Schulrouter Plus

 030 293 69 89 0  kontakt@time-for-kids.de  www.time-for-kids.de
TI M E for kids
Kurzanleitung Handbuch Handbuch
a Schulrouter Plus
a Schulrouter Plus
a Schulflter Plus
Handbuch
a Antivirus Plus
Handbuch
Version: 1.0.1
Stand: November 2009
Handbuch Schulrouter Plus TI M E for kids
Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung
geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden.
TIME for kids Schulrouter Plus und TIME for kids Schulflter Plus sind Markenzeichen der
TIME for kids Informationstechnologien GmbH.
Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General
Public License (http://www.gnu.org/licenses/gpl.html) distributiert.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU
Free Documentation License, Version 1.2 or any later version published by the Free Software Founda-
tion; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled >GNU Free Documentation License<.
© 2009 TIME for kids Informationstechnologien GmbH.
Gubener Str. 47, 10243 Berlin
www.time-for-kids.de
Handbuch Schulrouter Plus Handbuch Schulrouter Plus TI M E for kids
ÌNHALTSVERZEÌCHNÌS
1 Einleitung 7
1.1 DasSchulrouterPlusKonzept 7
1.2 DasHandbuch 7
1.3 EffektiveNutzungdesHandbuches 8
1.3.1 Szenario1–VorkonfgurierterSchulrouterPlus 8
1.3.2 Szenario2–GrundkonfgurationdesSchulrouterPlusinEigen-regie 8
1.3.3 Szenario3–BesondereZusatzeinstellungendesSchulrouterPlusvornehmen 9
1.4 Orientierungshilfe 10
1.4.1 WasmachteinRouter? 10
1.4.2 UnterschiedDSL-Modem/Router 10
1.5 IntegrationinsSchulnetzwerk 11
1.5.1 BenötigteNetzwerkinformationen 11
1.5.2 Grundszenario 11
1.5.3 Netzwerksegmentierung 12
1.5.4 KombinationmitanderenServerdienstenimNetzwerk 13
1.5.5 Client-PCskonfgurieren 13
1.6 SchulflterPluskonfgureieren 14
1.7 DasSchulflterPlusCockpit 15
2 HauptmenüSystem 17
2.1 Startseite 17
2.2 Updates 19
2.3 Passwörter 20
2.4 Fernwartung/Support 21
2.5 Benutzeroberfäche 22
2.6 Datensicherung 23
2.7 Herunterfahren 25
3 HauptmenüStatus 26
3.1 System-Status 26
3.2 Netzwerkstatus 27
3.3 Systemdiagramm 28
Handbuch Schulrouter Plus TI M E for kids
3.4 Netzwerkdiagramme 29
3.5 Proxydiagramme 30
3.6 Verbindungen 31
3.7 OpenVPNVerbindungen 31
3.8 SMTPMailstatistik 31
3.9 Email-Warteschlange 31
4 HauptmenüNetzwerk 32
4.1 Netzwerkkonfguration 32
4.2 Hostbearbeiten 37
4.3 Routing 38
4.4 Internet/WAN 39
5 HauptmenüDienste 40
5.1 DHCPServer 40
5.2 DynamischerDNS 45
5.3 Antivirus 47
5.4 Zeitserver 49
5.5 Traffcshaping 50
5.6 SpamTraining 52
5.7 Einbruchdetektierung 54
5.8 Datenverkehrsüberwachung 55
6 HauptmenüFirewall 56
6.1 Portweiterleitung/NAT 56
6.1.1 Portweiterleitung 56
6.1.2 SourceNAT 58
6.2 AusgehenderDatenverkehr 60
6.3 InternerDatenverkehr 63
6.4 Systemzugriffe 64
7 HauptmenüProxy 66
7.1 HTTP 66
7.1.1 Konfguration 66
7.1.1.1 ErlaubtePortsundSSlPorts 68
7.1.1.2 Log-Einstellungen 68
7.1.1.3 ErlaubteSubnetzeproZone 69
7.1.1.4 InternerDatenverkehr 69
Handbuch Schulrouter Plus Handbuch Schulrouter Plus TI M E for kids
7.1.1.5 Umgehung/AusgeschlosseneQuellenundZiele 70
7.1.1.6 CacheVerwaltung 70
7.1.1.7 VorgelagerterProxy 71
7.1.2 Authentifzierung 72
7.1.2.1 LokaleAuthentifzierung 74
7.1.2.1.1Benutzerverwaltung 74
7.1.2.2LDAP 75
7.1.2.3Windows 76
7.1.2.4Radius 77
7.1.3 Standardrichtlinie 78
7.1.4 Antivirus 80
7.1.5 Gruppenregeln 81
7.2 POP3 82
7.2.1 GlobaleEinstellungen 82
7.2.2 SpamFilter 83
7.3 FTP 84
7.4 SMTP 85
7.4.1 Hauptseite 85
7.4.2 Antivirus 87
7.4.3 Spam 88
7.4.4 Dateierweiterungen 90
7.4.5 Blacklist-Whitelist 91
7.4.6 Domains 93
7.4.7 Mailrouting 94
7.4.8 Erweitert 95
7.5 DNS 98
7.5.1 DNSProxy 98
7.5.2 BenutzerdefnierterNameserver 98
7.5.3 Anti-Spyware 99
8 HauptmenüVPN 100
8.1 OpenVPNServer 103
8.1.1 Serverkonfguration 103
8.1.2 Konten 104
8.1.3 Erweitert 106
Handbuch Schulrouter Plus TI M E for kids
8.2 OpenVPNClient(Gw2Gw) 108
8.3 IPSec 110
9 HauptmenüProtokolle 115
9.1 Zusammenfassung 115
9.2 System 116
9.3 Dienst 117
9.4 Firewall 118
9.5 Proxy 119
9.5.1 http 119
9.5.2 SMTP 120
9.5.3 SIP 120
9.6 Einstellungen 121
10 HauptmenüSchulflterPlus 123
11 HauptmenüLogout 123
12 Anhang 123
12.1 Impressum 123
12.2 Haftungsausschluss 124
12.3 GNUFreeDocumentationLicense 125
Handbuch Schulrouter Plus
7
Konfiguration Schulrouter Plus

Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu
konfgurieren. Folgende Darstellungskonventionen wurden vorgenommen, um Ihnen dies zu erleich-
tern. Wenn Sie einmal nicht weiter wissen, können Sie gern unser Service-Center für Schulen kontak-
tieren. http://support.time-for-kids.de
Textmarkierungen: Symbole:

Verweis auf externe Quelle
>Verweis auf anderen Bereich im Handbuch<
B e f e h l s e i n g a b e
Webseite / Link
AUFFORDERUNG ZUM TASTENDRUCK
1 Einleitung
1.1 Das Schulrouter Plus Konzept

Der Schulrouter Plus mit integriertem Schulflter Plus und Antivirus Plus ist die Basis für alle Schul-
netzwerke. Er ist sowohl für kleine, mittlere und große Schulen mit ihren unterschiedlichen Anforder-
ungen geeignet. Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini, Classic und BIG eine
skalierbare Hardwarebasis. Die Software-Basis und die Bedieneroberfächen sind bei allen Schulrouter
Plus Modellen gleich. Die Konfguration des Schulrouter Plus erfolgt über das so genannte Cockpit,
eine webbasierte Bedieneroberfäche. Diese bietet hauptsächlich Rechte und Funktionen für den
Administrator.
Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste. Bitte prüfen Sie vor der
Einrichtung, ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und
ggf. durch den Schulrouter Plus ersetzt werden können. Dies kann zu einer Optimierung und einer
Kostenreduktion in der Schule führen.
Im Schulrouter Plus sind der Schulflter Plus und der Antivirus Plus integriert und können sofort verwendet
werden. Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden Handbücher oder
wenden sie sich an das TIME for kids Service-Center für Schulen.
Die TIME for kids Produkte Schulrouter Plus, Schulflter Plus und Antivirus Plus passen sich hervorra-
gend in jedes Betriebs- und Servicekonzept ein. Der Administrator der Schule kann ganz oder teilweise
Aufgaben auf andere Service Partner delegieren.
Das webbasierte TIME for kids Service-Center bietet Servicepartnern wie Schulträgern, Medienzentren,
Kommunalen-Rechenzentren und IT-Dienstleistern vor Ort für die Betreuung einer Vielzahl von Schulen mit
dem Schulrouter Plus eine Managementoberfäche für das Monitoring und die Fernwartung. Alle Akteure
können entsprechend ihrem Service-Level-Auftrag Rechte erhalten.
Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs- und Servicekonzeptes.
1.2 Das Handbuch
Wichtige Information
Warnhinweis !
ê
i
8
Konfiguration Schulrouter Plus
1.3 Effektive Nutzung des Handbuches
Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches
beschrieben. Bitte schauen Sie sich die Szenarien an und entscheiden dann, welcher Teil des Hand-
buches für Sie relevant ist.
1.3.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus
TIME for kids stellt für Sie einen besonderen Service bereit. Ihr Schulrouter Plus kann für Ihre Netz-
werksituation vorkonfguriert werden. Der besondere Vorteil besteht darin, dass Sie den Schulrouter
Plus nach der Lieferung nur noch mit dem Strom- und Schulnetz sowie dem DSL-Modem verbinden
müssen um eine Arbeitsfähigkeit herzustellen.
In diesem Handbuch sind nach einer Vorkonfguration für Sie nur noch die kurzen Kapitel 1.4, 1.5 und
1.6 relevant (Umfang: ca. 4 Seiten). Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur
notwendig, wenn Sie weitere tiefergehende Einstellungen vornehmen möchten.
Um einen Vorkonfgurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor:
Schulrouter Plus bei TIME for kids bestellen
Über die Webseite www.schulrouterplus.de/vorkonfguration Ihre Konfgurationsdaten an
TIME for kids übermitteln.
Gelieferten, vorkonfgurierten Schulrouter Plus auspacken und anschließen, siehe Aufauanlei
tung im Karton.
1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie
Sollten Sie den Vorkonfgurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind
für die Grundkonfguration des Schulrouter Plus in diesem Handbuch die Kapitel 1,4, und 7.1 relevant
(Umfang ca. 31 Seiten).
Um den Schulrouter Plus zu erhalten und zu konfgurieren gehen sie wie folgt vor:
Schulrouter Plus bei TIME for kids bestellen
Gelieferten Schulrouter Plus auspacken und anschließen, siehe Aufauanleitung im Karton.
Handbuch studieren, Kapitel 1,4,7.1
Grundkonfguration des Schulrouter Plus vornehmen
Konfiguration Schulrouter Plus
9
Konfiguration Schulrouter Plus
1.3.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen
Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere
Nut-zung des Internets in Ihrer Schule.
Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen
empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca. 100 Seiten). Gern können
Sie auch die Hilfe unseres Service-Center für Schulen in Anspruch nehmen.
10
Konfiguration Schulrouter Plus
Ein Router ist ein Gerät, das mehrere Netzwerke koppelt. Das bedeutet, bei ihm eintrefende Netzwerk-
Pakete eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet),
also bspw. von einem internen Schulnetz ins Internet. Der TIME for kids Schulrouter Plus übernimmt
zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste, siehe Punkt 1.5.3.
Das DSL-Modem, im Fachjargon „NTBBA“ ist ein Modem zur Übertragung von Daten über eine
DSL-Leitung. Das DSL-Modem bildet den Netzabschluss für die DSL-Leitung. DSL-Modems können
direkt an einen PC (z.B. per USB), oder an ein Netzwerk (mit einem Router) angeschlossen werden.
Heutzutage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft.
Im Nachfolgenden einige optische Beispiele.
Router
DSL-Modem und Router im Vergleich
1.4.1 Was macht ein Router?
1.4.2 Unterschied DSL-Modem/Router
1.4 Orientierungshilfe
DSL-Modem
Konfiguration Schulrouter Plus
11
Konfiguration Schulrouter Plus
1.5 Integration ins Schulnetzwerk
Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfgurierten Schulrouter
Plus oder folgende Daten und Kenntnisse Ihres Netzwerks:
Internet-Zugangsdaten
Informationen über bestehende Netzwerke
IP-Adress-Bereiche der internen Netze
Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt?
Wie sind die Client-PCs konfguriert? Ist eventuell schon ein Proxy eingestellt?
Active Directory-Einstellungen, sowie Administrator-Zugang (optional)

Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem, er übernimmt dann auch
die Einwahl. Haben Sie bereits einen Router in Betrieb, können Sie den Schulrouter Plus auch an Ihren
Router anschließen und die Einwahl Ihrem Router überlassen. In den meisten Fällen kann auf den
vorhandenen Router verzichtet werden.
Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke:
Über die rote Schnittstelle wird nach außen der Gefahrenbereich, also das Internet, eingebun
den. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen, muss
eine freie Schnittstelle entsprechend um konfguriert werden. Lesen Sie hierzu bitte das
Kapitel 4.4
Das grüne Netz repräsentiert Ihr erstes Netzwerk, das im Normalfall die Schüler-PCs bein-haltet.

Mit dem blauen Netz können Sie bspw. Ihre Verwaltung (und somit kritische Daten) von dem
Schüler-Netz trennen.
Das orange Netz steht zur freien Verfügung, z.B. für eine DMZ oder ein weiteres Netz.
Alle Netze sind komplett voneinander getrennt und können sich nicht sehen. Daher müssen
auch alle Netze unterschiedliche IP-Adress-Bereiche besitzen!
1.5.1 Benötigte Netzwerkinformationen
1.5.2 Grundszenario
12
Konfiguration Schulrouter Plus
Schaubild Schulrouter Plus – Einordnung im Netzwerk
Wie in Punkt 1.5.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen,
somit muss auch das Netzwerk darauf abgestimmt sein, dass PCs nicht auf Server in einem anderen
Netzwerk zugreifen können.
Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden, der
sich im Schüler-Netz befndet.
In solchen Fälle ist zu überlegen, ob diese Konstellation erhalten bleiben muss. Die Firewall des
Schulrouter Plus kann so konfguriert werden, dass ein eingeschränkter Zugrif auf spezifsche
Ressourcen zwischen den Netzen möglich wird.
1.5.3 Netzwerksegmentierung
Konfiguration Schulrouter Plus
13
Konfiguration Schulrouter Plus
Der Schulrouter Plus stellt unter Anderem folgende Serverdienste zur Verfügung:
Proxy
Internetflter (Schulflter Plus)
DHCP
DNS
VPN
Firewall
AntiSpam
Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus
ersetzt werden.
Weiterhin ist darauf zu achten, dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchti-
gen, z.B. ein zweiter DHCP-Server mit anderen Einstellungen.

Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. Ihren
vorgelagerten Router mit der roten Schnittstelle, sowie einen PC (oder Ihr Netzwerk) mit der grünen
Schnittstelle verbunden haben (siehe Markierungen auf der Rückseite des Gerätes).
Bei Ihren, an den Schulrouter Plus angeschlossenen, Client-PCs müssen Sie darauf achten, dass
folgende Einstellungen getätigt werden:
In den benutzten Browsern darf kein Proxy eingestellt sein:
Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras ’ Internetoptionen ’ Reiter
„Verbindungen“ ’ Button „LAN-Einstellungen“ ’ die Elemente unter Proxyserver sind ausgegraut
Die entsprechende IP des Schulrouter Plus (im grünen Netz, die der Schnittstelle Grün) ist als
Stan-dardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfguration das vorsieht) oder auf
“IP-Adresse automatisch beziehen” gesetzt.

1.5.4 Kombination mit anderen Serverdiensten im Netzwerk
1.5.5 Client-PCs konfigurieren
14
Konfiguration Schulrouter Plus
Screenshot - IP Einstellungen am Client
Ihr Schulrouter Plus ist jetzt einsatzfähig. Wenn Sie mit einem Schüler-PC im Internet surfen greift
bereits ein voreingestellter Grundschutz. Um den integrierten Schulflter Plus an Ihre Bedürfnisse
anzupassen, benutzen Sie die Weboberfäche (Cockpit) des Schulflter Plus. Dieses erreichen Sie
entweder über den Link im Menü des Schulrouter Plus oder über die Adresse
http://RouterIP:83
Das Handbuch zum Schulflter Plus fnden Sie separat auf unserer Support-Seite
http://support.time-for-kids.de
1.6 Schulfilter Plus konfigureieren
Konfiguration Schulrouter Plus
15
Konfiguration Schulrouter Plus

Die Konfguration des Schulrouter Plus nehmen Sie über das so genannte Cockpit, eine webbasierte
Bedienoberfäche, vor.
Um das Cockpit zu erreichen schließen Sie mindestens einen PC an die GRÜNE LAN-Schnittstelle des
Schulrouter Plus an.


Der angeschlossene PC muss so konfguriert sein, dass er seine IP-Adresse per DHCP
automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes
befndet. Die Grundkonfguration entnehmen Sie bitte dem Beipackzettel im Karton

Jetzt können Sie das Cockpit über die Eingabe h T T p : // R O UT E R I p : 8 1 in einem Internetbrowser
auf Ihrem PC erreichen. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht. Ihr
Internet-Browser wird Sie über unsignierte Sicherheitszertifkate informieren und zur Bestätigung
aufordern. Dies können Sie ohne Bedenken bestätigen.
Sie werden nun aufgefordert sich mit einem Benutzeraccount und einem Passwort anzumelden.
Verwenden Sie hierfür „tfadmin“ als Benutzername und Passwort. Nach dem erfolgreichen Login
sollten Sie das Passwort sofort ändern (>siehe Kapitel 2.3 Passwörter<).
Das Schulrouter Plus Cockpit gliedert sich in drei Teile:
1. Hauptmenü
2. Untermenü zum jeweiligen Hauptmenü
3. Konfgurationsseiten
!
ê
1.7 Das Schulfilter Plus Cockpit
16
Konfiguration Schulrouter Plus
Generell sollten Sie bei größeren Veränderungen der Konfguration immer eine Datensicherung
vornehmen, um die Möglichkeit zu besitzen den Schulrouter Plus ggf. wieder auf einen vorherigen
Konfgurationsstand zu bringen.
Bei einigen Konfgurationen wird nach der Speicherung der Einstellungen ein Neustart der entsprechenden
Dienste durchgeführt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.
Die Konfgurationsseiten des Cockpits enthalten folgende Standardelemente, welche Sie für die
Bedienung benötigen:

Auswahl/ Bestätigung
(aktiviert/ deaktiviert)
Exportieren
Löschen
Wiederherstellen
Hinzufügen/ Erstellen
Verbindung testen
Editieren
Erweitern/ Öfnen
Minimieren/ Schließen
Verschieben/ Reihenfolge ändern
Firewall akzeptiert
Firewall anhalten
Firewall verwerfen
Verweigert
Info
Warnung
Tipp
Speicher-Button o.ä. sind
entsprechend gekennzeichnet
Konfiguration Schulrouter Plus
17
Konfiguration Schulrouter Plus
System
2 Hauptmenü System
2.1 Startseite

Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk).
Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung
angezeigt. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen
„Primäre WAN-Verbin-dung“.
Stati der Verbindungen:
“Angehalten”
Es besteht keine Onlineverbindung.
“Baue Verbindung auf.”
Die Verbindung wird gerade hergestellt.
“Verbunden”
Die Verbindung ist erfolgreich aufgebaut.
“Beende Verbindung.”
Die Verbindung wird getrennt.
“Fehler”
Es gibt einen Fehler beim Verbindungsaufau.
18
Konfiguration Schulrouter Plus
System

“Wiederverbindungs Timeout”
Es gab einen Fehler beim Wiederherstellen der Verbindung. Es wird weiter versucht.
“Verbindung unterbrochen”
Die Verbindung ist zwar hergestellt, aber der Host, der zur Überprüfung defniert ist, ist nicht
erreichbar. Das heißt normalerweise, dass die Verbindung nicht zu nutzen ist.
Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. Im Modus
“Verwaltet” überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbind-
ung automatisch wieder her. Wird der Modus “Verwaltet” deaktiviert, kann die Verbindung manuell
her-gestellt oder getrennt werden. Es wird kein automatischer Wiederaufau der Verbindung
eingeleitet, wenn die Verbindung getrennt wird.
Konfiguration Schulrouter Plus
19
Konfiguration Schulrouter Plus
System
2.2 Updates
Der Bereich Updates ist in drei Abschnitte aufgeteilt:
Automatische Updates
Im ersten Abschnitt haben Sie die Möglichkeit automatische Updates zu aktivieren.
Rechts wird automatisch der nächste freie Update-Zeitpunkt angezeigt. Durch das klicken auf den
Button NEU GENE-RIEREN wird ein neuer Zeitpunkt berechnet.
Verfügbare Updates
Jedes Mal, wenn die Seite Update aufgerufen wird, wird die Verfügbarkeit neuer Updates
überprüft. Neu verfügbare Updates werden mit einer kurzen Beschreibung angezeigt. Um ein Update
auszuführen, klicken Sie auf den Button hERUNTERlADEN UND INSTAllIEREN, der dann verfügbar
ist. Das Update wird heruntergeladen und sofort ausgeführt. Sie können außerdem alle verfügbaren
Updates hintereinander installieren, indem Sie den Button AllE UpDATES hERUNTERlADEN UND
INSTAllIEREN anklicken.
Installierte Updates
Nachdem ein Update installiert wurde, wird hier der entsprechende Eintrag ergänzt. Durch Klicken auf
den Button UpDATE DEINSTAllIEREN können Sie das letzte Update rückgängig machen.
Nur ofzielle Schulrouter-Updates werden auf dem Schulrouter Plus installiert. Einige
Updates führen einen automatischen Neustart des Schulrouter aus. Lesen Sie
deshalb bitte alle Update-Informationen, bevor Sie ein Update installieren und lassen Sie die
Updates nur in Zeiten ausführen, in denen es zu keiner Betriebsstörung kommen kann.
i
20
Konfiguration Schulrouter Plus
System
2.3 Passwörter
Passwörter ändern
Sie können hier jedes Passwort für sich ändern. Geben Sie jedes neue Passwort zweimal ein und
drücken auf pASSwORT äNDERN. Die Passwörter folgender Benutzer können verändert werden:
admin
Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf.
root
Der Benutzer, der sich auf der Linux-Konsole anmelden kann.
Konfiguration Schulrouter Plus
21
Konfiguration Schulrouter Plus
System
Zugangseinstellung
Auf der Seite Fernwartung/ Support können Sie festlegen, ob ein gesicherter Fernzugrif für den
Schulrouter Plus möglich sein soll oder nicht. Außerdem können Sie hier weitere Parameter für den
Fernzugrif-Prozess konfgurieren.
Folgende Optionen können über diese Seite konfguriert werden:
Fernwartung/ Support
Das Einschalten aktiviert den SSH-Zugrif. Wenn der externe Systemzugrif
(siehe Kapitel >6.4 Systemzugrife<) nicht aktiviert ist, ist SSH nur über das grüne Netzwerk
erreichbar. Mit aktiviertem SSH-Zugrif kann sich jeder, der das root-Passwort kennt, auf der
Kommandozeile anmelden.
Unterstützung für Version 1 des SSH-Protokolls:
Diese Option aktiviert die Unterstützung der Version 1 des SSH-Protokolls. Von der Verwenung
dieser Option wird dringend abgeraten, da bekannte Sicherheitslücken der Version 1
existieren.
Erlaube TCP Weiterleitung
Diese Option ermöglicht es, SSH-verschlüsselte Tunnelverbindungen aufzubauen.
2.4 Fernwartung / Support
22
Konfiguration Schulrouter Plus
System
2.5 Benutzeroberfläche
Einstellungen
Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen.
Folgende Optionen können über diese Seite konfguriert werden:
Wählen Sie Ihre Sprache
Über dieses Drop-Down-Menü können Sie eine Sprache wählen, mit der die Seiten des
Schulrouter Plus Cockpits dargestellt werden.
Hostname im Fenstertitel anzeigen:
Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. Dies kann
hilfreich sein, wenn Sie mehr als einen Schulrouter Plus administrieren.
Passwortbasierte Authentifzierung zulassen
Diese Option ermöglicht es Benutzern, sich beim Schulrouter Plus mittels des root-Passworts
anzumelden. Wenn Sie diese Option ausschalten, müssen Sie zunächst Ihre SSH Schlüssel-
dateien konfgurieren und sicherstellen, dass Sie sich mit den Schlüsseldateien einloggen
können.

Authentifzierung auf Basis öfentlicher Schlüssel zulassen
Mit dieser Option wird die Authentifzierung auf Basis öfentlicher Schlüssel zugelassen. Dies
ist die bevorzugte Methode, den SSH-Zugrif auf dem Schulrouter Plus abzusichern.

SSH Host Schlüssel
Dieser Abschnitt listet die Fingerabdrücke der von Schulrouter Plus verwendeten SSH-Schlüssel auf, die
Sie verwenden können, um eine SSH-Verbindung mit dem Schulrouter Plus zu verifzieren. Wenn Sie
das erste Mal eine SSH-Verbindung zum Schulrouter Plus erstellen, wird der Fingerabdruck angezeigt,
und Sie werden aufgefordert, die Korrektheit zu bestätigen. Sie können den angezeigten Schlüssel mit
der Darstellung auf dieser Seite vergleichen.
Konfiguration Schulrouter Plus
23
Konfiguration Schulrouter Plus
System
In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten
Datensicherung zurückspringen. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert
und können auf Ihren Computer heruntergeladen werden. Es ist auch möglich, die Konfguration auf
einen Wiederherstellungspunkt zurück zu setzen und regelmäßig automatisierte Datensicherungen
durchzuführen.
Folgende Optionen können über diese Seite konfguriert werden:
Datensicherungssätze
Beim Klicken auf NEUE DATENSIChERUNG DURChFühREN öfnet sich ein Dialog zur Konfguration
der geplanten Datensicherung:
Konfguration einschließen
Schließt alle Einstellungen mit ein.
Konfguration und Datenbankinhalt einschließen
Schließt zusätzlich alle Datenbankinhalte mit ein.
2.6 Datensicherung
24
Konfiguration Schulrouter Plus
System
Logs aufnehmen
Schließt die aktuellen Protokolle mit ein.
Log Archive aufnehmen
Schließt ältere Protokolle mit ein. Diese Einstellung kann den Umfang der Datensicherungs-
menge stark erhöhen.
Anmerkung
Hier kann ein zusätzlicher Kommentar hinterlassen werden.
Klicken Sie auf BACKUp ERZEUGEN um die Datensicherung mit den oben gemachten Einstellungen zu
erzeugen.
In der Liste der vorhandenen Datensicherungen können Sie, durch einen Klick auf das entsprechende
ICON auf der rechten Seite, ausgewählte Datensicherungen herunterladen, löschen oder wieder-
herstellen. Jede Datensicherung ist mit einer Markierung versehen:
S: Einstellungen. Die Datensicherung beinhaltet alle Einstellungen.

D: Datenbankinhalt. Die Datensicherung beinhaltet auch Datenbankinhalte.
E: Archiv ist verschlüsselt. Die Datensicherung ist verschlüsselt.
L: Log Dateien. Die Datensicherung beinhaltet Protokolle
A: Log Archive. Die Datensicherung beinhaltet ältere Log Dateien
!: Fehler beim Senden der Sicherung. Die Datensicherung ist fehlerhaft.


Datensicherungsarchive mit einem öfentlichen GPG Schlüssel verschlüsseln
Sie können einen GPG public key bereitstellen, der für die Verschlüsselung verwendet wird. Laden
Sie den GPG public key von Ihrem Client-PC und stellen Sie sicher, dass „Datensicherungsarchive
verschlüsseln“ aktiviert ist. Mit Klick auf SpEIChERN laden Sie den Schlüssel hoch und aktivieren die
Verschlüsselung.
Datensicherungsarchiv importieren
Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus
importieren. Wählen Sie die Datei des Sicherungssatzes auf Ihrem lokalen PC aus. Mit der Angabe
einer Anmerkung und dem Klicken auf IMpORTIEREN laden Sie den Sicherungssatz hoch.
Der Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden.
Konfiguration Schulrouter Plus
25
Konfiguration Schulrouter Plus
System
Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten.
Sie können einfach einen der entsprechenden BUTTONS anklicken, um die Aktion sofort auszuführen.
2.7 Herunterfahren
26
Konfiguration Schulrouter Plus
Status
3 Hauptmenü Status
3.1 System-Status

Dienste
Zeigt alle Dienste und deren aktuellen Status an.
Speicher
Zeigt die Auslastung von Arbeitsspeicher und Swapdatei.
Festplattenbelegung
Zeigt den verfügbaren und belegten Festplattenplatz
Konfiguration Schulrouter Plus
27
Konfiguration Schulrouter Plus
Status
Schnittstellen
Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. Dies beinhaltet
u.a. Informationen aller Netzwerk-Schnittstellen inkl. PPP, IPSec, Loopback, etc..

Netzwerkkarten
Zeigt bestimmte Eigenschaften der Netzwerkkarten, wie z.B. ob ein Link augebaut ist, oder welche
Geschwindigkeit ausgehandelt wurde.
Routingtabelleneinträge
Zeigt die Einträge der Routingtabelle an.
ARP Tabelleneinträge
Zeigt die Einträge der ARP-Tabelle an.
3.2 Netzwerkstatus
28
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt Ihnen für den aktuellen Tag bzw. für die aktuelle Woche, Monat und Jahr, folgende
Diagramme:
• CPU-Nutzung
• Speichernutzung
• Nutzung von Auslagerungsspeicher (Swap)
• Festplattenzugrif
Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.
3.3 Systemdiagramm
Konfiguration Schulrouter Plus
29
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen
Netzwerk-Schnittstellen an.
Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.
3.4 Netzwerkdiagramme
30
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt die Diagramme der Zugrifsstatistiken des HTTP-Proxy der letzten 24 Stunden an.
Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.
Diagramme zur Proxyauslastung
Zugrife
Zeigt die Anzahl der Zugrife auf den Proxy an.
Übertragungen
Zeigt die Größe der Daten-Übertragungen über den Proxy an.
Durchschnittliche TCP-Übertragungsdauer
Zeigt die Dauer der Übertragungen an.
3.5 Proxydiagramme
Konfiguration Schulrouter Plus
31
Konfiguration Schulrouter Plus
Status
Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den
Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle
gekennzeichnet. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei
weitere Farben benutzt: Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbin-
dungen über ein VPN.
3.6 Verbindungen
Diese Seite zeigt eine Liste mit Verbindungen über OpenVPN. Es gibt hier die Möglich Verbindungen zu
beenden oder verbundene Benutzer zu blockieren.
3.7 OpenVPN Verbindungen
Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur
zur Verfügung, wenn der SMTP-Proxy verwendet wird.
3.8 SMTP Mailstatistik
Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn
der SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.
3.9 Email-Warteschlange
32
Konfiguration Schulrouter Plus
Netzwerk
4 Hauptmenü Netzwerk
4.1 Netzwerkkonfiguration

Die Konfguration der Netzwerkschnittstellen kann schnell und einfach mit dem Netzwerksetup-
Assistenten geändert werden. Der Assistent ist in mehrere Schritte unterteilt. Sie können mit <<< und
>>> vor und zurück navigieren und die Änderungen mit ABBREChEN verwerfen. Sie werden erst im
letzten Schritt gefragt, ob die Einstellungen übernommen werden sollen.
Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Während dessen ist die
Konfgurationsoberfäche nicht erreichbar.
Im Folgenden ist jeder der einzelnen Schritte beschrieben:
Schritt 1 - Typ für ROT auswählen
Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfgurieren (üblicherweise die Verbindung
zu Ihrem Provider). Der Schulrouter Plus unterstützt die folgenden Verbindungs-Typen:
Ethernet statisch
Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen.
Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten Router
vebunden ist.
Ethernet DHCP
Sie möchten, dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem
vorgelagerten Gerät holt. Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem
vorgelagerten Router verbunden ist, der DHCP liefert. Zu empfehlen ist aber dabei eher die
Einstellung “Ethernet statisch”.
PPPoE (DSL-Direkteinwahl)
Diese Option ist zu wählen, wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist
und die Einwahl vom Schulrouter Plus gemacht werden soll.
Konfiguration Schulrouter Plus
33
Konfiguration Schulrouter Plus
Netzwerk
Schritt 2 - Netzwerkzonen auswählen
An diesem Punkt haben Sie bereits zwei Schnittstellen defniert:
GRÜN
Das grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die
Schüler-Endgeräte befnden.
ROT
Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene
DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann
auch ein zweites rotes Netzwerk defniert werden. Hierdurch ist eine Erhöhung der Internetbandbreite
z.B. über eine zweite DSL-Leitung möglich.
Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind:
BLAU
Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulver-
waltungs-Endgeräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist
physikalisch vom Schulnetzwerk getrennt. Es kann aber bei Bedarf eine gesicherte Verbindung zwischen den
Netzwerken zur Datenübertragung eingerichtet werden.
ORANGE
Das orange Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden
z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch
eine höhere Absicherung vor unberechtigten Zugrifen benötigen. Das orange Netzwerk kann aber
auch als „normales“ drittes Netzwerk verwendet werden.
34
Konfiguration Schulrouter Plus
Netzwerk
Schritt 3 - Netzwerkeinstellungen
In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen defniert (Grün, Blau,
Orange). Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt:
IP Adresse
Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll. (z.B. 1 92 . 1 6 8 . 0. 1 ). Achten
Sie darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach
dem Ändern der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden
(z.B. DHCP-Server oder erlaubte Subnetze im Proxy).
Netzwerkmaske
Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten
im Subnetz dieselbe Netzwerkmaske verwenden.
Weitere Adressen
Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen.
Schnittstellen
Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei
mindestens einer Schnittstelle zugeordnet sein. Eine Schnittstelle kann man allerdings nur
einer Zone zuordnen. Ordnen Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnitt-
stellen so, als wären sie Teil eines Switches. Ein Symbol zeigt den aktuelle Status der Schnitt
stelle: ein grüner Hacken zeigt, dass der Link aktiv ist. Ein rotes Kreuz zeigt, dass kein Link
vorhanden ist.
Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.
Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich
nicht mit anderen Schnittstellen überschneidet. Zum Beispiel:
IP = 1 92 . 1 6 8 . 0. 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für GRÜN
IP = 1 92 . 1 6 8 . 1 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für ORANGE
IP = 1 92 . 1 6 8 . 2 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für BLAU
!
ê
Konfiguration Schulrouter Plus
35
Konfiguration Schulrouter Plus
Netzwerk
Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den
privaten Bereich reserviert sind:
1 0. 0. 0. 0 - 1 0. 2 5 5 . 2 5 5 . 2 5 5 ( 1 0. 0. 0. 0 / 8 ) , 1 6 . 7 7 7. 2 1 6 Adressen
1 7 2 . 1 6 . 0. 0 - 1 7 2 . 3 1 . 2 5 5 . 2 5 5 ( 1 7 2 . 1 6 . 0. 0 / 1 2 ) , 1 . 0 4 8 . 5 7 6 Adressen
1 92 . 1 6 8 . 0. 0 - 1 92 . 1 6 8 . 2 5 5 . 2 5 5 ( 1 92 . 1 6 8 . 0. 0 / 1 6 ) , 6 5 . 5 3 6 Adressen
Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die
Broadcastadresse und dürfen nicht vergeben werden.
Schritt 4 - Internetverbindungseinstellungen
Diese Schritte erlauben die Konfguration der roten Schnittstelle und somit die Konfguration des
Internetzugangs.
Sie fnden auf dieser Seite unterschiedliche Konfgurationsmöglichkeiten, je nachdem welche Option
Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen nachsich
ziehen.
Hier werden die Konfgurationen für jeden Typ erklärt:
Für Alle
Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit
der sich der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmelde-
diensten nötig).
Ethernet statisch
Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben.
Weiterhin müssen Sie die IP-Adresse des Standardgateways festlegen.
Ethernet DHCP
Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP
empfangen werden soll oder ob dieser von Ihnen festgelegt wird.
PPPoE
Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an.
Für die Authentifzierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet
werden. Sie können auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische
von Ihrem Provider übergeben wird (Standard-Einstellung) oder manuell eingegeben werden
muss.
36
Konfiguration Schulrouter Plus
Netzwerk
Schritt 5 - DNS-Server konfgurieren
Hier defnieren Sie bis zu zwei DNS-Server, wenn sie nicht automatisch zugewiesen werden. Soll nur
ein Nameserver verwendet werden, muss die IP-Adresse doppelt eingetragen werden. Die IP-Adresse
muss für den Schulrouter Plus erreichbar sein.
Schritt 6 - Konfguration anwenden
Mit dem letzten Schritt bestätigen Sie die neuen Einstellungen.
Klicken Sie OK, KONFIGURATION üBERNEhMEN um die Konfguration abzuschließen. Das
Übernehmen der Einstellungen kann bis zu einer Minute dauern. Während dieser Zeit ist das
Cockpit nicht erreichbar und eine Verbindungen zu und durch den Schulrouter Plus ist nicht möglich.
Das Cockpit aktualisiert sich nach den Änderungen automatisch. Wenn Sie die IP-Adresse von GRÜN
geändert haben, werden Sie automatisch an die richtige IP-Adresse weitergeleitet. In diesem Fall, oder
wenn sie den Hostnamen geändert haben, wird ein neues SSL-Zertifkat generiert und es kann evtl. ein
Warnhinweis vom Browser erscheinen.
Konfiguration Schulrouter Plus
37
Konfiguration Schulrouter Plus
Netzwerk
Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht, neben der Zwischenspeicherung von
DNS-Informationen aus dem Internet, auch die manuelle Eingabe von Hostcomputern, deren
Adressinformationen lokal verwaltet werden sollen. Bei diesen Hostcomputern kann es sich
beispielsweise um lokale Computer oder Computer im Internet handeln, deren Adressinformationen
überschrieben werden sollen.
Aktuelle Hosts
In diesem Bereich werden die aktuell konfgurierten lokalen DNS-Einträge angezeigt. Sie können
die Liste sortieren, indem Sie auf eine der drei unterstrichenen SpAlTENüBERSChRIFTEN klicken.
Ein weiterer Klick dreht die Sortierreihenfolge um. Zum Bearbeiten eines Eintrags klicken Sie auf
das zugehörige STIFT-SyMBOl. Die Daten des Eintrags werden in dem Formular darüber angezeigt.
Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann im Formular auf die Schaltfäche
AKTUAlISIEREN.
Zum Löschen eines Eintrags klicken Sie auf das zugehörige löSChEN-SyMBOl.
Über hOST hINZUFüGEN können Sie einen manuellen Host anlegen.
Folgende Daten müssen eingegeben werden:
IP-Adresse
Geben Sie in dieses Feld die IP-Adresse ein.
Hostname
Geben Sie in dieses Feld den Hostnamen ein.
Domainname
Geben Sie in dieses Feld den Domänennamen ein, falls sich der Hostcomputer in einer
anderen Domäne befndet.
4.2 Host bearbeiten
38
Konfiguration Schulrouter Plus
Netzwerk
Statisches Routing
Aktuelle Routing-Einträge
Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden.
Wird an dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet, muss hier für jedes
VLAN ein Eintrag mit der IP des Switch als Gateway gesetzt werden.
Klicken Sie auf EINE NEUE ROUTE hINZUFüGEN um eine neue Route mit folgenden Feldern
anzulegen:
Quell-Netz
Quell-Netz in CIDR-Schreibweise (Bsp.: 1 92 . 1 6 8 . 1 0. 0 / 2 4 )
Ziel-Netz
Ziel-Netz in CIDR-Schreibweise (Bsp.: 1 92 . 1 6 8 . 2 0. 0 / 2 4 )
Route über
Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus.
4.3 Routing
Konfiguration Schulrouter Plus
39
Konfiguration Schulrouter Plus
Netzwerk
Hier können mit einem Klick auf wAN-VERBINDUNG ERSTEllEN weitere WAN-Verbindungen
defniert werden. Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende
Formular aus. Die Felder sind weitestgehend identisch mit dem Netzwerkassistenten. Folgende Felder
unterscheiden sich zum Netzwerkassistenten:

WAN-Verbindung beim Starten aktivieren
Diese Einstellung legt fest, ob diese WAN-Verbindung beim Starten des Schulrouter Plus
automatisch verbunden werden soll.
Wenn diese WAN-Verbindung fehlschlägt aktiviere
Hier können Sie festlegen, ob eine andere WAN-Verbindung gewählt werden soll, falls diese
WAN-Verbindung ausfällt.
Wiederverbindungs- Timeout
Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird,
wenn die Verbindung ausfällt. Bleibt das Feld leer, wird sofort die Wiederverbindung versucht.
4.4 Internet/WAN
Aktiviert
Markieren zum Aktivieren (Standard).
Anmerkung
Geben Sie der Regel eine Anmerkung.

