pre-shared key (PSK) bzw. Passwort-/Passphrase oder X. Diesen Routern/Firewalls wurde eine öffentliche IP von einem Provider zugewiesen und sie benutzen höchstwahrscheinlich NAT (Network Address Translation). In einem Netz-zu-Netz VPN muss mindestens eines der beteiligten Netzwerke per Schulrouter Plus mit dem Internet verbunden sein. Diese sind zu 100% optional. Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfigurieren können.oder Mobilbenutzer am anderen Ende. VPN 100 . indem sie einen “Tunnel” aufbauen. Linux und die meisten Unix-Varianten. Das andere Netzwerk kann an einen Schulrouter Plus angeschlossen sein. dynamischen öffentlichen IP. miteinander zu verbinden. dass der Datenverkehr im entsprechen den Netzwerk nicht mit Sniffern abgehorcht werden kann. 1. Unglücklicherweise bieten diese Tools sehr unterschiedliche Unterstützungen und könnten daher schwierig einzustellen sein. kann auch ein VPN zwischen den Clients in den internen Netzen und dem Schulrouter Plus aufgebaut werden.Konfiguration Schulrouter Plus 8 Hauptmenü VPN Virtual Private Networks oder VPNs erlauben es zwei Netzwerken.509-Zertifikat entscheiden. das Internet. geschützt vor neugierigen Blicken. wenn Sie diese Funktion nicht benutzen wollen. Der Mobilbenutzer ist höchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen. Sie sollten diesen Abschnitt sicherheitshalber ignorieren. VERBINDGUNSARTEN Netz-zu-Netz Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke über das Internet miteinander. Die meisten aktuellen Betriebssysteme unterstützen IPSec. sich direkt über ein anderes Netzwerk. Falls gewünscht.B. Man nennt diese Konstellation daher Host-zu-Netz oder Roadwarrior. Das beinhaltet Windows. z. Mit der Authentifizierungsmethode identifiziert sich der Benutzer für den Zugang zum VPN.

um Verbindungstests durchzuführen und Erfahrungen beim Aufbau einer VPN-Verbindung zu sammeln. bevor das VPN konfiguriert wird. Für diese Methode geben Sie eine Authentifizierungsphrase ein. Diese Phrase muss für die Authentifizierung beim Schulrouter Plus und dem VPN-Client verfügbar sein. Sie kann verwendet werden. Dabei kann es sich um eine beliebige Zeichenfolge handeln. Die PSK-Methode benötigt weniger Schritte als bei einer Authentifizierung über Zertifikate.Konfiguration Schulrouter Plus 2. i Die System-Uhrzeiten an jedem Ende des VPN-Tunnels sollten aktuell sein. die eine schnelle Konfiguration von VPNs ermöglicht. vergleichbar zu einem Passwort. VPN 101 . AUTHENTIFIZIERUNGSMETHODEN Pre-Shared Key Die pre-shared key (PSK) Authentifizierungsmethode ist eine einfache Methode.

können Sie eine Zertifikatsanforderung (Request) erstellen. VPN 102 . abhängig vom Anwendungsfall. Es kann alle zum Zertifikat gehörenden Informationen in lesbarer Form enthalten. SSL (Secure Socket Layer) hat seine eigenen Begriffsdefinitionen. müssen Sie entweder die Zertifikate auf dem Schulrouter Plus erzeugen oder durch eine andere Zertifizierungsstelle in Ihrem Netzwerk ausstellen lassen. das dann zum Anforderer zurückgeschickt wird.509 Zertifikate enthalten. Das daraus resultierende Zertifikat kann dann auf der Roadwarrior-Maschine importiert werden.509-Informationen. X. Um X. Passphrasen und Informationen über die zugehörige Funktionseinheit. Dabei entsteht aus der Anfrage das eigentliche Zertifikat. CAs können auch auf Roadwarrior-Maschinen laufen. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer lokalen Maschine liegen. Ein Host-Zertifikat wird von der dazugehörigen CA validiert. X.509 Zertifikate. öffentliche und private Schlüssel. da es durch sie ausgestellt wurde. Dies ist das Standard-Format für die meisten Browser. die dann von der CA des Schulrouter Plus signiert wird. Wenn die IPSec-Implementierung auf den Roadwarrior-Maschinen keine eigenen CA-Fähigkeiten besitzt. X.509-Zertifikate zu implementieren. PFK oder P12 Zertifikate enthalten im Binärformat dieselben Informationen wie PEM-Dateien. die Anhand der Dateiendung erkannt werden können. Das PEM-Format ergänzt das DER-Format durch Kopf-Informationen. Diese Zertifikate dienen dazu. selbst erstellte CA. PKCS#12. Dieses Zertifikat ist dann der CA bekannt. Das DER-Format enthält nur die Key-Informationen und keine separaten X. muss es der Gegenstelle bekannt gemacht werden.Konfiguration Schulrouter Plus X. PEM ist das Standard-Format für OpenSSL.509 Zertifikate können in drei verschiedenen Formaten gespeichert werden. Zertifizierungsanfragen sind Anfragen für X. Mit dem OpenSSL-Kommando können die Formate untereinander konvertiert werden. Um ein Zertifikat benutzen zu können. Webbrowser beinhalten die CAs von öffentlichen Zertifizierungsstellen.509 Zertifikate X.509 Zertifikate stellen einen sehr sicheren Weg für die Verbindung von VPN-Servern dar. Im Falle von Schulrouter Plus ist dies der Schulrouter Plus selbst. von Zertifizierungsstellen (Certificate Authorities oder CA) validiert zu werden.509 Zertifikate auf dem Schulrouter Plus und vielen anderen Implementierungen werden über OpenSSL verwaltet. Die IPSec-Implementierung vom Schulrouter Plus enthält ihre eigene.509 Begriffe X. die von CAs signiert (digital unterschrieben) werden.