Klicken Sie auf ROUTE hINZUFüGEN um die Regel zu bestätigen. Sie können die Route mit den
entsprechenden ICONS aktivieren bzw. deaktivieren.
40
Konfiguration Schulrouter Plus
Dienste
5 Hauptmenü Dienste
5.1 DHCP Server

DHCP (Dynamic Host Confguration Protocol) ermöglicht eine Steuerung der Netzwerk-
konfguration aller Computer über den Schulrouter Plus. Computer, die eine Verbindung zum
Netzwerk herstellen, wird eine gültige IP-Adresse zugewiesen und ihre DNS-Konfguration wird vom
Schulrouter Plus festgelegt. Um diese Funktion verwenden zu können, müssen die Computer im
Netzwerk so konfguriert sein, dass sie ihre Netzwerkkonfguration automatisch erhalten.
Sie können auswählen, welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden
soll. Aktivieren Sie einfach die entsprechenden Kontrollkästchen. Sie können auswählen, welchem
internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. Aktivieren Sie einfach die
entsprechenden KONTROllKäSTChEN.
DHCP-Server Parameter
Aktiviert:
Markieren Sie dieses Feld, um den DHCP-Server für dieses Netzwerk zu aktivieren.
Konfiguration Schulrouter Plus
41
Konfiguration Schulrouter Plus
Dienste

Anfangsadresse und Endadresse:
Sie können die unterste und die oberste Adresse angeben, die der Server für andere Computer
bereitstellt. Wenn sich in Ihrem Netzwerk Computer befnden, die DHCP nicht verwenden,
deren IP-Adressen also manuell festgelegt werden, sollten Sie die Anfangs- und Endadresse
so wählen, dass der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt.
Standard Lease Zeit (Min):
Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert
zu verwenden.
Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten, die für IP-Adress-Leases reserviert
werden. Vor dem Ablauf der Lease (der Zeitpunkt, zu dem die zugewiesene IP-Adresse
verfällt) fordern die Clientcomputer, unter Angabe ihrer aktuell gültigen IP-Adresse, eine
Erneuerung der Lease an. Bei einer Anforderung auf eine Erneuerung der Lease werden ggf.
durchgeführte Änderungen an DHCP-Parametern berücksichtigt und die Clientkonfgura
tion wird entsprechend aktualisiert. Im Allgemeinen werden IP-Adresszuordnungen vom
Server erneuert.
Maximale Lease Zeit (Min):
Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen
Wert zu verwenden. Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten), in dem der
DHCP-Server Clientanfragen auf Erneuerung der Lease für die aktuell gültige IP-Adresse
immer zustimmt. Nach Ablauf der maximalen Vorhaltezeit kann die IP-Adresse des Clients
vom Server geändert werden. Wenn der Bereich des Pools für die Vergabe von IP-Adressen (der
dynamische IP-Adressbereich) zwischenzeitlich geändert wurde, erhält der Client eine neue
IP-Adresse aus dem neuen dynamischen IP-Adressbereich.
Domain-Name-Sufx:
Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf, dass das Format keinen
führenden “Punkt” vorsieht. Hier wird der Domänenname festgelegt, den der DHCP-Server
für seine Clients verwendet. Wenn ein Hostname nicht aufgelöst werden kann, versucht der
Client erneut, den ursprünglichen Namen mit dem als Namen angegeben Sufx aufzulösen.
Die DHCP-Server von vielen Internetdienstanbietern sind so konfguriert, dass als Standard
domänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf, beim
Internetzugrif “www” als Standard-Homepage in ihrem Browser festzulegen.
“www” ist jedoch kein voll qualifzierter Domänen-Name (FQDN). Der voll qualifzierte
Domänenname des Webservers wird jedoch automatisch clientseitig über die Software Ihres
Computers erstellt, indem das Sufx des Domänennamens, wie von dem DHCP-Server des
Internetdienstanbieters vorgegeben, angehängt wird. Legen Sie das Domänen-Name-Sufx
entsprechend der Vorgabe des DHCP-Servers Ihres Internetdienstan bieters fest, damit die
Benutzer in Ihrem Intranet die Teiladresse “www” weiterhin nicht eingeben müssen.
42
Konfiguration Schulrouter Plus
Dienste

Primärer DNS:
Legt für die Clients des DHCP-Servers fest, welcher Server als primärer DNS-Server verwendet
werden soll. Da der Schulrouter Plus auch einen DNS-Proxy enthält, wird in der Regel
empfohlen, den Standardwert zu verwenden. In diesem Fall wird für den primären DNS-Server
die IP-Adresse des Schulrouter Plus verwendet. Wenn Sie einen eigenen separaten DNS-Server
verwenden, geben Sie dessen IP-Adresse in das Feld ein.
Sekundärer DNS:
Sie können auch einen sekundären DNS-Server angeben, der verwendet wird, falls der primäre
DNS-Server nicht verfügbar sein sollte. Dieser DNS-Server könnte beispielsweise ein weiterer
DNS-Server in Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein.
Erster NTP-Server:
Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen
NTP-Servers an Geräte in Ihrem Netzwerk weiterleiten wollen, können Sie die IP-Adresse des
NTP-Servers in dieses Feld eingeben. Der DHCP-Server gibt diese Adresse bei der Übergabe der
Netzwerkparameter an alle Clients weiter.
Zweiter NTP-Server:
Wenn Sie eine zweite NTP-Server-Adresse haben, geben Sie diese hier ein. Der DHCP-Server
gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter.
Erste/zweite WINS-Server Adresse:
Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server
(Windows Internet Naming Service-Server) verwenden, können Sie in diese Felder den
primären und, falls vorhanden, sekundären WINS-Server eintragen. Der DHCP-Server gibt
diese Adresse bei der Übergabe der Netzwerkparameter an die Hostcomputer weiter.
Für erfahrene Benutzer ist es möglich, weitere angepasste DHCP-Regeln zu der Konfgura-
tion hinzufügen. Diese können in dem Textfeld „Benutzerdefnierte Konfgurationszeilen“
eingetragen werden. Beachten Sie, dass hier keine Prüfung der Syntax durch den Schulrouter
Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers verhindern können.
i
Konfiguration Schulrouter Plus
43
Konfiguration Schulrouter Plus
Dienste
Aktuelle feste Zuordnungen
Wenn sich in Ihrem Netzwerk Computer befnden, deren IP-Adressen zentral verwaltet werden sollen,
für die es jedoch darüber hinaus auch erforderlich ist, dass sie stets dieselbe IP-Adresse erhalten,
können Sie über den DHCP-Server festlegen, dass diesen Computern auf Grundlage der MAC-Adresse
der in dem Computer installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. Diese Art
der Konfguration unterscheidet sich wesentlich von der manuellen Adresszuweisung, da auch diese
Computer weiterhin ihre IP-Adressen von dem DHCP-Server beziehen. Die Adressen werden also nicht
manuell auf dem Computer selbst, sondern zentral über den DCHP-Server vergeben.
Für feste Zuordnungen können die folgenden Parameter festgelegt werden:
MAC-Adresse:
Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers,
für den die feste Zuordnung gelten soll.
Das Format der MAC-Adresse lautet x x : x x : x x : x x : x x : x x , und nicht x x - x x - x x - x x - x x - x x ,
wie es auf einigen Computern angezeigt wird (Beispiel: 0 0 : E 5 : B 0 : 0 0 : 02 : D 2 ).
IP-Adresse:
Dies ist die fest zugeordnete IP-Adresse, die der DHCP-Server stets für die angegebene
MAC-Adresse vergeben soll. Stellen Sie sicher, dass Sie keine IP-Adresse aus dem dynamischen
Adressbereich des DHCP-Servers vergeben.
Beschreibung:
Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen.
Nächste Adresse:
Möglicherweise befnden sich in Ihrem Netzwerk Computer, die eine Startdatei von einem
Server im Netzwerk erhalten müssen (sog. Thin Clients). Bei Bedarf können Sie in diesem Feld
die Serveradresse angeben.
44
Konfiguration Schulrouter Plus
Dienste

Dateiname
Geben Sie den Namen der Startdatei für diesen Computer an.
Rootpfad
Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befndet, können Sie in
diesem Feld den Pfad zu der Startdatei angeben.
Aktiviert
Aktivieren Sie dieses Kontrollkästchen, um den DHCP-Server anzuweisen, die angegebene
feste Zuordnung bereitzustellen. Ist das Kontrollkästchen nicht aktiviert, wird der
entsprechende Datensatz zwar in den Dateien des Schulrouter Plus gespeichert, der
DHCP-Server gibt die Zuordnung jedoch nicht aus.
Liste der festen Zuordnung
In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und können
bearbeitet oder gelöscht werden. Sie können die Liste sortieren, indem Sie auf die
unterstrichenen Spaltenüberschriften MAC-ADRESSE oder Ip-ADRESSE klicken. Ein weiterer
Klick dreht die Sortierreihenfolge um. Zum Bearbeiten einer bestehenden festen Zuordnung
klicken Sie auf das zugehörige STIFT-SyMBOl. Die Werte für die feste Zuordnung werden im
Ausschnitt “Fixe Lease hinzufügen” weiter oben angezeigt. Nehmen Sie die gewünschten
Änderungen vor und klicken Sie dann auf SpEIChERN. Zum Löschen einer bestehenden
festen Zuordnung klicken Sie auf das zugehörige pApIER-KORB-SyMBOl.
Konfiguration Schulrouter Plus
45
Konfiguration Schulrouter Plus
Dienste
Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen,
auch wenn dieser über keine statische öfentliche IP-Adresse verfügt. Um dynDNS verwenden zu
können, müssen Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren.
Anschließend muss Ihr Server jedes Mal, wenn eine Verbindung zum Internet hergestellt und ihm von
Ihrem Internetdienstanbieter eine IP-Adresse zugewiesen wird, dem dynDNS-Server diese IP-Adresse
mitteilen. Hostcomputer, die eine Verbindung zu Ihrem Server herstellen möchten, lösen die Adresse
über den dynDNS-Server auf, der die aktuellste gültige IP-Adresse bereitstellt. Ist diese IP-Adresse
aktuell, kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt, die
festgelegten >Firewall-Regeln< lassen dies zu).
Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die
automatische Aktualisierung bei zahlreichen dynDNS-Anbietern.
Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen, bekommt er in aller Regel von
Ihrem Provider eine externe IP zugeordnet, mit der Sie auch von außen auf den Schulrouter Plus
zugreifen können. Diese Adresse sehen Sie auf der Startseite. Wird dort eine externe IP angezeigt,
wählen Sie hier den ersten Auswahlpunkt.
Wird dort eine IP-Adresse angezeigt, die in Ihrem internen Netzwerk liegt - wenn Sie also bspw. einen
vorgelagerten Router verwenden - wählen Sie die zweite Variante, die versucht, die externe IP über
eine Webseite zu bekommen.
5.2 Dynamischer DNS
46
Konfiguration Schulrouter Plus
Dienste
Aktuelle Hosts
Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden:
Dienst
Wählen Sie einen dynDNS-Anbieter aus der DROpDOwNlISTE aus. Sie sollten bei dem aus
gewählten Anbieter bereits registriert sein.
Hinter einem Proxy
Aktivieren Sie dieses KONTROllKäSTChEN nur dann, wenn Sie als Anbieter “no-ip.com”
gewählt haben und der Schulrouter Plus sich hinter einem Proxyserver befndet.
Dieses KONTROllKäSTChEN wird bei Auswahl eines anderen Anbieters nicht berücksichtigt.
Platzhalter erlauben
Wenn Sie Platzhalterzeichen zulassen, ermöglichen Sie, dass alle Unterdomänen Ihres dyna-
mischen DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. Ist das
KONTROllKäSTChEN aktiviert, erhält beispielsweise die Unterdomäne www.srp.dyndns.org
dieselbe IP-Adresse wie die übergeordnete Domäne timeforkids.dyndns.org.
Wenn Sie als Anbieter “no-ip.com” gewählt haben, wird das KONTROllKäSTChEN nicht
berücksichtigt, da dieser Anbieter die Einstellung dieser Option ausschließlich über seine
Website ermöglicht.
Hostname
Geben Sie den Hostnamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Domäne
Geben Sie den Domänennamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Benutzername
Geben Sie den Benutzernamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Passwort
Geben Sie das Kennwort für den Benutzernamen ein.
Aktiviert
Aktivieren Sie dieses KONTROllKäSTChEN, damit der Schulrouter Plus die auf dem dynDNS-
Server hinterlegten Daten aktualisiert. Die Daten werden auch auf dem Schulrouter Plus ge-
speichert, wenn das KONTROllKäSTChEN deaktiviert ist. Auf diese Weise können Sie die
dynDNS-Aktualisierung zu einem späteren Zeitpunkt wieder aktivieren, ohne die Daten
erneut eingeben zu müssen.
Hinter einem Router (NAT)
Wählen Sie dies aus, wenn der Schulrouter Plus über einen vorgelagerten Router ins Internet
geht. In diesem Fall wird der Dienst von http://checkip.dyndns.org verwendet um die externe
IP herauszufnden.
Konfiguration Schulrouter Plus
47
Konfiguration Schulrouter Plus
Dienste
Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von
ClamAV. In diesem Bereich können Sie einstellen, wie ClamAV mit Archiv-Bomben umgeht und wie oft
Virenupdates heruntergeladen werden.
Antivirus Konfguration
Um diese Arten von Angrifen zu unterbinden, ist der Antivirus-Dienst so vorkonfguriert, dass Archive
mit bestimmten Eigenschaften nicht gescannt werden:
Max. Größe des Archives
Archive, die größer als die angegebene MB-Zahl sind.
Max. Archive in Archiven
Archive, die wiederum andere Archive beinhalten, wenn die Anzahl der eingebetteten Archive
diese Zahl übersteigt.
Max. Anzahl von Dateien in Archiven
Archive , die mehr als die hier angegebene Anzahl von Dateien enthalten.
Max. Kompressionsverhältnis
Archive, deren unkomprimierte Größe die komprimierte Größe um mehr als den hier angege-
benen x-fachen Wert übersteigen. Der Standardwert ist 1000. Normalerweise übersteigt der
Faktor der Komprimierung selten 10.
5.3 Antivirus
48
Konfiguration Schulrouter Plus
Dienste
Umgang mit gefährlichen Archiven
Was soll mit den Archiven passieren, die in dieses Raster fallen? Es ist möglich zwischen
„Nicht scannen aber durchlassen“ und „als Virus blockieren“ zu wählen.
Verschlüsselte Archive blockieren
Seitdem es technisch unmöglich ist, verschlüsselte (passwortgeschützte) Archive zu scannen,
stellen diese ein Sicherheitsrisiko dar. Sie können hier auswählen, ob verschlüsselte Archive
standardmäßig blockiert werden sollen.
Aktualisierungszeitplan der Antivirus Signaturen
Ein anderer, sehr wichtiger Aspekt bei einem Antivirus-Scanner sind die Signatur-Updates:
Informationen über neue Viren müssen regelmäßig von einem ClamAV-Server geladen werden.
Rechts können Sie auswählen, wie oft diese Aktualisierungen herunter geladen werden.
Der voreinstellte Standard ist stündlich.
Antivirus Viren Signaturen
Dieser Bereich zeigt an, wann das letzte Update geladen wurde und welches die letzte
geladene Signatur-Version ist. Klicken Sie auf SIGNATUREN jETZT AKTUAlISIEREN, um das
Update sofort auszuführen - beachten Sie, dass dies einige Zeit in Anspruch nimmt. Falls Sie
nach Informationen über einen bestimmten Virus suchen möchten, gelangen Sie mit dem
angezeigten Link direkt zur ClamAV Online-Virus-Datenbank.
Konfiguration Schulrouter Plus
49
Konfiguration Schulrouter Plus
Dienste
Der Schulrouter Plus kann so konfguriert werden, dass die Uhrzeit mit einem Zeitserver im Internet
abgeglichen wird.
Eine Anzahl von Zeitservern ist bereits voreingestellt.
Mit Aktivieren von STANDARD NTp SERVER üBERSChREIBEN können Sie eigene NTP-Server eintragen.
Hier muss jeder NTP-Server in eine eigene Zeile geschrieben werden.
Darunter können Sie auch die Zeitzone festlegen.
Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.
5.4 Zeitserver
50
Konfiguration Schulrouter Plus
Dienste
Trafcshaping, also die Optimierung der Datenübertragung, ermöglicht die Festlegung von Vorrang-
regeln für die verschiedenen Datenströme, die durch die Firewall geleitet werden.
Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit, die Übertragungsverfahren des
Datenaufommens selbst Ihren Bedürfnissen entsprechend zu optimieren. Die Steuerung erfolgt
durch die Einstufung des Datenaufommens in Prioritätsstufen “Hoch”, “Mittel” und “Niedrig”.
Die Ping-Übertragung erhält stets die höchste Priorität, damit Sie auch dann die Geschwindigkeit
Ihrer Verbindung genau überprüfen können, während umfangreiche Downloads aus dem Internet
durchgeführt werden.
So verwenden Sie die Trafcshaping-Funktionalität im Schulrouter Plus:
1. Verwenden Sie einen DSL Speedtest im Internet, um die maximalen Upload- und Download-
geschwindigkeiten zu ermitteln. Geben Sie die so ermittelten Geschwindigkeiten in die
entsprechenden Felder im Bereich Einstellungen der Webseite ein.
2. Aktivieren Sie die Übertragungsoptimierung, indem Sie die WAN-Verbindung bearbeiten
und die maximal zu verwendende Geschwindigkeit eingeben.
3. Ermitteln Sie, welche Dienste in Ihrem Netzwerk verwendet werden, bei denen Daten-
übertragungen über die Firewall vom bzw. ins Internet erfolgen.
5.5 Trafficshaping
Konfiguration Schulrouter Plus
51
Konfiguration Schulrouter Plus
Dienste
4. Weisen Sie diesen die gewünschte Priorität zu. Beispiel:
a. Interaktivem Datenaufommen wie SSH (Port 22) und VoIP wird die Prioritätsstufe „Hoch“
zugeordnet.
b. Standarddatenaufommen wie surfen (Port 80) und Kommunikation (bspw. E-Mail-Verkehr
über Port 25 bzw. 110) s owie Audio- und Videostreaming wird die Prioritäts-stufe „Mittel“
zugeordnet.
c. Dauerdatenübertragungen wie beispielsweise P2P-Dateifreigaben erhalten die Prioritäts-
stufe „Niedrig“.
5. Erstellen Sie durch den Klick auf EINEN DIENST ERSTEllEN eine Liste mit Diensten und den
jeweils zugeordneten Prioritätsstufen.
Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfgurationen zur Optimierung
der Übertragung des Datenaufommens. Sie sollten die Einstufung in die drei Prioritätskategorien
entsprechend den Anforderungen in Ihrem Netzwerk anpassen.
52
Konfiguration Schulrouter Plus
Dienste
Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfguriert werden, um automatisch
zu lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermöglichen, benötigt der
Dienst einen über IMAP erreichbaren Mailserver, damit dort voreingestellte Ordner überprüft werden.
Die Standardkonfguration wird noch nicht für das Training verwendet.
Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern, die darunter
konfguriert wird. Durch Klick auf STANDARDKONFIGURATION BEARBEITEN öfnet sich darunter ein
neuer Bereich, in dem die Stand-ardeinstellungen gesetzt werden können:
Standard IMAP Host
Der IMAP-Mailserver, der die Trainingsordner beinhaltet.
Standard-Benutzername
Der Anmeldename für den IMAP-Mailserver.
Standard-Passwort
Das zugehörige Passwort.
Standard-Hamordner
Der Name des Ordners, der nur HAM-Mails beinhaltet. Dieser Ordner beinhaltet Mails, die
nicht als Spam zu klassifzieren sind.
Standard-Spamordner
Der Name des Ordners, der nur Spam-Mails beinhaltet.
Für automatisches Spamflter-Training vormerken
Das Intervall zwischen den Prüfungen. Das regelmäßige Training kann entweder deaktiviert
werden, so dass es nur manuell durchgeführt werden kann (z.B. nach einer Überprüfung der
entsprechenden Ordner auf Richtigkeit) oder in regelmäßigen Abständen automatisch
ausgeführt werden.
5.6 Spam Training
Konfiguration Schulrouter Plus
53
Konfiguration Schulrouter Plus
Dienste
In dem Bereich darunter können die entsprechenden “Trainingsserver” konfguriert werden. Durch
einen Klick auf IMAp SpAM TRAININGSqUEllE hINZUFüGEN öfnet sich ein neuer Bereich.
Die Einstellungen für weitere “Trainingsserver” entspricht den Standardeinstellungen. Es fehlt nur die
Einstellung der Regelmäßigkeit. Diese wird immer von den Standardeinstellungen übernommen.
Drei weitere Optionen sind verfügbar:
Aktiviert
Erst wenn hier eine MARKIERUNG gesetzt ist, wird diese Quelle für das Training verwendet.
Anmerkung
In diesem Feld können Sie eine Anmerkung einfügen.
Bearbeitete Mails löschen
Nach dem Training werden die verwendeten E-Mails gelöscht.
Die anderen Optionen können genauso wie in der Standardkonfguration vorgenommen werden.
Wenn Sie hier gesetzt werden überschreiben Sie die Standardeinstellung. Eine Quelle wird mit dem
entsprechenden Button getestet, aktiviert, bearbeitet oder gelöscht.
Es ist auch möglich die Verbindung zu allen Quellen zu testen, indem Sie oben auf den Button AllE
VERBINDUNGEN TESTEN klicken. Wenn mehrere Quellen defniert sind, kann dies einige Zeit in
Anspruch nehmen, abhängig von der Geschwindigkeit der Mailserver und der Anzahl der defnierten
Quellen.
Um das Training sofort zu starten, klicken Sie auf TRAINING jETZT STARTEN. Abhängig von der Anzahl
der Quellen, der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails,
die für das Training zur Verfügung stehen, kann das Training einige Zeit in Anspruch nehmen.
Sie können das Anti-Spam-Training auch manuell durchführen, wenn der SMTP Proxy angeschaltet ist.
Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an spam@spam.spam für
Spamnachrichten und an ham@ham.ham für Hamnachrichten machen.
Dafür ist notwendig, dass die Domänen “spam.spam” und “ham.ham” aufgelöst werden können
indem Sie unter >4.2 Netzwerk - Hosts bearbeiten< auf den Schulrouter Plus zeigen.
54
Konfiguration Schulrouter Plus
Dienste
Der Schulrouter Plus enthält ein hochleistungsfähiges System zur Einbruchserkennung, das die von
der Firewall empfangenen IP-Pakete analysiert und nach bekannten Signaturen für schädliche
Aktivitäten durchsucht.
Der Schulrouter Plus kann IP-Pakete überwachen, die über jedes genutzte Netzwerk übertragen
werden. Aktivieren Sie einfach die gewünschten KONTROllKäSTChEN.
Die Regeln zur Einbruchdetektierung werden von snort.org gepfegt.
Mit dem Haken EINBRUChDETEKTIERUNG AUTOMATISCh hERUNTERlADEN und dem darunter
liegenden Updateintervall können sie die Einbruchdetektierung vom Schulrouter Plus automatisch
aktuell halten.
Für erfahrene Benutzer besteht die Möglichkeit, eigenen Regeln auf dem Schulrouter Plus einzusetzen.
Die im Feld BENUTZERDEFINIERTE EINBRUChDETEKTIERUNGSREGElN einzufügende Regeln müssen
entweder direkt “.rules- oder gepackte .tar-”, “.gz- oder .zip-Dateien” sein.
5.7 Einbruchdetektierung
Konfiguration Schulrouter Plus
55
Konfiguration Schulrouter Plus
Dienste
Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den BUTTON
oben aktiviert oder deaktiviert werden. Wenn die Datenverkehrsüberwachung aktiviert ist, erscheint
darunter ein Link, der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrs-
überwachung weiterleitet. Diese Administrationsoberfäche wird ebenfalls von „ntop“ geliefert und
enthält detaillierte Statistiken über den Datenverkehr.
Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben, wobei
der Verkehr nach Host, Protokoll, Schnittstellen und weiteren Parametern gefltert werden kann.
Für detaillierte Informationen über die ntop-Administrationsoberfäche besuchen Sie die „ntop“
Dokumentation unter: >http://www.ntop.org/documentation.html<
5.8 Datenverkehrsüberwachung
56
Konfiguration Schulrouter Plus
Firewall
6 Hauptmenü Firewall
6.1 Portweiterleitung / NAT

Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz. Manchmal
kann diese Einstellung zu restriktiv sein. Wenn Sie z.B. einen Webserver betreiben, würden alle von
außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. Dies
würde bedeuten, dass der Webserver nur aus dem internen Netz zu nutzen wäre. Dies ist natürlich
nicht die Normalsituation für einen Webserver. In den meisten Fällen sollen Außenstehende den
Zugrif auf Ihren Webserver erhalten. Für diese Fälle gibt es Port-Weiterleitungen. Wenn Sie diese Ports
kennen, können Sie die Port-Weiterleitung im Schulrouter Plus konfgurieren.
Klicken Sie auf EINE NEUE pORTwEITERlEITUNG hINZUFüGEN, um eine Portweiterleitung zu
erstellen.
Sie können individuell defnieren, welche Anfragen von welcher Schnittstelle über welchen Port zu
welchem Client geleitet werden. Folgende Parameter müssen dabei festgelegt werden:

Protokoll: TCP, UDP, GRE (generic routing encapsulation) wird von Tunneln verwendet, z.B.
PPTP-VPN) oder Alle Protokolle.
Eingehende IP
Die externe Schnittstelle. Hier kann eine der verwendeten roten Schnittstellen, alle roten
Schnittstellen oder VPN-Verbindungen gewählt werden.
Eingehender Port
Auf welchem Port (1 - 65535) soll der Schulrouter Plus an den roten Schnittstellen auf Anfragen
warten.
6.1.1 Portweiterleitung
Konfiguration Schulrouter Plus
57
Konfiguration Schulrouter Plus
Firewall
Ziel-IP-Adresse
Die IP-Adresse des internen Clients, an den die Anfrage von extern geleitet werden soll.
Ziel-Port
Der Port am Client intern an, den die externe Anfrage geleitet werden soll.
Anmerkung
Eine eigene Anmerkung, um später die Regel schnell wiederzufnden.
Aktiviert
Diese Regel aktivieren
SNAT eingehende Verbindungen
Legen Sie fest, ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus
(aktiviert) oder mit der externen IP des Anfragenden ankommen.
Enable log
Alle Pakete über diese Regel protokollieren.
Klicken Sie auf hINZUFüGEN um die Regel zu bestätigen. Sie können die Regel in der Zeile mit
den entsprechenden SyMBOlEN bearbeiten, de-/aktivieren oder sie löschen.
Vergessen Sie nicht nach dem Ändern bzw. Hinzufügen der Regeln oben auf üBERNEhMEN zu klicken!
Wenn eine Regel defniert ist, können Sie den Zugrif von außen beschränken. Mit dem Klick auf das
plUS-SyMBOl der entsprechenden Regel öfnet sich darüber eine Maske, in der Sie die IP-Adresse oder
das Netz derjenigen eintragen können, die nur die Weiterleitung nutzen dürfen. Das setzt voraus, dass
diese eine feste externe IP haben. Um weitere Quellen zu defnieren wiederholen Sie den Schritt.
58
Konfiguration Schulrouter Plus
Firewall
In diesem Unterabschnitt können Sie defnieren, für welche ausgehende Verbindungen
„Source Network Adress Translation“ (SourceNAT) genutzt werden sollen. SourceNAT kann nützlich
sein, wenn ein Server im internen Netz eine eigene externe IP bekommen und für den Datenverkehr
des Servers ins Internet nicht die externe IP-Adresse der roten Schnittstelle verwendet werden soll.
Das Hinzufügen von SourceNAT-Regeln ist identisch zu der Bearbeitung von Portweiterleitungen. Die
folgenden Einstellungen können gesetzt werden:
Quelle
Legen Sie fest, für welche Quellen SourceNAT verwendet werden sollen. Sie können zwischen
bestimmten IP-Adressen, Netzwerke oder Benutzern wählen.
Ziel
Hier können Sie, genau wie bei der Quelle, ein Ziel defnieren, bei dem die Regel aktiv ist (also
das Ziel, dass der Client anfragt). Zusätzlich können Sie auch Zonen und WAN-Verbindungen
nutzen.
Dienst/Port
Hier können Sie den Dienst/Port, der beeinfusst werden soll, auswählen.
NAT
Hier wählen Sie aus, ob Sie SourceNAT nutzen möchten oder nicht. Wenn Sie sich für NAT
entscheiden, können Sie die IP-Adresse wählen, die nach außen für diese Regel sichtbar
sein soll. In der Vorauswahl erscheint automatisch die entsprechend zugehörige IP-Adresse.
Aktivieren
Hier aktivieren Sie die Regel.
6.1.2 SourceNAT
Konfiguration Schulrouter Plus
59
Konfiguration Schulrouter Plus
Firewall
Anmerkung
Hier können Sie eine kurze Anmerkung eintragen.
Position
Hier können Sie festlegen, an welcher Stelle die Regel eingefügt werden soll.
Zum Speichern der Regel klicken Sie auf REGEl ERSTEllEN.
Beispiel:
Konfgurieren eines SMTP-Mailservers auf der IP 1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 (davon ausgehend, dass
1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 eine weitere IP des roten Schnittstelle ist) in der DMZ mit SourceNAT:
1. Konfgurieren Sie die orange Schnittstelle so, damit der Server ins Internet kommt.
2. Konfgurieren Sie den Mailserver so, damit er auf Port 25 mit seiner internen IP der
Orangenen Zone reagiert.
3. Fügen Sie eine WAN-Verbindung mit der IP 1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 (Ethernet statisch) im
Abschnitt >4.4 Internet/WAN< hinzu.
4. Fügen Sie eine SourceNAT-Regel hinzu und defnieren Sie als Quelle die interne (orange) IP.
60
Konfiguration Schulrouter Plus
Firewall
Die ausgehende Verbindungsfrewall regelt den Datenverkehr von den internen Netzen nach außen.
Die Standardeinstellungen reichen aus, um im Internet surfen und E-Mails abholen zu können. Sie
können diese Regeln nach Ihren Bedürfnissen erweitern, um bspw. Lernsoftware die Verbindung ins
Internet über benötigte Ports zu gewähren.
Mit dem Schalter AUSGEhENDE FIREwAll DEAKTIVIEREN/AKTIVIEREN können Sie die aus
gehende Verbindungsfrewall komplett deaktivieren, so dass jeglicher Datenverkehr von innen
nach außen gelangt.
Mit der Einstellung AllE AKZEpTIERTEN AUSGEhENDEN VERBINDUNGEN pROTOKOllIEREN
protokolliert der Schulrouter Plus alle akzeptierten Pakete im >Firewalllog<. Dies schließt
nicht die abgewiesenen Pakete ein.
6.2 Ausgehender Datenverkehr
Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das
System verlangsamen.
!
ê
Konfiguration Schulrouter Plus
61
Konfiguration Schulrouter Plus
Firewall
Im Abschnitt “Aktuelle Regeln” sind alle bereits defnierten aktivierten Firewall-Regeln aufgelistet.
Diese sind nach ihrer Priorität absteigend sortiert: Ist bspw. als erstes der Port 80 freigegeben und
darunter eine Regel, die die Ports 50 bis 100 sperrt, wird dennoch Port 80 freigegeben. In dieser
Ansicht können Sie auch die Priorität der Regeln ändern, indem Sie die Pfeile in der entsprechenden
Zeile benutzen. Außerdem können Sie die Regeln de-/aktivieren, bearbeiten und löschen.
Am Ende der Seite werden die Systemregeln angezeigt. Diese Regeln werden automatisch vom
Schulrouter Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Sie können
nicht verändert oder gelöscht werden.
Wenn Sie eine neue Firewallregel anlegen möchten, klicken Sie auf „EINE NEUE FIREwAllREGEl
hINZUFüGEN. Zum Bearbeiten klicken Sie auf das entsprechende STIFT-SyMBOl in der Zeile der Regel,
die Sie bearbeiten möchten. Es öfnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Um
die Regel zu de-/aktivieren, setzen Sie entsprechend den hAKEN in den Punkt “Aktiviert:” und drücken
den Button SpEIChERN, nachdem alle Einstellungen für diese Regel getätigt sind.
Folgende Einstellungen können gesetzt werden:
Quelle:
Für welche Quelle soll diese Regel gelten. Sie können entweder Netzwerkschnittstellen,
Zonen, IP-Adressen/IP-Bereiche oder MAC-Adressen verwenden. Es können mehrere Quellen
gleichen Typs verwendet werden.
Ziel IP Adresse:
Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet
verwendet werden. Sie können hier entweder WAN-Verbindungen oder
IP-Adressen/IP-Bereiche wählen. Es können mehrere Quellen gleichen Typs verwendet werden.
Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefniert Port und Pro
tokoll selber festlegen.
Aktionen:
Legen Sie fest, ob der Vorgang gestattet oder abgelehnt werden soll.
Anmerkung:
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufnden.
62
Konfiguration Schulrouter Plus
Firewall
Position:
Wie bereits erwähnt, ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller
Regeln festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Alle akzeptierten Pakete loggen:
Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog<
aufgeführt.
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Es erscheint eine Meldung mit dem entsprechenden Hinweis!
!
ê
Konfiguration Schulrouter Plus
63
Konfiguration Schulrouter Plus
Firewall
Hier legen Sie fest, ob Datenverkehr zwischen den einzelnen internen (alle außer ROT)
Netzwerksegmenten gesendet werden darf.
Der Schulrouter Plus ist standardmäßig so eingestellt, dass der Datenverkehr nur im jeweiligen
Netzwerksegment bleiben darf. Ein Senden in eine andere Zone ist nicht erlaubt. Dies ist notwendig,
um bspw. das pädagogische Netz und die Verwaltung zu trennen.
Dies betrift aber nur den Datenverkehr, der auch über den Schulrouter Plus übertragen wird. Sprich,
nur die Pakete, die von einer zu einer anderen Schnittstelle übertragen werden. Der Datenverkehr, der
im internen Netzwerk geschieht und über den dort stehenden Switch läuft, ist davon nicht betrofen.
Analog zu “Ausgehender Datenverkehr” können Sie diese Einstellungen ein-/ausschalten, Regeln
bearbeiten, löschen und hinzufügen.
6.3 Interner Datenverkehr
Wird der interne Datenverkehr deaktiviert, werden alle Verbindungen untereinander erlaubt
(Datenverkehr zu ROT ausgeschlossen). Dies ist nicht zu empfehlen! Durch Klick auf
EINE NEUE INTERNE FIREwAllREGEl hINZUFüGEN können Sie eine neue Regel hinzufügen.
Die Einstellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!
!
ê
!
ê
64
Konfiguration Schulrouter Plus
Firewall
Hier können Sie den Zugrif direkt auf den Schulrouter Plus regeln. Es gibt eine Liste vorkonfgurierter
Regeln, die für den Betrieb der einzelnen Dienste und für den Zugrif auf die Konfgurationsober-
fächen notwendig sind. Klicken Sie auf EINE NEUE SySTEMZUGANGSREGEl hINZUFüGEN um eine
neue Regel für den Systemzugrif zu erstellen.
Diese Einstellungen können gemacht werden:
Quelladresse
Legen Sie eine oder mehrere IP-Adressen, Netzwerke oder MAC-Adressen fest, deren Zugrif
mit dieser Regel festgelegt werden soll. Diese Einstellung ist optional, wenn Sie den
kompletten Zugrif aus bestimmten Zonen (Quellschnittstellen) gewähren wollen.
Quellschnittstelle
Legen Sie fest, aus welcher Zone oder über welche Schnittstelle dieser Zugrif geregelt werden
soll.
Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefniert Port und
Protokoll selber festlegen.
Aktion
Stellen Sie ein, ob der Zugrif gewährt, abgelehnt (ohne Rückmeldung) oder abgewiesen
(Meldung an den Sender) werden.
Anmerkung
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufnden.
6.4 Systemzugriffe
Konfiguration Schulrouter Plus
65
Konfiguration Schulrouter Plus
Firewall
Position
Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln
festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Aktiviert
Anhaken zum Aktivieren der Regel (Standard).
Alle akzeptierten Pakete loggen
Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog<
aufgeführt.
Klicken Sie auf REGEl hINZUFüGEN um die Regel zu bestätigen.
Durch den Klick auf das entsprechende SyMBOl rechts in der Zeile der erstellten Regel, können Sie die
entsprechenden Regeln de-/aktivieren, bearbeiten oder löschen.
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!
!
ê
66
Konfiguration Schulrouter Plus
Proxy
7 Hauptmenü Proxy
7.1 HTTP

Der integrierte HTTP-Proxy ist ein vollwertiger Proxy, der als Vermittler der Daten zwischen Netz-
werkverkehr und dem integrierten Schulflter Plus agiert und auch Webobjekte zwischenspeichern
kann. Außerdem bietet der integrierte Proxy weitere grundsätzliche Einstellungsmöglichkeiten zur
Filterung des Datenverkehrs und zur Authentifzierung.
Um den Datenverkehr über den Schulflter Plus zu leiten, muss der Proxy für die entsprechende
Schnittstelle aktiviert sein. Sie können in dieser Übersicht den Proxy für jede Schnittstelle aktivieren
oder deaktivieren.
So können Sie beispielsweise Ihr Schüler-Netz (z.B. im Grünen Netz) über den Schulflter Plus fltern
lassen und für Ihr Verwaltungsnetz separat den Proxy deaktivieren, so dass die Verwaltungsrechner
(z.B. im Blauen Netz) ohne Filterung und ohne weitere Einstellungen am Filter vorbei gehen können.
Bei dieser Auswahl haben Sie die Optionen zwischen:
Deaktiviert
Der Proxy ist auf dieser Schnittstelle deaktiviert. Es wird ein reines Routing gemacht.
7.1.1 Konfiguration
Ist an einem Client noch ein Proxy eingestellt, so gibt der Browser eine Fehlermeldung zurück. !
ê
Konfiguration Schulrouter Plus
67
Konfiguration Schulrouter Plus
Proxy
Keine Authentifzierung
Der Proxy ist aktiviert. Um den Proxy zu nutzen, muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden.
Authentifzierung benötigt
Der Proxy ist aktiviert. Um den Proxy zu nutzen muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden. Weiterhin ist die Anbindung des Proxy an einen Verzeichnisdienst
notwendig, so dass die Anmeldedaten des Clients abgefragt werden und auch an den Schul-
flter Plus weitergegeben werden können.
Transparent
Der Proxy ist aktiviert und fängt selbständig alle http-Anfragen (über Port 80) ein. Es muss
am Client für den http-Verkehr kein Proxy eingetragen werden. In diesem Fall ist aber keine
Authentifzierung gegen einen Verzeichnisdienst möglich.
Proxy Port
Wenn Sie den Proxy nicht transparent einsetzen wollen, müssen Sie einen Port wählen, der
bei den Clients eingestellt wird. Standardmäßig ist der Port 800 eingestellt, da dabei die
Gefahr einer Mehrfachnutzung durch andere Programme relativ klein ist.
Achten Sie beim Einstellen des Ports darauf, dass keine anderen Programme auf Ihren Clients
diesen Port beanspruchen.
Sichtbarer Hostname
Zeigt in Fehlermeldungen des Schulrouter Plus nicht den Hostnamen, sondern den hier
eingetragenen Namen an.
Cache Administrator E-Mail
Diese E-mail-Adresse wird in Fehlermeldungen des Schulrouter Plus als Kontakt angezeigt.
Sprache der Fehlermeldungen
Wählen Sie die Sprache, in der Fehlermeldungen angezeigt werden sollen.
Max. Größe von Uploads (KB)
Limit für http-Dateiuploads (so wie z.B. Anhänge in Formularen) in KB (0 bedeutet unbegrenzt).
68
Konfiguration Schulrouter Plus
Proxy
Hier werden die zulässigen Ziel-Ports geführt, über die HTTP(S)-Anfragen an den Schulrouter Plus
gesendet werden dürfen, um weitergeleitet zu werden.
7.1.1.1 Erlaubte Ports und SSl Ports
7.1.1.2 Log-Einstellungen
Log aktiviert
Aktivieren Sie hier die Protokollierung aller Aktivitäten über den http-Proxy. Sie können das
Protokoll in den >Proxy-Logdateien< einsehen. Diese Daten zu sammeln kann Datenschutz-
richtlinien und die Privatsphäre der Benutzer verletzen. Bitte prüfen Sie die Datenschutzricht-
linien Ihres Bundeslandes.
Diese Einstellung ist unabhängig von der Protokollierung des Schulflter Plus, kann also für
eine reine Protokollierung der Filterereignisse ausgeschaltet bleiben.
Protokolliere Query Terms
Standardmäßig werden dynamische Abfragen bei der Protokollierung abgeschnitten. Ist
dieser Punkt aktiviert, werden auch diese protokolliert.
Z.B.: http://www.time-for-kids.de/index.php?user=hallo&passwort=welt


dynamische Abfragen
Protokolliere User Agents
So werden auch die verwendeten User-Agents, bspw. wenn der Browser mit dem die Internet-
seite angesehen wird, protokolliert.
Dieser Punkt sollte nur zur Fehlersuche aktiviert werden. Die User-Agents sind nicht in der
Weboberfäche zu sehen, sondern nur in der Datei “/var/log/squid/useragent.log”
Firewall protokolliert ausgehende Verbindungen
Alle Proxy-Anfragen werden auch im Firewalllog protokolliert (nur bei transparentem Proxy).
Konfiguration Schulrouter Plus
69
Konfiguration Schulrouter Plus
Proxy
7.1.1.3 Erlaubte Subnetze pro Zone
Hier werden die Zugrifsrechte auf den Webzugrif über den Proxy geregelt. Nur Anfragen aus
diesen Subnetzen wird der Webzugrif über den HTTP-Proxy genehmigt, alle anderen bekommen eine
Fehlermeldung.
Standardmäßig werden hier automatisch die Subnetze von den Schnittstellen Grün, Blau und
Orange eingetragen. Sie können diese manuell editieren, um bspw. nur einem kleineren IP-Bereich den
Internetzugrif zu gewähren.
Wenn Sie die IP-Adressen und dementsprechend auch den Adressbereich ändern
(also bspw. 1 92 . 1 6 8 . 0. 1 ü 1 92 . 1 6 8 . 1 0 0. 1 ), müssen Sie den Bereich auch hier manuell
ändern! Alternativ können Sie das komplette Feld leeren und SpEIChERN klicken. Dann holt sich der Proxy
automatisch die richtigen Einstellungen.
7.1.1.4 Interner Datenverkehr
Verweigere Zugang von GRÜN auf BLAU / ORANGE
Diese Einstellung verhindert direkte HTTP-Zugrife auf lokale Web-Server in den anderen
internen Zonen durch den http-Proxy hindurch.
Beispiel:
Solange der Proxy-Zugrif untereinander deaktiviert ist, werden Anfragen gewöhnlich nach ROT weiter
geleitet. Wenn aber ein Client von Blau auf einen Web-Server in Grün zugreifen möchte, dann nimmt
der Proxy-Server eine interne Abkürzung zwischen den Schnittstellen Grün und Blau, unabhängig von
jeglichen Firewall-Regeln.
Um die Server zu schützen, wird empfohlen diese Option zu aktivieren und falls notwendig den
Zugrif über den internen Datenverkehr zu regeln.
!
ê
!
ê
70
Konfiguration Schulrouter Plus
Proxy
7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele
Hier können Sie festlegen, ob bestimmten PCs nicht den HTTP-Proxy nutzen müssen.
Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele
Diese Quellen oder Ziele werden nicht über den Proxy geleitet, selbst wenn er im Modus
“Transparent” läuft.
Den Proxy von folgenden Quell-IPs/Quell-MAC-Adressen umgehen
Für die in diesen Feldern eingetragenen IP- bzw. MAC-Adressen gelten die >Einstellungen der
Standardrichtlinie< nicht.
MAC-Adressen müssen im Format 0 0 - 0 0 - 0 0 - 0 0 - 0 0 - 0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
eingegeben werden.
Gesperrte IP-Adressen/MAC-Adresse
Alle in diesen Feldern angegebenen IP- bzw. MAC-Adressen bekommen beim Versuch über
den http-Proxy ins Internet zu gelangen die Fehlermeldung “Zugrif verweigert”.
MAC-Adressen müssen im Format 0 0 - 0 0 - 0 0 - 0 0 - 0 0 - 0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
eingegeben werden.
7.1.1.6 Cache Verwaltung
Der http-Proxy des Schulrouter Plus verfügt auch über einen Zwischenspeicher (Cache), um den
Internetdatenverkehr zu minimieren und die Seitenaufrufe bei den Clients möglichst schnell zu halten.
Sie können hier die Größe des Cache im Arbeitsspeicher (RAM) und auf der Festplatte defnie-
ren. Der Cache im RAM ist viel schneller und Strom sparender als auf der Festplatte. Er sollte
aber nicht zu groß gewählt werden, da sonst andere Dienste beeinträchtigt werden könnten.
Weiterhin können Sie auch festlegen, welche Größe die zwischengespeicherten Objekte
mindestens und maximal haben dürfen.
Mit der Option „Aktiviere Ofine-Modus“ werden die zwischengespeicherten Objekte nicht
auf dem Server auf Aktualität überprüft und es wird beim Abrufen auch auf evtl. veraltete
Objekte zugegrifen.
Im Eingabefeld „Diese Domains nicht zwischenspeichern“ können Sie eine Liste von Domains
führen, von denen keine Objekte zwischengespeichert werden sollen. Objekte dieser Domains
werden also immer direkt vom Server geholt.
Die Einträge müssen immer mit einem Punkt beginnen und es muss für jede Domain eine neue Zeile
verwendet werden.
Beispiel: “.time-for-kids.de” “.schulrouterplus.de”
Konfiguration Schulrouter Plus
71
Konfiguration Schulrouter Plus
Proxy
7.1.1.7 Vorgelagerter Proxy
Gibt es einen weiteren Proxy in Ihrem Netzwerk, über den der Schulrouter Plus ins Internet gehen soll,
müssen Sie hier die passenden Daten eintragen:
Geben Sie zuerst den Hostnamen mit dem Proxyport in dem Format Hostname:Port an.
Verlangt der vorgelagerte Proxy, dass Sie sich authentifzieren, geben Sie darunter
Benutzername und Passwort ein.
Auf der rechten Seite können Sie festlegen, welche Daten mit an den Proxy übergeben
werden. So kann die IP-Adresse und der Benutzername des Clients weitergegeben werden.
72
Konfiguration Schulrouter Plus
Proxy

Der HTTP-Proxy des Schulrouter Plus unterstützt vier Authentifzierungsmethoden:
Lokal, LDAP, Windows, Radius. Jede dieser Methoden benötigt unterschiedliche Einstellungen, die
weiter unten beschrieben werden.
Die globalen Einstellungen für alle Authentifzierungsmethoden sind:
Anzahl der Authentifzierungsprozesse
Gibt an, wie viele Prozesse auf Authentifzierungsanfragen warten. Der Wert sollte erhöht
werden, wenn die Anmeldung zu lange dauert.
Authentifzierungscache TTL
Gibt in Minuten an, wie lange die Session der Anmeldung bestehen bleibt. Nach Ablauf der
Zeit muss sich der Benutzer neu anmelden. Schickt der angemeldete Benutzer während dieser
Zeit eine Anfrage ab (ruft bspw. eine Internetseite auf), beginnt die Zeit von neuem.
Begrenzung von IP-Adressen pro Benutzer
Gibt an, von wie vielen unterschiedlichen IP-Adressen aus sich ein Benutzer gleichzeitig
anmelden darf. Wenn das Feld leer bleibt, besteht keine Beschränkung.
7.1.2 Authentifizierung
Konfiguration Schulrouter Plus
73
Konfiguration Schulrouter Plus
Proxy
Benutzer/IP-Cache TTL
Gibt an, für welche Dauer die Beziehung von IP-Adresse zu Anmeldename gespeichert wird.
Diese Einstellung macht nur Sinn, wenn die Begrenzung von IP-Adressen pro Benutzer
genutzt wird. Meldet sich ein Benutzer an einem Client-PC an und wird die Begrenzung der
IP-Adressen bspw. auf eins gestellt, kann er sich erst wieder an einem anderen Client-PC
anmelden, sobald die hier eingegebene Zeit abgelaufen ist. Ist der Wert auf 0 gesetzt, besteht
keine Beschränkung.
Authentifzierungs-Realm Anzeige
Die hier eingegebene Bezeichnung wird auf der Anmeldmaske als Name des Proxy angezeigt.
Für die Anbindung eines Active Diretories über die Authentifzierungsmethode „Windows“
muss hier der FQDN-Domänenname stehen.
Authentifzierung für uneingeschränkte Quelladressen erforderlich
Aktivieren Sie diese Option, wenn Sie möchten, dass eine Anmeldung auch von IP-Adressen
geschehen soll, die unter Konfguration im Feld >Den Proxy von folgenden Quell-IPs umghen<
oder >Den Proxy von folgenden Quell-MAC-Adressen umgehen< stehen.
Domains ohne Authentifzierung
Hier können Sie eine Liste mit Internetseiten pfegen, für die keine Anmeldung erforderlich ist.
Zum Beispiel für Windows- und AntiVirus-Update.
Alle angegebenen Domains müssen mit einem Punkt beginnen.
Beispiel für Windows-Update: “.windowsupdate.com” “.microsoft.com”
Quellsubnetze/IP/MAC ohne Authentifzierung
Hier können Sie eine Liste mit Hosts (IP-Adressen/Netz/MAC-Adressen) pfegen, von denen
keine Anmeldung abgefragt wird.
74
Konfiguration Schulrouter Plus
Proxy
7.1.2.1 Lokale Authentifizierung
Bei der lokalen Benutzerauthentifzierung werden die Benutzer direkt auf dem Schulrouter Plus
gepfegt, ohne dass ein Authentifzierungsserver angebunden sein muss.
Über den Button BENUTZERVERwAlTUNG können Sie die Benutzer anlegen und bearbeiten.
Min. Passwordlänge
Geben Sie an, wie lang ein Passwort mindestens sein darf.
7.1.2.1.1 Benutzerverwaltung
Dies ist die Oberfäche, auf der die gesamte Benutzerverwaltung vorgenommen werden kann. Im
oberen Bereich sind die Eingabefelder, mit denen Sie neue Benutzer anlegen, bzw. Benutzer bearbeiten
können, im unteren Bereich die Übersicht der vorhandenen Benutzer. In der Übersichts-tabelle werden
die angelegten Benutzer nach Benutzernamen sortiert.
Gruppen
Hier können Sie den Benutzer einer bestimmten Gruppe zuordnen. Diese muss vorher bei den
>Gruppenregeln< erstellt worden sein.
Benutzer anlegen
Um einen neuen Benutzer anzulegen, geben Sie die entsprechenden Benutzerdaten in die
Eingabefelder ein und wählen Sie eine entsprechende Gruppe. Nachdem Sie auf den Button
BENUTZER ERSTEllEN klicken, erscheint der neue Benutzer in der Liste darunter.
Benutzer bearbeiten
Um vorhandene Benutzer zu bearbeiten, klicken Sie auf das STIFT-SyMBOl in der Zeile des
entsprechenden Benutzers. Daraufin erscheinen die Daten in der Eingabemaske oben.
Sie können bei dem zu bearbeitenden Benutzer nur Passwort und Gruppe ändern, nicht den
Benutzernamen. Wenn Sie die Einstellungen vorgenommen haben, klicken Sie auf den Button
BENUTZER AKTUAlISIEREN.
Benutzer löschen
Um einzelne Benutzer zu löschen, klicken Sie auf das pApIERKORp-SyMBOl am Ende der Zeile.
Konfiguration Schulrouter Plus
75
Konfiguration Schulrouter Plus
Proxy
7.1.2.2 LDAP
Diese Einstellung wird verwendet, um ein LDAP-Server anzubinden.
Folgende Einstellungen müssen gesetzt werden:
Base DN
Der „base distinguished name“, ist der Startpunkt der LDAP-Suche. Standardmäßig kann hier
der Domänenname verwendet werden.
Beispiel für die Domäne schule.local: dc=schule,dc=local
LDAP Server
Die IP-Adresse Ihres LDAP-Servers
LDAP-Typ
Hier können Sie wählen ob Sie ein Active Directory, Novell eDirectory, LDAP Server Version 2
oder einen LDAP Server Version 3 verwenden.
Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 389.
Bind DN Benutzername/Passwort
Der vollständige Benutzername und das Passwort eines Benutzers, der die Berechtigung
besitzt Benutzerattribute auszulesen.
Beispiel für den Benutzer Administrator eines Active Directory mit der Domäne schule.local:
cn=administrator,cn=users,dc=schule,dc=local
76
Konfiguration Schulrouter Plus
Proxy
7.1.2.3 Windows
Diese Einstellung wird verwendet, um ein Active Directory anzubinden.
Folgende Einstellungen müssen gesetzt werden:
Domäne
Geben Sie hier Ihren Domänenamen ein. Nutzen Sie die kurze Variante (NETBIOS), z.B.: schule
PDC Hostname
Der Hostname des primären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<
BDC Hostname
Der Hostname des sekundären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<
Benutzername/Passwort
Benutzername und Passwort
Der Benutzername und das Passwort des Benutzers mit dem der Schulrouter Plus der Domäne
beitreten kann. Dies muss ein Benutzer mit administrativen Rechten sein (z.B. der Domänen-
administrator).
Zugangsbeschränkungen
Hier können Sie in den sich darunter öfnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.
Mit dem Klick auf DOMäNE BEITRETEN wird der Schulrouter Plus nur als Computer in der
Domäne angelegt und erst mit Speichern wird die Einstellung auch gespeichert übernommen.
Single Sign-On gegen ein Active Directory
Um das Single Sing-On gegen ein Active Directory nutzen zu können müssen einige
Voraussetzungen geschafen werden:
• Der Schulrouter Plus muss der >Domäne beigetreten< sein.
• Die Uhrzeit des Schulrouter Plus und des Domänencontrollers müssen synchron laufen.
• Im >DNS-Proxy< muss der Domänencontroller als Nameserver für die interne Domäne festgelegt
werden.
• Der Schulrouter Plus muss in der Lage sein den Hostnamen des Domänencontrollers aufzulösen
(z.B. durch Bekanntmachung über >Hosts bearbeiten<)
• Die Authentifzierungs-Realm Anzeige muss der FQDN sein.
• Der >PDC Hostname< muss der Netbios-Computername des Domänencontrollers sein.
!
ê
i
Konfiguration Schulrouter Plus
77
Konfiguration Schulrouter Plus
Proxy
7.1.2.4 Radius
Diese Einstellung wird verwendet, um einen Radius-Server anzubinden.
Folgende Einstellungen müssen gesetzt werden:
RADIUS Server
Die IP-Adresse Ihres LDAP-Servers
Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 1645.
Kennung
Eine zusätzliche Kennung (Identifer) des Radius-Servers.
Shared secret
Das Kennwort für die Signierung der Kommunikation.
Zugangsbeschränkungen
Hier können Sie in den sich darunter öfnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.
78
Konfiguration Schulrouter Plus
Proxy

Die Standardrichtlinie gilt für alle Hosts, die über den HTTP-Proxy surfen.
Sie können hier einschränken welche Browser verwendet werden dürfen, welche Dateitypen
aufgerufen werden dürfen und die maximale Größe von Downloads festlegen.
Zulässige Clients für Webzugrife beschränken
Mit dieser Funktion können Sie die Client-PCs auf bestimmte Browser einschränken, so dass
Schüler bspw. nur noch den Microsft Internet Explorer nutzen können und nicht mehr ihren
mitgebrachten Portable Firefox.
Die Browser/Programme werden über ihre mit gesendete Kennung (Useragent) identifziert
und können so ziemlich sicher ausgefltert werden.
Aktivieren Sie zunächst die Funktion „Zulässige Clients für Webzugrife beschränken„ und
wählen Sie dann unten die Programme aus, mit denen der Internetzugrif gewährt werden soll.
7.1.3 Standardrichtlinie
Beachten Sie, dass dadurch eventuell AntiVirus-Updates oder andere Programme blockiert werden.
Möchten Sie es bspw. erlauben, dass auch mit einem Browser Videos angesehen werden können,
muss zusätzlich zu dem Browser auch der Windows Media Player aktiviert werden.
Alle hier nicht aufgeführten Programme werden dann blockiert.
!
ê
Konfiguration Schulrouter Plus
79
Konfiguration Schulrouter Plus
Proxy
Dateitypen blockieren
Um den Zugrif auf bestimmte Dateitypen zu verhindern, können Sie die zu blockierenden
Dateitypen in Form von MIME-Types hier angeben.
Beispiele:
application/octet-stream für ausführbare Dateien (*.bin *.exe *.com *.dll)
text/javascript für JavaScript (*.js)
Eine Übersicht der gängigen MIME-Types bekommen Sie bspw. bei >SelfHTML<
Max. Größe von Downloads
Legen sie hier fest, ob die maximale Größe von Downloads beschränkt werden soll.
„0“ bedeutet keine Beschränkung.
Sie können auch Teilausdrücke nutzen, so dass mit dem Eintrag javascript sowohl
“application/x-javascript” als auch “text/javascript” unterbinden.
i
80
Konfiguration Schulrouter Plus
Proxy

Hier können Sie die Virus-Scan-Engine, die vom HTTP-Proxy verwendet wird, konfgurieren.
Max. zu scannende Dateigröße
Defnieren Sie die maximale Größe von Dateien, die gescannt werden sollen.
Folgende URLs nicht durchsuchen
Eine Liste von Internetadressen, die nicht gescannt werden sollen.
7.1.4 Antivirus
Die Aktualität des Virenscanners kann bei >Abschnitt 7.1.4 Antivirus< überprüft werden.
i
Konfiguration Schulrouter Plus
81
Konfiguration Schulrouter Plus
Proxy

Hier können Sie bei Nutzung der Authentifzierungsmethoden Lokal oder Windows Gruppen
erstellen oder hinzufügen.
Bei der Nutzung der Authentifzierungsmethode Windows importieren Sie hier nach dem erfolg-
reichen Anbinden des Schulrouter Plus an die Domäne die Gruppen, denen der Zugrif über den
http-Proxy gewährt werden soll.
Bei Nutzung der Authentifzierungsmethode Lokal erstellen und bearbeiten Sie hier die Gruppen,
denen die Benutzer in der Benutzerverwaltung (L) zugeordnet sein müssen.
Das Richtlinien-Profl defniert die Einschränkungen bei der Nutzung des http-Proxys. Benutzer-
gruppen mit dem Profl „Standardeinstellungen“ nutzen den http-Proxy mit allen eingestellten
Einschränkungen der >Standardrichtlinie<.
Benutzergruppen mit dem Profl „Uneingeschränkt“ umgehen diese Einstellungen.
7.1.5 Gruppenregeln
Gruppen, die standardmäßig alle Benutzer abdecken, sind „Domänenmitglieder“ und
„Domänenadmins“.
i
82
Konfiguration Schulrouter Plus
Proxy

In diesem Abschnitt können Sie den POP3-Proxy für eingehende E-Mails konfgurieren.
7.2 POP3

Hier können Sie den POP3-Proxy für jedes einzelne Netzsegment aktivieren. Es ist weiterhin
möglich, den Virusscanner und Spamflter für eingehende E-Mails zu aktivieren.
Um jede ausgehende POP3-Verbindung im Firewalllog zu protokollieren, aktivieren Sie den
hAKEN „Firewall protokolliert ausgehende Verbindungen“.
7.2.1 Globale Einstellungen
Konfiguration Schulrouter Plus
83
Konfiguration Schulrouter Plus
Proxy

Hier defnieren Sie, wie sich der POP3-Proxy mit aktiviertem Spamflter verhält, wenn er eine
Spam-Nachricht entdeckt.
Spam Betrefzeile
Dieser Eintrag wird vor den Betref der Originalnachricht geschrieben.
benötigte Punktezahl
Diese Einstellung legt fest, bei welcher Punktzahl eine E-Mail als Spam defniert wird.
Die Anzahl der vergebenen Punkte wird durch die einzelnen Prüfalgorithmen des Spamflters
festgelegt und addiert.
Hash Spamprüfung aktivieren
Diese Option aktiviert die Spamerkennung über Prüfsummen. Hierbei wird die Prüfsumme einer als
Spam erkannten E-Mail an eine zentrale Datenbank gemeldet. Auf auf dem Schulrouter Plus werden
von allen eingehenden E-Mails die Prüfsumme generiert und mit dieser Datenbank verglichen.
7.2.2 Spam Filter
84
Konfiguration Schulrouter Plus
Proxy
Dies wird zu einer eheblichen Auslastung des Schulrouter Plus führen.
Whitelist/Blacklist
Hier können Absenderadressen defnieren, die nie bzw. immer als Spam erkannt werden
sollen. Sie können hierbei auch Platzhalter verwenden (z.B. *@example.com)

Der FTP-Proxy ist nur als transparenter Proxy einsetzbar. Dies erlaubt das Scannen von Viren bei
FTP-Downloads.
Sie können hier den FTP-Proxy für die einzelnen Netzsegmente aktivieren und folgende Einstellungen
vornehmen:
Firewall protokolliert ausgehende Verbindungen
Hiermit werden alle ausgehenden FTP-Verbindungen im Firewalllog protokolliert.
Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele
Sie können festlegen, dass bestimmte Hosts den FTP-Proxy umgehen bzw. für bestimmte
Ziele der FTP-Proxy nicht verwendet wird.
7.3 FTP
Die Transparenz greift nur auf den Standardport 21 zu. Das heißt: Wenn Sie Ihre Clients
einstellen, und Sie den http-Proxy für alle Ports verwenden, wird der FTP-Proxy umgangen.
!
ê
!
ê
Konfiguration Schulrouter Plus
85
Konfiguration Schulrouter Plus
Proxy
Der SMTP-Proxy kann ausgehender E-Mails weiterleiten und fltern.
Der Einsatzbereich des SMTP-Proxys ist, den SMTP-E-Mail-Verkehr zu steuern, zu optimieren und Ihr
Netzwerk vor Angrifen über das SMTP-Protokoll zu schützen.
Die Konfguration ist in mehrere Abschnitte unterteilt:
7.4 SMTP

Dies ist der Hauptschnitt zur generellen Konfguration des SMTP-Proxys. Er beinhaltet folgende
Einstellungsmöglichkeiten:
Aktiviert
Dies aktiviert den SMTP-Proxy, so dass er SMTP-Anfragen auf Port 25 annimmt.
Transparent
Wenn die Transparenz aktiviert ist, werden alle Anfragen an den Zielport 25 abgefangen und
an den SMTP-Proxy weitergegeben, ohne dass bei dem Client ein Proxy eingestellt sein muss.
Virusprüfung aktiviert
Aktivieren Sie die Antivirenprüfung der ausgehenden E-Mail. Die Konfguration kann im
Abschnitt >Antivirus< vorgenommen werden.
Spamprüfung aktiviert
Aktivieren Sie diese Option, um ausgehende E-Mails auf Spamnachrichten zu prüfen. Die
Konfguration kann im Abschnitt >7.4.3 Spam< vorgenommen werden.
7.4.1 Hauptseite
86
Konfiguration Schulrouter Plus
Proxy
Blockiere Dateiendungen
Aktivieren Sie diese Option, um E-Mails mit bestimmten Dateianhängen zu blockieren. Die
Konfguration kann im Abschnitt >7.4.4 Dateierweiterungen< vorgenommen werden.
Eingehende Mail aktiviert
Wenn Sie in Ihrem Netzwerk einen internen E-Mail-Server betreiben, können Sie diese Option
aktivieren um eingehende an den internen Mailserver weiterzuleiten.

Firewall protokolliert ausgehende Verbindungen
Aktivieren Sie diese Option, um alle ausgehenden SMTP-Verbindungen im >Firewalllog< zu
protokollieren. Beachten Sie dabei die Datenschutzbestimmungen.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
Sie müssen weiterhin die E-Mail-Domains defnieren für die der SMTP-Server verantwortlich sein
soll. Sie können diese im Abschnitt “Domains” (L) defnieren.
i
Konfiguration Schulrouter Plus
87
Konfiguration Schulrouter Plus
Proxy

Die Antivirenprüfung ist eine der Hauptaufgaben des SMTP-Proxys. Drei Reaktionen können festgelegt
werden, wenn einen virenbefallene E-Mail versendet wird. Es ist auch möglich eine E-Mail -Adresse für
Benachrichtigungen festzulegen:
Standardeinstellung
Sie können zwischen drei Reaktionen auf infzierte E-Mails wählen:
“Verwerfen”: Die infzierte E-Mail wird sofort gelöscht.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.
Mailadresse zur Virus Benachrichtigung (Virus Admin)
Hier können Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung über den Fund
infzierter E-Mails geschickt werden soll.
Virus Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert
· Virus-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab
· E-Mail-Adresse – Wenn Sie eine gültige E-Mail-Adresse angeben, werden infzierte
E-Mails dorthin weitergeleitet
Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART.
7.4.2 Antivirus
88
Konfiguration Schulrouter Plus
Proxy

Der Antispamschutz des Schulrouter Plus kennt verschiedene Wege, um Sie vor Spammails zu
schützen: Regelbasierter Spamflter und Greylisting. Wobei beim Greylisting wird die Nachrichten von
unbekannten (noch nie zugestellt) Absendern zuerst abgewiesen und erst nach einer gewissen Zeit
angenommen.
Während die meisten einfachen Spamnachrichten von bekannten Mailservern versendet und vom
Spamflter geblockt werden, verändern Spammer ständig beim Versenden ihre Nachrichten. Dafür
ist es absolut notwendig, den Spam-Filter zu trainieren, um einen für Sie wirkenden Spamschutz zu
bekommen.
Folgende Einstellungen betrefen die regelbasierte Spamflterung:
Spam Ziel
Was soll mit erkannten Spamnachrichten geschehen.
“Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.
E-mail zur Benachrichtigung bei Spam Alarm (Spam Admin)
Hier können Sie eine E-Mail -Adresse angeben, an die eine Benachrichtigung über den Fund
von Spammails geschickt werden soll.
Spam Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert.
· Spam-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab.
· E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben, werden infzierte E-Mails
dorthin weitergeleitet.
7.4.3 Spam
Konfiguration Schulrouter Plus
89
Konfiguration Schulrouter Plus
Proxy
Spam Kennzeichnungsstufe
Wenn die angegebene Summe der addierten zutrefenden Regeln überschritten wird, wird
dem Header der Nachricht die Tags X-Spam-Status und X-Spam-Level hinzugefügt. Diese
beschreiben welche Regeln mit welchem Punkten gegrifen hat.
Spam Markierungsstufe
Wenn die angegebene Summe der addierten zutrefenden Regeln überschritten wird, wird die
Nachricht als Spam eingestuft und wie in “Spam Subjekt” angegeben die Kopfzeile erweitert.
Spam Quarantäne Level
Wenn die angegebene Summe der addierten zutrefenden Regeln überschritten wird, wird die
Nachricht als Spam eingestuft und in die Quarantäne verschoben.
Maximale SPAM Punktezahl für Senderbenachrichtigung
Senden nur eine Benachrichtigung an den oben angegebenen Spam-Admin, wenn diese Zahl
unterschritten bleibt.
Spam Subjekt
Hier können Sie festlegen, welche Nachricht in die Kopfzeile der zugestellten Nachricht
geschrieben wird.
Der zweite Abschnitt dieser Seite enthält die Einstellungen für das Greylisting:
Greylisting aktiviert
Aktiviert die Spamprüfung mittels Greylisting.
Verzögerung
Hier könen Sie die Zeit einstellen wie lange eine Nachricht abgewiesen wird, bis sie zugestellt
wird. Dies kann ein Wert zwischen 30 und 3600 Sekunden sein.
Whitelist Empfänger
Sie können hier E-Mail-Adressen oder ganze Domains freigeben, die nicht durch Greylisting
geprüft werden.
Whitelist Client
Sie können hier Mailserver freigeben, die nicht durch Greylisting geprüft werden. Das heißt,
dass E-Mails, die von diesem Server eintrefen, nicht geprüft werden.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
90
Konfiguration Schulrouter Plus
Proxy

Sie können hier bestimmte Dateianhänge sperren:
Blockierte Dateierweiterungen
Hier können Sie eine oder mehrere Dateitypen wählen, die gesperrt werden.
Aktion bei gesperrten Dateiendungen
Was soll mit blockierten Nachrichten geschehen?
“Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.
Quarantäne für verbotene Dateien
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert.
· Banned-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab.
· E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben, werden infzierte E-Mails
dorthin weitergeleitet.
7.4.4 Dateierweiterungen
Konfiguration Schulrouter Plus
91
Konfiguration Schulrouter Plus
Proxy
E-Mail für Warnmeldungen bei blockierten Dateien (Admin)
Hier können Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung über den Fund
von E-Mails mit geblockten Dateien geschickt werden soll.
Doppelte Dateiendungen verbieten
Wenn Sie diese Option aktivieren, werden Dateien mit doppelten Anhängen blockiert.
Doppelte Dateiendungen sind Endungen mit irgendeiner Dateiendung gefolgt von
.exe, .com, .vbs, .pif, .scr, .bat, .cmd oder .dll
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.

Eine oft genutzte Methode, um Spamnachrichten zu blockieren, sind so genannte real-time Blacklists
(RBL). Diese Listen werden von unterschiedlichen Organisationen gepfegt.
Wenn eine Domäne oder IP-Adresse in einer der aktivierten Liste aufgeführt ist, wird sie ohne
Rückmeldung abgelehnt. Dies spart Ressourcen im Vergleich zum Antispam, da hier keine E-Mail
angenommen und analysiert werden müssen.
Es gibt hier auch die Möglichkeit bestimmte Absender, Empfänger, IP-Adressen oder Netzwerke zu
sperren oder freizugeben.
7.4.5 Blacklist-Whitelist
92
Konfiguration Schulrouter Plus
Proxy
Folgende Listen können verwendet werden:
“bl.spamcop.net “
“zen.spamhaus.org”
“cbl.abuseat.org”
“dul.dnsbl.sorbs.net”
“list.dsbl.org”
“dsn.rfc-ignorant.org”
“ix.dnsbl.manitu.net”
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
Konfiguration Schulrouter Plus
93
Konfiguration Schulrouter Plus
Proxy

Wenn Sie auf der Hauptseite „Eingehende Mail“ aktiviert haben und Nachrichten zu einem internen
Mailserver weiterleiten wollen, müssen Sie die Domänen defnieren, die vom SMTP-Proxy akzeptiert
werden sollen und welcher Ihrer Mailserver diese Nachrichten empfangen soll.
Es ist möglich mehrere Mailserver für unterschiedliche Domänen zu verwenden. Geben Sie hier
einfach die Domäne und den internen Mailserver an. Fügen Sie alle notwendigen Mailserver der Liste
hinzu.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
7.4.6 Domains
94
Konfiguration Schulrouter Plus
Proxy

Diese Einstellung erlaubt es Ihnen eine blind carbon copy (BCC) an eine spezielle E-Mail-Adresse zu
senden. Diese Kopie wir gesendet, sobald eine E-Mail zu einem bestimmten Empfänger oder von
einem bestimmten Absender gesendet wird.
Richtung
Legen Sie fest, ob die Kopie erstellt werden soll, wenn die Nachricht zu einem bestimmte
Empfänger oder von einem bestimmten Absender gesendet wird.
Mailadresse
Hier geben Sie die entsprechend zu prüfenden Empfänger- oder Absenderadresse an.
BCC Adresse
Dies ist die E-Mail-Adresse an die die Kopie geschickt werden soll.
Durch Klick auf MAIlROUTE hINZUFüGEN wird die Regel hinzugefügt und durch Klick auf SpEIChERN
UND NEUSTART übernommen.
7.4.7 Mailrouting
Weder Empfänger noch Absender werden informiert. Dies kann den Datenschutzrichtlinien
widersprechen!
!
ê
Konfiguration Schulrouter Plus
95
Konfiguration Schulrouter Plus
Proxy

Hier können Sie erweiterte Einstellungen für den SMTP-Proxy vornehmen.
Im Abschnitt Smarthost können folgende Einstellungen vorgenommen werden:
Zustellung über externen Mailserver (Smarthost)
Aktivieren Sie diese Einstellung wenn Sie einen Smarthost oder Relay-Server verwenden
wollen. Ein Smarthost ist ein Mailserver, der von einem Sender E-Mails annimmt und an
beliebige Dritte weiterleitet.
Adresse des Smarthostes
Geben Sie die Adresse des Smarthosts an.
Smarthost benötigt Authentifzierung
Aktivieren Sie dieses Feld, wenn der Smarthost eine Anmeldung benötigt und geben sie
darunter die entsprechenden Anmeldedaten an.
Authentifzierungsmethode
Hier können Sie die Authentifzierungsmethoden festlegen, die Ihr Smarthost unterstützt.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
7.4.8 Erweitert
96
Konfiguration Schulrouter Plus
Proxy
Im Abschnitt „IMAP Server für die SMTP Authentifzierung“ können Sie festlegen welcher IMAP-Server
für die Authentifzierung beim Versenden von E-Mails verwendet werden soll.
In den erweiterten Einstellungen können Sie noch folgende Einstellungen vornehmen:
smtpd HELO benötigt
Ist dies aktiviert, muss der Client ein HELO beim Aufau der Verbindung senden
Ungültige Rechnernamen abweisen
Die Verbindung wird abgewiesen, wenn das HELO-Signal des Clients einen ungültigen
Hostnamen enthält.
Unvollständige Rechnernamen abweisen (FQDN)
Die Verbindung wird abgewiesen, wenn das HELO-Signal keinen voll qualifzierten
Hostnamen (FQDN) enthält.
Unvollständige Empfangsadresse abweisen (FQDN)
Die Verbindung wird abgewiesen, wenn die Empfängeradresse keinen voll qualifzierten
Hostnamen (FQDN) ist.
Unbekannte Sender Domain abweisen
Die Verbindung wird abgewiesen, wenn die Domäne der Absender- E-Mail-Adresse keinen
DNS A oder MX-Eintrag hat.
Unbekannte Empfänger abweisen
Die Verbindung wird abgewiesen, wenn die Domäne der Empfänger- E-Mail-Adresse keinen
DNS A oder MX-Eintrag hat.
SMTP HELO Name
Dies ist der Hostname, der mit dem ausgehenden HELO-Signal gesendet wird. Standard ist die
IP-Adresse der roten Schnittstelle.
Wenn der Schulrouter Plus eine dynamische IP-Adresse bekommt, weil der Provider bei jeder
Einwahl eine neue Ip-Adresse vergibt, kann es sein, dass Sie Probleme beim Versenden von E-Mails
über den SMTP-Proxy bekommen. Immer mehr Mailserver überprüfen, ob ihre IP als dynamische IP-Adresse
bekannt ist und verweigert ggf. die Verbindung. Dafür kann es hilfreich sein, einen Smarthost zu verwenden.
Normalerweise können Sie den Mailserver Ihres E-Mail-Providers verwenden.
!
ê
Konfiguration Schulrouter Plus
97
Konfiguration Schulrouter Plus
Proxy
Immer an BCC Adresse
Optional können Sie hier eine E-Mail-Adresse angeben, die eine Kopie von jeder E-Mail erhält,
die über den SMTP-Proxy versandt wird.