1 OpenVPN Server 8. Im Abschnitt VERBINDUNGSSTATUS UND –KONTROllE werden die momentan aufgebauten VPN-Verbindungen angezeigt.1 Serverkonfiguration Hier können Sie den OpenVPN Server aktivieren.1. um eine VPN-Verbindung zu diesem Schulrouter Plus von einem einzelnen PC oder einem anderen Schulrouter Plus aufzubauen. Mit „ban“ hat der verbannte Benutzer nicht mehr die Möglichkeit sich wiederzuverbinden. In beiden Fällen wird die VPN-Verbindung getrennt. Weiterhin legen Sie fest.Konfiguration Schulrouter Plus 8. welcher IP-Bereich aus dem Grünen Netz für die VPN-Clients zur Verfügung gestellt wird. Dort ist es möglich VPN-Verbindungen zu trennen (kill) oder die dazugehörigen Benutzer zu verbannen (ban). VPN 103 . Mit dem Button SpEIChERN UND NEUSTART übernehmen Sie die Einstellungen und starten den OpenVPN Server.

2 Konten In diesem Abschnitt wird die OpenVPN-Konten für PSK-Verbindungen verwaltet. Pushe keine Routen zu den Clients (fortgeschritten) normalerweise wird. die Sie an die Gegenstelle pushen möchten. aktivieren Sie diese Funktion.1. die Route zu den Zonen hinter dem Schulrouter Plus automatisch am Client eingerichtet. Möchten Sie dies manuell tun. wenn sich ein Cleint verbindet. VPN 104 . Mit dem Button ACCOUNT hINZUFüGEN erstellen Sie einen neuen OpenVPN-Zugang mit folgenden Einstellungen: Account Information Benutzername Anmeldename des Benutzers Passwort / Passwort bestätigen Das dazugehörige Passwort (doppelt) Client Routing Den gesamten Client Datenverkehr über den VPN Server leiten. kein Internetverkehr. wird sämtlicher Datenverkehr des Clients (unabhängig von der Richtung) durch den Schulrouter Plus geleitet.Konfiguration Schulrouter Plus 8. wenn Sie diesen Schulrouter Plus als Client verwenden möchten. Ohne diese Funktion wird nur der Verkehr mit dem den internen Zonen des Schulrouter Plus als Ziel über den VPN-Tunnel gesendet und bspw. Wenn Sie dies auswählen. Geben Sie in diese Feld die Netz werke hinter diesem Schulrouter Plus an. Netzwerke hinter dem Client Diese Einstellung wird nur bei der Gw2Gw-Verbindung benötigt (Gateway zu Gateway).

0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise. bearbeiten oder löschen durch klick auf das entsprechende SyMBOl.heise. In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z. VPN 105 . Sie können jederzeit die angelegten Konten de-/aktivieren. Individuelle Push Konfiguration Statische IP Adresse Normalerweise werden die IP-Adressen dynamisch den VPN-Clients zugewiesen (entsprechend Reiter „Serverkonfiguration“). Diese Nameserver pushen Pushen Sie einen weiteren internen Nameserver zum VPN-Client.Konfiguration Schulrouter Plus Pushe nur diese Netzwerke Fügen Sie Ihre eigenen Routen hinzu. Diese Einstellung können Sie hier überschrieben und eine feste IP-Adresse vergeben. 1 6 8 . Zum Beispiel hat eine Gegenstelle ein Grünes Netz mit 1 9 2 . 1 9 2 . 0 / 2 4 . Domäne pushen Pushen Sie einen Domänennamen zum VPN-Client. die zum Client gepusht werden sollen. um das Konto anzulegen oder zu speichern. 0 / 2 4 und die andere benutzt 1 9 2 . 2 . Wenn Sie planen zwei oder mehr Netzwerke hinter einem Schulrouter Plus miteinander zu verbinden (Gw2Gw).shtml (L) Klicken Sie auf SpEIChERN. ist es zu empfehlen in diesen Netzwerken jeweils unterschiedliche Subnetze zu wählen. Dies überschreibt die automatisch gepushten Routen.B. de/netze/lib/netzwerk-rechner.de an: http://www. 1 6 8 . 1 6 8 . Nur auf diesem Weg funktionieren die automatisch generierten Routen. 1 0 . 1 .

Datenverkehr zwischen Clients nicht blockieren Standardmäßig werden die VPN-Clients voneinander getrennt. DHCP Antworten aus dem Tunnel blockieren Aktivieren Sie diese Option.Konfiguration Schulrouter Plus 8. wenn Sie Datenverkehr zwischen einzelnen VPN-Clients erlauben wollen. wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk bekommen. Der erste Abschnitt ERwEITERTE EINSTEllUNGEN beinhaltet allgemeine Einstellungen für den OpenVPN-Server: Port / Protokoll Port 1194 und Protokoll UDP sind die Standardeinstellungen.3 Erweitert Mit diesem Reiter können Sie die erweiterten Einstellungen bearbeiten. Neben anderen Einstellungen können Sie hier auch festlegen.1. wie die Authentifizierung erfolgen soll (Benutzer/Passwort oder über Zertifikat). die mit Ihrem lokalen DHCP-Server in Konflikt geraten. VPN 106 . Aktivieren Sie diese Option. Es ist zu empfehlen diese zu belassen wie sie sind.

shtml Im dritten Abschnitt bestimmen Sie die Authentifizierungsmethode: Standardmäßig nutzt der Schulrouter Plus die Methode PSK (Benutzername/Passwort) zur Authentifizierung. Dieses Zertifikat benötigen Sie am Client zum Herstellen der VPN-Verbindung.509 Zertifikat“ (entweder nur mit Zertifikat oder auch zusammen mit PSK) verwenden möchten. wird die Einrichtung etwas komplizierter. werden die festgelegten Nameserver zu den VPN-Clients gepusht. 1 0 .B.de/netze/lib/netzwerk-rechner.Konfiguration Schulrouter Plus Im zweiten Abschnitt können Sie die globalen Pushoptionen festlegen: Diese Netzwerke pushen Wenn aktiviert.de an: http://www. In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z. Der Link „CA Zertifikat herunterladen“ stellt das CA-Zertifikat für diesen OpenVPn-Server zur Verfügung. VPN 107 . Verwenden Sie dazu die separate Anleitung zu diesem Thema. Domäne pushen Wenn aktiviert. Wenn Sie dennoch die Methode „X. Letztendlich können Sie ein PKCS#12-Zertifikat hochladen. Einen nützlichen Netzwerkrechner dafür bietet heise. 0 / 2 4 ). Dies können Sie in den Fallback-Server importieren. Diese Nameserver pushen Wenn aktiviert. Wenn Sie PSK weiterhin nutzen möchten. müssen Sie in diesem Abschnitt nichts verändern. 1 6 8 . werden die festgelegten Routen zu den verbundenen VPN-Clients gepusht. wenn dieser Schulrouter Plus ein FallbackServer sein soll. 1 9 2 .heise. Weiterhin können Sie dieses Zertifikat im PKCS#12-Format mit dem Link ExpORTIERE CA AlS pKCS#12 DATEI herunterladen. werden die festgelegten Domänennamen zu den VPN-Clients gepusht.

über den der OpenVPN-Server erreichbar ist. PKCS#12 Challange Passwort Geben Sie das dazu gehörige Passwort an. müssen Sie hier dessen Hostzertifikat (CA-Zertifikat) hochladen. Verbinden mit Hier wird der externe Hostname eingetragen. wenn eins angegeben wurde. Die Portangabe ist optional und nur nötig falls nicht der Standardport 1194 verwendet wird. VPN 108 .Konfiguration Schulrouter Plus 8. um die Informationen über den oder die entsprechenden OpenVPN-Server einzutragen: Name für die Verbindung Nur eine Bezeichnung für diese Verbindung. Andernfalls. müssen Sie das PKCS#12-Zertifikat angeben. Klicken Sie auf TUNNElKONFIGURATION hINZUFüGEN. Zertifikat hochladen Wenn der OpenVPN-Server auf dem Schulrouter Plus der Gegenstelle für die Authentifizierungsmethode PSK konfiguriert ist. wenn auf Basis von Zertifikaten authentifiziert wird.2 OpenVPN Client (Gw2Gw) In diesem Abschnitt können Sie die Client-Seite der Gw2Gw-Verbindung (Gateway zu Gateway) zwischen zwei Schulrouter Plus einrichten.

Protokoll UDP (Standard) oder TCP. Verbindungstyp “gerouted” (Der Schulrouter Plus-Client agiert als Gateway für das remote LAN) oder “gebridget” (Als wäre der Schulrouter Plus-Client Bestandteil des remote LAN). können Sie hier die Zugangsdaten des vorgelagerten Proxies eingeben. wird der hier angegebene Fallbackserver verwendet. Bearbeiten oder Löschen durch klick auf das entsprechende SyMBOl. HTTP Proxy Wenn Ihr Schulrouter Plus das Internet nur über einen externen HTTP-Proxy erreicht. Standard ist „geroutet“. die mit Ihrem lokalen DHCP-Server in Konflikt geraten. VPN 109 . Klicken Sie auf ERwEITERTE TUNNElKONFIGURATION um mehr Optionen einzurichten: Fallback VPN Servers Legen Sie für diese Verbindung ein oder mehrere (einer pro Zeile) Fallback-Server im Format srp.example. wenn Anfragen von Clients hinter dem Schulrouter Plus-Client versteckt werden sollen und nur die IP des Schulrouter Plus die Gegenstelle erreicht. Sie können jederzeit die angelegten Tunnel de-/aktivieren. DHCP Antworten aus dem Tunnel blockieren Aktivieren Sie diese Option.com:port fest. wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk bekommen. entsprechend der Einstellung der Gegenstelle.Konfiguration Schulrouter Plus Benutzername / Passwort Wenn die Gegenstelle für PSK-Authentifizierung (Benutzername und Passwort) oder Zertifikat + PSK konfiguriert ist. Der Port ist optional und standardmäßig 1194. NAT Wählen Sie dies aus. Klicken Sie auf SpEIChERN um das Konto anzulegen oder zu speichern. Anmerkung Tragen Sie hier Ihren Kommentar zu der Verbindung ein. Wenn die Verbind ung zum oben angegebenen Server fehlschlägt. geben Sie hier die entsprechenden Zugangsdaten ein.

nach der Zwangstrennung). VPN 110 .Konfiguration Schulrouter Plus 8. Roadwarriors müssen in diesem Falle ebenfalls deren Verbindungen neu herstellen. dass Sie die Netz-zu-Netz VPNs möglicherweise an beiden Enden des Tunnels neu starten müssen. indem Sie das Feld “lokaler VPN Hostname/IP” ausfüllen.B. VPNs und dynamisches DNS Falls Ihr Provider Ihre IP-Adresse geändert haben sollte (z. sollten Sie hier den dynamischen DNS-Namen benutzen. Wenn Sie einen dynamischen DNS-Service benutzen. Verbindungsstatus und –kontrolle Um eine VPN-Verbindung zu erzeugen. müssen Sie das entsprechende Kästchen VpN AUF BlAU/ORANGE aktivieren. Daraufhin erscheint die Seite für den VPN Verbindungstyp. benutzen Sie den Button hINZUFüGEN. entweder den vollen Domainnamen oder die öffentliche IP-Adresse von der ROT-Schnittstelle. müssen sie sich darüber bewusst sein.3 IPSec Globale Einstellungen Geben Sie die VPN-Server-Details ein. das Kästchen AKTIVIEREN anhaken und dann auf den SpEIChERN-Button drücken. Aktivieren Sie VPN auf dem Schulrouter Plus. Um ein VPN mit einem internen Netz außer Grün herstellen zu können.