Das Zusenden von solchen E-Mails kann Datenschutzrichtlinien und die Privatsphäre der
Benutzer verletzen. Bitte prüfen Sie die Datenschutzrichtlinien Ihres Bundeslandes.
SMTP Daemon Hard Error Limit
Dies ist die maximale Anzahl von Fehlern, welche beim Abschicken einer E-Mail von ein und
demselben SMTP Client auftreten dürfen.
Der SMTP Proxy schließt die Verbindung wenn dieses Limit überschritten wird.
Sprache der Email-Vorlage
Die Sprache in der Fehlermeldungen des SMTP-Proxys angezeigt werden.
Maximal Email-Größe
Die maximale Größe, die eine einzelne E-Mail haben darf.
Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART.
98
Konfiguration Schulrouter Plus
Proxy

Auf dieser Seite können Sie den transparenten DNS-Proxy aktivieren und konfgurieren. Sie können
den DNS-Proxy für die einzelnen Schnittstellen aktivieren und außerdem festlegen bei welchen Quell-
und Zieladressen der DNS-Proxy umgangen werden soll.
Um die Einstellungen zu übernehmen, klicken Sie unten auf SpEIChERN UND NEUSTART.
7.5.1 DNS Proxy
7.5 DNS

Hier können Sie Nameserver für bestimmte Domänen festlegen, wie z.B. den Domänencontroller Ihrer
internen Domäne.
Geben Sie dazu einfach nach dem Klick auf EINEN NEUEN BENUTZERDEFINIERTEN NAMESERVER FüR
EINE DOMAIN hINZUFüGEN die Domäne und den dafür zuständigen Nameserver an.
7.5.2 Benutzerdefinierter Nameserver
Konfiguration Schulrouter Plus
99
Konfiguration Schulrouter Plus
Proxy

Hier können Sie festlegen wie der Schulrouter Plus reagieren soll, wenn der Domänenname für bekannt
ist für “Spyware-Angrife” bekannt ist.
Folgende Einstellungen können Sie setzen:
Aktiviert
Wenn aktiviert, werden die Anfragen an localhost umgeleitet.
Anfragen an den Spyware Listening Port weiterleiten
Ist dies aktiviert, werden die Anfragen anstatt an localhost an das Spyware-Modul
weitergegeben.
Erlaubte/Blacklist Domains
Hier eingegebene Domains werden entweder nicht oder immer als Spyware klassifziert.
Spyware Domainlisten Updateintervall
Hier können Sie festlegen, wie oft die Spyware Domain Liste aktualisiert wird.

7.5.3 Anti-Spyware
100
Konfiguration Schulrouter Plus
VPN
8 Hauptmenü VPN
Virtual Private Networks oder VPNs erlauben es zwei Netzwerken, sich direkt über ein anderes
Netzwerk, z.B. das Internet, miteinander zu verbinden. Alle Daten werden sicher über einen
verschlüsselten Tunnel versendet, geschützt vor neugierigen Blicken. Auf die gleiche Weise kann sich
ein einzelner Computer mit einem anderen Netzwerk verbinden.
Der Schulrouter Plus kann sehr einfach VPNs zwischen anderen Schulrouter Plus aufauen. Im
Schulrouter Plus werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz defniert. Diese sind
zu 100% optional; Sie sollten diesen Abschnitt sicherheitshalber ignorieren, wenn Sie diese Funktion
nicht benutzen wollen.
Die meisten aktuellen Betriebssysteme unterstützen IPSec. Das beinhaltet Windows, Macintosh OSX,
Linux und die meisten Unix-Varianten. Unglücklicherweise bieten diese Tools sehr unterschiedliche
Unterstützungen und könnten daher schwierig einzustellen sein.
1. VERBINDGUNSARTEN
Netz-zu-Netz
Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke über das Internet
miteinander, indem sie einen “Tunnel” aufauen. In einem Netz-zu-Netz VPN muss
mindestens eines der beteiligten Netzwerke per Schulrouter Plus mit dem Internet
verbunden sein. Das andere Netzwerk kann an einen Schulrouter Plus angeschlossen sein,
oder an einen an deren VPN-fähigen Router oder Firewall.
Diesen Routern/Firewalls wurde eine öfentliche IP von einem Provider zugewiesen und
sie benutzen höchstwahrscheinlich NAT (Network Address Translation). Falls gewünscht,
kann auch ein VPN zwischen den Clients in den internen Netzen und dem Schulrouter Plus
aufgebaut werden. Das stellt sicher, dass der Datenverkehr im entsprechen den Netzwerk
nicht mit Snifern abgehorcht werden kann.
Host-zu-Netz
Eine Host-zu-Netz Verbindung besteht, wenn der Schulrouter Plus an dem einem Ende des
VPN-Tunnels steht und ein Remote- oder Mobilbenutzer am anderen Ende. Der Mobilbenutzer
ist höchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen,
dynamischen öfentlichen IP. Man nennt diese Konstellation daher Host-zu-Netz oder
Roadwarrior.
Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfgurieren können,
müssen Sie sich für eine der Authentifzierungsmethoden pre-shared key (PSK) bzw.
Passwort-/Passphrase oder X.509-Zertifkat entscheiden. Mit der Authentifzierungsmethode
identifziert sich der Benutzer für den Zugang zum VPN.
Konfiguration Schulrouter Plus
101
Konfiguration Schulrouter Plus
VPN
2. AUTHENTIFIZIERUNGSMETHODEN
Pre-Shared Key
Die pre-shared key (PSK) Authentifzierungsmethode ist eine einfache Methode, die eine
schnelle Konfguration von VPNs ermöglicht.
Für diese Methode geben Sie eine Authentifzierungsphrase ein. Dabei kann es sich um eine
beliebige Zeichenfolge handeln, vergleichbar zu einem Passwort. Diese Phrase muss für die
Authentifzierung beim Schulrouter Plus und dem VPN-Client verfügbar sein.
Die PSK-Methode benötigt weniger Schritte als bei einer Authentifzierung über Zertifkate.
Sie kann verwendet werden, um Verbindungstests durchzuführen und Erfahrungen beim
Aufau einer VPN-Verbindung zu sammeln.
Die System-Uhrzeiten an jedem Ende des VPN-Tunnels sollten aktuell sein, bevor das VPN
konfguriert wird.
i
102
Konfiguration Schulrouter Plus
VPN
X.509 Zertifkate
X.509 Zertifkate stellen einen sehr sicheren Weg für die Verbindung von VPN-Servern dar.
Um X.509-Zertifkate zu implementieren, müssen Sie entweder die Zertifkate auf dem Schulrouter
Plus erzeugen oder durch eine andere Zertifzierungsstelle in Ihrem Netzwerk ausstellen lassen.
X.509 Begrife
X.509 Zertifkate auf dem Schulrouter Plus und vielen anderen Implementierungen werden über
OpenSSL verwaltet. SSL (Secure Socket Layer) hat seine eigenen Begrifsdefnitionen.
X.509 Zertifkate enthalten, abhängig vom Anwendungsfall, öfentliche und private Schlüssel,
Passphrasen und Informationen über die zugehörige Funktionseinheit. Diese Zertifkate dienen dazu,
von Zertifzierungsstellen (Certifcate Authorities oder CA) validiert zu werden.
Webbrowser beinhalten die CAs von öfentlichen Zertifzierungsstellen. Ein Host-Zertifkat wird von
der dazugehörigen CA validiert. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer
lokalen Maschine liegen. Im Falle von Schulrouter Plus ist dies der Schulrouter Plus selbst.
Zertifzierungsanfragen sind Anfragen für X.509 Zertifkate, die von CAs signiert (digital unter-
schrieben) werden.
Dabei entsteht aus der Anfrage das eigentliche Zertifkat, das dann zum Anforderer zurückgeschickt
wird. Dieses Zertifkat ist dann der CA bekannt, da es durch sie ausgestellt wurde.
X.509 Zertifkate können in drei verschiedenen Formaten gespeichert werden, die Anhand der
Dateiendung erkannt werden können. PEM ist das Standard-Format für OpenSSL. Es kann alle zum
Zertifkat gehörenden Informationen in lesbarer Form enthalten. Das DER-Format enthält nur die
Key-Informationen und keine separaten X.509-Informationen. Dies ist das Standard-Format für die
meisten Browser.
Das PEM-Format ergänzt das DER-Format durch Kopf-Informationen. PKCS#12, PFK oder P12 Zertifkate
enthalten im Binärformat dieselben Informationen wie PEM-Dateien. Mit dem OpenSSL-Kommando
können die Formate untereinander konvertiert werden. Um ein Zertifkat benutzen zu können, muss
es der Gegenstelle bekannt gemacht werden. Die IPSec-Implementierung vom Schulrouter Plus
enthält ihre eigene, selbst erstellte CA.
CAs können auch auf Roadwarrior-Maschinen laufen. Wenn die IPSec-Implementierung auf den
Roadwarrior-Maschinen keine eigenen CA-Fähigkeiten besitzt, können Sie eine Zertifkatsanforderung
(Request) erstellen, die dann von der CA des Schulrouter Plus signiert wird. Das daraus resultierende
Zertifkat kann dann auf der Roadwarrior-Maschine importiert werden.
Konfiguration Schulrouter Plus
103
Konfiguration Schulrouter Plus
VPN

Hier können Sie den OpenVPN Server aktivieren, um eine VPN-Verbindung zu diesem Schulrouter Plus
von einem einzelnen PC oder einem anderen Schulrouter Plus aufzubauen.
Weiterhin legen Sie fest, welcher IP-Bereich aus dem Grünen Netz für die VPN-Clients zur Verfügung
gestellt wird.
Mit dem Button SpEIChERN UND NEUSTART übernehmen Sie die Einstellungen und starten den
OpenVPN Server.
Im Abschnitt VERBINDUNGSSTATUS UND –KONTROllE werden die momentan aufgebauten
VPN-Verbindungen angezeigt.
Dort ist es möglich VPN-Verbindungen zu trennen (kill) oder die dazugehörigen Benutzer zu verban-
nen (ban). In beiden Fällen wird die VPN-Verbindung getrennt. Mit „ban“ hat der verbannte Benutzer
nicht mehr die Möglichkeit sich wiederzuverbinden.
8.1 OpenVPN Server
8.1.1 Serverkonfiguration
104
Konfiguration Schulrouter Plus
VPN

In diesem Abschnitt wird die OpenVPN-Konten für PSK-Verbindungen verwaltet.
Mit dem Button ACCOUNT hINZUFüGEN erstellen Sie einen neuen OpenVPN-Zugang mit folgenden
Einstellungen:
Account Information
Benutzername
Anmeldename des Benutzers
Passwort / Passwort bestätigen
Das dazugehörige Passwort (doppelt)
Client Routing
Den gesamten Client Datenverkehr über den VPN Server leiten.
Wenn Sie dies auswählen, wird sämtlicher Datenverkehr des Clients (unabhängig von der
Richtung) durch den Schulrouter Plus geleitet. Ohne diese Funktion wird nur der Verkehr
mit dem den internen Zonen des Schulrouter Plus als Ziel über den VPN-Tunnel gesendet und
bspw. kein Internetverkehr.
Pushe keine Routen zu den Clients
(fortgeschritten) normalerweise wird, wenn sich ein Cleint verbindet, die Route zu den Zonen
hinter dem Schulrouter Plus automatisch am Client eingerichtet. Möchten Sie dies manuell
tun, aktivieren Sie diese Funktion.
Netzwerke hinter dem Client
Diese Einstellung wird nur bei der Gw2Gw-Verbindung benötigt (Gateway zu Gateway), wenn
Sie diesen Schulrouter Plus als Client verwenden möchten. Geben Sie in diese Feld die Netz
werke hinter diesem Schulrouter Plus an, die Sie an die Gegenstelle pushen möchten.

8.1.2 Konten
Konfiguration Schulrouter Plus
105
Konfiguration Schulrouter Plus
VPN
Pushe nur diese Netzwerke
Fügen Sie Ihre eigenen Routen hinzu, die zum Client gepusht werden sollen. Dies überschreibt
die automatisch gepushten Routen.
Individuelle Push Konfguration
Statische IP Adresse
Normalerweise werden die IP-Adressen dynamisch den VPN-Clients zugewiesen
(entsprechend Reiter „Serverkonfguration“). Diese Einstellung können Sie hier überschrieben
und eine feste IP-Adresse vergeben.
Diese Nameserver pushen
Pushen Sie einen weiteren internen Nameserver zum VPN-Client.
Domäne pushen
Pushen Sie einen Domänennamen zum VPN-Client.
In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z.B.
1 92 . 1 6 8 . 1 0. 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an: http://www.heise.
de/netze/lib/netzwerk-rechner.shtml (L)
Klicken Sie auf SpEIChERN, um das Konto anzulegen oder zu speichern.
Sie können jederzeit die angelegten Konten de-/aktivieren, bearbeiten oder löschen durch klick auf
das entsprechende SyMBOl.
Wenn Sie planen zwei oder mehr Netzwerke hinter einem Schulrouter Plus miteinander zu verbinden
(Gw2Gw), ist es zu empfehlen in diesen Netzwerken jeweils unterschiedliche Subnetze zu wählen.
Zum Beispiel hat eine Gegenstelle ein Grünes Netz mit 1 92 . 1 6 8 . 1 . 0 / 2 4 und die andere benutzt
1 92 . 1 6 8 . 2 . 0 / 2 4 . Nur auf diesem Weg funktionieren die automatisch generierten Routen.

106
Konfiguration Schulrouter Plus
VPN

Mit diesem Reiter können Sie die erweiterten Einstellungen bearbeiten. Neben anderen Einstellungen
können Sie hier auch festlegen, wie die Authentifzierung erfolgen soll (Benutzer/Passwort oder über
Zertifkat).
Der erste Abschnitt ERwEITERTE EINSTEllUNGEN beinhaltet allgemeine Einstellungen für den
OpenVPN-Server:
Port / Protokoll
Port 1194 und Protokoll UDP sind die Standardeinstellungen. Es ist zu empfehlen diese zu
belassen wie sie sind.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk
bekommen, die mit Ihrem lokalen DHCP-Server in Konfikt geraten.
Datenverkehr zwischen Clients nicht blockieren
Standardmäßig werden die VPN-Clients voneinander getrennt. Aktivieren Sie diese Option,
wenn Sie Datenverkehr zwischen einzelnen VPN-Clients erlauben wollen.

8.1.3 Erweitert
Konfiguration Schulrouter Plus
107
Konfiguration Schulrouter Plus
VPN
Im zweiten Abschnitt können Sie die globalen Pushoptionen festlegen:
Diese Netzwerke pushen
Wenn aktiviert, werden die festgelegten Routen zu den verbundenen VPN-Clients gepusht.
Diese Nameserver pushen
Wenn aktiviert, werden die festgelegten Nameserver zu den VPN-Clients gepusht.
Domäne pushen
Wenn aktiviert, werden die festgelegten Domänennamen zu den VPN-Clients gepusht.
In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden
(z.B. 1 92 . 1 6 8 . 1 0. 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an:
http://www.heise.de/netze/lib/netzwerk-rechner.shtml
Im dritten Abschnitt bestimmen Sie die Authentifzierungsmethode:
Standardmäßig nutzt der Schulrouter Plus die Methode PSK (Benutzername/Passwort) zur
Authentifzierung. Wenn Sie PSK weiterhin nutzen möchten, müssen Sie in diesem Abschnitt nichts
verändern.
Der Link „CA Zertifkat herunterladen“ stellt das CA-Zertifkat für diesen OpenVPn-Server zur
Verfügung. Dieses Zertifkat benötigen Sie am Client zum Herstellen der VPN-Verbindung. Weiterhin
können Sie dieses Zertifkat im PKCS#12-Format mit dem Link ExpORTIERE CA AlS pKCS#12 DATEI
herunterladen. Dies können Sie in den Fallback-Server importieren.
Letztendlich können Sie ein PKCS#12-Zertifkat hochladen, wenn dieser Schulrouter Plus ein Fallback-
Server sein soll.
Wenn Sie dennoch die Methode „X.509 Zertifkat“ (entweder nur mit Zertifkat oder auch zusammen
mit PSK) verwenden möchten, wird die Einrichtung etwas komplizierter. Verwenden Sie dazu die
separate Anleitung zu diesem Thema.

108
Konfiguration Schulrouter Plus
VPN

In diesem Abschnitt können Sie die Client-Seite der Gw2Gw-Verbindung (Gateway zu Gateway)
zwischen zwei Schulrouter Plus einrichten.
Klicken Sie auf TUNNElKONFIGURATION hINZUFüGEN, um die Informationen über den oder die
entsprechenden OpenVPN-Server einzutragen:
Name für die Verbindung
Nur eine Bezeichnung für diese Verbindung.
Verbinden mit
Hier wird der externe Hostname eingetragen, über den der OpenVPN-Server erreichbar ist.
Die Portangabe ist optional und nur nötig falls nicht der Standardport 1194 verwendet wird.
Zertifkat hochladen
Wenn der OpenVPN-Server auf dem Schulrouter Plus der Gegenstelle für die Authentif-
zierungsmethode PSK konfguriert ist, müssen Sie hier dessen Hostzertifkat (CA-Zertifkat)
hochladen. Andernfalls, wenn auf Basis von Zertifkaten authentifziert wird, müssen Sie das
PKCS#12-Zertifkat angeben.
PKCS#12 Challange Passwort
Geben Sie das dazu gehörige Passwort an, wenn eins angegeben wurde.
8.2 OpenVPN Client (Gw2Gw)
Konfiguration Schulrouter Plus
109
Konfiguration Schulrouter Plus
VPN
Benutzername / Passwort
Wenn die Gegenstelle für PSK-Authentifzierung (Benutzername und Passwort) oder Zertifkat
+ PSK konfguriert ist, geben Sie hier die entsprechenden Zugangsdaten ein.
Anmerkung
Tragen Sie hier Ihren Kommentar zu der Verbindung ein.
Klicken Sie auf ERwEITERTE TUNNElKONFIGURATION um mehr Optionen einzurichten:
Fallback VPN Servers
Legen Sie für diese Verbindung ein oder mehrere (einer pro Zeile) Fallback-Server im Format
srp.example.com:port fest. Der Port ist optional und standardmäßig 1194. Wenn die Verbind
ung zum oben angegebenen Server fehlschlägt, wird der hier angegebene Fallbackserver
verwendet.
Verbindungstyp
“gerouted” (Der Schulrouter Plus-Client agiert als Gateway für das remote LAN) oder
“gebridget” (Als wäre der Schulrouter Plus-Client Bestandteil des remote LAN).
Standard ist „geroutet“.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk
bekommen, die mit Ihrem lokalen DHCP-Server in Konfikt geraten.
NAT
Wählen Sie dies aus, wenn Anfragen von Clients hinter dem Schulrouter Plus-Client versteckt
werden sollen und nur die IP des Schulrouter Plus die Gegenstelle erreicht.
Protokoll
UDP (Standard) oder TCP, entsprechend der Einstellung der Gegenstelle.
HTTP Proxy
Wenn Ihr Schulrouter Plus das Internet nur über einen externen HTTP-Proxy erreicht, können
Sie hier die Zugangsdaten des vorgelagerten Proxies eingeben.
Klicken Sie auf SpEIChERN um das Konto anzulegen oder zu speichern. Sie können jederzeit die an-
gelegten Tunnel de-/aktivieren, Bearbeiten oder Löschen durch klick auf das entsprechende SyMBOl.
110
Konfiguration Schulrouter Plus
VPN

Globale Einstellungen
Geben Sie die VPN-Server-Details ein, entweder den vollen Domainnamen oder die öfentliche
IP-Adresse von der ROT-Schnittstelle. Wenn Sie einen dynamischen DNS-Service benutzen, sollten Sie
hier den dynamischen DNS-Namen benutzen.
VPNs und dynamisches DNS
Falls Ihr Provider Ihre IP-Adresse geändert haben sollte (z.B. nach der Zwangstrennung),
müssen sie sich darüber bewusst sein, dass Sie die Netz-zu-Netz VPNs möglicherweise an
beiden Enden des Tunnels neu starten müssen. Roadwarriors müssen in diesem Falle ebenfalls
deren Verbindungen neu herstellen.
Aktivieren Sie VPN auf dem Schulrouter Plus, indem Sie das Feld “lokaler VPN Hostname/IP”
ausfüllen, das Kästchen AKTIVIEREN anhaken und dann auf den SpEIChERN-Button drücken.
Um ein VPN mit einem internen Netz außer Grün herstellen zu können, müssen Sie das
entsprechende Kästchen VpN AUF BlAU/ORANGE aktivieren.
Verbindungsstatus und –kontrolle

Um eine VPN-Verbindung zu erzeugen, benutzen Sie den Button hINZUFüGEN. Daraufin
erscheint die Seite für den VPN Verbindungstyp.
8.3 IPSec
Konfiguration Schulrouter Plus
111
Konfiguration Schulrouter Plus
VPN
Zertifzierungsstellen
Erzeugen der Zertifkate für den Schulrouter Plus
Um eine Schulrouter Plus Zertifkats-Authority oder CA zu erstellen, geben Sie einen Namen für Ihre
Organisation o.ä. in das entsprechende Textfeld ein. Der gewählte Name sollte sich vom Hostnamen
des Schulrouter Plus unterscheiden, um Missverständnisse zu vermeiden. Zum Beispiel “srpa” für
Benutzer und “srp” für den Hostnamen.
Dann klicken Sie auf den Button ERZEUGE ROOT/hOST ZERTI-FIKATE. Die Seite zur Erstellung von
“Root/Host Zertifkaten” erscheint. Füllen Sie das Formular aus und beide, ein X.509 Root und Host
Zertifkat, werden erzeugt.
Name der Organisation
Geben Sir hier den Namen der Organisation ein, den Sie im Zertifkat benutzen wollen. Wenn
Ihr VPN zum Beispiel einige Schulen in einem Schulbezirk zusammenschließt, könnten Sie
beispielsweise “Schulbezirk Ost” als Namen verwenden.
Hostname des Schulrouter Plus
Dies sollte der voll qualifzierte Domainname des Schulrouter Plus sein. Wenn Sie einen
dynamischen DNS nutzen, nehmen Sie diesen.
Ihre E-Mail Adresse
Geben Sie hier Ihre E-Mail-Adresse an, damit man mit Ihnen in Kontakt treten kann. Die
nächsten drei Angaben (Abteilung, Stadt und Staat/Bundesland) sind optional und können
weggelassen werden.
Ihre Abteilung
Dies ist der Abteilungs- oder Unterabteilungsname. Um das Schulbeispiel weiterzuführen,
könnten dies die Ofenburger Grund- und Hauptschulen sein.
Stadt
Die Stadt oder Postanschrift Ihrer Maschine.
Staat oder Bundesland
Der Staat bzw. das Bundesland der Postanschrift.
Land
Dieses Pull-Down-Menü beinhaltet jeden bekannten ISO-Ländernamen. Benutzen Sie dieses
zur Auswahl des Landes, das zum Zertifkat passt.
Subjekt Alternativer Name
Diese optionale Einstellung ermöglicht es Ihnen, weitere Identifkationsmerkmale
unterzubringen.
Nach dem vollständigen Ausfüllen des Formulars klicken Sie auf den Button ERZEUGE ROOT/hOST
ZERTIFIKATE, um die Zertifkate zu erzeugen.
112
Konfiguration Schulrouter Plus
VPN
Verbindungstyp
Wählen Sie entweder Host-zu-Netz für mobile Anwender, die Zugrif zum grünen Netzwerk
benötigen, oder Netz-zu-Netz, um Benutzern eines anderen Netzwerks Zugang zu Ihrem
Grünen Netzwerk zu erlauben.
Wählen Sie den Verbindungstyp, den Sie erstellen möchten und klicken Sie auf den Button
HINZUFüGEN.
Die nächste Seite die erscheint, beinhaltet zwei Bereiche. Der Verbindungs-Bereich kann je nach dem
hinzuzufügenden Verbindungstyp variieren. Der Authentifzierungs-Bereich bleibt gleich.
PC-zu-Netz Verbindung
Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen), um diese
Verbindung zu identifzieren.
Schnittstelle
Wählen Sie die Netzwerk-Schnittstelle, mit der sich der Roadwarrior verbinden soll.
Die Auswahl der roten Schnittstelle erlaubt es dem Roadwarrior, sich vom Internet aus zu
verbinden. Die Auswahl einer internen Schnittstelle erlaubt es dem Roadwarrior, sich über
ein lokales Netzsegment mit dem Grünen Netzwerk zu verbinden.
Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks defniert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.
Anmerkung
Hier können Sie eine optionale Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.
Aktivieren
Klicken Sie das KONTROllKäSTChEN an, wenn Sie diese Verbindung aktivieren wollen.

Erweiterte Einstellungen bearbeiten
Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN, wENN FERTIG
an, wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen.
Konfiguration Schulrouter Plus
113
Konfiguration Schulrouter Plus
VPN
Netz-zu-Netz Verbindung
Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen) um diese
Verbindung zu identifzieren.
Schulrouter Plus Seite
Wählen Sie eine Seite für den Schulrouter Plus, Rechts oder Links, die in den IPSec Konfgura-
tionsdateien verwendet wird, um die Seite der Verbindung dieses Schulrouter Plus auf dieser
Maschine zu identifzieren (siehe Hinweis).
Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks defniert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.
Gegenstelle/IP
Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. Sie
können auch den kompletten qualifzierten Domänennamen des entfernten Servers angeben.
Wenn der entfernte Server einen dynamischen DNS-Dienst benutzt, könnte es sein, dass Sie
das VPN neu starten müssen, falls sich die IP-Adresse ändert.
Subnetz der Gegenseite
Geben Sie die Netzwerk-Adresse und Subnetz-Maske des entfernten Netzwerks im selben
Format wie das lokale Subnetz-Feld an. Dieses Netzwerk muss sich vom lokalen Subnetz
unterscheiden, weil IPSec Routing-Tabellen-Einträge erstellt, um IP-Pakete zum richtigen
entfernten Netzwerk zu schicken.
Anmerkung
Hier können Sie optional eine Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.
Aktivieren
Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.
Erweiterte Einstellungen bearbeiten
Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN, wENN FERTIG
an, wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen.
114
Konfiguration Schulrouter Plus
VPN
Hinweise zur IPSec Terminologie IPSec benutzt die Begrife Rechts und Links für die beiden Seiten
einer Verbindung bzw. eines Tunnels. Diese Begrife haben keine wirkliche Bedeutung.
Es ist am besten, wenn man sich das Ganze als „Seite A“ und „Seite B“ einer alten Langspielplatte vorstellt.
IPSec orientiert sich anhand von Netzwerkadressen und Routen. Wenn es einmal festgestellt hat, welche
Netzwerkverbindung (Rechts oder Links) zu benutzen ist, um auf die andere Seite der Verbindung zu
gelangen, folgen alle anderen Rechts/Links Parameter automatisch. Viele benutzen Links für die lokale
Seite einer Verbindung und Rechts für die entfernte Seite. Dies ist nicht notwendig.
i
Konfiguration Schulrouter Plus
115
Konfiguration Schulrouter Plus
Protokolle
9 Hauptmenü Protokolle
9.1 Zusammenfassung

Auf dieser Seite sehen Sie eine Zusammenfassung der Protokolle. Folgende Bedienungselemente sind
verfügbar:
Monat/Tag
Hier können Sie das Datum der Anzeige auswählen.
<< / >>
Durch die Nutzung der Pfeile können Sie einen Tag vor und zurück springen.
Aktualisieren
Durch den Klick hierauf wird die Anzeige aktualisiert, z.B. beim Ändern des Anzeigedatums.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Entsprechend dem Detaillierungsgrad unter Einstellungen können hier mehr oder weniger Informa-
tionen angezeigt werden.
116
Konfiguration Schulrouter Plus
Protokolle
9.2 System

Auf dieser Seite können Sie Sich verschiedene System-Protokolle ausgeben lassen. Sie können nach
Einträgen suchen, indem Sie folgende Bedienungselemente verwenden:
Abschnitt
Hier wählen Sie das Protokoll aus, das Sie einsehen möchten.
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Gehe zum Datum
Wählen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.
Konfiguration Schulrouter Plus
117
Konfiguration Schulrouter Plus
Protokolle
9.3 Dienst

In den Dienst-Protokollen können Sie die Protokolle der Dienste Einbruchsdetektierung, OpenVPN und
Antivirus in deren Abschnitte ansehen.
Sie können nach Einträgen suchen indem Sie folgende Bedienungselemente verwenden:
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Gehe zum Datum
Wählen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.
118
Konfiguration Schulrouter Plus
Protokolle
9.4 Firewall

Das Firewall-Protokoll zeigt Ihnen je nach Firewall-Log-Einstellung alle Pakete oder nur die blockierten
Pakete, die die Firewall passiert haben. Die Bedienung entspricht der der Dienst-Protokolle.
Konfiguration Schulrouter Plus
119
Konfiguration Schulrouter Plus
Protokolle
9.5.1 http

Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Quell IP-Adresse
Anzeige auf bestimmte Quell-IP beschränken.
„Ignorieren“-Filter
Zeilen, die dies beinhalten, werden nicht angezeigt. Die Standardeinstellung beinhaltet Bilder,
Stylesheets und Javascript.
“Ignorieren”-Filter ein
Aktivieren Sie diese Einstellung, um den „ignorieren-Filter“ zu nutzen.
Gehe zum Datum
Wählen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Voreinstellung wiederherstellen
Dies stellt die Filter wieder her.
9.5 Proxy
120
Konfiguration Schulrouter Plus
Protokolle
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.
9.5.2 SMTP

Die Bedienung des SMTP-Protokolls entspricht die der Dienst-Protokolle.
9.5.3 SIP

Die Bedienung des SIP-Protokolls entspricht die der Dienst-Protokolle.
Konfiguration Schulrouter Plus
121
Konfiguration Schulrouter Plus
Protokolle
9.6 Einstellungen

Auf dieser Seite können Sie die globalen Einstellungen der Protokoll-Ansicht setzen. Folgende
Optionen können gesetzt werden:
Anzahl der anzuzeigenden Zeilen
Wie viele Zeilen sollen pro Seite angezeigt werden?
In umgekehrter chronologischer Reihenfolge sortieren
Hiermit werden die neuesten Einträge an oberster Stelle angezeigt.
Zusammenfassungen aufeben für __ Tage
Wie lange sollen die Protokolle gespeichert werden?
Detaillierungsgrad
Wie viele Details sollen in der Zusammenfassung ausgegeben werden?
Aktiviert (Remote logging)
Aktivieren Sie Remote logging, um die Protkolle zu einem anderen Syslog-Server zu senden.
Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.
122
Konfiguration Schulrouter Plus
Protokolle
Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.
Pakete mit verdächtigen TCP Flags protokollieren
Wenn aktiviert, werden im Firewall-Protokoll ungewöhnliche TCP Flags protokolliert.
Neue Verbindungen ohne SYN Flag protokollieren
Wenn aktiviert, werden im Firewall-Protokoll neue TCP-Verbindungen ohne SYN Flag proto-
kolliert.
Alle akzeptierten ausgehenden Verbindungen protokollieren
Wenn Sie auch alle Anfragen protokollieren wollen, die von der Firewall zugelassen wurden,
aktivieren Sie diese Option.
Abgewiesene Pakete protokollieren
Wenn Sie die Anfragen protokollieren wollen, die von der Firewall abgelehnt wurden, aktivie-
ren Sie diese Option.
Konfiguration Schulrouter Plus
123
Konfiguration Schulrouter Plus

Über diesen Link können Sie das Cockpit des Schulflter Plus direkt aufrufen.
10 Hauptmenü Schulfilter Plus

Hiermit melden Sie sich von der Schulrouter Plus-Konfgurationsoberfäche ab.
11 Hauptmenü Logout
12 Anhang
12.1 Impressum
TIME for kids Informationstechnologien GmbH
Gubener Straße 47
10243 Berlin
Tel.: +49 (0)30 293 698 90
Fax: +49 (0)30 293 698 919
E-Mail: kontakt@time-for-kids.de
WWW: www.time-for-kids.de
Vertretungsberechtigte Personen:
Marian Schroeder (Geschäftsführer)
Jan Arne Schmock (Geschäftsführer)
Verantwortlicher im Sinne von § 10 Abs. 3
des Mediendienste - Staatsvertrages:
Marian Schroeder (Geschäftsführer)
Jan Arne Schmock (Geschäftsführer)
Registergericht:
Berlin-Charlottenburg
Registernummer:
HRB 82365
Umsatzsteuer-ID gemäß § 27 a Umsatzsteuergesetz:
37/191/20440
124
Konfiguration Schulrouter Plus
12.2 Haftungsausschluss
1. Inhalt des Handbuchs
Der Verfasser übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der
bereitgestellten Informationen. Haftungsansprüche gegen den Verfasser, welche sich auf Schäden materieller
oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw.
durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich
ausgeschlossen, sofern seitens des Verfassers kein nachweislich vorsätzliches oder grob fahrlässiges
Verschulden vorliegt. Der Verfasser behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Werk
ohne gesonderte Ankündigung zu verändern, zu ergänzen oder die Veröfentlichung zeitweise oder endgültig
einzustellen.
2. Verweise und Links
Bei direkten oder indirekten Verweisen auf fremde Internetseiten (“Links”), die außerhalb des Verantwortungs-
bereiches des Verfassers liegen, würde eine Haftungsverpfichtung ausschließlich in dem Fall in Kraft treten,
in dem der Verfasser von den Inhalten Kenntnis hat und es ihm technisch möglich und zumutbar wäre, die
Nutzung im Falle rechtswidriger Inhalte zu verhindern.
Der Verfasser erklärt hiermit ausdrücklich, dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf
den zu verlinkenden Seiten erkennbar waren. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die
Urheberschaft der gelinkten/verknüpften Seiten hat der Verfasser keinerlei Einfuss. Deshalb distanziert
er sich hiermit ausdrücklich von allen Inhalten aller gelinkten/ verknüpften Seiten, die nach der Linksetzung
verändert wurden.
Für illegale, fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden, die aus der Nutzung oder
Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite, auf welche
verwiesen wurde, nicht derjenige, der über Links auf die jeweilige Veröfentlichung lediglich verweist.
3. Urheber- und Kennzeichenrecht
Alle innerhalb des Dokumentes genannten und ggf. durch Dritte geschützten Marken- und Warenzeichen
unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitz-
rechten der jeweiligen eingetragenen Eigentümer. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu
ziehen, dass Markenzeichen nicht durch Rechte Dritter geschützt sind!
Alle anderen Handels- und Produktnamen sind Gebrauchsnamen, Handelsnamen, Warenbezeichnungen der
entsprechenden Firmen. Das Copyright für veröfentlichte, vom Verfasser selbst erstellte Objekte bleibt allein
beim Verfasser der Seiten.
Eine Vervielfältigung oder Verwendung solcher Grafken und Texte in anderen elektronischen oder gedruckten
Publikationen ist ohne ausdrückliche Zustimmung des Verfassers nicht gestattet.
4. Rechtswirksamkeit dieses Haftungsausschlusses
Sofern Teile oder einzelne Formulierungen dieses Dokumentes der geltenden Rechtslage nicht, nicht mehr
oder nicht vollständig entsprechen sollten, bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer
Gültigkeit davon unberührt. Gerichtsstand ist Berlin.
Konfiguration Schulrouter Plus
125
Konfiguration Schulrouter Plus
12.3 GNU Free Documentation License
Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.
51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document “free” in
the sense of freedom: to assure everyone the efective freedom to copy and redistribute it, with or without
modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and
publisher a way to get credit for their work, while not being considered responsible for modifcations made by
others.
This License is a kind of “copyleft”, which means that derivative works of the document must themselves be free
in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free
software.
We have designed this License in order to use it for manuals for free software, because free software needs free
documentation: a free program should come with manuals providing the same freedoms that the software
does. But this License is not limited to software manuals; it can be used for any textual work, regardless of
subject matter or whether it is published as a printed book. We recommend this License principally for works
whose purpose is instruction or reference.
1. APPLICABILITY AND DEFINITIONS
This License applies to any manual or other work, in any medium, that contains a notice placed by the
copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide,
royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The “Document”,
below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as “you”. You
accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law.
A “Modifed Version” of the Document means any work containing the Document or a portion of it, either
copied verbatim, or with modifcations and/or translated into another language.
A “Secondary Section” is a named appendix or a front-matter section of the Document that deals exclusively
with the relationship of the publishers or authors of the Document to the Document’s overall subject (or to
related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document
is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship
could be a matter of historical connection with the subject or with related matters, or of legal, commercial,
philosophical, ethical or political position regarding them.
The “Invariant Sections” are certain Secondary Sections whose titles are designated, as being those of Invariant
Sections, in the notice that says that the Document is released under this License. If a section does not ft the
126
Konfiguration Schulrouter Plus
above defnition of Secondary then it is not allowed to be designated as Invariant. The Document may contain
zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.
The “Cover Texts” are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts,
in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5
words, and a Back-Cover Text may be at most 25 words.
A “Transparent” copy of the Document means a machine-readable copy, represented in a format whose
specifcation is available to the general public, that is suitable for revising the document straightforwardly with
generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely
available drawing editor, and that is suitable for input to text formatters or for automatic translation to a
variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent fle format
whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modifcation by
readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy
that is not “Transparent” is called “Opaque”.
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input
format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML,
PostScript or PDF designed for human modifcation. Examples of transparent image formats include PNG, XCF
and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word
processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the
machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.
The “Title Page” means, for a printed book, the title page itself, plus such following pages as are needed to hold,
legibly, the material this License requires to appear in the title page. For works in formats which do not have any
title page as such, “Title Page” means the text near the most prominent appearance of the work’s title,
preceding the beginning of the body of the text.
A section “Entitled XYZ” means a named subunit of the Document whose title either is precisely XYZ or
contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specifc
section name mentioned below, such as “Acknowledgements”, “Dedications”, “Endorsements”, or “History”.) To
“Preserve the Title” of such a section when you modify the Document means that it remains a section “Entitled
XYZ” according to this defnition.
The Document may include Warranty Disclaimers next to the notice which states that this License applies to
the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only
as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and
has no efect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided
that this License, the copyright notices, and the license notice saying this License applies to the Document are
reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may
not use technical measures to obstruct or control the reading or further copying of the copies you make or
distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough
number of copies you must also follow the conditions in section 3.
Konfiguration Schulrouter Plus
127
Konfiguration Schulrouter Plus
You may also lend copies, under the same conditions stated above, and you may publicly display copies.
3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the Document,
numbering more than 100, and the Document’s license notice requires Cover Texts, you must enclose the copies
in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover
Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies.
The front cover must present the full title with all words of the title equally prominent and visible. You may add
other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve
the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to ft legibly, you should put the frst ones listed (as
many as ft reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either
include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque
copy a computer-network location from which the general network-using public has access to download using
public-standard network protocols a complete Transparent copy of the Document, free of added material. If you
use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies
in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least
one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that
edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing any
large number of copies, to give them a chance to provide you with an updated version of the Document.
4. MODIFICATIONS
You may copy and distribute a Modifed Version of the Document under the conditions of sections 2 and 3
above, provided that you release the Modifed Version under precisely this License, with the Modifed
Version flling the role of the Document, thus licensing distribution and modifcation of the Modifed Version to
whoever possesses a copy of it. In addition, you must do these things in the Modifed Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of
previous versions (which should, if there were any, be listed in the History section of the Document). You may
use the same title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the
modifcations in the Modifed Version, together with at least fve of the principal authors of the Document (all
of its principal authors, if it has fewer than fve), unless they release you from this requirement.
C. State on the Title page the name of the publisher of the Modifed Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifcations adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the
Modifed Version under the terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the
Document’s license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled “History”, Preserve its Title, and add to it an item stating at least the title, year,
new authors, and publisher of the Modifed Version as given on the Title Page. If there is no section Entitled
128
Konfiguration Schulrouter Plus
“History” in the Document, create one stating the title, year, authors, and publisher of the Document as given
on its Title Page, then add an item describing the Modifed Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Doc-
ument, and likewise the network locations given in the Document for previous versions it was based on. These
may be placed in the “History” section. You may omit a network location for a work that was published at least
four years before the Document itself, or if the original publisher of the version it refers to gives permission.
K. For any section Entitled “Acknowledgements” or “Dedications”, Preserve the Title of the section, and preserve
in the section all the substance and tone of each of the contributor acknowledgements and/or dedications
given therein.
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers
or the equivalent are not considered part of the section titles.
M. Delete any section Entitled “Endorsements”. Such a section may not be included in the Modifed Version.
N. Do not retitle any existing section to be Entitled “Endorsements” or to confict in title with any Invariant
Section.
O. Preserve any Warranty Disclaimers.
If the Modifed Version includes new front-matter sections or appendices that qualify as Secondary Sections
and contain no material copied from the Document, you may at your option designate some or all of these
sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modifed Version’s license
notice. These titles must be distinct from any other section titles.
You may add a section Entitled “Endorsements”, provided it contains nothing but endorsements of your
Modifed Version by various parties--for example, statements of peer review or that the text has been approved
by an organization as the authoritative defnition of a standard.
You may add a passage of up to fve words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover
Text, to the end of the list of Cover Texts in the Modifed Version. Only one passage of Front-Cover Text and one
of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already
includes a cover text for the same cover, previously added by you or by arrangement made by the same entity
you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission
from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for
publicity for or to assert or imply endorsement of any Modifed Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms defned in
section 4 above for modifed versions, provided that you include in the combination all of the Invariant Sections
of all of the original documents, unmodifed, and list them all as Invariant Sections of your combined work in its
license notice, and that you preserve all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be
replaced with a single copy. If there are multiple Invariant Sections with the same name but diferent contents,
make the title of each such section unique by adding at the end of it, in parentheses, the name of the original
author or publisher of that section if known, or else a unique number. Make the same adjustment to the section
titles in the list of Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections Entitled “History” in the various original documents,
forming one section Entitled “History”; likewise combine any sections Entitled “Acknowledgements”, and any
Konfiguration Schulrouter Plus
129
Konfiguration Schulrouter Plus
sections Entitled “Dedications”. You must delete all sections Entitled “Endorsements.”
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License, and
replace the individual copies of this License in the various documents with a single copy that is included in the
collection, provided that you follow the rules of this License for verbatim copying of each of the documents in
all other respects.
You may extract a single document from such a collection, and distribute it individually under this License,
provided you insert a copy of this License into the extracted document, and follow this License in all other
respects regarding verbatim copying of that document.
7. AGGREGATION WITH INDEPENDENT WORKS
A compilation of the Document or its derivatives with other separate and independent documents or works, in
or on a volume of a storage or distribution medium, is called an “aggregate” if the copyright resulting from the
compilation is not used to limit the legal rights of the compilation’s users beyond what the individual works
permit. When the Document is included in an aggregate, this License does not apply to the other works in the
aggregate which are not themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document
is less than one half of the entire aggregate, the Document’s Cover Texts may be placed on covers that bracket
the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form.
Otherwise they must appear on printed covers that bracket the whole aggregate.
8. TRANSLATION
Translation is considered a kind of modifcation, so you may distribute translations of the Document under
the terms of section 4. Replacing Invariant Sections with translations requires special permission from their
copyright holders, but you may include translations of some or all Invariant Sections in addition to the original
versions of these Invariant Sections. You may include a translation of this License, and all the license notices
in the Document, and any Warranty Disclaimers, provided that you also include the original English version of
this License and the original versions of those notices and disclaimers. In case of a disagreement between the
translation and the original version of this License or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled “Acknowledgements”, “Dedications”, or “History”, the requirement
(section 4) to Preserve its Title (section 1) will typically require changing the actual title.
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this
License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will
automatically terminate your rights under this License. However, parties who have received copies, or rights,
from you under this License will not have their licenses terminated so long as such parties remain in full
compliance.
10. FUTURE REVISIONS OF THIS LICENSE
The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from
time to time. Such new versions will be similar in spirit to the present version, but may difer in detail to address
130
Konfiguration Schulrouter Plus
new problems or concerns. See http://www.gnu.org/copyleft/.
Each version of the License is given a distinguishing version number. If the Document specifes that a particular
numbered version of this License “or any later version” applies to it, you have the option of following the terms
and conditions either of that specifed version or of any later version that has been published (not as a draft)
by the Free Software Foundation. If the Document does not specify a version number of this License, you may
choose any version ever published (not as a draft) by the Free Software Foundation.

T I M E for kids

Handbuch Schulrouter Plus

Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden. TIME for kids Schulrouter Plus und TIME for kids Schulfilter Plus sind Markenzeichen der TIME for kids Informationstechnologien GmbH. Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General Public License (http://www.gnu.org/licenses/gpl.html) distributiert. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled >GNU Free Documentation License<. © 2009 TIME for kids Informationstechnologien GmbH. Gubener Str. 47, 10243 Berlin www.time-for-kids.de

T I M E for kids

Handbuch Schulrouter Plus

InhaltsverzeIchnIs
1

Einleitung
1.1 1.2 1.3 Das Schulrouter Plus Konzept Das Handbuch Effektive Nutzung des Handbuches 1.3.1 1.3.2 1.3.3 1.4.1 1.4.2 Szenario 1 – Vorkonfigurierter Schulrouter Plus Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen Was macht ein Router? Unterschied DSL-Modem/Router

7
7 7 8 8 8 9 10 10 10 11 11 11 12 13 13 14 15

1.4

Orientierungshilfe

1.5

Integration ins Schulnetzwerk 1.5.1 1.5.2 1.5.3 1.5.4 1.5.5 Benötigte Netzwerkinformationen Grundszenario Netzwerksegmentierung Kombination mit anderen Serverdiensten im Netzwerk Client-PCs konfigurieren

1.6 1.7

Schulfilter Plus konfigureieren Das Schulfilter Plus Cockpit

2

Hauptmenü System
2.1 2.2 2.3 2.4 2.5 2.6 2.7 Startseite Updates Passwörter Fernwartung / Support Benutzeroberfläche Datensicherung Herunterfahren

17
17 19 20 21 22 23 25

3

Hauptmenü Status
3.1 3.2 3.3 System-Status Netzwerkstatus Systemdiagramm

26
26 27 28

2 6.1 6.1 5.5 5.1.2 Log-Einstellungen 7.1.5 3.4 Interner Datenverkehr 66 66 66 68 68 69 69 .8 DHCP Server Dynamischer DNS Antivirus Zeitserver Trafficshaping Spam Training Einbruchdetektierung Datenverkehrsüberwachung 40 40 45 47 49 50 52 54 55 6 Hauptmenü Firewall 6.1.4 Portweiterleitung / NAT Portweiterleitung SourceNAT Ausgehender Datenverkehr Interner Datenverkehr Systemzugriffe 56 56 56 58 60 63 64 7 Hauptmenü Proxy 7.1.1.1 Konfiguration 7.1.2 5.3 5.6 3.4 Netzwerkkonfiguration Host bearbeiten Routing Internet/WAN 32 32 37 38 39 5 Hauptmenü Dienste 5.1.3 Erlaubte Subnetze pro Zone 7.2 6.1.1 6.1.1 4.8 3.4 3.7 5.1 Erlaubte Ports und SSl Ports 7.2 4.1.6 5.7 3.1.1 HTTP 7.T I M E for kids Handbuch Schulrouter Plus 3.9 Netzwerkdiagramme Proxydiagramme Verbindungen OpenVPN Verbindungen SMTP Mailstatistik Email-Warteschlange 29 30 31 31 31 31 4 Hauptmenü Netzwerk 4.3 6.3 4.4 5.

8 7.2.6 Cache Verwaltung 7.4.1.1 7.3 Serverkonfiguration Konten Erweitert 100 103 103 104 106 .1.1 Lokale Authentifizierung 7.2 7.1.2.1 7.4.3 Hauptseite Antivirus Spam Dateierweiterungen Blacklist-Whitelist Domains Mailrouting Erweitert DNS DNS Proxy Benutzerdefinierter Nameserver Anti-Spyware Globale Einstellungen Spam Filter Standardrichtlinie Antivirus Gruppenregeln 70 70 71 72 74 74 75 76 77 78 80 81 82 82 83 84 85 85 87 88 90 91 93 94 95 98 98 98 99 7.1.2 LDAP 7.3 7.7 7.4.1.1.1.2 FTP SMTP 7.1.1.2 7.5.4 7.2 8.1.5 Umgehung / Ausgeschlossene Quellen und Ziele 7.7 Vorgelagerter Proxy 7.4 7.3 7.5 7.5 7.3 Windows 7.4.5.4.1 8.6 7.2 Authentifizierung 7.1.4.4 8 Hauptmenü VPN 8.4.1.2 7.4.5.1.2.1.4 Radius 7.T I M E for kids Handbuch Schulrouter Plus 7.1.5 POP3 7.1.2.1 OpenVPN Server 8.1.2.1.1.2.2.1 7.3 7.1 Benutzerverwaltung 7.

3 9.4 9.5.3 http SMTP SIP 115 115 116 117 118 119 119 120 120 121 10 11 12 9.2 9.1 9.2 8.1 12.3 OpenVPN Client (Gw2Gw) IPSec 108 110 9 Hauptmenü Protokolle 9.T I M E for kids Handbuch Schulrouter Plus 8.6 Einstellungen Hauptmenü Schulfilter Plus Hauptmenü Logout Anhang 12.2 9.1 9.2 12.5.5.3 Impressum Haftungsausschluss GNU Free Documentation License 123 123 123 123 124 125 .5 Zusammenfassung System Dienst Firewall Proxy 9.

http://support. ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und ggf. Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste.und Servicekonzept ein. Dies kann zu einer Optimierung und einer Kostenreduktion in der Schule führen. Wenn Sie einmal nicht weiter wissen. mittlere und große Schulen mit ihren unterschiedlichen Anforderungen geeignet. eine webbasierte Bedieneroberfläche. um Ihnen dies zu erleichtern. Classic und BIG eine skalierbare Hardwarebasis. Der Administrator der Schule kann ganz oder teilweise Aufgaben auf andere Service Partner delegieren.1 Einleitung Das Schulrouter Plus Konzept Der Schulrouter Plus mit integriertem Schulfilter Plus und Antivirus Plus ist die Basis für alle Schulnetzwerke. Die Konfiguration des Schulrouter Plus erfolgt über das so genannte Cockpit. Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden Handbücher oder wenden sie sich an das TIME for kids Service-Center für Schulen. durch den Schulrouter Plus ersetzt werden können. Alle Akteure können entsprechend ihrem Service-Level-Auftrag Rechte erhalten. können Sie gern unser Service-Center für Schulen kontaktieren. Die TIME for kids Produkte Schulrouter Plus. Er ist sowohl für kleine. Kommunalen-Rechenzentren und IT-Dienstleistern vor Ort für die Betreuung einerVielzahl von Schulen mit dem Schulrouter Plus eine Managementoberfläche für das Monitoring und die Fernwartung. Bitte prüfen Sie vor der Einrichtung.und Servicekonzeptes. Im Schulrouter Plus sind der Schulfilter Plus und der Antivirus Plus integriert und können sofort verwendet werden.time-for-kids. Diese bietet hauptsächlich Rechte und Funktionen für den Administrator. 1. Schulfilter Plus und Antivirus Plus passen sich hervorragend in jedes Betriebs. Folgende Darstellungskonventionen wurden vorgenommen. Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini.Konfiguration Schulrouter Plus 1 1. Das webbasierte TIME for kids Service-Center bietet Servicepartnern wie Schulträgern.de Textmarkierungen: Verweis auf externe Quelle >Verweis auf anderen Bereich im Handbuch< Befehlseingabe Webseite / Link AUFFORDERUNG ZUM TASTENDRUCK Symbole: i ! ê Wichtige Information Warnhinweis 7 . Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs. Die Software-Basis und die Bedieneroberflächen sind bei allen Schulrouter Plus Modellen gleich.2 Das Handbuch Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu konfigurieren. Medienzentren.

Ihr Schulrouter Plus kann für Ihre Netzwerksituation vorkonfiguriert werden.3.1 relevant (Umfang ca.6 relevant (Umfang: ca.und Schulnetz sowie dem DSL-Modem verbinden müssen um eine Arbeitsfähigkeit herzustellen.1 Grundkonfiguration des Schulrouter Plus vornehmen 8 . 1.4. Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur notwendig. 4 Seiten).1 Szenario 1 – Vorkonfigurierter Schulrouter Plus TIME for kids stellt für Sie einen besonderen Service bereit. Um einen Vorkonfigurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor: Schulrouter Plus bei TIME for kids bestellen Über die Webseite www. siehe Aufbauanlei tung im Karton. Gelieferten. In diesem Handbuch sind nach einer Vorkonfiguration für Sie nur noch die kurzen Kapitel 1. siehe Aufbauanleitung im Karton. wenn Sie weitere tiefergehende Einstellungen vornehmen möchten. 31 Seiten). Bitte schauen Sie sich die Szenarien an und entscheiden dann.5 und 1. Der besondere Vorteil besteht darin.4. Kapitel 1.schulrouterplus. und 7. Handbuch studieren.3 Effektive Nutzung des Handbuches Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches beschrieben.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie Sollten Sie den Vorkonfigurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind für die Grundkonfiguration des Schulrouter Plus in diesem Handbuch die Kapitel 1. welcher Teil des Handbuches für Sie relevant ist. dass Sie den Schulrouter Plus nach der Lieferung nur noch mit dem Strom.de/vorkonfiguration Ihre Konfigurationsdaten an TIME for kids übermitteln.7.3. 1. 1. Um den Schulrouter Plus zu erhalten und zu konfigurieren gehen sie wie folgt vor: Schulrouter Plus bei TIME for kids bestellen Gelieferten Schulrouter Plus auspacken und anschließen.Konfiguration Schulrouter Plus 1. vorkonfigurierten Schulrouter Plus auspacken und anschließen.4.

Gern können Sie auch die Hilfe unseres Service-Center für Schulen in Anspruch nehmen. 9 . Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca.Konfiguration Schulrouter Plus 1.3.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere Nut-zung des Internets in Ihrer Schule. 100 Seiten).

also bspw.4. Heutzutage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft. von einem internen Schulnetz ins Internet. 1. DSL-Modem Router DSL-Modem und Router im Vergleich 10 .5.4 Orientierungshilfe 1.1 Was macht ein Router? Ein Router ist ein Gerät. im Fachjargon „NTBBA“ ist ein Modem zur Übertragung von Daten über eine DSL-Leitung.B. Der TIME for kids Schulrouter Plus übernimmt zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste. Im Nachfolgenden einige optische Beispiele.Konfiguration Schulrouter Plus 1.4. siehe Punkt 1. bei ihm eintreffende NetzwerkPakete eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet).2 Unterschied DSL-Modem/Router Das DSL-Modem. das mehrere Netzwerke koppelt.3. oder an ein Netzwerk (mit einem Router) angeschlossen werden. Das DSL-Modem bildet den Netzabschluss für die DSL-Leitung. per USB). Das bedeutet. DSL-Modems können direkt an einen PC (z.

können Sie den Schulrouter Plus auch an Ihren Router anschließen und die Einwahl Ihrem Router überlassen. z.Konfiguration Schulrouter Plus 1. Daher müssen auch alle Netze unterschiedliche IP-Adress-Bereiche besitzen! 11 . also das Internet. Haben Sie bereits einen Router in Betrieb. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen. für eine DMZ oder ein weiteres Netz.5. sowie Administrator-Zugang (optional) 1. das im Normalfall die Schüler-PCs bein-haltet.5.2 Grundszenario Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem. Mit dem blauen Netz können Sie bspw. Lesen Sie hierzu bitte das Kapitel 4. Das orange Netz steht zur freien Verfügung. Ihre Verwaltung (und somit kritische Daten) von dem Schüler-Netz trennen. eingebun den.B.5 1. Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke: Über die rote Schnittstelle wird nach außen der Gefahrenbereich. er übernimmt dann auch die Einwahl.4 Das grüne Netz repräsentiert Ihr erstes Netzwerk. muss eine freie Schnittstelle entsprechend um konfiguriert werden. In den meisten Fällen kann auf den vorhandenen Router verzichtet werden. Alle Netze sind komplett voneinander getrennt und können sich nicht sehen.1 Integration ins Schulnetzwerk Benötigte Netzwerkinformationen Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfigurierten Schulrouter Plus oder folgende Daten und Kenntnisse Ihres Netzwerks: Internet-Zugangsdaten Informationen über bestehende Netzwerke IP-Adress-Bereiche der internen Netze Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt? Wie sind die Client-PCs konfiguriert? Ist eventuell schon ein Proxy eingestellt? Active Directory-Einstellungen.

5. somit muss auch das Netzwerk darauf abgestimmt sein.3 Netzwerksegmentierung Wie in Punkt 1. Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden. Die Firewall des Schulrouter Plus kann so konfiguriert werden. 12 . ob diese Konstellation erhalten bleiben muss.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen.5. In solchen Fälle ist zu überlegen. dass PCs nicht auf Server in einem anderen Netzwerk zugreifen können. dass ein eingeschränkter Zugriff auf spezifische Ressourcen zwischen den Netzen möglich wird.Konfiguration Schulrouter Plus Schaubild Schulrouter Plus – Einordnung im Netzwerk 1. der sich im Schüler-Netz befindet.

Weiterhin ist darauf zu achten.5.4 Kombination mit anderen Serverdiensten im Netzwerk Der Schulrouter Plus stellt unter Anderem folgende Serverdienste zur Verfügung: Proxy Internetfilter (Schulfilter Plus) DHCP DNS VPN Firewall AntiSpam Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus ersetzt werden.5. z. 13 . Ihren vorgelagerten Router mit der roten Schnittstelle.Konfiguration Schulrouter Plus 1. Bei Ihren. 1. sowie einen PC (oder Ihr Netzwerk) mit der grünen Schnittstelle verbunden haben (siehe Markierungen auf der Rückseite des Gerätes). an den Schulrouter Plus angeschlossenen.B.5 Client-PCs konfigurieren Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. dass folgende Einstellungen getätigt werden: In den benutzten Browsern darf kein Proxy eingestellt sein: Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras ’ Internetoptionen ’ Reiter „Verbindungen“ ’ Button „LAN-Einstellungen“ ’ die Elemente unter Proxyserver sind ausgegraut Die entsprechende IP des Schulrouter Plus (im grünen Netz. dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchtigen. ein zweiter DHCP-Server mit anderen Einstellungen. die der Schnittstelle Grün) ist als Stan-dardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfiguration das vorsieht) oder auf “IP-Adresse automatisch beziehen” gesetzt. Client-PCs müssen Sie darauf achten.

de 14 . Dieses erreichen Sie entweder über den Link im Menü des Schulrouter Plus oder über die Adresse http://RouterIP:83 Das Handbuch zum Schulfilter Plus finden Sie separat auf unserer Support-Seite http://support. Wenn Sie mit einem Schüler-PC im Internet surfen greift bereits ein voreingestellter Grundschutz.time-for-kids.6 Schulfilter Plus konfigureieren Ihr Schulrouter Plus ist jetzt einsatzfähig. benutzen Sie die Weboberfläche (Cockpit) des Schulfilter Plus.Konfiguration Schulrouter Plus Screenshot .IP Einstellungen am Client 1. Um den integrierten Schulfilter Plus an Ihre Bedürfnisse anzupassen.

Dies können Sie ohne Bedenken bestätigen. Nach dem erfolgreichen Login sollten Sie das Passwort sofort ändern (>siehe Kapitel 2. Ihr Internet-Browser wird Sie über unsignierte Sicherheitszertifikate informieren und zur Bestätigung auffordern.7 Das Schulfilter Plus Cockpit Die Konfiguration des Schulrouter Plus nehmen Sie über das so genannte Cockpit. Hauptmenü 2.3 Passwörter<).Konfiguration Schulrouter Plus 1. Um das Cockpit zu erreichen schließen Sie mindestens einen PC an die GRÜNE LAN-Schnittstelle des Schulrouter Plus an. Konfigurationsseiten 15 . Das Schulrouter Plus Cockpit gliedert sich in drei Teile: 1. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht. Sie werden nun aufgefordert sich mit einem Benutzeraccount und einem Passwort anzumelden. vor. eine webbasierte Bedienoberfläche. Verwenden Sie hierfür „tfkadmin“ als Benutzername und Passwort. dass er seine IP-Adresse per DHCP automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes befindet. ! ê Der angeschlossene PC muss so konfiguriert sein. Untermenü zum jeweiligen Hauptmenü 3. Die Grundkonfiguration entnehmen Sie bitte dem Beipackzettel im Karton Jetzt können Sie das Cockpit über die Eingabe h T T p : // R O U T E R I p : 8 1 in einem Internetbrowser auf Ihrem PC erreichen.

Konfiguration Schulrouter Plus Generell sollten Sie bei größeren Veränderungen der Konfiguration immer eine Datensicherung vornehmen. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit. Die Konfigurationsseiten des Cockpits enthalten folgende Standardelemente. welche Sie für die Bedienung benötigen: Auswahl/ Bestätigung (aktiviert/ deaktiviert) Exportieren Löschen Wiederherstellen Hinzufügen/ Erstellen Verbindung testen Editieren Erweitern/ Öffnen Minimieren/ Schließen Verschieben/ Reihenfolge ändern Firewall akzeptiert Firewall anhalten Firewall verwerfen Verweigert Info Warnung Tipp Speicher-Button o. um die Möglichkeit zu besitzen den Schulrouter Plus ggf.ä. sind entsprechend gekennzeichnet 16 . wieder auf einen vorherigen Konfigurationsstand zu bringen. Bei einigen Konfigurationen wird nach der Speicherung der Einstellungen ein Neustart der entsprechenden Dienste durchgeführt.

. “Baue Verbindung auf. Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung angezeigt.” Die Verbindung wird gerade hergestellt. “Fehler” Es gibt einen Fehler beim Verbindungsaufbau. “Verbunden” Die Verbindung ist erfolgreich aufgebaut.Konfiguration Schulrouter Plus 2 2.1 Hauptmenü System Startseite Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk). “Beende Verbindung.” Die Verbindung wird getrennt. Stati der Verbindungen: “Angehalten” Es besteht keine Onlineverbindung.. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen „Primäre WAN-Verbin-dung“... System 17 .

aber der Host.Konfiguration Schulrouter Plus “Wiederverbindungs Timeout” Es gab einen Fehler beim Wiederherstellen der Verbindung. Das heißt normalerweise. “Verbindung unterbrochen” Die Verbindung ist zwar hergestellt. System 18 . kann die Verbindung manuell her-gestellt oder getrennt werden. wenn die Verbindung getrennt wird. Wird der Modus “Verwaltet” deaktiviert. ist nicht erreichbar. Es wird weiter versucht. der zur Überprüfung definiert ist. Im Modus “Verwaltet” überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbindung automatisch wieder her. Es wird kein automatischer Wiederaufbau der Verbindung eingeleitet. Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. dass die Verbindung nicht zu nutzen ist.

Verfügbare Updates Installierte Updates Nachdem ein Update installiert wurde. i System 19 . Durch Klicken auf den Button UpDATE DEINSTAllIEREN können Sie das letzte Update rückgängig machen. Lesen Sie deshalb bitte alle Update-Informationen. Nur offizielle Schulrouter-Updates werden auf dem Schulrouter Plus installiert. klicken Sie auf den Button hERUNTERlADEN UND INSTAllIEREN.2 Updates Der Bereich Updates ist in drei Abschnitte aufgeteilt: Automatische Updates Im ersten Abschnitt haben Sie die Möglichkeit automatische Updates zu aktivieren. wird hier der entsprechende Eintrag ergänzt. bevor Sie ein Update installieren und lassen Sie die Updates nur in Zeiten ausführen. Das Update wird heruntergeladen und sofort ausgeführt. Durch das klicken auf den Button NEU GENE-RIEREN wird ein neuer Zeitpunkt berechnet. Neu verfügbare Updates werden mit einer kurzen Beschreibung angezeigt. Um ein Update auszuführen.Konfiguration Schulrouter Plus 2. in denen es zu keiner Betriebsstörung kommen kann. wenn die Seite Update aufgerufen wird. Sie können außerdem alle verfügbaren Updates hintereinander installieren. indem Sie den Button AllE UpDATES hERUNTERlADEN UND INSTAllIEREN anklicken. wird die Verfügbarkeit neuer Updates überprüft. Rechts wird automatisch der nächste freie Update-Zeitpunkt angezeigt. der dann verfügbar ist. Jedes Mal. Einige Updates führen einen automatischen Neustart des Schulrouter aus.

der auf das Schulrouter Plus Cockpit zugreifen darf. der sich auf der Linux-Konsole anmelden kann. Der Benutzer. System 20 .3 Passwörter Passwörter ändern Sie können hier jedes Passwort für sich ändern.Konfiguration Schulrouter Plus 2. Geben Sie jedes neue Passwort zweimal ein und drücken auf pASSwORT äNDERN. Die Passwörter folgender Benutzer können verändert werden: admin root Der Benutzer.

da bekannte Sicherheitslücken der Version 1 existieren. SSH-verschlüsselte Tunnelverbindungen aufzubauen. Außerdem können Sie hier weitere Parameter für den Fernzugriff-Prozess konfigurieren. Unterstützung für Version 1 des SSH-Protokolls: Diese Option aktiviert die Unterstützung der Version 1 des SSH-Protokolls. Wenn der externe Systemzugriff (siehe Kapitel >6.Konfiguration Schulrouter Plus 2. ob ein gesicherter Fernzugriff für den Schulrouter Plus möglich sein soll oder nicht.4 Systemzugriffe<) nicht aktiviert ist. der das root-Passwort kennt. ist SSH nur über das grüne Netzwerk erreichbar. Von der Verwenung dieser Option wird dringend abgeraten.4 Fernwartung / Support Zugangseinstellung Auf der Seite Fernwartung/ Support können Sie festlegen. System 21 . Mit aktiviertem SSH-Zugriff kann sich jeder. auf der Kommandozeile anmelden. Erlaube TCP Weiterleitung Diese Option ermöglicht es. Folgende Optionen können über diese Seite konfiguriert werden: Fernwartung/ Support Das Einschalten aktiviert den SSH-Zugriff.

Dies kann hilfreich sein.Konfiguration Schulrouter Plus Passwortbasierte Authentifizierung zulassen Diese Option ermöglicht es Benutzern. Wenn Sie das erste Mal eine SSH-Verbindung zum Schulrouter Plus erstellen. wird der Fingerabdruck angezeigt. die Korrektheit zu bestätigen.5 Benutzeroberfläche Einstellungen Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen. dass Sie sich mit den Schlüsseldateien einloggen können. mit der die Seiten des Schulrouter Plus Cockpits dargestellt werden. um eine SSH-Verbindung mit dem Schulrouter Plus zu verifizieren. Sie können den angezeigten Schlüssel mit der Darstellung auf dieser Seite vergleichen. die Sie verwenden können. Hostname im Fenstertitel anzeigen: Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. System 22 . Dies ist die bevorzugte Methode. den SSH-Zugriff auf dem Schulrouter Plus abzusichern. sich beim Schulrouter Plus mittels des root-Passworts anzumelden. wenn Sie mehr als einen Schulrouter Plus administrieren. SSH Host Schlüssel Dieser Abschnitt listet die Fingerabdrücke der von Schulrouter Plus verwendeten SSH-Schlüssel auf. 2. Authentifizierung auf Basis öffentlicher Schlüssel zulassen Mit dieser Option wird die Authentifizierung auf Basis öffentlicher Schlüssel zugelassen. müssen Sie zunächst Ihre SSH Schlüsseldateien konfigurieren und sicherstellen. Wenn Sie diese Option ausschalten. und Sie werden aufgefordert. Folgende Optionen können über diese Seite konfiguriert werden: Wählen Sie Ihre Sprache Über dieses Drop-Down-Menü können Sie eine Sprache wählen.

Folgende Optionen können über diese Seite konfiguriert werden: Datensicherungssätze Beim Klicken auf NEUE DATENSIChERUNG DURChFühREN öffnet sich ein Dialog zur Konfiguration der geplanten Datensicherung: Konfiguration einschließen Schließt alle Einstellungen mit ein. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert und können auf Ihren Computer heruntergeladen werden. System 23 . Konfiguration und Datenbankinhalt einschließen Schließt zusätzlich alle Datenbankinhalte mit ein.Konfiguration Schulrouter Plus 2. Es ist auch möglich.6 Datensicherung In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten Datensicherung zurückspringen. die Konfiguration auf einen Wiederherstellungspunkt zurück zu setzen und regelmäßig automatisierte Datensicherungen durchzuführen.

Konfiguration Schulrouter Plus Logs aufnehmen Schließt die aktuellen Protokolle mit ein. Sie können einen GPG public key bereitstellen. Die Datensicherung beinhaltet alle Einstellungen. Die Datensicherung beinhaltet ältere Log Dateien !: Fehler beim Senden der Sicherung. Log Archive aufnehmen Schließt ältere Protokolle mit ein. der für die Verschlüsselung verwendet wird. Mit Klick auf SpEIChERN laden Sie den Schlüssel hoch und aktivieren die Verschlüsselung. ausgewählte Datensicherungen herunterladen. löschen oder wiederherstellen. L: Log Dateien. Die Datensicherung ist verschlüsselt. Jede Datensicherung ist mit einer Markierung versehen: S: Einstellungen. Laden Sie den GPG public key von Ihrem Client-PC und stellen Sie sicher. Datensicherungsarchive mit einem öffentlichen GPG Schlüssel verschlüsseln Datensicherungsarchiv importieren Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus importieren. Die Datensicherung ist fehlerhaft. Klicken Sie auf BACKUp ERZEUGEN um die Datensicherung mit den oben gemachten Einstellungen zu erzeugen. Die Datensicherung beinhaltet Protokolle A: Log Archive. In der Liste der vorhandenen Datensicherungen können Sie. Die Datensicherung beinhaltet auch Datenbankinhalte. Wählen Sie die Datei des Sicherungssatzes auf Ihrem lokalen PC aus. Mit der Angabe einer Anmerkung und dem Klicken auf IMpORTIEREN laden Sie den Sicherungssatz hoch. Der Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden. Diese Einstellung kann den Umfang der Datensicherungsmenge stark erhöhen. dass „Datensicherungsarchive verschlüsseln“ aktiviert ist. E: Archiv ist verschlüsselt. System 24 . D: Datenbankinhalt. durch einen Klick auf das entsprechende ICON auf der rechten Seite. Anmerkung Hier kann ein zusätzlicher Kommentar hinterlassen werden.

um die Aktion sofort auszuführen. Sie können einfach einen der entsprechenden BUTTONS anklicken.7 Herunterfahren Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten.Konfiguration Schulrouter Plus 2. System 25 .

Konfiguration Schulrouter Plus 3 3. Festplattenbelegung Zeigt den verfügbaren und belegten Festplattenplatz Status 26 . Speicher Zeigt die Auslastung von Arbeitsspeicher und Swapdatei.1 Hauptmenü Status System-Status Dienste Zeigt alle Dienste und deren aktuellen Status an.

Konfiguration Schulrouter Plus 3. PPP. Zeigt die Einträge der ARP-Tabelle an.B. Routingtabelleneinträge ARP Tabelleneinträge Zeigt die Einträge der Routingtabelle an. Informationen aller Netzwerk-Schnittstellen inkl. ob ein Link augebaut ist.a. Dies beinhaltet u. Loopback. oder welche Geschwindigkeit ausgehandelt wurde.. etc.2 Netzwerkstatus Schnittstellen Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. Netzwerkkarten Zeigt bestimmte Eigenschaften der Netzwerkkarten. wie z. IPSec. Status 27 .

für die aktuelle Woche.3 Systemdiagramm Diese Seite zeigt Ihnen für den aktuellen Tag bzw. folgende Diagramme: • • • • CPU-Nutzung Speichernutzung Nutzung von Auslagerungsspeicher (Swap) Festplattenzugriff Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag. Monat und Jahr gewechselt werden. Status 28 . Monat und Jahr. Woche.Konfiguration Schulrouter Plus 3.

Konfiguration Schulrouter Plus
3.4 Netzwerkdiagramme

Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen Netzwerk-Schnittstellen an. Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und Jahr gewechselt werden.

Status

29

Konfiguration Schulrouter Plus
3.5 Proxydiagramme

Diese Seite zeigt die Diagramme der Zugriffsstatistiken des HTTP-Proxy der letzten 24 Stunden an. Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.

Diagramme zur Proxyauslastung
Zugriffe Zeigt die Anzahl der Zugriffe auf den Proxy an. Übertragungen Zeigt die Größe der Daten-Übertragungen über den Proxy an. Durchschnittliche TCP-Übertragungsdauer Zeigt die Dauer der Übertragungen an.

Status

30

Konfiguration Schulrouter Plus
3.6 Verbindungen

Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle gekennzeichnet. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei weitere Farben benutzt: Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbindungen über ein VPN.

3.7

OpenVPN Verbindungen

Diese Seite zeigt eine Liste mit Verbindungen über OpenVPN. Es gibt hier die Möglich Verbindungen zu beenden oder verbundene Benutzer zu blockieren.

3.8

SMTP Mailstatistik

Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur zur Verfügung, wenn der SMTP-Proxy verwendet wird.

3.9

Email-Warteschlange

Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn der SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.

Status

31

Während dessen ist die Konfigurationsoberfläche nicht erreichbar. wenn der Schulrouter Plus mit einem vorgelagerten Router verbunden ist. Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen.Konfiguration Schulrouter Plus 4 4. Sie können mit <<< und >>> vor und zurück navigieren und die Änderungen mit ABBREChEN verwerfen. Der Assistent ist in mehrere Schritte unterteilt. Zu empfehlen ist aber dabei eher die Einstellung “Ethernet statisch”. Der Schulrouter Plus unterstützt die folgenden Verbindungs-Typen: Ethernet statisch Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen. dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem vorgelagerten Gerät holt. Sie werden erst im letzten Schritt gefragt.1 Hauptmenü Netzwerk Netzwerkkonfiguration Die Konfiguration der Netzwerkschnittstellen kann schnell und einfach mit dem NetzwerksetupAssistenten geändert werden. Dies ist üblicherweise der Fall. Netzwerk 32 . wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist und die Einwahl vom Schulrouter Plus gemacht werden soll. ob die Einstellungen übernommen werden sollen.Typ für ROT auswählen Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfigurieren (üblicherweise die Verbindung zu Ihrem Provider). PPPoE (DSL-Direkteinwahl) Diese Option ist zu wählen. Im Folgenden ist jeder der einzelnen Schritte beschrieben: Schritt 1 . wenn der Schulrouter Plus mit einem vorgelagerten Router vebunden ist. der DHCP liefert. Dies ist üblicherweise der Fall. Ethernet DHCP Sie möchten.

Konfiguration Schulrouter Plus
Schritt 2 - Netzwerkzonen auswählen An diesem Punkt haben Sie bereits zwei Schnittstellen definiert: GRÜN Das grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die Schüler-Endgeräte befinden. ROT Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann auch ein zweites rotes Netzwerk definiert werden. Hierdurch ist eine Erhöhung der Internetbandbreite z.B. über eine zweite DSL-Leitung möglich. Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind: BLAU Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulverwaltungs-Endgeräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist physikalischvomSchulnetzwerkgetrennt.EskannaberbeiBedarfeinegesicherteVerbindungzwischenden Netzwerken zur Datenübertragung eingerichtet werden. ORANGE Das orange Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch eine höhere Absicherung vor unberechtigten Zugriffen benötigen. Das orange Netzwerk kann aber auch als „normales“ drittes Netzwerk verwendet werden.

Netzwerk

33

Konfiguration Schulrouter Plus
Schritt 3 - Netzwerkeinstellungen In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen definiert (Grün, Blau, Orange). Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt: IP Adresse Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll. (z.B. 1 9 2 . 1 6 8 . 0 . 1 ). Achten Sie darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach dem Ändern der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden (z.B. DHCP-Server oder erlaubte Subnetze im Proxy). Netzwerkmaske Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten im Subnetz dieselbe Netzwerkmaske verwenden. Weitere Adressen Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen. Schnittstellen Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei mindestens einer Schnittstelle zugeordnet sein. Eine Schnittstelle kann man allerdings nur einer Zone zuordnen. Ordnen Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnittstellen so, als wären sie Teil eines Switches. Ein Symbol zeigt den aktuelle Status der Schnitt stelle: ein grüner Hacken zeigt, dass der Link aktiv ist. Ein rotes Kreuz zeigt, dass kein Link vorhanden ist. Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.

! ê

Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich nicht mit anderen Schnittstellen überschneidet. Zum Beispiel: IP = 1 9 2 . 1 6 8 . 0 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für GRÜN IP = 1 9 2 . 1 6 8 . 1 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für ORANGE IP = 1 9 2 . 1 6 8 . 2 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für BLAU

Netzwerk

34

Konfiguration Schulrouter Plus
Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den privaten Bereich reserviert sind: 1 0 . 0 . 0 . 0 - 1 0 . 2 5 5 . 2 5 5 . 2 5 5 ( 1 0 . 0 . 0 . 0 / 8 ) , 1 6 . 7 7 7 . 2 1 6 Adressen 1 7 2 . 1 6 . 0 . 0 - 1 7 2 . 3 1 . 2 5 5 . 2 5 5 ( 1 7 2 . 1 6 . 0 . 0 / 1 2 ) , 1 . 0 4 8 . 5 7 6 Adressen 1 9 2 . 1 6 8 . 0 . 0 - 1 9 2 . 1 6 8 . 2 5 5 . 2 5 5 ( 1 9 2 . 1 6 8 . 0 . 0 / 1 6 ) , 6 5 . 5 3 6 Adressen Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die Broadcastadresse und dürfen nicht vergeben werden. Schritt 4 - Internetverbindungseinstellungen Diese Schritte erlauben die Konfiguration der roten Schnittstelle und somit die Konfiguration des Internetzugangs. Sie finden auf dieser Seite unterschiedliche Konfigurationsmöglichkeiten, je nachdem welche Option Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen nachsich ziehen. Hier werden die Konfigurationen für jeden Typ erklärt: Für Alle Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit der sich der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmeldediensten nötig). Ethernet statisch Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben. Weiterhin müssen Sie die IP-Adresse des Standardgateways festlegen. Ethernet DHCP Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP empfangen werden soll oder ob dieser von Ihnen festgelegt wird. PPPoE Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an. Für die Authentifizierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet werden. Sie können auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische von Ihrem Provider übergeben wird (Standard-Einstellung) oder manuell eingegeben werden muss.