Subjekt Alternativer Name Diese optionale Einstellung ermöglicht es Ihnen. um die Zertifikate zu erzeugen. Stadt Die Stadt oder Postanschrift Ihrer Maschine. Wenn Ihr VPN zum Beispiel einige Schulen in einem Schulbezirk zusammenschließt.oder Unterabteilungsname. Benutzen Sie dieses zur Auswahl des Landes. Die Seite zur Erstellung von “Root/Host Zertifikaten” erscheint. Land Dieses Pull-Down-Menü beinhaltet jeden bekannten ISO-Ländernamen.ä. Nach dem vollständigen Ausfüllen des Formulars klicken Sie auf den Button ERZEUGE ROOT/hOST ZERTIFIKATE. Hostname des Schulrouter Plus Dies sollte der voll qualifizierte Domainname des Schulrouter Plus sein. Um das Schulbeispiel weiterzuführen. den Sie im Zertifikat benutzen wollen.Konfiguration Schulrouter Plus Zertifizierungsstellen Erzeugen der Zertifikate für den Schulrouter Plus Um eine Schulrouter Plus Zertifikats-Authority oder CA zu erstellen. VPN 111 . das zum Zertifikat passt. Name der Organisation Geben Sir hier den Namen der Organisation ein. Zum Beispiel “srpa” für Benutzer und “srp” für den Hostnamen. ein X. Stadt und Staat/Bundesland) sind optional und können weggelassen werden. Ihre E-Mail Adresse Geben Sie hier Ihre E-Mail-Adresse an. werden erzeugt. Wenn Sie einen dynamischen DNS nutzen. damit man mit Ihnen in Kontakt treten kann. Staat oder Bundesland Der Staat bzw. könnten Sie beispielsweise “Schulbezirk Ost” als Namen verwenden. nehmen Sie diesen.und Hauptschulen sein. könnten dies die Offenburger Grund. Der gewählte Name sollte sich vom Hostnamen des Schulrouter Plus unterscheiden. Füllen Sie das Formular aus und beide. Ihre Abteilung Dies ist der Abteilungs. in das entsprechende Textfeld ein. Die nächsten drei Angaben (Abteilung.509 Root und Host Zertifikat. weitere Identifikationsmerkmale unterzubringen. das Bundesland der Postanschrift. um Missverständnisse zu vermeiden. geben Sie einen Namen für Ihre Organisation o. Dann klicken Sie auf den Button ERZEUGE ROOT/hOST ZERTI-FIKATE.

wenn Sie diese Verbindung aktivieren wollen. Wählen Sie den Verbindungstyp. ohne Leerzeichen). Schnittstelle Wählen Sie die Netzwerk-Schnittstelle. beinhaltet zwei Bereiche. sich über ein lokales Netzsegment mit dem Grünen Netzwerk zu verbinden. Anmerkung Hier können Sie eine optionale Bemerkung eingeben. Der Authentifizierungs-Bereich bleibt gleich. VPN 112 . um den Zugang zum Grünen Netz für Roadwarrior einzuschränken. Lokales Subnetz Lokales Subnetz entspricht dem Grünen Netzwerk. welche im VPN-Verbindungsfenster des Schulrouter Plus für diese Verbindung erscheint. Falls gewünscht. die Zugriff zum grünen Netzwerk benötigen. Aktivieren Klicken Sie das KONTROllKäSTChEN an. wENN FERTIG an. PC-zu-Netz Verbindung Name Wählen Sie einen einfachen Namen (nur Kleinbuchstaben.Konfiguration Schulrouter Plus Verbindungstyp Wählen Sie entweder Host-zu-Netz für mobile Anwender. Die nächste Seite die erscheint. kann ein Subnetz des Grünen Netzwerks definiert werden. wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen. den Sie erstellen möchten und klicken Sie auf den Button HINZUFüGEN. Die Auswahl der roten Schnittstelle erlaubt es dem Roadwarrior. Die Auswahl einer internen Schnittstelle erlaubt es dem Roadwarrior. um diese Verbindung zu identifizieren. oder Netz-zu-Netz. um Benutzern eines anderen Netzwerks Zugang zu Ihrem Grünen Netzwerk zu erlauben. Der Verbindungs-Bereich kann je nach dem hinzuzufügenden Verbindungstyp variieren. Erweiterte Einstellungen bearbeiten Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN. sich vom Internet aus zu verbinden. mit der sich der Roadwarrior verbinden soll.