Netzwerk

35

muss die IP-Adresse doppelt eingetragen werden. Während dieser Zeit ist das Cockpit nicht erreichbar und eine Verbindungen zu und durch den Schulrouter Plus ist nicht möglich. KONFIGURATION üBERNEhMEN um die Konfiguration abzuschließen. wenn sie nicht automatisch zugewiesen werden. Schritt 6 . werden Sie automatisch an die richtige IP-Adresse weitergeleitet. wird ein neues SSL-Zertifikat generiert und es kann evtl. Die IP-Adresse muss für den Schulrouter Plus erreichbar sein. Das Cockpit aktualisiert sich nach den Änderungen automatisch. In diesem Fall. Netzwerk 36 .DNS-Server konfigurieren Hier definieren Sie bis zu zwei DNS-Server.Konfiguration anwenden Mit dem letzten Schritt bestätigen Sie die neuen Einstellungen.Konfiguration Schulrouter Plus Schritt 5 . Soll nur ein Nameserver verwendet werden. oder wenn sie den Hostnamen geändert haben. ein Warnhinweis vom Browser erscheinen. Das Übernehmen der Einstellungen kann bis zu einer Minute dauern. Wenn Sie die IP-Adresse von GRÜN geändert haben. Klicken Sie OK.

Netzwerk 37 . Bei diesen Hostcomputern kann es sich beispielsweise um lokale Computer oder Computer im Internet handeln. Über hOST hINZUFüGEN können Sie einen manuellen Host anlegen. Ein weiterer Klick dreht die Sortierreihenfolge um. Folgende Daten müssen eingegeben werden: IP-Adresse Geben Sie in dieses Feld die IP-Adresse ein. indem Sie auf eine der drei unterstrichenen SpAlTENüBERSChRIFTEN klicken.2 Host bearbeiten Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht. deren Adressinformationen lokal verwaltet werden sollen. Zum Löschen eines Eintrags klicken Sie auf das zugehörige löSChEN-SyMBOl. falls sich der Hostcomputer in einer anderen Domäne befindet. Zum Bearbeiten eines Eintrags klicken Sie auf das zugehörige STIFT-SyMBOl. Hostname Geben Sie in dieses Feld den Hostnamen ein. Domainname Geben Sie in dieses Feld den Domänennamen ein. neben der Zwischenspeicherung von DNS-Informationen aus dem Internet. Sie können die Liste sortieren. Aktuelle Hosts In diesem Bereich werden die aktuell konfigurierten lokalen DNS-Einträge angezeigt. auch die manuelle Eingabe von Hostcomputern. deren Adressinformationen überschrieben werden sollen.Konfiguration Schulrouter Plus 4. Die Daten des Eintrags werden in dem Formular darüber angezeigt. Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann im Formular auf die Schaltfläche AKTUAlISIEREN.

Netzwerk 38 . Klicken Sie auf EINE NEUE ROUTE hINZUFüGEN um eine neue Route mit folgenden Feldern anzulegen: Quell-Netz Quell-Netz in CIDR-Schreibweise (Bsp.: 1 9 2 . 1 6 8 .: 1 9 2 . 0 / 2 4 ) Route über Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus. 2 0 . muss hier für jedes VLAN ein Eintrag mit der IP des Switch als Gateway gesetzt werden. 1 6 8 .3 Routing Statisches Routing Aktuelle Routing-Einträge Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden.Konfiguration Schulrouter Plus 4. 0 / 2 4 ) Ziel-Netz Ziel-Netz in CIDR-Schreibweise (Bsp. 1 0 . Wird an dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet.

Bleibt das Feld leer.Timeout Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird. Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende Formular aus. Netzwerk 39 . Anmerkung Geben Sie der Regel eine Anmerkung. Folgende Felder unterscheiden sich zum Netzwerkassistenten: WAN-Verbindung beim Starten aktivieren Diese Einstellung legt fest. Klicken Sie auf ROUTE hINZUFüGEN um die Regel zu bestätigen.Konfiguration Schulrouter Plus Aktiviert Markieren zum Aktivieren (Standard). ob eine andere WAN-Verbindung gewählt werden soll. ob diese WAN-Verbindung beim Starten des Schulrouter Plus automatisch verbunden werden soll.4 Internet/WAN Hier können mit einem Klick auf wAN-VERBINDUNG ERSTEllEN weitere WAN-Verbindungen definiert werden. wird sofort die Wiederverbindung versucht. Die Felder sind weitestgehend identisch mit dem Netzwerkassistenten. Wenn diese WAN-Verbindung fehlschlägt aktiviere Hier können Sie festlegen. Wiederverbindungs. 4. deaktivieren. wenn die Verbindung ausfällt. falls diese WAN-Verbindung ausfällt. Sie können die Route mit den entsprechenden ICONS aktivieren bzw.

Sie können auswählen.1 Hauptmenü Dienste DHCP Server DHCP (Dynamic Host Configuration Protocol) ermöglicht eine Steuerung der Netzwerkkonfiguration aller Computer über den Schulrouter Plus. Dienste 40 . um den DHCP-Server für dieses Netzwerk zu aktivieren. welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. müssen die Computer im Netzwerk so konfiguriert sein. welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. Aktivieren Sie einfach die entsprechenden Kontrollkästchen. die eine Verbindung zum Netzwerk herstellen. Sie können auswählen. DHCP-Server Parameter Aktiviert: Markieren Sie dieses Feld. Um diese Funktion verwenden zu können. Computer.Konfiguration Schulrouter Plus 5 5. Aktivieren Sie einfach die entsprechenden KONTROllKäSTChEN. dass sie ihre Netzwerkkonfiguration automatisch erhalten. wird eine gültige IP-Adresse zugewiesen und ihre DNS-Konfiguration wird vom Schulrouter Plus festgelegt.

Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten). Bei einer Anforderung auf eine Erneuerung der Lease werden ggf. Standard Lease Zeit (Min): Verwenden Sie den Vorgabewert. sollten Sie die Anfangs. die für IP-Adress-Leases reserviert werden. beim Internetzugriff “www” als Standard-Homepage in ihrem Browser festzulegen. wenn Sie keinen triftigen Grund haben. durchgeführte Änderungen an DHCP-Parametern berücksichtigt und die Clientkonfigura tion wird entsprechend aktualisiert. “www” ist jedoch kein voll qualifizierter Domänen-Name (FQDN). die der Server für andere Computer bereitstellt. einen anderen Wert zu verwenden. Im Allgemeinen werden IP-Adresszuordnungen vom Server erneuert.Konfiguration Schulrouter Plus Anfangsadresse und Endadresse: Sie können die unterste und die oberste Adresse angeben. zu dem die zugewiesene IP-Adresse verfällt) fordern die Clientcomputer. Hier wird der Domänenname festgelegt. damit die Benutzer in Ihrem Intranet die Teiladresse “www” weiterhin nicht eingeben müssen. Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten. Wenn sich in Ihrem Netzwerk Computer befinden. dass das Format keinen führenden “Punkt” vorsieht. Dienste 41 . Domain-Name-Suffix: Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf.und Endadresse so wählen. Der voll qualifizierte Domänenname des Webservers wird jedoch automatisch clientseitig über die Software Ihres Computers erstellt. Maximale Lease Zeit (Min): Verwenden Sie den Vorgabewert. erhält der Client eine neue IP-Adresse aus dem neuen dynamischen IP-Adressbereich. Die DHCP-Server von vielen Internetdienstanbietern sind so konfiguriert. die DHCP nicht verwenden. angehängt wird. Wenn der Bereich des Pools für die Vergabe von IP-Adressen (der dynamische IP-Adressbereich) zwischenzeitlich geändert wurde. deren IP-Adressen also manuell festgelegt werden. den der DHCP-Server für seine Clients verwendet. Nach Ablauf der maximalen Vorhaltezeit kann die IP-Adresse des Clients vom Server geändert werden. Vor dem Ablauf der Lease (der Zeitpunkt. einen anderen Wert zu verwenden. versucht der Client erneut. wie von dem DHCP-Server des Internetdienstanbieters vorgegeben. eine Erneuerung der Lease an. Wenn ein Hostname nicht aufgelöst werden kann. indem das Suffix des Domänennamens. in dem der DHCP-Server Clientanfragen auf Erneuerung der Lease für die aktuell gültige IP-Adresse immer zustimmt. dass als Standard domänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf. dass der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt. Legen Sie das Domänen-Name-Suffix entsprechend der Vorgabe des DHCP-Servers Ihres Internetdienstan bieters fest. den ursprünglichen Namen mit dem als Namen angegeben Suffix aufzulösen. unter Angabe ihrer aktuell gültigen IP-Adresse. wenn Sie keinen triftigen Grund haben.

Erster NTP-Server: Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen NTP-Servers an Geräte in Ihrem Netzwerk weiterleiten wollen. welcher Server als primärer DNS-Server verwendet werden soll. falls der primäre DNS-Server nicht verfügbar sein sollte. den Standardwert zu verwenden. der verwendet wird. Beachten Sie. Da der Schulrouter Plus auch einen DNS-Proxy enthält. Dieser DNS-Server könnte beispielsweise ein weiterer DNS-Server in Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein. geben Sie diese hier ein. Diese können in dem Textfeld „Benutzerdefinierte Konfigurationszeilen“ eingetragen werden. Zweiter NTP-Server: Wenn Sie eine zweite NTP-Server-Adresse haben. In diesem Fall wird für den primären DNS-Server die IP-Adresse des Schulrouter Plus verwendet. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter. Für erfahrene Benutzer ist es möglich. dass hier keine Prüfung der Syntax durch den Schulrouter Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers verhindern können. sekundären WINS-Server eintragen. i Dienste 42 . wird in der Regel empfohlen. Wenn Sie einen eigenen separaten DNS-Server verwenden. weitere angepasste DHCP-Regeln zu der Konfiguration hinzufügen. Sekundärer DNS: Sie können auch einen sekundären DNS-Server angeben.Konfiguration Schulrouter Plus Primärer DNS: Legt für die Clients des DHCP-Servers fest. Erste/zweite WINS-Server Adresse: Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server (Windows Internet Naming Service-Server) verwenden. falls vorhanden. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an die Hostcomputer weiter. können Sie die IP-Adresse des NTP-Servers in dieses Feld eingeben. geben Sie dessen IP-Adresse in das Feld ein. können Sie in diese Felder den primären und. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter.

Stellen Sie sicher. Dienste 43 . Nächste Adresse: Möglicherweise befinden sich in Ihrem Netzwerk Computer. sondern zentral über den DCHP-Server vergeben. dass Sie keine IP-Adresse aus dem dynamischen Adressbereich des DHCP-Servers vergeben. IP-Adresse: Dies ist die fest zugeordnete IP-Adresse. für die es jedoch darüber hinaus auch erforderlich ist. Die Adressen werden also nicht manuell auf dem Computer selbst.x x . die der DHCP-Server stets für die angegebene MAC-Adresse vergeben soll.x x .x x . Das Format der MAC-Adresse lautet x x : x x : x x : x x : x x : x x . die eine Startdatei von einem Server im Netzwerk erhalten müssen (sog. dass sie stets dieselbe IP-Adresse erhalten.x x . Für feste Zuordnungen können die folgenden Parameter festgelegt werden: MAC-Adresse: Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers.x x . deren IP-Adressen zentral verwaltet werden sollen. dass diesen Computern auf Grundlage der MAC-Adresse der in dem Computer installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. Beschreibung: Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen. und nicht x x . Diese Art der Konfiguration unterscheidet sich wesentlich von der manuellen Adresszuweisung. können Sie über den DHCP-Server festlegen.Konfiguration Schulrouter Plus Aktuelle feste Zuordnungen Wenn sich in Ihrem Netzwerk Computer befinden. Bei Bedarf können Sie in diesem Feld die Serveradresse angeben. wie es auf einigen Computern angezeigt wird (Beispiel: 0 0 : E 5 : B 0 : 0 0 : 0 2 : D 2 ). Thin Clients). da auch diese Computer weiterhin ihre IP-Adressen von dem DHCP-Server beziehen. für den die feste Zuordnung gelten soll.

Sie können die Liste sortieren. um den DHCP-Server anzuweisen. können Sie in diesem Feld den Pfad zu der Startdatei angeben. Dienste 44 . wird der entsprechende Datensatz zwar in den Dateien des Schulrouter Plus gespeichert. Rootpfad Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befindet. der DHCP-Server gibt die Zuordnung jedoch nicht aus.Konfiguration Schulrouter Plus Dateiname Geben Sie den Namen der Startdatei für diesen Computer an. Aktiviert Aktivieren Sie dieses Kontrollkästchen. Ein weiterer Klick dreht die Sortierreihenfolge um. indem Sie auf die unterstrichenen Spaltenüberschriften MAC-ADRESSE oder Ip-ADRESSE klicken. Liste der festen Zuordnung In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und können bearbeitet oder gelöscht werden. die angegebene feste Zuordnung bereitzustellen. Zum Bearbeiten einer bestehenden festen Zuordnung klicken Sie auf das zugehörige STIFT-SyMBOl. Ist das Kontrollkästchen nicht aktiviert. Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann auf SpEIChERN. Zum Löschen einer bestehenden festen Zuordnung klicken Sie auf das zugehörige pApIER-KORB-SyMBOl. Die Werte für die feste Zuordnung werden im Ausschnitt “Fixe Lease hinzufügen” weiter oben angezeigt.

bekommt er in aller Regel von Ihrem Provider eine externe IP zugeordnet. Wird dort eine externe IP angezeigt. Dienste 45 . die eine Verbindung zu Ihrem Server herstellen möchten. die in Ihrem internen Netzwerk liegt . Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die automatische Aktualisierung bei zahlreichen dynDNS-Anbietern.wenn Sie also bspw.wählen Sie die zweite Variante. Um dynDNS verwenden zu können. der die aktuellste gültige IP-Adresse bereitstellt. wählen Sie hier den ersten Auswahlpunkt. Wird dort eine IP-Adresse angezeigt. kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt. einen vorgelagerten Router verwenden . auch wenn dieser über keine statische öffentliche IP-Adresse verfügt. Anschließend muss Ihr Server jedes Mal. wenn eine Verbindung zum Internet hergestellt und ihm von Ihrem Internetdienstanbieter eine IP-Adresse zugewiesen wird. dem dynDNS-Server diese IP-Adresse mitteilen. Diese Adresse sehen Sie auf der Startseite.Konfiguration Schulrouter Plus 5. müssen Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren. mit der Sie auch von außen auf den Schulrouter Plus zugreifen können. die festgelegten >Firewall-Regeln< lassen dies zu). Hostcomputer. lösen die Adresse über den dynDNS-Server auf. die externe IP über eine Webseite zu bekommen. Ist diese IP-Adresse aktuell.2 Dynamischer DNS Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen. Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen. die versucht.

damit der Schulrouter Plus die auf dem dynDNSServer hinterlegten Daten aktualisiert.com” gewählt haben und der Schulrouter Plus sich hinter einem Proxyserver befindet. Hinter einem Proxy Aktivieren Sie dieses KONTROllKäSTChEN nur dann.dyndns. Domäne Geben Sie den Domänennamen ein.srp. Hinter einem Router (NAT) Wählen Sie dies aus. Hostname Geben Sie den Hostnamen ein. Aktiviert Aktivieren Sie dieses KONTROllKäSTChEN.com” gewählt haben. Sie sollten bei dem aus gewählten Anbieter bereits registriert sein. Dieses KONTROllKäSTChEN wird bei Auswahl eines anderen Anbieters nicht berücksichtigt. ermöglichen Sie. Passwort Geben Sie das Kennwort für den Benutzernamen ein. Dienste 46 . den Sie bei Ihrem dynDNS-Anbieter registriert haben.org.org dieselbe IP-Adresse wie die übergeordnete Domäne timeforkids. da dieser Anbieter die Einstellung dieser Option ausschließlich über seine Website ermöglicht. den Sie bei Ihrem dynDNS-Anbieter registriert haben. In diesem Fall wird der Dienst von http://checkip. Die Daten werden auch auf dem Schulrouter Plus gespeichert. dass alle Unterdomänen Ihres dynamischen DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen.dyndns. ohne die Daten erneut eingeben zu müssen. erhält beispielsweise die Unterdomäne www. Ist das KONTROllKäSTChEN aktiviert.dyndns. wenn das KONTROllKäSTChEN deaktiviert ist.org verwendet um die externe IP herauszufinden. Wenn Sie als Anbieter “no-ip.Konfiguration Schulrouter Plus Aktuelle Hosts Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden: Dienst Wählen Sie einen dynDNS-Anbieter aus der DROpDOwNlISTE aus. wenn Sie als Anbieter “no-ip. Benutzername Geben Sie den Benutzernamen ein. wird das KONTROllKäSTChEN nicht berücksichtigt. Auf diese Weise können Sie die dynDNS-Aktualisierung zu einem späteren Zeitpunkt wieder aktivieren. den Sie bei Ihrem dynDNS-Anbieter registriert haben. wenn der Schulrouter Plus über einen vorgelagerten Router ins Internet geht. Platzhalter erlauben Wenn Sie Platzhalterzeichen zulassen.

deren unkomprimierte Größe die komprimierte Größe um mehr als den hier angegebenen x-fachen Wert übersteigen.3 Antivirus Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von ClamAV. die wiederum andere Archive beinhalten. Kompressionsverhältnis Archive.Konfiguration Schulrouter Plus 5. wie ClamAV mit Archiv-Bomben umgeht und wie oft Virenupdates heruntergeladen werden. die größer als die angegebene MB-Zahl sind. Archive in Archiven Archive. Max. Max. Größe des Archives Archive. wenn die Anzahl der eingebetteten Archive diese Zahl übersteigt. die mehr als die hier angegebene Anzahl von Dateien enthalten. In diesem Bereich können Sie einstellen. Anzahl von Dateien in Archiven Archive . Max. dass Archive mit bestimmten Eigenschaften nicht gescannt werden: Max. Normalerweise übersteigt der Faktor der Komprimierung selten 10. ist der Antivirus-Dienst so vorkonfiguriert. Der Standardwert ist 1000. Dienste 47 . Antivirus Konfiguration Um diese Arten von Angriffen zu unterbinden.

stellen diese ein Sicherheitsrisiko dar. Falls Sie nach Informationen über einen bestimmten Virus suchen möchten. Dienste 48 . wie oft diese Aktualisierungen herunter geladen werden. Klicken Sie auf SIGNATUREN jETZT AKTUAlISIEREN. gelangen Sie mit dem angezeigten Link direkt zur ClamAV Online-Virus-Datenbank. Aktualisierungszeitplan der Antivirus Signaturen Ein anderer. dass dies einige Zeit in Anspruch nimmt. Antivirus Viren Signaturen Dieser Bereich zeigt an.beachten Sie. Rechts können Sie auswählen. verschlüsselte (passwortgeschützte) Archive zu scannen. wann das letzte Update geladen wurde und welches die letzte geladene Signatur-Version ist. um das Update sofort auszuführen .Konfiguration Schulrouter Plus Umgang mit gefährlichen Archiven Was soll mit den Archiven passieren. Sie können hier auswählen. die in dieses Raster fallen? Es ist möglich zwischen „Nicht scannen aber durchlassen“ und „als Virus blockieren“ zu wählen. ob verschlüsselte Archive standardmäßig blockiert werden sollen. Verschlüsselte Archive blockieren Seitdem es technisch unmöglich ist. Der voreinstellte Standard ist stündlich. sehr wichtiger Aspekt bei einem Antivirus-Scanner sind die Signatur-Updates: Informationen über neue Viren müssen regelmäßig von einem ClamAV-Server geladen werden.

Darunter können Sie auch die Zeitzone festlegen. Hier muss jeder NTP-Server in eine eigene Zeile geschrieben werden.Konfiguration Schulrouter Plus 5. dass die Uhrzeit mit einem Zeitserver im Internet abgeglichen wird. Mit Aktivieren von STANDARD NTp SERVER üBERSChREIBEN können Sie eigene NTP-Server eintragen. Eine Anzahl von Zeitservern ist bereits voreingestellt.4 Zeitserver Der Schulrouter Plus kann so konfiguriert werden. Dienste 49 . Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.

Ermitteln Sie. Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit. welche Dienste in Ihrem Netzwerk verwendet werden. Dienste 50 .Konfiguration Schulrouter Plus 5. Verwenden Sie einen DSL Speedtest im Internet. indem Sie die WAN-Verbindung bearbeiten und die maximal zu verwendende Geschwindigkeit eingeben. “Mittel” und “Niedrig”. um die maximalen Upload. ermöglicht die Festlegung von Vorrangregeln für die verschiedenen Datenströme. während umfangreiche Downloads aus dem Internet durchgeführt werden.und Downloadgeschwindigkeiten zu ermitteln. Aktivieren Sie die Übertragungsoptimierung. 3. also die Optimierung der Datenübertragung. 2. Die Ping-Übertragung erhält stets die höchste Priorität. damit Sie auch dann die Geschwindigkeit Ihrer Verbindung genau überprüfen können. die Übertragungsverfahren des Datenaufkommens selbst Ihren Bedürfnissen entsprechend zu optimieren. bei denen Datenübertragungen über die Firewall vom bzw. ins Internet erfolgen.5 Trafficshaping Trafficshaping. Geben Sie die so ermittelten Geschwindigkeiten in die entsprechenden Felder im Bereich Einstellungen der Webseite ein. So verwenden Sie die Trafficshaping-Funktionalität im Schulrouter Plus: 1. Die Steuerung erfolgt durch die Einstufung des Datenaufkommens in Prioritätsstufen “Hoch”. die durch die Firewall geleitet werden.

Weisen Sie diesen die gewünschte Priorität zu.Konfiguration Schulrouter Plus 4. Sie sollten die Einstufung in die drei Prioritätskategorien entsprechend den Anforderungen in Ihrem Netzwerk anpassen. Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfigurationen zur Optimierung der Übertragung des Datenaufkommens. Beispiel: a. Dienste 51 . c. Dauerdatenübertragungen wie beispielsweise P2P-Dateifreigaben erhalten die Prioritätsstufe „Niedrig“. 110) s owie Audio. b. Erstellen Sie durch den Klick auf EINEN DIENST ERSTEllEN eine Liste mit Diensten und den jeweils zugeordneten Prioritätsstufen. Standarddatenaufkommen wie surfen (Port 80) und Kommunikation (bspw. Interaktivem Datenaufkommen wie SSH (Port 22) und VoIP wird die Prioritätsstufe „Hoch“ zugeordnet.und Videostreaming wird die Prioritäts-stufe „Mittel“ zugeordnet. E-Mail-Verkehr über Port 25 bzw. 5.

Standard-Spamordner Der Name des Ordners. so dass es nur manuell durchgeführt werden kann (z.Konfiguration Schulrouter Plus 5. in dem die Stand-ardeinstellungen gesetzt werden können: Standard IMAP Host Der IMAP-Mailserver. der nur HAM-Mails beinhaltet. Das regelmäßige Training kann entweder deaktiviert werden. um automatisch zu lernen welche E-Mails Spam beinhalten und welche nicht. benötigt der Dienst einen über IMAP erreichbaren Mailserver. Standard-Hamordner Der Name des Ordners. Die Standardkonfiguration wird noch nicht für das Training verwendet. nach einer Überprüfung der entsprechenden Ordner auf Richtigkeit) oder in regelmäßigen Abständen automatisch ausgeführt werden. Standard-Benutzername Der Anmeldename für den IMAP-Mailserver. die darunter konfiguriert wird. Dieser Ordner beinhaltet Mails. Um dies zu ermöglichen. Standard-Passwort Das zugehörige Passwort. damit dort voreingestellte Ordner überprüft werden. Dienste 52 .B. der nur Spam-Mails beinhaltet. Durch Klick auf STANDARDKONFIGURATION BEARBEITEN öffnet sich darunter ein neuer Bereich. Für automatisches Spamfilter-Training vormerken Das Intervall zwischen den Prüfungen.6 Spam Training Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfiguriert werden. die nicht als Spam zu klassifizieren sind. der die Trainingsordner beinhaltet. Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern.

Wenn mehrere Quellen definiert sind. Es ist auch möglich die Verbindung zu allen Quellen zu testen. indem Sie oben auf den Button AllE VERBINDUNGEN TESTEN klicken. kann dies einige Zeit in Anspruch nehmen. Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an spam@spam. Drei weitere Optionen sind verfügbar: Aktiviert Erst wenn hier eine MARKIERUNG gesetzt ist. Dafür ist notwendig.ham für Hamnachrichten machen. der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails. dass die Domänen “spam. bearbeitet oder gelöscht. Durch einen Klick auf IMAp SpAM TRAININGSqUEllE hINZUFüGEN öffnet sich ein neuer Bereich. wenn der SMTP Proxy angeschaltet ist. klicken Sie auf TRAINING jETZT STARTEN. Sie können das Anti-Spam-Training auch manuell durchführen.2 Netzwerk . wird diese Quelle für das Training verwendet. Anmerkung In diesem Feld können Sie eine Anmerkung einfügen. Diese wird immer von den Standardeinstellungen übernommen. Dienste 53 . abhängig von der Geschwindigkeit der Mailserver und der Anzahl der definierten Quellen. Um das Training sofort zu starten. Die anderen Optionen können genauso wie in der Standardkonfiguration vorgenommen werden. die für das Training zur Verfügung stehen.ham” aufgelöst werden können indem Sie unter >4. Wenn Sie hier gesetzt werden überschreiben Sie die Standardeinstellung. Abhängig von der Anzahl der Quellen. Eine Quelle wird mit dem entsprechenden Button getestet.Hosts bearbeiten< auf den Schulrouter Plus zeigen. Bearbeitete Mails löschen Nach dem Training werden die verwendeten E-Mails gelöscht. aktiviert. Die Einstellungen für weitere “Trainingsserver” entspricht den Standardeinstellungen. Es fehlt nur die Einstellung der Regelmäßigkeit.Konfiguration Schulrouter Plus In dem Bereich darunter können die entsprechenden “Trainingsserver” konfiguriert werden. kann das Training einige Zeit in Anspruch nehmen.spam für Spamnachrichten und an ham@ham.spam” und “ham.

org gepflegt.zip-Dateien” sein.Konfiguration Schulrouter Plus 5. die über jedes genutzte Netzwerk übertragen werden.gz.rules. Aktivieren Sie einfach die gewünschten KONTROllKäSTChEN. “. das die von der Firewall empfangenen IP-Pakete analysiert und nach bekannten Signaturen für schädliche Aktivitäten durchsucht. Die Regeln zur Einbruchdetektierung werden von snort. Mit dem Haken EINBRUChDETEKTIERUNG AUTOMATISCh hERUNTERlADEN und dem darunter liegenden Updateintervall können sie die Einbruchdetektierung vom Schulrouter Plus automatisch aktuell halten. Der Schulrouter Plus kann IP-Pakete überwachen. Dienste 54 .oder gepackte .tar-”. eigenen Regeln auf dem Schulrouter Plus einzusetzen.oder .7 Einbruchdetektierung Der Schulrouter Plus enthält ein hochleistungsfähiges System zur Einbruchserkennung. Für erfahrene Benutzer besteht die Möglichkeit. Die im Feld BENUTZERDEFINIERTE EINBRUChDETEKTIERUNGSREGElN einzufügende Regeln müssen entweder direkt “.

erscheint darunter ein Link. Schnittstellen und weiteren Parametern gefiltert werden kann.Konfiguration Schulrouter Plus 5.html< Dienste 55 . der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrsüberwachung weiterleitet.8 Datenverkehrsüberwachung Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den BUTTON oben aktiviert oder deaktiviert werden. wobei der Verkehr nach Host. Diese Administrationsoberfläche wird ebenfalls von „ntop“ geliefert und enthält detaillierte Statistiken über den Datenverkehr.org/documentation. Für detaillierte Informationen über die ntop-Administrationsoberfläche besuchen Sie die „ntop“ Dokumentation unter: >http://www. Protokoll. Wenn die Datenverkehrsüberwachung aktiviert ist. Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben.ntop.

Sie können individuell definieren. Wenn Sie z. Für diese Fälle gibt es Port-Weiterleitungen. welche Anfragen von welcher Schnittstelle über welchen Port zu welchem Client geleitet werden. um eine Portweiterleitung zu erstellen. z. einen Webserver betreiben. PPTP-VPN) oder Alle Protokolle. Klicken Sie auf EINE NEUE pORTwEITERlEITUNG hINZUFüGEN. alle roten Schnittstellen oder VPN-Verbindungen gewählt werden.1 Portweiterleitung Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz.B.B. UDP. Eingehender Port Auf welchem Port (1 . Folgende Parameter müssen dabei festgelegt werden: Protokoll: TCP.1.65535) soll der Schulrouter Plus an den roten Schnittstellen auf Anfragen warten.Konfiguration Schulrouter Plus 6 6.1 Hauptmenü Firewall Portweiterleitung / NAT 6. Hier kann eine der verwendeten roten Schnittstellen. Dies ist natürlich nicht die Normalsituation für einen Webserver. Firewall 56 . können Sie die Port-Weiterleitung im Schulrouter Plus konfigurieren. dass der Webserver nur aus dem internen Netz zu nutzen wäre. Eingehende IP Die externe Schnittstelle. Dies würde bedeuten. In den meisten Fällen sollen Außenstehende den Zugriff auf Ihren Webserver erhalten. würden alle von außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. GRE (generic routing encapsulation) wird von Tunneln verwendet. Manchmal kann diese Einstellung zu restriktiv sein. Wenn Sie diese Ports kennen.

Anmerkung Eine eigene Anmerkung. Klicken Sie auf hINZUFüGEN um die Regel zu bestätigen. Um weitere Quellen zu definieren wiederholen Sie den Schritt. Ziel-Port Der Port am Client intern an. Firewall 57 . ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus (aktiviert) oder mit der externen IP des Anfragenden ankommen.Konfiguration Schulrouter Plus Ziel-IP-Adresse Die IP-Adresse des internen Clients. de-/aktivieren oder sie löschen. Aktiviert Diese Regel aktivieren SNAT eingehende Verbindungen Legen Sie fest. Sie können die Regel in der Zeile mit den entsprechenden SyMBOlEN bearbeiten. die nur die Weiterleitung nutzen dürfen. dass diese eine feste externe IP haben. Hinzufügen der Regeln oben auf üBERNEhMEN zu klicken! Wenn eine Regel definiert ist. an den die Anfrage von extern geleitet werden soll. in der Sie die IP-Adresse oder das Netz derjenigen eintragen können. Vergessen Sie nicht nach dem Ändern bzw. Das setzt voraus. den die externe Anfrage geleitet werden soll. Enable log Alle Pakete über diese Regel protokollieren. können Sie den Zugriff von außen beschränken. um später die Regel schnell wiederzufinden. Mit dem Klick auf das plUS-SyMBOl der entsprechenden Regel öffnet sich darüber eine Maske.

genau wie bei der Quelle. SourceNAT kann nützlich sein. können Sie die IP-Adresse wählen.Konfiguration Schulrouter Plus 6. Sie können zwischen bestimmten IP-Adressen. dass der Client anfragt). für welche Quellen SourceNAT verwendet werden sollen. Firewall 58 . bei dem die Regel aktiv ist (also das Ziel. für welche ausgehende Verbindungen „Source Network Adress Translation“ (SourceNAT) genutzt werden sollen. auswählen. die nach außen für diese Regel sichtbar sein soll. ein Ziel definieren. Aktivieren Hier aktivieren Sie die Regel. ob Sie SourceNAT nutzen möchten oder nicht. Hier können Sie. wenn ein Server im internen Netz eine eigene externe IP bekommen und für den Datenverkehr des Servers ins Internet nicht die externe IP-Adresse der roten Schnittstelle verwendet werden soll. Das Hinzufügen von SourceNAT-Regeln ist identisch zu der Bearbeitung von Portweiterleitungen. Wenn Sie sich für NAT entscheiden. Ziel Dienst/Port Hier können Sie den Dienst/Port. der beeinflusst werden soll. NAT Hier wählen Sie aus. Netzwerke oder Benutzern wählen.2 SourceNAT In diesem Unterabschnitt können Sie definieren. Zusätzlich können Sie auch Zonen und WAN-Verbindungen nutzen. In der Vorauswahl erscheint automatisch die entsprechend zugehörige IP-Adresse. Die folgenden Einstellungen können gesetzt werden: Quelle Legen Sie fest.1.

1 2 3 . dass 1 2 3 . 1 2 3 eine weitere IP des roten Schnittstelle ist) in der DMZ mit SourceNAT: 1. Konfigurieren Sie die orange Schnittstelle so. Position Hier können Sie festlegen. an welcher Stelle die Regel eingefügt werden soll. Firewall 59 . 1 2 3 (Ethernet statisch) im Abschnitt >4. 4. 3. 2. 1 2 3 . Beispiel: Konfigurieren eines SMTP-Mailservers auf der IP 1 2 3 .Konfiguration Schulrouter Plus Anmerkung Hier können Sie eine kurze Anmerkung eintragen.4 Internet/WAN< hinzu. Fügen Sie eine WAN-Verbindung mit der IP 1 2 3 . 1 2 3 (davon ausgehend. 1 2 3 . Konfigurieren Sie den Mailserver so. damit der Server ins Internet kommt. 1 2 3 . 1 2 3 . Zum Speichern der Regel klicken Sie auf REGEl ERSTEllEN. damit er auf Port 25 mit seiner internen IP der Orangenen Zone reagiert. Fügen Sie eine SourceNAT-Regel hinzu und definieren Sie als Quelle die interne (orange) IP. 1 2 3 .

Dies schließt nicht die abgewiesenen Pakete ein.Konfiguration Schulrouter Plus 6. Mit der Einstellung AllE AKZEpTIERTEN AUSGEhENDEN VERBINDUNGEN pROTOKOllIEREN protokolliert der Schulrouter Plus alle akzeptierten Pakete im >Firewalllog<. Firewall 60 .2 Ausgehender Datenverkehr Die ausgehende Verbindungsfirewall regelt den Datenverkehr von den internen Netzen nach außen. Die Standardeinstellungen reichen aus. so dass jeglicher Datenverkehr von innen nach außen gelangt. um im Internet surfen und E-Mails abholen zu können. ! ê Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das System verlangsamen. Sie können diese Regeln nach Ihren Bedürfnissen erweitern. Mit dem Schalter AUSGEhENDE FIREwAll DEAKTIVIEREN/AKTIVIEREN können Sie die aus gehende Verbindungsfirewall komplett deaktivieren. um bspw. Lernsoftware die Verbindung ins Internet über benötigte Ports zu gewähren.

Diese Regeln werden automatisch vom Schulrouter Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Diese sind nach ihrer Priorität absteigend sortiert: Ist bspw. Außerdem können Sie die Regeln de-/aktivieren. bearbeiten und löschen. klicken Sie auf „EINE NEUE FIREwAllREGEl hINZUFüGEN. Firewall 61 . setzen Sie entsprechend den hAKEN in den Punkt “Aktiviert:” und drücken den Button SpEIChERN. so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Pro tokoll selber festlegen. Ziel IP Adresse: Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet verwendet werden. um sie einfacher wieder aufzufinden. In dieser Ansicht können Sie auch die Priorität der Regeln ändern. Zum Bearbeiten klicken Sie auf das entsprechende STIFT-SyMBOl in der Zeile der Regel. IP-Adressen/IP-Bereiche oder MAC-Adressen verwenden.Konfiguration Schulrouter Plus Im Abschnitt “Aktuelle Regeln” sind alle bereits definierten aktivierten Firewall-Regeln aufgelistet. Es öffnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Am Ende der Seite werden die Systemregeln angezeigt. wird dennoch Port 80 freigegeben. die die Ports 50 bis 100 sperrt. Sie können entweder Netzwerkschnittstellen. nachdem alle Einstellungen für diese Regel getätigt sind. Sie können nicht verändert oder gelöscht werden. Dienst/Port: Weiterhin können Sie auch festlegen. auf welchen Ziel-Port und über welches Protokoll diese Regel angewendet wird. Sie können hier entweder WAN-Verbindungen oder IP-Adressen/IP-Bereiche wählen. die Sie bearbeiten möchten. Wenn Sie eine neue Firewallregel anlegen möchten. Es können mehrere Quellen gleichen Typs verwendet werden. indem Sie die Pfeile in der entsprechenden Zeile benutzen. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen. Aktionen: Legen Sie fest. ob der Vorgang gestattet oder abgelehnt werden soll. Folgende Einstellungen können gesetzt werden: Quelle: Für welche Quelle soll diese Regel gelten. Zonen. Anmerkung: Geben Sie hier der Regel eine Beschreibung. Um die Regel zu de-/aktivieren. als erstes der Port 80 freigegeben und darunter eine Regel. Es können mehrere Quellen gleichen Typs verwendet werden.

Es erscheint eine Meldung mit dem entsprechenden Hinweis! Firewall 62 . muss die Änderung immer noch übernommen werden. ! ê Nachdem Regeln erstellt oder bearbeitet wurden. Alle akzeptierten Pakete loggen: Ist dieser Haken aktiviert. bearbeiteten Regel festlegen. Hier können Sie die Position der neuen bzw. werden die auftretenden Verbindungen im >Firewalllog< aufgeführt. ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln festgelegt.Konfiguration Schulrouter Plus Position: Wie bereits erwähnt.

muss die Änderung immer noch übernommen werden. der auch über den Schulrouter Plus übertragen wird. nur die Pakete. Dies betrifft aber nur den Datenverkehr.3 Interner Datenverkehr Hier legen Sie fest. Regeln bearbeiten. das pädagogische Netz und die Verwaltung zu trennen. die von einer zu einer anderen Schnittstelle übertragen werden. werden alle Verbindungen untereinander erlaubt (Datenverkehr zu ROT ausgeschlossen). Dies ist notwendig. löschen und hinzufügen.Konfiguration Schulrouter Plus 6. ist davon nicht betroffen. Sprich. Der Schulrouter Plus ist standardmäßig so eingestellt. um bspw. Der Datenverkehr. dass der Datenverkehr nur im jeweiligen Netzwerksegment bleiben darf. Ein Senden in eine andere Zone ist nicht erlaubt. ! ê Wird der interne Datenverkehr deaktiviert. der im internen Netzwerk geschieht und über den dort stehenden Switch läuft. Analog zu “Ausgehender Datenverkehr” können Sie diese Einstellungen ein-/ausschalten. ob Datenverkehr zwischen den einzelnen internen (alle außer ROT) Netzwerksegmenten gesendet werden darf. Dies ist nicht zu empfehlen! Durch Klick auf EINE NEUE INTERNE FIREwAllREGEl hINZUFüGEN können Sie eine neue Regel hinzufügen. ê ! Nachdem Regeln erstellt oder bearbeitet wurden. Ist dies nötig. erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter! Firewall 63 . Die Einstellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.

Klicken Sie auf EINE NEUE SySTEMZUGANGSREGEl hINZUFüGEN um eine neue Regel für den Systemzugriff zu erstellen. wenn Sie den kompletten Zugriff aus bestimmten Zonen (Quellschnittstellen) gewähren wollen.Konfiguration Schulrouter Plus 6. abgelehnt (ohne Rückmeldung) oder abgewiesen (Meldung an den Sender) werden. Netzwerke oder MAC-Adressen fest. Anmerkung Geben Sie hier der Regel eine Beschreibung. Dienst/Port: Weiterhin können Sie auch festlegen. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen. so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen. Quellschnittstelle Legen Sie fest. ob der Zugriff gewährt.4 Systemzugriffe Hier können Sie den Zugriff direkt auf den Schulrouter Plus regeln. deren Zugriff mit dieser Regel festgelegt werden soll. Diese Einstellung ist optional. Diese Einstellungen können gemacht werden: Quelladresse Legen Sie eine oder mehrere IP-Adressen. Es gibt eine Liste vorkonfigurierter Regeln. Firewall 64 . auf welchen Ziel-Port und über welches Protokoll diese Regel angewendet wird. Aktion Stellen Sie ein. aus welcher Zone oder über welche Schnittstelle dieser Zugriff geregelt werden soll. die für den Betrieb der einzelnen Dienste und für den Zugriff auf die Konfigurationsoberflächen notwendig sind. um sie einfacher wieder aufzufinden.

Alle akzeptierten Pakete loggen Ist dieser Haken aktiviert. Hier können Sie die Position der neuen bzw. Klicken Sie auf REGEl hINZUFüGEN um die Regel zu bestätigen. Aktiviert Anhaken zum Aktivieren der Regel (Standard). Durch den Klick auf das entsprechende SyMBOl rechts in der Zeile der erstellten Regel. ! ê Nachdem Regeln erstellt oder bearbeitet wurden. bearbeiteten Regel festlegen. erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter! Firewall 65 . werden die auftretenden Verbindungen im >Firewalllog< aufgeführt. können Sie die entsprechenden Regeln de-/aktivieren.Konfiguration Schulrouter Plus Position Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln festgelegt. muss die Änderung immer noch übernommen werden. Ist dies nötig. bearbeiten oder löschen.

Proxy 66 .B. im Blauen Netz) ohne Filterung und ohne weitere Einstellungen am Filter vorbei gehen können. Sie können in dieser Übersicht den Proxy für jede Schnittstelle aktivieren oder deaktivieren. der als Vermittler der Daten zwischen Netzwerkverkehr und dem integrierten Schulfilter Plus agiert und auch Webobjekte zwischenspeichern kann. im Grünen Netz) über den Schulfilter Plus filtern lassen und für Ihr Verwaltungsnetz separat den Proxy deaktivieren.1.Konfiguration Schulrouter Plus 7 7. so dass die Verwaltungsrechner (z.1 Hauptmenü Proxy HTTP Konfiguration Der integrierte HTTP-Proxy ist ein vollwertiger Proxy. Es wird ein reines Routing gemacht. Um den Datenverkehr über den Schulfilter Plus zu leiten.B. ! ê Ist an einem Client noch ein Proxy eingestellt. so gibt der Browser eine Fehlermeldung zurück.1 7. Bei dieser Auswahl haben Sie die Optionen zwischen: Deaktiviert Der Proxy ist auf dieser Schnittstelle deaktiviert. Außerdem bietet der integrierte Proxy weitere grundsätzliche Einstellungsmöglichkeiten zur Filterung des Datenverkehrs und zur Authentifizierung. So können Sie beispielsweise Ihr Schüler-Netz (z. muss der Proxy für die entsprechende Schnittstelle aktiviert sein.

Es muss am Client für den http-Verkehr kein Proxy eingetragen werden. müssen Sie einen Port wählen. Anhänge in Formularen) in KB (0 bedeutet unbegrenzt). in der Fehlermeldungen angezeigt werden sollen. sondern den hier eingetragenen Namen an. Proxy Port Wenn Sie den Proxy nicht transparent einsetzen wollen.B. da dabei die Gefahr einer Mehrfachnutzung durch andere Programme relativ klein ist. Transparent Der Proxy ist aktiviert und fängt selbständig alle http-Anfragen (über Port 80) ein. Weiterhin ist die Anbindung des Proxy an einen Verzeichnisdienst notwendig. dass keine anderen Programme auf Ihren Clients diesen Port beanspruchen. Authentifizierung benötigt Der Proxy ist aktiviert. Achten Sie beim Einstellen des Ports darauf. der bei den Clients eingestellt wird. Um den Proxy zu nutzen. so dass die Anmeldedaten des Clients abgefragt werden und auch an den Schulfilter Plus weitergegeben werden können. Cache Administrator E-Mail Diese E-mail-Adresse wird in Fehlermeldungen des Schulrouter Plus als Kontakt angezeigt. muss am Client die Einstellung zur Nutzung eines Proxys gesetzt werden. Um den Proxy zu nutzen muss am Client die Einstellung zur Nutzung eines Proxys gesetzt werden.Konfiguration Schulrouter Plus Keine Authentifizierung Der Proxy ist aktiviert. Max. In diesem Fall ist aber keine Authentifizierung gegen einen Verzeichnisdienst möglich. Proxy 67 . Standardmäßig ist der Port 800 eingestellt. Sprache der Fehlermeldungen Wählen Sie die Sprache. Größe von Uploads (KB) Limit für http-Dateiuploads (so wie z. Sichtbarer Hostname Zeigt in Fehlermeldungen des Schulrouter Plus nicht den Hostnamen.

1 Erlaubte Ports und SSl Ports Hier werden die zulässigen Ziel-Ports geführt.: http://www. bspw. Sie können das Protokoll in den >Proxy-Logdateien< einsehen.log” Firewall protokolliert ausgehende Verbindungen Alle Proxy-Anfragen werden auch im Firewalllog protokolliert (nur bei transparentem Proxy).de/index. wenn der Browser mit dem die Internetseite angesehen wird.1. Proxy 68 .B. Die User-Agents sind nicht in der Weboberfläche zu sehen. Diese Einstellung ist unabhängig von der Protokollierung des Schulfilter Plus.php?user=hallo&passwort=welt dynamische Abfragen Protokolliere User Agents So werden auch die verwendeten User-Agents. Bitte prüfen Sie die Datenschutzrichtlinien Ihres Bundeslandes. über die HTTP(S)-Anfragen an den Schulrouter Plus gesendet werden dürfen. Protokolliere Query Terms Standardmäßig werden dynamische Abfragen bei der Protokollierung abgeschnitten. werden auch diese protokolliert. Z. sondern nur in der Datei “/var/log/squid/useragent.1. Ist dieser Punkt aktiviert. Diese Daten zu sammeln kann Datenschutzrichtlinien und die Privatsphäre der Benutzer verletzen. 7. Dieser Punkt sollte nur zur Fehlersuche aktiviert werden. kann also für eine reine Protokollierung der Filterereignisse ausgeschaltet bleiben.2 Log-Einstellungen Log aktiviert Aktivieren Sie hier die Protokollierung aller Aktivitäten über den http-Proxy.Konfiguration Schulrouter Plus 7. um weitergeleitet zu werden. protokolliert.time-for-kids.1.1.

alle anderen bekommen eine Fehlermeldung. 0 .Konfiguration Schulrouter Plus 7.1. ! ê Um die Server zu schützen. nur einem kleineren IP-Bereich den Internetzugriff zu gewähren. Blau und Orange eingetragen. Proxy 69 . Dann holt sich der Proxy automatisch die richtigen Einstellungen. Standardmäßig werden hier automatisch die Subnetze von den Schnittstellen Grün. Nur Anfragen aus diesen Subnetzen wird der Webzugriff über den HTTP-Proxy genehmigt. 1 ü 1 9 2 .3 Erlaubte Subnetze pro Zone Hier werden die Zugriffsrechte auf den Webzugriff über den Proxy geregelt. ! ê 7. Wenn aber ein Client von Blau auf einen Web-Server in Grün zugreifen möchte.4 Interner Datenverkehr Verweigere Zugang von GRÜN auf BLAU / ORANGE Diese Einstellung verhindert direkte HTTP-Zugriffe auf lokale Web-Server in den anderen internen Zonen durch den http-Proxy hindurch.1. Beispiel: Solange der Proxy-Zugriff untereinander deaktiviert ist. 1 9 2 .1. 1 0 0 . Wenn Sie die IP-Adressen und dementsprechend auch den Adressbereich ändern (also bspw.1. dann nimmt der Proxy-Server eine interne Abkürzung zwischen den Schnittstellen Grün und Blau. um bspw. werden Anfragen gewöhnlich nach ROT weiter geleitet. Sie können diese manuell editieren. wird empfohlen diese Option zu aktivieren und falls notwendig den Zugriff über den internen Datenverkehr zu regeln. müssen Sie den Bereich auch hier manuell ändern! Alternativ können Sie das komplette Feld leeren und SpEIChERN klicken. 1 6 8 . unabhängig von jeglichen Firewall-Regeln. 1 6 8 . 1 ).

Weiterhin können Sie auch festlegen. um den Internetdatenverkehr zu minimieren und die Seitenaufrufe bei den Clients möglichst schnell zu halten.0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0 eingegeben werden. welche Größe die zwischengespeicherten Objekte mindestens und maximal haben dürfen.de” Proxy 70 .time-for-kids.1. Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele Diese Quellen oder Ziele werden nicht über den Proxy geleitet.0 0 . Im Eingabefeld „Diese Domains nicht zwischenspeichern“ können Sie eine Liste von Domains führen.0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0 eingegeben werden. selbst wenn er im Modus “Transparent” läuft. Der Cache im RAM ist viel schneller und Strom sparender als auf der Festplatte. 7.Konfiguration Schulrouter Plus 7.0 0 . Die Einträge müssen immer mit einem Punkt beginnen und es muss für jede Domain eine neue Zeile verwendet werden.0 0 .1. Sie können hier die Größe des Cache im Arbeitsspeicher (RAM) und auf der Festplatte definieren. Gesperrte IP-Adressen/MAC-Adresse Alle in diesen Feldern angegebenen IP.6 Cache Verwaltung Der http-Proxy des Schulrouter Plus verfügt auch über einen Zwischenspeicher (Cache).1. von denen keine Objekte zwischengespeichert werden sollen. MAC-Adressen müssen im Format 0 0 .0 0 .bzw. da sonst andere Dienste beeinträchtigt werden könnten.1. MAC-Adressen bekommen beim Versuch über den http-Proxy ins Internet zu gelangen die Fehlermeldung “Zugriff verweigert”. Objekte dieser Domains werden also immer direkt vom Server geholt.de” “. MAC-Adressen müssen im Format 0 0 . Er sollte aber nicht zu groß gewählt werden.schulrouterplus. veraltete Objekte zugegriffen.0 0 . Den Proxy von folgenden Quell-IPs/Quell-MAC-Adressen umgehen Für die in diesen Feldern eingetragenen IP.bzw.0 0 . Beispiel: “.0 0 .5 Umgehung / Ausgeschlossene Quellen und Ziele Hier können Sie festlegen. Mit der Option „Aktiviere Offline-Modus“ werden die zwischengespeicherten Objekte nicht auf dem Server auf Aktualität überprüft und es wird beim Abrufen auch auf evtl.0 0 . ob bestimmten PCs nicht den HTTP-Proxy nutzen müssen. MAC-Adressen gelten die >Einstellungen der Standardrichtlinie< nicht.

Konfiguration Schulrouter Plus 7.7 Vorgelagerter Proxy Gibt es einen weiteren Proxy in Ihrem Netzwerk. über den der Schulrouter Plus ins Internet gehen soll. müssen Sie hier die passenden Daten eintragen: Geben Sie zuerst den Hostnamen mit dem Proxyport in dem Format Hostname:Port an.1. Auf der rechten Seite können Sie festlegen.1. geben Sie darunter Benutzername und Passwort ein. welche Daten mit an den Proxy übergeben werden. dass Sie sich authentifizieren. Verlangt der vorgelagerte Proxy. So kann die IP-Adresse und der Benutzername des Clients weitergegeben werden. Proxy 71 .

Nach Ablauf der Zeit muss sich der Benutzer neu anmelden. Jede dieser Methoden benötigt unterschiedliche Einstellungen. Schickt der angemeldete Benutzer während dieser Zeit eine Anfrage ab (ruft bspw. Begrenzung von IP-Adressen pro Benutzer Gibt an. besteht keine Beschränkung. LDAP.Konfiguration Schulrouter Plus 7. von wie vielen unterschiedlichen IP-Adressen aus sich ein Benutzer gleichzeitig anmelden darf.1. eine Internetseite auf). Radius. wie lange die Session der Anmeldung bestehen bleibt. Authentifizierungscache TTL Gibt in Minuten an. beginnt die Zeit von neuem. Der Wert sollte erhöht werden. wenn die Anmeldung zu lange dauert. Proxy 72 . Wenn das Feld leer bleibt. Windows. die weiter unten beschrieben werden. Die globalen Einstellungen für alle Authentifizierungsmethoden sind: Anzahl der Authentifizierungsprozesse Gibt an.2 Authentifizierung Der HTTP-Proxy des Schulrouter Plus unterstützt vier Authentifizierungsmethoden: Lokal. wie viele Prozesse auf Authentifizierungsanfragen warten.

und AntiVirus-Update.Konfiguration Schulrouter Plus Benutzer/IP-Cache TTL Gibt an. von denen keine Anmeldung abgefragt wird.windowsupdate. für welche Dauer die Beziehung von IP-Adresse zu Anmeldename gespeichert wird. Authentifizierung für uneingeschränkte Quelladressen erforderlich Aktivieren Sie diese Option. Meldet sich ein Benutzer an einem Client-PC an und wird die Begrenzung der IP-Adressen bspw. Authentifizierungs-Realm Anzeige Die hier eingegebene Bezeichnung wird auf der Anmeldmaske als Name des Proxy angezeigt. kann er sich erst wieder an einem anderen Client-PC anmelden. besteht keine Beschränkung.com” “. auf eins gestellt.com” Quellsubnetze/IP/MAC ohne Authentifizierung Hier können Sie eine Liste mit Hosts (IP-Adressen/Netz/MAC-Adressen) pflegen. Beispiel für Windows-Update: “. sobald die hier eingegebene Zeit abgelaufen ist. die unter Konfiguration im Feld >Den Proxy von folgenden Quell-IPs umghen< oder >Den Proxy von folgenden Quell-MAC-Adressen umgehen< stehen. dass eine Anmeldung auch von IP-Adressen geschehen soll. wenn die Begrenzung von IP-Adressen pro Benutzer genutzt wird. Proxy 73 . wenn Sie möchten. für die keine Anmeldung erforderlich ist.microsoft. Ist der Wert auf 0 gesetzt. Diese Einstellung macht nur Sinn. Zum Beispiel für Windows. Domains ohne Authentifizierung Hier können Sie eine Liste mit Internetseiten pflegen. Für die Anbindung eines Active Diretories über die Authentifizierungsmethode „Windows“ muss hier der FQDN-Domänenname stehen. Alle angegebenen Domains müssen mit einem Punkt beginnen.

Konfiguration Schulrouter Plus 7. ohne dass ein Authentifizierungsserver angebunden sein muss. Min. nicht den Benutzernamen. Im oberen Bereich sind die Eingabefelder. Diese muss vorher bei den >Gruppenregeln< erstellt worden sein. auf der die gesamte Benutzerverwaltung vorgenommen werden kann.1. Benutzer bearbeiten können. Benutzer löschen Um einzelne Benutzer zu löschen. Benutzer bearbeiten Um vorhandene Benutzer zu bearbeiten. 7. klicken Sie auf den Button BENUTZER AKTUAlISIEREN. Sie können bei dem zu bearbeitenden Benutzer nur Passwort und Gruppe ändern.1 Lokale Authentifizierung Bei der lokalen Benutzerauthentifizierung werden die Benutzer direkt auf dem Schulrouter Plus gepflegt. Nachdem Sie auf den Button BENUTZER ERSTEllEN klicken.2. im unteren Bereich die Übersicht der vorhandenen Benutzer. erscheint der neue Benutzer in der Liste darunter. In der Übersichts-tabelle werden die angelegten Benutzer nach Benutzernamen sortiert. klicken Sie auf das STIFT-SyMBOl in der Zeile des entsprechenden Benutzers. wie lang ein Passwort mindestens sein darf. Über den Button BENUTZERVERwAlTUNG können Sie die Benutzer anlegen und bearbeiten. mit denen Sie neue Benutzer anlegen. Proxy 74 . Gruppen Hier können Sie den Benutzer einer bestimmten Gruppe zuordnen. geben Sie die entsprechenden Benutzerdaten in die Eingabefelder ein und wählen Sie eine entsprechende Gruppe. Daraufhin erscheinen die Daten in der Eingabemaske oben. Wenn Sie die Einstellungen vorgenommen haben. klicken Sie auf das pApIERKORp-SyMBOl am Ende der Zeile.1.1.1 Benutzerverwaltung Dies ist die Oberfläche. Passwordlänge Geben Sie an.2. bzw. Benutzer anlegen Um einen neuen Benutzer anzulegen.

Novell eDirectory.2 LDAP Diese Einstellung wird verwendet. Der Standardport ist 389. LDAP Server Version 2 oder einen LDAP Server Version 3 verwenden. Bind DN Benutzername/Passwort Der vollständige Benutzername und das Passwort eines Benutzers.dc=local LDAP Server Die IP-Adresse Ihres LDAP-Servers LDAP-Typ Hier können Sie wählen ob Sie ein Active Directory. Standardmäßig kann hier der Domänenname verwendet werden.1. Beispiel für den Benutzer Administrator eines Active Directory mit der Domäne schule. Beispiel für die Domäne schule. Folgende Einstellungen müssen gesetzt werden: Base DN Der „base distinguished name“. um ein LDAP-Server anzubinden.local: cn=administrator. Port Der Port auf dem der LDAP-Server die Anfrage erwartet. der die Berechtigung besitzt Benutzerattribute auszulesen.dc=local Proxy 75 .Konfiguration Schulrouter Plus 7.dc=schule. ist der Startpunkt der LDAP-Suche.local: dc=schule.2.cn=users.

Folgende Einstellungen müssen gesetzt werden: Domäne Geben Sie hier Ihren Domänenamen ein.B.B. Der hier angegebene Hostname muss vom Schulrouter Plus aufgelöst werden können.B. Nutzen Sie die kurze Variante (NETBIOS).: schule PDC Hostname Der Hostname des primären Active Directory-Servers.B.Konfiguration Schulrouter Plus 7. • Der Schulrouter Plus muss in der Lage sein den Hostnamen des Domänencontrollers aufzulösen (z. Zugangsbeschränkungen Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über den http-Proxy erlauben oder verbieten. ê ! i Mit dem Klick auf DOMäNE BEITRETEN wird der Schulrouter Plus nur als Computer in der Domäne angelegt und erst mit Speichern wird die Einstellung auch gespeichert übernommen. Z. z. • Die Uhrzeit des Schulrouter Plus und des Domänencontrollers müssen synchron laufen.3 Windows Diese Einstellung wird verwendet. Proxy 76 . Der hier angegebene Hostname muss vom Schulrouter Plus aufgelöst werden können.B. Z.2. Dies muss ein Benutzer mit administrativen Rechten sein (z.: über >Hosts bearbeiten< BDC Hostname Der Hostname des sekundären Active Directory-Servers.1. um ein Active Directory anzubinden. Single Sign-On gegen ein Active Directory Um das Single Sing-On gegen ein Active Directory nutzen zu können müssen einige Voraussetzungen geschaffen werden: • Der Schulrouter Plus muss der >Domäne beigetreten< sein. • Im >DNS-Proxy< muss der Domänencontroller als Nameserver für die interne Domäne festgelegt werden.: über >Hosts bearbeiten< Benutzername/Passwort Benutzername und Passwort Der Benutzername und das Passwort des Benutzers mit dem der Schulrouter Plus der Domäne beitreten kann. • Der >PDC Hostname< muss der Netbios-Computername des Domänencontrollers sein. der Domänenadministrator). durch Bekanntmachung über >Hosts bearbeiten<) • Die Authentifizierungs-Realm Anzeige muss der FQDN sein.

Der Standardport ist 1645. Proxy 77 . um einen Radius-Server anzubinden. Kennung Eine zusätzliche Kennung (Identifier) des Radius-Servers.Konfiguration Schulrouter Plus 7. Folgende Einstellungen müssen gesetzt werden: RADIUS Server Die IP-Adresse Ihres LDAP-Servers Port Der Port auf dem der LDAP-Server die Anfrage erwartet. Zugangsbeschränkungen Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über den http-Proxy erlauben oder verbieten.2. Shared secret Das Kennwort für die Signierung der Kommunikation.1.4 Radius Diese Einstellung wird verwendet.

die über den HTTP-Proxy surfen.3 Standardrichtlinie Die Standardrichtlinie gilt für alle Hosts. muss zusätzlich zu dem Browser auch der Windows Media Player aktiviert werden. Zulässige Clients für Webzugriffe beschränken Mit dieser Funktion können Sie die Client-PCs auf bestimmte Browser einschränken.1. mit denen der Internetzugriff gewährt werden soll. Aktivieren Sie zunächst die Funktion „Zulässige Clients für Webzugriffe beschränken„ und wählen Sie dann unten die Programme aus. erlauben. dass dadurch eventuell AntiVirus-Updates oder andere Programme blockiert werden. dass auch mit einem Browser Videos angesehen werden können. so dass Schüler bspw. Die Browser/Programme werden über ihre mit gesendete Kennung (Useragent) identifiziert und können so ziemlich sicher ausgefiltert werden. welche Dateitypen aufgerufen werden dürfen und die maximale Größe von Downloads festlegen. ! ê Beachten Sie. nur noch den Microsft Internet Explorer nutzen können und nicht mehr ihren mitgebrachten Portable Firefox. Sie können hier einschränken welche Browser verwendet werden dürfen. Möchten Sie es bspw. Alle hier nicht aufgeführten Programme werden dann blockiert. Proxy 78 .Konfiguration Schulrouter Plus 7.

können Sie die zu blockierenden Dateitypen in Form von MIME-Types hier angeben. bei >SelfHTML< i Sie können auch Teilausdrücke nutzen.js) Eine Übersicht der gängigen MIME-Types bekommen Sie bspw. Proxy 79 . so dass mit dem Eintrag javascript sowohl “application/x-javascript” als auch “text/javascript” unterbinden.com *. Beispiele: application/octet-stream text/javascript für ausführbare Dateien (*. „0“ bedeutet keine Beschränkung.dll) für JavaScript (*.Konfiguration Schulrouter Plus Dateitypen blockieren Um den Zugriff auf bestimmte Dateitypen zu verhindern. Max. ob die maximale Größe von Downloads beschränkt werden soll.bin *. Größe von Downloads Legen sie hier fest.exe *.

die vom HTTP-Proxy verwendet wird.1. Folgende URLs nicht durchsuchen Eine Liste von Internetadressen.Konfiguration Schulrouter Plus 7.4 Antivirus Hier können Sie die Virus-Scan-Engine. i Die Aktualität des Virenscanners kann bei >Abschnitt 7. Proxy 80 . zu scannende Dateigröße Definieren Sie die maximale Größe von Dateien. Max. die nicht gescannt werden sollen. die gescannt werden sollen. konfigurieren.4 Antivirus< überprüft werden.1.

Konfiguration Schulrouter Plus 7. i Gruppen. denen die Benutzer in der Benutzerverwaltung (L) zugeordnet sein müssen.1. sind „Domänenmitglieder“ und „Domänenadmins“. Benutzergruppen mit dem Profil „Standardeinstellungen“ nutzen den http-Proxy mit allen eingestellten Einschränkungen der >Standardrichtlinie<. Bei der Nutzung der Authentifizierungsmethode Windows importieren Sie hier nach dem erfolgreichen Anbinden des Schulrouter Plus an die Domäne die Gruppen. Das Richtlinien-Profil definiert die Einschränkungen bei der Nutzung des http-Proxys. Benutzergruppen mit dem Profil „Uneingeschränkt“ umgehen diese Einstellungen. Bei Nutzung der Authentifizierungsmethode Lokal erstellen und bearbeiten Sie hier die Gruppen.5 Gruppenregeln Hier können Sie bei Nutzung der Authentifizierungsmethoden Lokal oder Windows Gruppen erstellen oder hinzufügen. Proxy 81 . denen der Zugriff über den http-Proxy gewährt werden soll. die standardmäßig alle Benutzer abdecken.

Es ist weiterhin möglich.Konfiguration Schulrouter Plus 7.2. Um jede ausgehende POP3-Verbindung im Firewalllog zu protokollieren.2 POP3 In diesem Abschnitt können Sie den POP3-Proxy für eingehende E-Mails konfigurieren. den Virusscanner und Spamfilter für eingehende E-Mails zu aktivieren.1 Globale Einstellungen Hier können Sie den POP3-Proxy für jedes einzelne Netzsegment aktivieren. 7. aktivieren Sie den hAKEN „Firewall protokolliert ausgehende Verbindungen“. Proxy 82 .

wie sich der POP3-Proxy mit aktiviertem Spamfilter verhält. bei welcher Punktzahl eine E-Mail als Spam definiert wird.2.Konfiguration Schulrouter Plus 7. Die Anzahl der vergebenen Punkte wird durch die einzelnen Prüfalgorithmen des Spamfilters festgelegt und addiert. wenn er eine Spam-Nachricht entdeckt. Spam Betreffzeile Dieser Eintrag wird vor den Betreff der Originalnachricht geschrieben. benötigte Punktezahl Diese Einstellung legt fest. Hash Spamprüfung aktivieren Diese Option aktiviert die Spamerkennung über Prüfsummen. Auf auf dem Schulrouter Plus werden von allen eingehenden E-Mails die Prüfsumme generiert und mit dieser Datenbank verglichen. Hierbei wird die Prüfsumme einer als Spam erkannten E-Mail an eine zentrale Datenbank gemeldet.2 Spam Filter Hier definieren Sie. Proxy 83 .

Sie können hier den FTP-Proxy für die einzelnen Netzsegmente aktivieren und folgende Einstellungen vornehmen: Firewall protokolliert ausgehende Verbindungen Hiermit werden alle ausgehenden FTP-Verbindungen im Firewalllog protokolliert. Whitelist/Blacklist Hier können Absenderadressen definieren. Das heißt: Wenn Sie Ihre Clients einstellen. Sie können hierbei auch Platzhalter verwenden (z. und Sie den http-Proxy für alle Ports verwenden. für bestimmte Ziele der FTP-Proxy nicht verwendet wird.3 FTP Der FTP-Proxy ist nur als transparenter Proxy einsetzbar. Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele Sie können festlegen. die nie bzw.com) 7. wird der FTP-Proxy umgangen.Konfiguration Schulrouter Plus ! ê Dies wird zu einer eheblichen Auslastung des Schulrouter Plus führen. *@example. ! ê Die Transparenz greift nur auf den Standardport 21 zu. Proxy 84 . immer als Spam erkannt werden sollen.B. dass bestimmte Hosts den FTP-Proxy umgehen bzw. Dies erlaubt das Scannen von Viren bei FTP-Downloads.

werden alle Anfragen an den Zielport 25 abgefangen und an den SMTP-Proxy weitergegeben.4. Proxy 85 . um ausgehende E-Mails auf Spamnachrichten zu prüfen.4 SMTP Der SMTP-Proxy kann ausgehender E-Mails weiterleiten und filtern. ohne dass bei dem Client ein Proxy eingestellt sein muss.Konfiguration Schulrouter Plus 7. Spamprüfung aktiviert Aktivieren Sie diese Option. Transparent Wenn die Transparenz aktiviert ist. Der Einsatzbereich des SMTP-Proxys ist.4. Virusprüfung aktiviert Aktivieren Sie die Antivirenprüfung der ausgehenden E-Mail. zu optimieren und Ihr Netzwerk vor Angriffen über das SMTP-Protokoll zu schützen. Die Konfiguration kann im Abschnitt >7. Er beinhaltet folgende Einstellungsmöglichkeiten: Aktiviert Dies aktiviert den SMTP-Proxy.1 Hauptseite Dies ist der Hauptschnitt zur generellen Konfiguration des SMTP-Proxys. Die Konfiguration kann im Abschnitt >Antivirus< vorgenommen werden.3 Spam< vorgenommen werden. den SMTP-E-Mail-Verkehr zu steuern. so dass er SMTP-Anfragen auf Port 25 annimmt. Die Konfiguration ist in mehrere Abschnitte unterteilt: 7.

Um die Einstellungen zu übernehmen. i Sie müssen weiterhin die E-Mail-Domains definieren für die der SMTP-Server verantwortlich sein soll. Beachten Sie dabei die Datenschutzbestimmungen. Die Konfiguration kann im Abschnitt >7.4.4 Dateierweiterungen< vorgenommen werden. Firewall protokolliert ausgehende Verbindungen Aktivieren Sie diese Option. können Sie diese Option aktivieren um eingehende an den internen Mailserver weiterzuleiten.Konfiguration Schulrouter Plus Blockiere Dateiendungen Aktivieren Sie diese Option. Eingehende Mail aktiviert Wenn Sie in Ihrem Netzwerk einen internen E-Mail-Server betreiben. Sie können diese im Abschnitt “Domains” (L) definieren. klicken Sie unten auf SpEIChERN UND NEUSTART. um E-Mails mit bestimmten Dateianhängen zu blockieren. Proxy 86 . um alle ausgehenden SMTP-Verbindungen im >Firewalllog< zu protokollieren.

welche Art von Quarantäne verwendet werden soll. “Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung.2 Antivirus Die Antivirenprüfung ist eine der Hauptaufgaben des SMTP-Proxys. wenn einen virenbefallene E-Mail versendet wird. an die eine Benachrichtigung über den Fund infizierter E-Mails geschickt werden soll. Drei Reaktionen können festgelegt werden. Gültige Werte sind: · Feld leer lassen – Die Quarantäne wird deaktiviert · Virus-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im Verzeichnis /var/amavis/virusmails ab · E-Mail-Adresse – Wenn Sie eine gültige E-Mail-Adresse angeben. Virus Quarantäne Hier können Sie festlegen. “Annehmen”: Die E-Mail wird normal zugestellt. Proxy 87 .4. Mailadresse zur Virus Benachrichtigung (Virus Admin) Hier können Sie eine E-Mail-Adresse angeben. Es ist auch möglich eine E-Mail -Adresse für Benachrichtigungen festzulegen: Standardeinstellung Sie können zwischen drei Reaktionen auf infizierte E-Mails wählen: “Verwerfen”: Die infizierte E-Mail wird sofort gelöscht.Konfiguration Schulrouter Plus 7. werden infizierte E-Mails dorthin weitergeleitet Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART.

· Spam-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im Verzeichnis /var/amavis/virusmails ab.3 Spam Der Antispamschutz des Schulrouter Plus kennt verschiedene Wege. Proxy 88 .Konfiguration Schulrouter Plus 7. welche Art von Quarantäne verwendet werden soll. werden infizierte E-Mails dorthin weitergeleitet. Spam Quarantäne Hier können Sie festlegen. Folgende Einstellungen betreffen die regelbasierte Spamfilterung: Spam Ziel Was soll mit erkannten Spamnachrichten geschehen. um Sie vor Spammails zu schützen: Regelbasierter Spamfilter und Greylisting. Während die meisten einfachen Spamnachrichten von bekannten Mailservern versendet und vom Spamfilter geblockt werden. Gültige Werte sind: · Feld leer lassen – Die Quarantäne wird deaktiviert. · E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben. den Spam-Filter zu trainieren. “Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt. “Annehmen”: Die E-Mail wird normal zugestellt. E-mail zur Benachrichtigung bei Spam Alarm (Spam Admin) Hier können Sie eine E-Mail -Adresse angeben. Dafür ist es absolut notwendig. Wobei beim Greylisting wird die Nachrichten von unbekannten (noch nie zugestellt) Absendern zuerst abgewiesen und erst nach einer gewissen Zeit angenommen.4. an die eine Benachrichtigung über den Fund von Spammails geschickt werden soll. um einen für Sie wirkenden Spamschutz zu bekommen. verändern Spammer ständig beim Versenden ihre Nachrichten. “Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung.

Diese beschreiben welche Regeln mit welchem Punkten gegriffen hat. Whitelist Client Sie können hier Mailserver freigeben. Spam Subjekt Hier können Sie festlegen. Dies kann ein Wert zwischen 30 und 3600 Sekunden sein. welche Nachricht in die Kopfzeile der zugestellten Nachricht geschrieben wird. klicken Sie unten auf SpEIChERN UND NEUSTART. Maximale SPAM Punktezahl für Senderbenachrichtigung Senden nur eine Benachrichtigung an den oben angegebenen Spam-Admin. wird dem Header der Nachricht die Tags X-Spam-Status und X-Spam-Level hinzugefügt. Whitelist Empfänger Sie können hier E-Mail-Adressen oder ganze Domains freigeben. Verzögerung Hier könen Sie die Zeit einstellen wie lange eine Nachricht abgewiesen wird. Der zweite Abschnitt dieser Seite enthält die Einstellungen für das Greylisting: Greylisting aktiviert Aktiviert die Spamprüfung mittels Greylisting. die nicht durch Greylisting geprüft werden. wenn diese Zahl unterschritten bleibt. Um die Einstellungen zu übernehmen. die von diesem Server eintreffen. dass E-Mails. wird die Nachricht als Spam eingestuft und in die Quarantäne verschoben. Spam Quarantäne Level Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird. Proxy 89 . Spam Markierungsstufe Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird. Das heißt.Konfiguration Schulrouter Plus Spam Kennzeichnungsstufe Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird. wird die Nachricht als Spam eingestuft und wie in “Spam Subjekt” angegeben die Kopfzeile erweitert. nicht geprüft werden. bis sie zugestellt wird. die nicht durch Greylisting geprüft werden.

Quarantäne für verbotene Dateien Hier können Sie festlegen.Konfiguration Schulrouter Plus 7.4. Aktion bei gesperrten Dateiendungen Was soll mit blockierten Nachrichten geschehen? “Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt. werden infizierte E-Mails dorthin weitergeleitet. “Annehmen”: Die E-Mail wird normal zugestellt.4 Dateierweiterungen Sie können hier bestimmte Dateianhänge sperren: Blockierte Dateierweiterungen Hier können Sie eine oder mehrere Dateitypen wählen. die gesperrt werden. · Banned-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im Verzeichnis /var/amavis/virusmails ab. Proxy 90 . · E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben. welche Art von Quarantäne verwendet werden soll. Gültige Werte sind: · Feld leer lassen – Die Quarantäne wird deaktiviert. “Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung.

Doppelte Dateiendungen verbieten Wenn Sie diese Option aktivieren.Konfiguration Schulrouter Plus E-Mail für Warnmeldungen bei blockierten Dateien (Admin) Hier können Sie eine E-Mail-Adresse angeben. Doppelte Dateiendungen sind Endungen mit irgendeiner Dateiendung gefolgt von .bat.com. wird sie ohne Rückmeldung abgelehnt.dll Um die Einstellungen zu übernehmen. um Spamnachrichten zu blockieren.vbs. Wenn eine Domäne oder IP-Adresse in einer der aktivierten Liste aufgeführt ist. werden Dateien mit doppelten Anhängen blockiert. Dies spart Ressourcen im Vergleich zum Antispam. Es gibt hier auch die Möglichkeit bestimmte Absender.4.scr. 7. sind so genannte real-time Blacklists (RBL). . klicken Sie unten auf SpEIChERN UND NEUSTART.cmd oder .pif. . Diese Listen werden von unterschiedlichen Organisationen gepflegt. . .exe. da hier keine E-Mail angenommen und analysiert werden müssen. Proxy 91 . an die eine Benachrichtigung über den Fund von E-Mails mit geblockten Dateien geschickt werden soll. IP-Adressen oder Netzwerke zu sperren oder freizugeben. Empfänger.5 Blacklist-Whitelist Eine oft genutzte Methode. . .

org” “dul.dnsbl.org” “ix.spamhaus.org” “cbl.abuseat.dnsbl.net” Um die Einstellungen zu übernehmen.Konfiguration Schulrouter Plus Folgende Listen können verwendet werden: “bl.spamcop.dsbl.rfc-ignorant.manitu.net “ “zen.net” “list. klicken Sie unten auf SpEIChERN UND NEUSTART.sorbs. Proxy 92 .org” “dsn.

Geben Sie hier einfach die Domäne und den internen Mailserver an. Proxy 93 .4. Fügen Sie alle notwendigen Mailserver der Liste hinzu.6 Domains Wenn Sie auf der Hauptseite „Eingehende Mail“ aktiviert haben und Nachrichten zu einem internen Mailserver weiterleiten wollen. die vom SMTP-Proxy akzeptiert werden sollen und welcher Ihrer Mailserver diese Nachrichten empfangen soll. Um die Einstellungen zu übernehmen. müssen Sie die Domänen definieren. klicken Sie unten auf SpEIChERN UND NEUSTART.Konfiguration Schulrouter Plus 7. Es ist möglich mehrere Mailserver für unterschiedliche Domänen zu verwenden.

Dies kann den Datenschutzrichtlinien widersprechen! Proxy 94 . Mailadresse Hier geben Sie die entsprechend zu prüfenden Empfänger. Diese Kopie wir gesendet. Durch Klick auf MAIlROUTE hINZUFüGEN wird die Regel hinzugefügt und durch Klick auf SpEIChERN UND NEUSTART übernommen.oder Absenderadresse an.4. wenn die Nachricht zu einem bestimmte Empfänger oder von einem bestimmten Absender gesendet wird.Konfiguration Schulrouter Plus 7. sobald eine E-Mail zu einem bestimmten Empfänger oder von einem bestimmten Absender gesendet wird. Richtung Legen Sie fest. ! ê Weder Empfänger noch Absender werden informiert. ob die Kopie erstellt werden soll. BCC Adresse Dies ist die E-Mail-Adresse an die die Kopie geschickt werden soll.7 Mailrouting Diese Einstellung erlaubt es Ihnen eine blind carbon copy (BCC) an eine spezielle E-Mail-Adresse zu senden.