Falls gewünscht. Anmerkung Hier können Sie optional eine Bemerkung eingeben. Erweiterte Einstellungen bearbeiten Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN. VPN 113 . wENN FERTIG an. falls sich die IP-Adresse ändert. Lokales Subnetz Lokales Subnetz entspricht dem Grünen Netzwerk. die in den IPSec Konfigurationsdateien verwendet wird. Wenn der entfernte Server einen dynamischen DNS-Dienst benutzt. ohne Leerzeichen) um diese Verbindung zu identifizieren. welche im VPN-Verbindungsfenster des Schulrouter Plus für diese Verbindung erscheint. Subnetz der Gegenseite Geben Sie die Netzwerk-Adresse und Subnetz-Maske des entfernten Netzwerks im selben Format wie das lokale Subnetz-Feld an. dass Sie das VPN neu starten müssen. kann ein Subnetz des Grünen Netzwerks definiert werden. wenn Sie diese Verbindung aktivieren wollen. um den Zugang zum Grünen Netz für Roadwarrior einzuschränken. um IP-Pakete zum richtigen entfernten Netzwerk zu schicken. könnte es sein. Gegenstelle/IP Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. Sie können auch den kompletten qualifizierten Domänennamen des entfernten Servers angeben. Schulrouter Plus Seite Wählen Sie eine Seite für den Schulrouter Plus.Konfiguration Schulrouter Plus Netz-zu-Netz Verbindung Name Wählen Sie einen einfachen Namen (nur Kleinbuchstaben. wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen. Aktivieren Klicken Sie das Kontrollkästchen an. weil IPSec Routing-Tabellen-Einträge erstellt. um die Seite der Verbindung dieses Schulrouter Plus auf dieser Maschine zu identifizieren (siehe Hinweis). Dieses Netzwerk muss sich vom lokalen Subnetz unterscheiden. Rechts oder Links.

Wenn es einmal festgestellt hat. Viele benutzen Links für die lokale Seite einer Verbindung und Rechts für die entfernte Seite. eines Tunnels. IPSec orientiert sich anhand von Netzwerkadressen und Routen. Es ist am besten. folgen alle anderen Rechts/Links Parameter automatisch. Diese Begriffe haben keine wirkliche Bedeutung.Konfiguration Schulrouter Plus Hinweise zur IPSec Terminologie IPSec benutzt die Begriffe Rechts und Links für die beiden Seiten einer Verbindung bzw. i VPN 114 . welche Netzwerkverbindung (Rechts oder Links) zu benutzen ist. um auf die andere Seite der Verbindung zu gelangen. wenn man sich das Ganze als „Seite A“ und „Seite B“ einer alten Langspielplatte vorstellt. Dies ist nicht notwendig.

Aktualisieren Durch den Klick hierauf wird die Anzeige aktualisiert. Protokolle 115 . Folgende Bedienungselemente sind verfügbar: Monat/Tag Hier können Sie das Datum der Anzeige auswählen.B. beim Ändern des Anzeigedatums. Export Hiermit können Sie die Anzeige in eine Textdatei exportieren. Entsprechend dem Detaillierungsgrad unter Einstellungen können hier mehr oder weniger Informationen angezeigt werden. z. << / >> Durch die Nutzung der Pfeile können Sie einen Tag vor und zurück springen.Konfiguration Schulrouter Plus 9 9.1 Hauptmenü Protokolle Zusammenfassung Auf dieser Seite sehen Sie eine Zusammenfassung der Protokolle.

Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen. Export Hiermit können Sie die Anzeige in eine Textdatei exportieren. die das hier eingegebene enthalten. Sie können nach Einträgen suchen. Gehe zum Datum Wählen Sie das Datum des gesuchten Eintrags aus. zu der Sie navigieren wollen. indem Sie folgende Bedienungselemente verwenden: Abschnitt Hier wählen Sie das Protokoll aus.2 System Auf dieser Seite können Sie Sich verschiedene System-Protokolle ausgeben lassen. Aktualisieren Aktualisieren der Seite mit den eingestellten Werten. das Sie einsehen möchten. Filter Es werden nur Zeilen angezeigt. Gehe zur Seite Wählen Sie direkt die Seite aus.Konfiguration Schulrouter Plus 9. Protokolle 116 .

Konfiguration Schulrouter Plus 9. Export Hiermit können Sie die Anzeige in eine Textdatei exportieren. Protokolle 117 . zu der Sie navigieren wollen. die das hier eingegebene enthalten. Gehe zur Seite Wählen Sie direkt die Seite aus. Sie können nach Einträgen suchen indem Sie folgende Bedienungselemente verwenden: Filter Es werden nur Zeilen angezeigt. Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.3 Dienst In den Dienst-Protokollen können Sie die Protokolle der Dienste Einbruchsdetektierung. Aktualisieren Aktualisieren der Seite mit den eingestellten Werten. OpenVPN und Antivirus in deren Abschnitte ansehen. Gehe zum Datum Wählen Sie das Datum des gesuchten Eintrags aus.

4 Firewall Das Firewall-Protokoll zeigt Ihnen je nach Firewall-Log-Einstellung alle Pakete oder nur die blockierten Pakete.Konfiguration Schulrouter Plus 9. die die Firewall passiert haben. Die Bedienung entspricht der der Dienst-Protokolle. Protokolle 118 .

1 http Filter Es werden nur Zeilen angezeigt. Quell IP-Adresse Anzeige auf bestimmte Quell-IP beschränken. Gehe zur Seite Wählen Sie direkt die Seite aus. „Ignorieren“-Filter Zeilen. zu der Sie navigieren wollen. Die Standardeinstellung beinhaltet Bilder. Stylesheets und Javascript. “Ignorieren”-Filter ein Aktivieren Sie diese Einstellung. Gehe zum Datum Wählen Sie das Datum des gesuchten Eintrags aus.Konfiguration Schulrouter Plus 9. die das hier eingegebene enthalten. Voreinstellung wiederherstellen Dies stellt die Filter wieder her. um den „ignorieren-Filter“ zu nutzen. werden nicht angezeigt.5. die dies beinhalten. Protokolle 119 .5 Proxy 9.

Konfiguration Schulrouter Plus Aktualisieren Aktualisieren der Seite mit den eingestellten Werten. Export Hiermit können Sie die Anzeige in eine Textdatei exportieren. 9. 9.5.3 SIP Die Bedienung des SIP-Protokolls entspricht die der Dienst-Protokolle. Protokolle 120 .2 SMTP Die Bedienung des SMTP-Protokolls entspricht die der Dienst-Protokolle. Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.5.

Konfiguration Schulrouter Plus
9.6 Einstellungen

Auf dieser Seite können Sie die globalen Einstellungen der Protokoll-Ansicht setzen. Folgende Optionen können gesetzt werden: Anzahl der anzuzeigenden Zeilen Wie viele Zeilen sollen pro Seite angezeigt werden? In umgekehrter chronologischer Reihenfolge sortieren Hiermit werden die neuesten Einträge an oberster Stelle angezeigt. Zusammenfassungen aufheben für __ Tage Wie lange sollen die Protokolle gespeichert werden? Detaillierungsgrad Wie viele Details sollen in der Zusammenfassung ausgegeben werden? Aktiviert (Remote logging) Aktivieren Sie Remote logging, um die Protkolle zu einem anderen Syslog-Server zu senden. Syslog Server Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die aktuellsten IETF Syslog Protocol Standards unterstützen.

Protokolle

121

Konfiguration Schulrouter Plus
Syslog Server Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die aktuellsten IETF Syslog Protocol Standards unterstützen. Pakete mit verdächtigen TCP Flags protokollieren Wenn aktiviert, werden im Firewall-Protokoll ungewöhnliche TCP Flags protokolliert. Neue Verbindungen ohne SYN Flag protokollieren Wenn aktiviert, werden im Firewall-Protokoll neue TCP-Verbindungen ohne SYN Flag protokolliert. Alle akzeptierten ausgehenden Verbindungen protokollieren Wenn Sie auch alle Anfragen protokollieren wollen, die von der Firewall zugelassen wurden, aktivieren Sie diese Option. Abgewiesene Pakete protokollieren Wenn Sie die Anfragen protokollieren wollen, die von der Firewall abgelehnt wurden, aktivieren Sie diese Option.

Protokolle

122

Konfiguration Schulrouter Plus
10 Hauptmenü Schulfilter Plus

Über diesen Link können Sie das Cockpit des Schulfilter Plus direkt aufrufen.

11

Hauptmenü Logout

Hiermit melden Sie sich von der Schulrouter Plus-Konfigurationsoberfläche ab.

12
12.1

Anhang
Impressum

TIME for kids Informationstechnologien GmbH Gubener Straße 47 10243 Berlin Tel.: +49 (0)30 293 698 90 Fax: +49 (0)30 293 698 919 E-Mail: kontakt@time-for-kids.de WWW: www.time-for-kids.de Vertretungsberechtigte Personen: Marian Schroeder (Geschäftsführer) Jan Arne Schmock (Geschäftsführer) Verantwortlicher im Sinne von § 10 Abs. 3 des Mediendienste - Staatsvertrages: Marian Schroeder (Geschäftsführer) Jan Arne Schmock (Geschäftsführer) Registergericht: Berlin-Charlottenburg Registernummer: HRB 82365 Umsatzsteuer-ID gemäß § 27 a Umsatzsteuergesetz: 37/191/20440

123

welche sich auf Schäden materieller oder ideeller Art beziehen. die aus der Nutzung oder Nichtnutzung solcherart dargebotener Informationen entstehen. sind grundsätzlich ausgeschlossen. die Inhalte oder die Urheberschaft der gelinkten/verknüpften Seiten hat der Verfasser keinerlei Einfluss. 4. haftet allein der Anbieter der Seite. Deshalb distanziert er sich hiermit ausdrücklich von allen Inhalten aller gelinkten/ verknüpften Seiten. die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. Teile der Seiten oder das gesamte Werk ohne gesonderte Ankündigung zu verändern. Inhalt des Handbuchs Der Verfasser übernimmt keinerlei Gewähr für die Aktualität. Für illegale. fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden. dass Markenzeichen nicht durch Rechte Dritter geschützt sind! Alle anderen Handels. nicht derjenige. Urheber. Korrektheit. Rechtswirksamkeit dieses Haftungsausschlusses Sofern Teile oder einzelne Formulierungen dieses Dokumentes der geltenden Rechtslage nicht. durch Dritte geschützten Marken. Eine Vervielfältigung oder Verwendung solcher Grafiken und Texte in anderen elektronischen oder gedruckten Publikationen ist ohne ausdrückliche Zustimmung des Verfassers nicht gestattet. die nach der Linksetzung verändert wurden.Konfiguration Schulrouter Plus 12. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden. Verweise und Links Bei direkten oder indirekten Verweisen auf fremde Internetseiten (“Links”). auf welche verwiesen wurde. Der Verfasser erklärt hiermit ausdrücklich. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu ziehen. die Nutzung im Falle rechtswidriger Inhalte zu verhindern. Handelsnamen.und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitzrechten der jeweiligen eingetragenen Eigentümer. 3. bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer Gültigkeit davon unberührt. vom Verfasser selbst erstellte Objekte bleibt allein beim Verfasser der Seiten. in dem der Verfasser von den Inhalten Kenntnis hat und es ihm technisch möglich und zumutbar wäre. Auf die aktuelle und zukünftige Gestaltung. nicht mehr oder nicht vollständig entsprechen sollten. 124 . dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf den zu verlinkenden Seiten erkennbar waren. zu ergänzen oder die Veröffentlichung zeitweise oder endgültig einzustellen. Der Verfasser behält es sich ausdrücklich vor. Haftungsansprüche gegen den Verfasser. würde eine Haftungsverpflichtung ausschließlich in dem Fall in Kraft treten. sofern seitens des Verfassers kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. die außerhalb des Verantwortungsbereiches des Verfassers liegen. Das Copyright für veröffentlichte. Vollständigkeit oder Qualität der bereitgestellten Informationen. 2. Gerichtsstand ist Berlin.und Produktnamen sind Gebrauchsnamen.und Kennzeichenrecht Alle innerhalb des Dokumentes genannten und ggf. der über Links auf die jeweilige Veröffentlichung lediglich verweist. Warenbezeichnungen der entsprechenden Firmen.2 Haftungsausschluss 1.

You accept the license if you copy.2. either copied verbatim. (Thus. it can be used for any textual work. Any member of the public is a licensee. and is addressed as “you”. to use that work under the conditions stated herein. textbook. ethical or political position regarding them.) The relationship could be a matter of historical connection with the subject or with related matters.2002 Free Software Foundation. PREAMBLE The purpose of this License is to make a manual. in the notice that says that the Document is released under this License. if the Document is in part a textbook of mathematics. that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. regardless of subject matter or whether it is published as a printed book. 51 Franklin St. with or without modifying it. Boston. But this License is not limited to software manuals. This License is a kind of “copyleft”. a Secondary Section may not explain any mathematics. commercial. either commercially or noncommercially. 0. which means that derivative works of the document must themselves be free in the same sense.3 GNU Free Documentation License Version 1. MA 02110-1301 USA Everyone is permitted to copy and distribute verbatim copies of this license document. November 2002 Copyright (C) 2000.2001. because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. in any medium. or other functional and useful document “free” in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it. The “Invariant Sections” are certain Secondary Sections whose titles are designated.Konfiguration Schulrouter Plus 12. We recommend this License principally for works whose purpose is instruction or reference. while not being considered responsible for modifications made by others. this License preserves for the author and publisher a way to get credit for their work. unlimited in duration. but changing it is not allowed. royalty-free license. A “Secondary Section” is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document’s overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. or with modifications and/or translated into another language. refers to any such manual or work. below. The “Document”. Secondarily. as being those of Invariant Sections. or of legal. 1. philosophical. APPLICABILITY AND DEFINITIONS This License applies to any manual or other work. It complements the GNU General Public License. Such a notice grants a world-wide. which is a copyleft license designed for free software. A “Modified Version” of the Document means any work containing the Document or a portion of it. If a section does not fit the 125 . Inc. Fifth Floor. modify or distribute the work in a way requiring permission under copyright law. We have designed this License in order to use it for manuals for free software.

A copy made in an otherwise Transparent file format whose markup. and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. legibly. SGML or XML using a publicly available DTD. and the machine-generated HTML. If you distribute a large enough number of copies you must also follow the conditions in section 3. provided that this License. These Warranty Disclaimers are considered to be included by reference in this License. XCF and JPG. preceding the beginning of the body of the text. and that you add no other conditions whatsoever to those of this License. For works in formats which do not have any title page as such. the title page itself. 2. PostScript or PDF produced by some word processors for output purposes only. PostScript or PDF designed for human modification. If the Document does not identify any Invariant Sections then there are none. represented in a format whose specification is available to the general public. and a Back-Cover Text may be at most 25 words. (Here XYZ stands for a specific section name mentioned below. 126 . such as “Acknowledgements”. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors. but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License. either commercially or noncommercially. you may accept compensation in exchange for copies. has been arranged to thwart or discourage subsequent modification by readers is not Transparent. VERBATIM COPYING You may copy and distribute the Document in any medium. in the notice that says that the Document is released under this License. plus such following pages as are needed to hold. the copyright notices.Konfiguration Schulrouter Plus above definition of Secondary then it is not allowed to be designated as Invariant. “Endorsements”. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. SGML or XML for which the DTD and/or processing tools are not generally available. A section “Entitled XYZ” means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor. and standard-conforming simple HTML. “Dedications”. The “Cover Texts” are certain short passages of text that are listed. and the license notice saying this License applies to the Document are reproduced in all copies. the material this License requires to appear in the title page. or absence of markup. The “Title Page” means. The Document may contain zero Invariant Sections. Examples of suitable formats for Transparent copies include plain ASCII without markup. A copy that is not “Transparent” is called “Opaque”. An image format is not Transparent if used for any substantial amount of text. as Front-Cover Texts or Back-Cover Texts. “Title Page” means the text near the most prominent appearance of the work’s title. for a printed book.) To “Preserve the Title” of such a section when you modify the Document means that it remains a section “Entitled XYZ” according to this definition. However. Texinfo input format. A “Transparent” copy of the Document means a machine-readable copy. LaTeX input format. A Front-Cover Text may be at most 5 words. or “History”. Examples of transparent image formats include PNG.

Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document’s license notice. when you begin distribution of Opaque copies in quantity. to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. and from those of previous versions (which should. and add to it an item stating at least the title. unless they release you from this requirement. provided that you release the Modified Version under precisely this License. but not required. Preserve the section Entitled “History”. you must enclose the copies in covers that carry. State on the Title page the name of the publisher of the Modified Version. E. that you contact the authors of the Document well before redistributing any large number of copies. in the form shown in the Addendum below. a license notice giving the public permission to use the Modified Version under the terms of this License. year. together with at least five of the principal authors of the Document (all of its principal authors. as authors. if any) a title distinct from that of the Document. B. you must either include a machine-readable Transparent copy along with each Opaque copy. with the Modified Version filling the role of the Document. List on the Title Page. Include an unaltered copy of this License. can be treated as verbatim copying in other respects. and continue the rest onto adjacent pages. you must take reasonably prudent steps. C. It is requested. and you may publicly display copies. as the publisher. Preserve all the copyright notices of the Document. and the Document’s license notice requires Cover Texts. and Back-Cover Texts on the back cover. Preserve its Title. one or more persons or entities responsible for authorship of the modifications in the Modified Version. If you use the latter option. clearly and legibly. MODIFICATIONS You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above. to give them a chance to provide you with an updated version of the Document. If there is no section Entitled 127 . if there were any. Use in the Title Page (and on the covers. The front cover must present the full title with all words of the title equally prominent and visible. you must do these things in the Modified Version: A. 3. be listed in the History section of the Document). You may add other material on the covers in addition. under the same conditions stated above. or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. free of added material. Include. I. In addition. H. If you publish or distribute Opaque copies of the Document numbering more than 100. and publisher of the Modified Version as given on the Title Page. numbering more than 100. Copying with changes limited to the covers. immediately after the copyright notices. COPYING IN QUANTITY If you publish printed copies (or copies in media that commonly have printed covers) of the Document. D. If the required texts for either cover are too voluminous to fit legibly. if it has fewer than five). all these Cover Texts: Front-Cover Texts on the front cover. Both covers must also clearly and legibly identify you as the publisher of these copies.Konfiguration Schulrouter Plus You may also lend copies. new authors. you should put the first ones listed (as many as fit reasonably) on the actual cover. 4. thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. G. as long as they preserve the title of the Document and satisfy these conditions. You may use the same title as a previous version if the original publisher of that version gives permission. F.

Konfiguration Schulrouter Plus “History” in the Document. Do not retitle any existing section to be Entitled “Endorsements” or to conflict in title with any Invariant Section. Preserve the network location. O. Delete any section Entitled “Endorsements”. and that you preserve all their Warranty Disclaimers. If there are multiple Invariant Sections with the same name but different contents. the name of the original author or publisher of that section if known. Preserve all the Invariant Sections of the Document. you may at your option designate some or all of these sections as invariant. you may not add another. on explicit permission from the previous publisher that added the old one. year. J. previously added by you or by arrangement made by the same entity you are acting on behalf of. and multiple identical Invariant Sections may be replaced with a single copy. These may be placed in the “History” section. COMBINING DOCUMENTS You may combine the Document with other documents released under this License. You may add a passage of up to five words as a Front-Cover Text. make the title of each such section unique by adding at the end of it. and likewise the network locations given in the Document for previous versions it was based on. You may add a section Entitled “Endorsements”. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. Such a section may not be included in the Modified Version. For any section Entitled “Acknowledgements” or “Dedications”. These titles must be distinct from any other section titles. or if the original publisher of the version it refers to gives permission. to the end of the list of Cover Texts in the Modified Version. N. M. given in the Document for public access to a Transparent copy of the Document. Section numbers or the equivalent are not considered part of the section titles. and a passage of up to 25 words as a Back-Cover Text. provided it contains nothing but endorsements of your Modified Version by various parties--for example. or else a unique number. The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version. 5. In the combination. provided that you include in the combination all of the Invariant Sections of all of the original documents. add their titles to the list of Invariant Sections in the Modified Version’s license notice. K. likewise combine any sections Entitled “Acknowledgements”. and any 128 . authors. The combined work need only contain one copy of this License. and list them all as Invariant Sections of your combined work in its license notice. if any. then add an item describing the Modified Version as stated in the previous sentence. If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document. Preserve the Title of the section. create one stating the title. You may omit a network location for a work that was published at least four years before the Document itself. statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard. but you may replace the old one. L. Preserve any Warranty Disclaimers. and publisher of the Document as given on its Title Page. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work. you must combine any sections Entitled “History” in the various original documents. If the Document already includes a cover text for the same cover. unmodified. in parentheses. under the terms defined in section 4 above for modified versions. unaltered in their text and in their titles. forming one section Entitled “History”. To do this.

so you may distribute translations of the Document under the terms of section 4. COLLECTIONS OF DOCUMENTS You may make a collection consisting of the Document and other documents released under this License. You may extract a single document from such a collection. However. parties who have received copies. “Dedications”. TRANSLATION Translation is considered a kind of modification. provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects. and follow this License in all other respects regarding verbatim copying of that document. or “History”. then if the Document is less than one half of the entire aggregate. and will automatically terminate your rights under this License. and any Warranty Disclaimers. this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document. and distribute it individually under this License. but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. from you under this License will not have their licenses terminated so long as such parties remain in full compliance. If the Cover Text requirement of section 3 is applicable to these copies of the Document. provided you insert a copy of this License into the extracted document. or the electronic equivalent of covers if the Document is in electronic form. 9. 8. the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title. modify. Such new versions will be similar in spirit to the present version.” 6. or distribute the Document except as expressly provided for under this License. Otherwise they must appear on printed covers that bracket the whole aggregate. provided that you also include the original English version of this License and the original versions of those notices and disclaimers. sublicense or distribute the Document is void. You must delete all sections Entitled “Endorsements. AGGREGATION WITH INDEPENDENT WORKS A compilation of the Document or its derivatives with other separate and independent documents or works. and all the license notices in the Document. revised versions of the GNU Free Documentation License from time to time. You may include a translation of this License. sublicense. the original version will prevail. modify. Replacing Invariant Sections with translations requires special permission from their copyright holders. or rights. TERMINATION You may not copy. If a section in the Document is Entitled “Acknowledgements”. FUTURE REVISIONS OF THIS LICENSE The Free Software Foundation may publish new.Konfiguration Schulrouter Plus sections Entitled “Dedications”. and replace the individual copies of this License in the various documents with a single copy that is included in the collection. 10. in or on a volume of a storage or distribution medium. 7. Any other attempt to copy. the Document’s Cover Texts may be placed on covers that bracket the Document within the aggregate. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer. is called an “aggregate” if the copyright resulting from the compilation is not used to limit the legal rights of the compilation’s users beyond what the individual works permit. When the Document is included in an aggregate. but may differ in detail to address 129 .

org/copyleft/.Konfiguration Schulrouter Plus new problems or concerns. you may choose any version ever published (not as a draft) by the Free Software Foundation. you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. Each version of the License is given a distinguishing version number. 130 .gnu. If the Document specifies that a particular numbered version of this License “or any later version” applies to it. If the Document does not specify a version number of this License. See http://www.

Sign up to vote on this title
UsefulNot useful