Adresse des Smarthostes Geben Sie die Adresse des Smarthosts an. der von einem Sender E-Mails annimmt und an beliebige Dritte weiterleitet. Smarthost benötigt Authentifizierung Aktivieren Sie dieses Feld. Im Abschnitt Smarthost können folgende Einstellungen vorgenommen werden: Zustellung über externen Mailserver (Smarthost) Aktivieren Sie diese Einstellung wenn Sie einen Smarthost oder Relay-Server verwenden wollen. klicken Sie unten auf SpEIChERN UND NEUSTART. Ein Smarthost ist ein Mailserver. wenn der Smarthost eine Anmeldung benötigt und geben sie darunter die entsprechenden Anmeldedaten an.Konfiguration Schulrouter Plus 7. Proxy 95 . Authentifizierungsmethode Hier können Sie die Authentifizierungsmethoden festlegen. die Ihr Smarthost unterstützt. Um die Einstellungen zu übernehmen.4.8 Erweitert Hier können Sie erweiterte Einstellungen für den SMTP-Proxy vornehmen.

Konfiguration Schulrouter Plus Wenn der Schulrouter Plus eine dynamische IP-Adresse bekommt. Immer mehr Mailserver überprüfen. kann es sein. weil der Provider bei jeder Einwahl eine neue Ip-Adresse vergibt. ob ihre IP als dynamische IP-Adresse bekannt ist und verweigert ggf. wenn das HELO-Signal des Clients einen ungültigen Hostnamen enthält. wenn die Domäne der Empfänger. Unbekannte Sender Domain abweisen Die Verbindung wird abgewiesen. In den erweiterten Einstellungen können Sie noch folgende Einstellungen vornehmen: smtpd HELO benötigt Ist dies aktiviert. der mit dem ausgehenden HELO-Signal gesendet wird.E-Mail-Adresse keinen DNS A oder MX-Eintrag hat. Normalerweise können Sie den Mailserver Ihres E-Mail-Providers verwenden. Unvollständige Empfangsadresse abweisen (FQDN) Die Verbindung wird abgewiesen. muss der Client ein HELO beim Aufbau der Verbindung senden Ungültige Rechnernamen abweisen Die Verbindung wird abgewiesen. dass Sie Probleme beim Versenden von E-Mails über den SMTP-Proxy bekommen. Unvollständige Rechnernamen abweisen (FQDN) Die Verbindung wird abgewiesen. einen Smarthost zu verwenden. ! ê Im Abschnitt „IMAP Server für die SMTP Authentifizierung“ können Sie festlegen welcher IMAP-Server für die Authentifizierung beim Versenden von E-Mails verwendet werden soll. SMTP HELO Name Dies ist der Hostname. wenn das HELO-Signal keinen voll qualifizierten Hostnamen (FQDN) enthält.E-Mail-Adresse keinen DNS A oder MX-Eintrag hat. Dafür kann es hilfreich sein. Unbekannte Empfänger abweisen Die Verbindung wird abgewiesen. die Verbindung. Proxy 96 . Standard ist die IP-Adresse der roten Schnittstelle. wenn die Empfängeradresse keinen voll qualifizierten Hostnamen (FQDN) ist. wenn die Domäne der Absender.

Proxy 97 . Bitte prüfen Sie die Datenschutzrichtlinien Ihres Bundeslandes. Um die Einstellungen zu übernehmen klicken Sie unten auf SpEIChERN UND NEUSTART. Sprache der Email-Vorlage Die Sprache in der Fehlermeldungen des SMTP-Proxys angezeigt werden. die über den SMTP-Proxy versandt wird. die eine Kopie von jeder E-Mail erhält. Das Zusenden von solchen E-Mails kann Datenschutzrichtlinien und die Privatsphäre der Benutzer verletzen.Konfiguration Schulrouter Plus Immer an BCC Adresse Optional können Sie hier eine E-Mail-Adresse angeben. Der SMTP Proxy schließt die Verbindung wenn dieses Limit überschritten wird. die eine einzelne E-Mail haben darf. welche beim Abschicken einer E-Mail von ein und demselben SMTP Client auftreten dürfen. Maximal Email-Größe Die maximale Größe. SMTP Daemon Hard Error Limit Dies ist die maximale Anzahl von Fehlern.

wie z.B.2 Benutzerdefinierter Nameserver Hier können Sie Nameserver für bestimmte Domänen festlegen.Konfiguration Schulrouter Plus 7. Um die Einstellungen zu übernehmen.1 DNS Proxy Auf dieser Seite können Sie den transparenten DNS-Proxy aktivieren und konfigurieren. Geben Sie dazu einfach nach dem Klick auf EINEN NEUEN BENUTZERDEFINIERTEN NAMESERVER FüR EINE DOMAIN hINZUFüGEN die Domäne und den dafür zuständigen Nameserver an. den Domänencontroller Ihrer internen Domäne. 7.5 DNS 7. Sie können den DNS-Proxy für die einzelnen Schnittstellen aktivieren und außerdem festlegen bei welchen Quellund Zieladressen der DNS-Proxy umgangen werden soll.5. klicken Sie unten auf SpEIChERN UND NEUSTART. Proxy 98 .5.

Spyware Domainlisten Updateintervall Hier können Sie festlegen.3 Anti-Spyware Hier können Sie festlegen wie der Schulrouter Plus reagieren soll. werden die Anfragen an localhost umgeleitet. wenn der Domänenname für bekannt ist für “Spyware-Angriffe” bekannt ist. Folgende Einstellungen können Sie setzen: Aktiviert Wenn aktiviert.5. werden die Anfragen anstatt an localhost an das Spyware-Modul weitergegeben.Konfiguration Schulrouter Plus 7. wie oft die Spyware Domain Liste aktualisiert wird. Proxy 99 . Anfragen an den Spyware Listening Port weiterleiten Ist dies aktiviert. Erlaubte/Blacklist Domains Hier eingegebene Domains werden entweder nicht oder immer als Spyware klassifiziert.

Der Mobilbenutzer ist höchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen. Macintosh OSX. In einem Netz-zu-Netz VPN muss mindestens eines der beteiligten Netzwerke per Schulrouter Plus mit dem Internet verbunden sein. Das beinhaltet Windows. Das stellt sicher. Der Schulrouter Plus kann sehr einfach VPNs zwischen anderen Schulrouter Plus aufbauen. Die meisten aktuellen Betriebssysteme unterstützen IPSec. miteinander zu verbinden. Passwort-/Passphrase oder X. wenn Sie diese Funktion nicht benutzen wollen. dass der Datenverkehr im entsprechen den Netzwerk nicht mit Sniffern abgehorcht werden kann. Mit der Authentifizierungsmethode identifiziert sich der Benutzer für den Zugang zum VPN. Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfigurieren können. Host-zu-Netz Eine Host-zu-Netz Verbindung besteht.B. Im Schulrouter Plus werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz definiert. kann auch ein VPN zwischen den Clients in den internen Netzen und dem Schulrouter Plus aufgebaut werden. Man nennt diese Konstellation daher Host-zu-Netz oder Roadwarrior. Linux und die meisten Unix-Varianten. dynamischen öffentlichen IP. Auf die gleiche Weise kann sich ein einzelner Computer mit einem anderen Netzwerk verbinden. das Internet. 1. Unglücklicherweise bieten diese Tools sehr unterschiedliche Unterstützungen und könnten daher schwierig einzustellen sein. Das andere Netzwerk kann an einen Schulrouter Plus angeschlossen sein. Falls gewünscht.Konfiguration Schulrouter Plus 8 Hauptmenü VPN Virtual Private Networks oder VPNs erlauben es zwei Netzwerken. VERBINDGUNSARTEN Netz-zu-Netz Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke über das Internet miteinander. sich direkt über ein anderes Netzwerk. Diesen Routern/Firewalls wurde eine öffentliche IP von einem Provider zugewiesen und sie benutzen höchstwahrscheinlich NAT (Network Address Translation).oder Mobilbenutzer am anderen Ende. Sie sollten diesen Abschnitt sicherheitshalber ignorieren. müssen Sie sich für eine der Authentifizierungsmethoden pre-shared key (PSK) bzw. Diese sind zu 100% optional. indem sie einen “Tunnel” aufbauen. wenn der Schulrouter Plus an dem einem Ende des VPN-Tunnels steht und ein Remote. Alle Daten werden sicher über einen verschlüsselten Tunnel versendet. oder an einen an deren VPN-fähigen Router oder Firewall. VPN 100 .509-Zertifikat entscheiden. geschützt vor neugierigen Blicken. z.

die eine schnelle Konfiguration von VPNs ermöglicht. i Die System-Uhrzeiten an jedem Ende des VPN-Tunnels sollten aktuell sein. Die PSK-Methode benötigt weniger Schritte als bei einer Authentifizierung über Zertifikate. um Verbindungstests durchzuführen und Erfahrungen beim Aufbau einer VPN-Verbindung zu sammeln. AUTHENTIFIZIERUNGSMETHODEN Pre-Shared Key Die pre-shared key (PSK) Authentifizierungsmethode ist eine einfache Methode.Konfiguration Schulrouter Plus 2. Diese Phrase muss für die Authentifizierung beim Schulrouter Plus und dem VPN-Client verfügbar sein. Für diese Methode geben Sie eine Authentifizierungsphrase ein. bevor das VPN konfiguriert wird. VPN 101 . Dabei kann es sich um eine beliebige Zeichenfolge handeln. vergleichbar zu einem Passwort. Sie kann verwendet werden.

509-Zertifikate zu implementieren.509 Zertifikate stellen einen sehr sicheren Weg für die Verbindung von VPN-Servern dar. VPN 102 . Es kann alle zum Zertifikat gehörenden Informationen in lesbarer Form enthalten. können Sie eine Zertifikatsanforderung (Request) erstellen. die von CAs signiert (digital unterschrieben) werden. Dieses Zertifikat ist dann der CA bekannt. X. X. selbst erstellte CA. PEM ist das Standard-Format für OpenSSL. PKCS#12. SSL (Secure Socket Layer) hat seine eigenen Begriffsdefinitionen. Mit dem OpenSSL-Kommando können die Formate untereinander konvertiert werden. Die IPSec-Implementierung vom Schulrouter Plus enthält ihre eigene. Ein Host-Zertifikat wird von der dazugehörigen CA validiert.509-Informationen. Dies ist das Standard-Format für die meisten Browser. Um X. PFK oder P12 Zertifikate enthalten im Binärformat dieselben Informationen wie PEM-Dateien. Das daraus resultierende Zertifikat kann dann auf der Roadwarrior-Maschine importiert werden. X.509 Zertifikate.509 Begriffe X.509 Zertifikate können in drei verschiedenen Formaten gespeichert werden. abhängig vom Anwendungsfall. Das DER-Format enthält nur die Key-Informationen und keine separaten X. Um ein Zertifikat benutzen zu können. die Anhand der Dateiendung erkannt werden können. Das PEM-Format ergänzt das DER-Format durch Kopf-Informationen. muss es der Gegenstelle bekannt gemacht werden.509 Zertifikate enthalten. Im Falle von Schulrouter Plus ist dies der Schulrouter Plus selbst. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer lokalen Maschine liegen. müssen Sie entweder die Zertifikate auf dem Schulrouter Plus erzeugen oder durch eine andere Zertifizierungsstelle in Ihrem Netzwerk ausstellen lassen. Webbrowser beinhalten die CAs von öffentlichen Zertifizierungsstellen. Dabei entsteht aus der Anfrage das eigentliche Zertifikat. Diese Zertifikate dienen dazu. Wenn die IPSec-Implementierung auf den Roadwarrior-Maschinen keine eigenen CA-Fähigkeiten besitzt. das dann zum Anforderer zurückgeschickt wird. da es durch sie ausgestellt wurde. öffentliche und private Schlüssel.509 Zertifikate auf dem Schulrouter Plus und vielen anderen Implementierungen werden über OpenSSL verwaltet. CAs können auch auf Roadwarrior-Maschinen laufen. Zertifizierungsanfragen sind Anfragen für X. von Zertifizierungsstellen (Certificate Authorities oder CA) validiert zu werden. Passphrasen und Informationen über die zugehörige Funktionseinheit. die dann von der CA des Schulrouter Plus signiert wird.Konfiguration Schulrouter Plus X.509 Zertifikate X.

um eine VPN-Verbindung zu diesem Schulrouter Plus von einem einzelnen PC oder einem anderen Schulrouter Plus aufzubauen. In beiden Fällen wird die VPN-Verbindung getrennt. VPN 103 .1.1 OpenVPN Server 8.1 Serverkonfiguration Hier können Sie den OpenVPN Server aktivieren. Weiterhin legen Sie fest.Konfiguration Schulrouter Plus 8. welcher IP-Bereich aus dem Grünen Netz für die VPN-Clients zur Verfügung gestellt wird. Mit „ban“ hat der verbannte Benutzer nicht mehr die Möglichkeit sich wiederzuverbinden. Mit dem Button SpEIChERN UND NEUSTART übernehmen Sie die Einstellungen und starten den OpenVPN Server. Im Abschnitt VERBINDUNGSSTATUS UND –KONTROllE werden die momentan aufgebauten VPN-Verbindungen angezeigt. Dort ist es möglich VPN-Verbindungen zu trennen (kill) oder die dazugehörigen Benutzer zu verbannen (ban).

die Sie an die Gegenstelle pushen möchten.Konfiguration Schulrouter Plus 8. Geben Sie in diese Feld die Netz werke hinter diesem Schulrouter Plus an. wenn Sie diesen Schulrouter Plus als Client verwenden möchten. wenn sich ein Cleint verbindet. aktivieren Sie diese Funktion.2 Konten In diesem Abschnitt wird die OpenVPN-Konten für PSK-Verbindungen verwaltet. die Route zu den Zonen hinter dem Schulrouter Plus automatisch am Client eingerichtet. Mit dem Button ACCOUNT hINZUFüGEN erstellen Sie einen neuen OpenVPN-Zugang mit folgenden Einstellungen: Account Information Benutzername Anmeldename des Benutzers Passwort / Passwort bestätigen Das dazugehörige Passwort (doppelt) Client Routing Den gesamten Client Datenverkehr über den VPN Server leiten. Ohne diese Funktion wird nur der Verkehr mit dem den internen Zonen des Schulrouter Plus als Ziel über den VPN-Tunnel gesendet und bspw. kein Internetverkehr. wird sämtlicher Datenverkehr des Clients (unabhängig von der Richtung) durch den Schulrouter Plus geleitet. Möchten Sie dies manuell tun. Netzwerke hinter dem Client Diese Einstellung wird nur bei der Gw2Gw-Verbindung benötigt (Gateway zu Gateway). VPN 104 . Wenn Sie dies auswählen.1. Pushe keine Routen zu den Clients (fortgeschritten) normalerweise wird.

Dies überschreibt die automatisch gepushten Routen. die zum Client gepusht werden sollen. Sie können jederzeit die angelegten Konten de-/aktivieren. um das Konto anzulegen oder zu speichern. 1 .de an: http://www. Diese Einstellung können Sie hier überschrieben und eine feste IP-Adresse vergeben. 0 / 2 4 . Nur auf diesem Weg funktionieren die automatisch generierten Routen.B. 1 6 8 . 1 9 2 . Einen nützlichen Netzwerkrechner dafür bietet heise. 1 6 8 . In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z. VPN 105 .shtml (L) Klicken Sie auf SpEIChERN. 1 0 .Konfiguration Schulrouter Plus Pushe nur diese Netzwerke Fügen Sie Ihre eigenen Routen hinzu. ist es zu empfehlen in diesen Netzwerken jeweils unterschiedliche Subnetze zu wählen. de/netze/lib/netzwerk-rechner. bearbeiten oder löschen durch klick auf das entsprechende SyMBOl. Individuelle Push Konfiguration Statische IP Adresse Normalerweise werden die IP-Adressen dynamisch den VPN-Clients zugewiesen (entsprechend Reiter „Serverkonfiguration“). Zum Beispiel hat eine Gegenstelle ein Grünes Netz mit 1 9 2 . 1 6 8 . 0 / 2 4 und die andere benutzt 1 9 2 . 0 / 2 4 ). Wenn Sie planen zwei oder mehr Netzwerke hinter einem Schulrouter Plus miteinander zu verbinden (Gw2Gw).heise. Diese Nameserver pushen Pushen Sie einen weiteren internen Nameserver zum VPN-Client. Domäne pushen Pushen Sie einen Domänennamen zum VPN-Client. 2 .

Konfiguration Schulrouter Plus 8. VPN 106 . DHCP Antworten aus dem Tunnel blockieren Aktivieren Sie diese Option. wenn Sie Datenverkehr zwischen einzelnen VPN-Clients erlauben wollen. Der erste Abschnitt ERwEITERTE EINSTEllUNGEN beinhaltet allgemeine Einstellungen für den OpenVPN-Server: Port / Protokoll Port 1194 und Protokoll UDP sind die Standardeinstellungen. die mit Ihrem lokalen DHCP-Server in Konflikt geraten. wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk bekommen. Es ist zu empfehlen diese zu belassen wie sie sind. Datenverkehr zwischen Clients nicht blockieren Standardmäßig werden die VPN-Clients voneinander getrennt. Aktivieren Sie diese Option. Neben anderen Einstellungen können Sie hier auch festlegen.1.3 Erweitert Mit diesem Reiter können Sie die erweiterten Einstellungen bearbeiten. wie die Authentifizierung erfolgen soll (Benutzer/Passwort oder über Zertifikat).

1 9 2 .shtml Im dritten Abschnitt bestimmen Sie die Authentifizierungsmethode: Standardmäßig nutzt der Schulrouter Plus die Methode PSK (Benutzername/Passwort) zur Authentifizierung.509 Zertifikat“ (entweder nur mit Zertifikat oder auch zusammen mit PSK) verwenden möchten. In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z. VPN 107 . Dies können Sie in den Fallback-Server importieren. werden die festgelegten Nameserver zu den VPN-Clients gepusht.de an: http://www. Der Link „CA Zertifikat herunterladen“ stellt das CA-Zertifikat für diesen OpenVPn-Server zur Verfügung. Dieses Zertifikat benötigen Sie am Client zum Herstellen der VPN-Verbindung. Wenn Sie PSK weiterhin nutzen möchten. Weiterhin können Sie dieses Zertifikat im PKCS#12-Format mit dem Link ExpORTIERE CA AlS pKCS#12 DATEI herunterladen. Diese Nameserver pushen Wenn aktiviert.B. Einen nützlichen Netzwerkrechner dafür bietet heise. Verwenden Sie dazu die separate Anleitung zu diesem Thema.Konfiguration Schulrouter Plus Im zweiten Abschnitt können Sie die globalen Pushoptionen festlegen: Diese Netzwerke pushen Wenn aktiviert.de/netze/lib/netzwerk-rechner. Wenn Sie dennoch die Methode „X. Letztendlich können Sie ein PKCS#12-Zertifikat hochladen. 1 0 . wird die Einrichtung etwas komplizierter. werden die festgelegten Routen zu den verbundenen VPN-Clients gepusht. Domäne pushen Wenn aktiviert. 1 6 8 . müssen Sie in diesem Abschnitt nichts verändern. 0 / 2 4 ). wenn dieser Schulrouter Plus ein FallbackServer sein soll. werden die festgelegten Domänennamen zu den VPN-Clients gepusht.heise.

um die Informationen über den oder die entsprechenden OpenVPN-Server einzutragen: Name für die Verbindung Nur eine Bezeichnung für diese Verbindung. müssen Sie hier dessen Hostzertifikat (CA-Zertifikat) hochladen. Die Portangabe ist optional und nur nötig falls nicht der Standardport 1194 verwendet wird.2 OpenVPN Client (Gw2Gw) In diesem Abschnitt können Sie die Client-Seite der Gw2Gw-Verbindung (Gateway zu Gateway) zwischen zwei Schulrouter Plus einrichten. über den der OpenVPN-Server erreichbar ist. Klicken Sie auf TUNNElKONFIGURATION hINZUFüGEN. wenn eins angegeben wurde. Andernfalls. müssen Sie das PKCS#12-Zertifikat angeben. Verbinden mit Hier wird der externe Hostname eingetragen.Konfiguration Schulrouter Plus 8. VPN 108 . wenn auf Basis von Zertifikaten authentifiziert wird. Zertifikat hochladen Wenn der OpenVPN-Server auf dem Schulrouter Plus der Gegenstelle für die Authentifizierungsmethode PSK konfiguriert ist. PKCS#12 Challange Passwort Geben Sie das dazu gehörige Passwort an.

wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk bekommen. wenn Anfragen von Clients hinter dem Schulrouter Plus-Client versteckt werden sollen und nur die IP des Schulrouter Plus die Gegenstelle erreicht. geben Sie hier die entsprechenden Zugangsdaten ein. HTTP Proxy Wenn Ihr Schulrouter Plus das Internet nur über einen externen HTTP-Proxy erreicht. Protokoll UDP (Standard) oder TCP. Der Port ist optional und standardmäßig 1194. DHCP Antworten aus dem Tunnel blockieren Aktivieren Sie diese Option. Klicken Sie auf ERwEITERTE TUNNElKONFIGURATION um mehr Optionen einzurichten: Fallback VPN Servers Legen Sie für diese Verbindung ein oder mehrere (einer pro Zeile) Fallback-Server im Format srp. NAT Wählen Sie dies aus. Bearbeiten oder Löschen durch klick auf das entsprechende SyMBOl. Sie können jederzeit die angelegten Tunnel de-/aktivieren. können Sie hier die Zugangsdaten des vorgelagerten Proxies eingeben. entsprechend der Einstellung der Gegenstelle. die mit Ihrem lokalen DHCP-Server in Konflikt geraten.Konfiguration Schulrouter Plus Benutzername / Passwort Wenn die Gegenstelle für PSK-Authentifizierung (Benutzername und Passwort) oder Zertifikat + PSK konfiguriert ist. VPN 109 . Klicken Sie auf SpEIChERN um das Konto anzulegen oder zu speichern. wird der hier angegebene Fallbackserver verwendet.example. Verbindungstyp “gerouted” (Der Schulrouter Plus-Client agiert als Gateway für das remote LAN) oder “gebridget” (Als wäre der Schulrouter Plus-Client Bestandteil des remote LAN). Wenn die Verbind ung zum oben angegebenen Server fehlschlägt. Anmerkung Tragen Sie hier Ihren Kommentar zu der Verbindung ein. Standard ist „geroutet“.com:port fest.

Um ein VPN mit einem internen Netz außer Grün herstellen zu können. das Kästchen AKTIVIEREN anhaken und dann auf den SpEIChERN-Button drücken. VPNs und dynamisches DNS Falls Ihr Provider Ihre IP-Adresse geändert haben sollte (z.3 IPSec Globale Einstellungen Geben Sie die VPN-Server-Details ein. sollten Sie hier den dynamischen DNS-Namen benutzen. Wenn Sie einen dynamischen DNS-Service benutzen.Konfiguration Schulrouter Plus 8. müssen sie sich darüber bewusst sein. VPN 110 .B. müssen Sie das entsprechende Kästchen VpN AUF BlAU/ORANGE aktivieren. indem Sie das Feld “lokaler VPN Hostname/IP” ausfüllen. Verbindungsstatus und –kontrolle Um eine VPN-Verbindung zu erzeugen. Roadwarriors müssen in diesem Falle ebenfalls deren Verbindungen neu herstellen. Aktivieren Sie VPN auf dem Schulrouter Plus. entweder den vollen Domainnamen oder die öffentliche IP-Adresse von der ROT-Schnittstelle. nach der Zwangstrennung). Daraufhin erscheint die Seite für den VPN Verbindungstyp. dass Sie die Netz-zu-Netz VPNs möglicherweise an beiden Enden des Tunnels neu starten müssen. benutzen Sie den Button hINZUFüGEN.

VPN 111 . könnten Sie beispielsweise “Schulbezirk Ost” als Namen verwenden. Die Seite zur Erstellung von “Root/Host Zertifikaten” erscheint. Staat oder Bundesland Der Staat bzw. um die Zertifikate zu erzeugen. geben Sie einen Namen für Ihre Organisation o. Benutzen Sie dieses zur Auswahl des Landes. Ihre Abteilung Dies ist der Abteilungs.509 Root und Host Zertifikat. den Sie im Zertifikat benutzen wollen.oder Unterabteilungsname. Der gewählte Name sollte sich vom Hostnamen des Schulrouter Plus unterscheiden. das zum Zertifikat passt. Stadt Die Stadt oder Postanschrift Ihrer Maschine. Wenn Sie einen dynamischen DNS nutzen. um Missverständnisse zu vermeiden. Name der Organisation Geben Sir hier den Namen der Organisation ein. werden erzeugt. Hostname des Schulrouter Plus Dies sollte der voll qualifizierte Domainname des Schulrouter Plus sein. damit man mit Ihnen in Kontakt treten kann. weitere Identifikationsmerkmale unterzubringen. Wenn Ihr VPN zum Beispiel einige Schulen in einem Schulbezirk zusammenschließt. Land Dieses Pull-Down-Menü beinhaltet jeden bekannten ISO-Ländernamen. Subjekt Alternativer Name Diese optionale Einstellung ermöglicht es Ihnen. Füllen Sie das Formular aus und beide.Konfiguration Schulrouter Plus Zertifizierungsstellen Erzeugen der Zertifikate für den Schulrouter Plus Um eine Schulrouter Plus Zertifikats-Authority oder CA zu erstellen. könnten dies die Offenburger Grund. in das entsprechende Textfeld ein. ein X.ä. Nach dem vollständigen Ausfüllen des Formulars klicken Sie auf den Button ERZEUGE ROOT/hOST ZERTIFIKATE.und Hauptschulen sein. das Bundesland der Postanschrift. Stadt und Staat/Bundesland) sind optional und können weggelassen werden. Zum Beispiel “srpa” für Benutzer und “srp” für den Hostnamen. Dann klicken Sie auf den Button ERZEUGE ROOT/hOST ZERTI-FIKATE. Um das Schulbeispiel weiterzuführen. nehmen Sie diesen. Ihre E-Mail Adresse Geben Sie hier Ihre E-Mail-Adresse an. Die nächsten drei Angaben (Abteilung.

wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen. wENN FERTIG an. kann ein Subnetz des Grünen Netzwerks definiert werden. sich über ein lokales Netzsegment mit dem Grünen Netzwerk zu verbinden. den Sie erstellen möchten und klicken Sie auf den Button HINZUFüGEN. wenn Sie diese Verbindung aktivieren wollen. die Zugriff zum grünen Netzwerk benötigen. beinhaltet zwei Bereiche. Schnittstelle Wählen Sie die Netzwerk-Schnittstelle. sich vom Internet aus zu verbinden. mit der sich der Roadwarrior verbinden soll. Erweiterte Einstellungen bearbeiten Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN. Falls gewünscht. oder Netz-zu-Netz. um diese Verbindung zu identifizieren. Der Authentifizierungs-Bereich bleibt gleich.Konfiguration Schulrouter Plus Verbindungstyp Wählen Sie entweder Host-zu-Netz für mobile Anwender. Aktivieren Klicken Sie das KONTROllKäSTChEN an. Die Auswahl einer internen Schnittstelle erlaubt es dem Roadwarrior. welche im VPN-Verbindungsfenster des Schulrouter Plus für diese Verbindung erscheint. Die nächste Seite die erscheint. VPN 112 . Anmerkung Hier können Sie eine optionale Bemerkung eingeben. Der Verbindungs-Bereich kann je nach dem hinzuzufügenden Verbindungstyp variieren. Die Auswahl der roten Schnittstelle erlaubt es dem Roadwarrior. ohne Leerzeichen). Wählen Sie den Verbindungstyp. Lokales Subnetz Lokales Subnetz entspricht dem Grünen Netzwerk. um den Zugang zum Grünen Netz für Roadwarrior einzuschränken. um Benutzern eines anderen Netzwerks Zugang zu Ihrem Grünen Netzwerk zu erlauben. PC-zu-Netz Verbindung Name Wählen Sie einen einfachen Namen (nur Kleinbuchstaben.

Konfiguration Schulrouter Plus Netz-zu-Netz Verbindung Name Wählen Sie einen einfachen Namen (nur Kleinbuchstaben. könnte es sein. falls sich die IP-Adresse ändert. kann ein Subnetz des Grünen Netzwerks definiert werden. Sie können auch den kompletten qualifizierten Domänennamen des entfernten Servers angeben. wenn Sie diese Verbindung aktivieren wollen. welche im VPN-Verbindungsfenster des Schulrouter Plus für diese Verbindung erscheint. Falls gewünscht. Schulrouter Plus Seite Wählen Sie eine Seite für den Schulrouter Plus. Rechts oder Links. Subnetz der Gegenseite Geben Sie die Netzwerk-Adresse und Subnetz-Maske des entfernten Netzwerks im selben Format wie das lokale Subnetz-Feld an. Aktivieren Klicken Sie das Kontrollkästchen an. die in den IPSec Konfigurationsdateien verwendet wird. um IP-Pakete zum richtigen entfernten Netzwerk zu schicken. Erweiterte Einstellungen bearbeiten Klicken Sie das Kontrollkästchen ERwEITERTE EINSTEllUNGEN BEARBEITEN. um den Zugang zum Grünen Netz für Roadwarrior einzuschränken. Gegenstelle/IP Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. weil IPSec Routing-Tabellen-Einträge erstellt. Wenn der entfernte Server einen dynamischen DNS-Dienst benutzt. dass Sie das VPN neu starten müssen. Dieses Netzwerk muss sich vom lokalen Subnetz unterscheiden. ohne Leerzeichen) um diese Verbindung zu identifizieren. wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen. VPN 113 . wENN FERTIG an. um die Seite der Verbindung dieses Schulrouter Plus auf dieser Maschine zu identifizieren (siehe Hinweis). Anmerkung Hier können Sie optional eine Bemerkung eingeben. Lokales Subnetz Lokales Subnetz entspricht dem Grünen Netzwerk.

Wenn es einmal festgestellt hat. Viele benutzen Links für die lokale Seite einer Verbindung und Rechts für die entfernte Seite.Konfiguration Schulrouter Plus Hinweise zur IPSec Terminologie IPSec benutzt die Begriffe Rechts und Links für die beiden Seiten einer Verbindung bzw. folgen alle anderen Rechts/Links Parameter automatisch. Diese Begriffe haben keine wirkliche Bedeutung. i VPN 114 . IPSec orientiert sich anhand von Netzwerkadressen und Routen. welche Netzwerkverbindung (Rechts oder Links) zu benutzen ist. Dies ist nicht notwendig. eines Tunnels. um auf die andere Seite der Verbindung zu gelangen. Es ist am besten. wenn man sich das Ganze als „Seite A“ und „Seite B“ einer alten Langspielplatte vorstellt.

Folgende Bedienungselemente sind verfügbar: Monat/Tag Hier können Sie das Datum der Anzeige auswählen. << / >> Durch die Nutzung der Pfeile können Sie einen Tag vor und zurück springen. Aktualisieren Durch den Klick hierauf wird die Anzeige aktualisiert.Konfiguration Schulrouter Plus 9 9.B. Export Hiermit können Sie die Anzeige in eine Textdatei exportieren. beim Ändern des Anzeigedatums. Entsprechend dem Detaillierungsgrad unter Einstellungen können hier mehr oder weniger Informationen angezeigt werden.1 Hauptmenü Protokolle Zusammenfassung Auf dieser Seite sehen Sie eine Zusammenfassung der Protokolle. Protokolle 115 . z.

Export Hiermit können Sie die Anzeige in eine Textdatei exportieren. indem Sie folgende Bedienungselemente verwenden: Abschnitt Hier wählen Sie das Protokoll aus.Konfiguration Schulrouter Plus 9. Gehe zur Seite Wählen Sie direkt die Seite aus. Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.2 System Auf dieser Seite können Sie Sich verschiedene System-Protokolle ausgeben lassen. Gehe zum Datum Wählen Sie das Datum des gesuchten Eintrags aus. das Sie einsehen möchten. Aktualisieren Aktualisieren der Seite mit den eingestellten Werten. Filter Es werden nur Zeilen angezeigt. Protokolle 116 . Sie können nach Einträgen suchen. zu der Sie navigieren wollen. die das hier eingegebene enthalten.

zu der Sie navigieren wollen. die das hier eingegebene enthalten.3 Dienst In den Dienst-Protokollen können Sie die Protokolle der Dienste Einbruchsdetektierung.Konfiguration Schulrouter Plus 9. OpenVPN und Antivirus in deren Abschnitte ansehen. Export Hiermit können Sie die Anzeige in eine Textdatei exportieren. Protokolle 117 . Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen. Gehe zur Seite Wählen Sie direkt die Seite aus. Sie können nach Einträgen suchen indem Sie folgende Bedienungselemente verwenden: Filter Es werden nur Zeilen angezeigt. Gehe zum Datum Wählen Sie das Datum des gesuchten Eintrags aus. Aktualisieren Aktualisieren der Seite mit den eingestellten Werten.

die die Firewall passiert haben. Protokolle 118 . Die Bedienung entspricht der der Dienst-Protokolle.Konfiguration Schulrouter Plus 9.4 Firewall Das Firewall-Protokoll zeigt Ihnen je nach Firewall-Log-Einstellung alle Pakete oder nur die blockierten Pakete.

5.5 Proxy 9.Konfiguration Schulrouter Plus 9. um den „ignorieren-Filter“ zu nutzen. Stylesheets und Javascript. Gehe zum Datum Wählen Sie das Datum des gesuchten Eintrags aus. Quell IP-Adresse Anzeige auf bestimmte Quell-IP beschränken. “Ignorieren”-Filter ein Aktivieren Sie diese Einstellung.1 http Filter Es werden nur Zeilen angezeigt. Gehe zur Seite Wählen Sie direkt die Seite aus. zu der Sie navigieren wollen. Voreinstellung wiederherstellen Dies stellt die Filter wieder her. werden nicht angezeigt. die das hier eingegebene enthalten. „Ignorieren“-Filter Zeilen. Protokolle 119 . die dies beinhalten. Die Standardeinstellung beinhaltet Bilder.

5.Konfiguration Schulrouter Plus Aktualisieren Aktualisieren der Seite mit den eingestellten Werten. 9. 9.3 SIP Die Bedienung des SIP-Protokolls entspricht die der Dienst-Protokolle. Sie können ältere und neuere Einträge mit den Buttons älTER und NEUER aufrufen.5.2 SMTP Die Bedienung des SMTP-Protokolls entspricht die der Dienst-Protokolle. Protokolle 120 . Export Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Konfiguration Schulrouter Plus
9.6 Einstellungen

Auf dieser Seite können Sie die globalen Einstellungen der Protokoll-Ansicht setzen. Folgende Optionen können gesetzt werden: Anzahl der anzuzeigenden Zeilen Wie viele Zeilen sollen pro Seite angezeigt werden? In umgekehrter chronologischer Reihenfolge sortieren Hiermit werden die neuesten Einträge an oberster Stelle angezeigt. Zusammenfassungen aufheben für __ Tage Wie lange sollen die Protokolle gespeichert werden? Detaillierungsgrad Wie viele Details sollen in der Zusammenfassung ausgegeben werden? Aktiviert (Remote logging) Aktivieren Sie Remote logging, um die Protkolle zu einem anderen Syslog-Server zu senden. Syslog Server Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die aktuellsten IETF Syslog Protocol Standards unterstützen.

Protokolle

121

Konfiguration Schulrouter Plus
Syslog Server Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die aktuellsten IETF Syslog Protocol Standards unterstützen. Pakete mit verdächtigen TCP Flags protokollieren Wenn aktiviert, werden im Firewall-Protokoll ungewöhnliche TCP Flags protokolliert. Neue Verbindungen ohne SYN Flag protokollieren Wenn aktiviert, werden im Firewall-Protokoll neue TCP-Verbindungen ohne SYN Flag protokolliert. Alle akzeptierten ausgehenden Verbindungen protokollieren Wenn Sie auch alle Anfragen protokollieren wollen, die von der Firewall zugelassen wurden, aktivieren Sie diese Option. Abgewiesene Pakete protokollieren Wenn Sie die Anfragen protokollieren wollen, die von der Firewall abgelehnt wurden, aktivieren Sie diese Option.

Protokolle

122

Konfiguration Schulrouter Plus
10 Hauptmenü Schulfilter Plus

Über diesen Link können Sie das Cockpit des Schulfilter Plus direkt aufrufen.

11

Hauptmenü Logout

Hiermit melden Sie sich von der Schulrouter Plus-Konfigurationsoberfläche ab.

12
12.1

Anhang
Impressum

TIME for kids Informationstechnologien GmbH Gubener Straße 47 10243 Berlin Tel.: +49 (0)30 293 698 90 Fax: +49 (0)30 293 698 919 E-Mail: kontakt@time-for-kids.de WWW: www.time-for-kids.de Vertretungsberechtigte Personen: Marian Schroeder (Geschäftsführer) Jan Arne Schmock (Geschäftsführer) Verantwortlicher im Sinne von § 10 Abs. 3 des Mediendienste - Staatsvertrages: Marian Schroeder (Geschäftsführer) Jan Arne Schmock (Geschäftsführer) Registergericht: Berlin-Charlottenburg Registernummer: HRB 82365 Umsatzsteuer-ID gemäß § 27 a Umsatzsteuergesetz: 37/191/20440

123

durch Dritte geschützten Marken. Teile der Seiten oder das gesamte Werk ohne gesonderte Ankündigung zu verändern. Warenbezeichnungen der entsprechenden Firmen. Inhalt des Handbuchs Der Verfasser übernimmt keinerlei Gewähr für die Aktualität. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu ziehen. 124 . Gerichtsstand ist Berlin. die aus der Nutzung oder Nichtnutzung solcherart dargebotener Informationen entstehen. sofern seitens des Verfassers kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. nicht mehr oder nicht vollständig entsprechen sollten. sind grundsätzlich ausgeschlossen. die nach der Linksetzung verändert wurden. Rechtswirksamkeit dieses Haftungsausschlusses Sofern Teile oder einzelne Formulierungen dieses Dokumentes der geltenden Rechtslage nicht. dass Markenzeichen nicht durch Rechte Dritter geschützt sind! Alle anderen Handels. 4.und Kennzeichenrecht Alle innerhalb des Dokumentes genannten und ggf. auf welche verwiesen wurde. die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. Urheber. der über Links auf die jeweilige Veröffentlichung lediglich verweist. würde eine Haftungsverpflichtung ausschließlich in dem Fall in Kraft treten. 2. in dem der Verfasser von den Inhalten Kenntnis hat und es ihm technisch möglich und zumutbar wäre. nicht derjenige. Der Verfasser behält es sich ausdrücklich vor. Auf die aktuelle und zukünftige Gestaltung. haftet allein der Anbieter der Seite. die Inhalte oder die Urheberschaft der gelinkten/verknüpften Seiten hat der Verfasser keinerlei Einfluss. Deshalb distanziert er sich hiermit ausdrücklich von allen Inhalten aller gelinkten/ verknüpften Seiten. Das Copyright für veröffentlichte. Der Verfasser erklärt hiermit ausdrücklich. welche sich auf Schäden materieller oder ideeller Art beziehen. Eine Vervielfältigung oder Verwendung solcher Grafiken und Texte in anderen elektronischen oder gedruckten Publikationen ist ohne ausdrückliche Zustimmung des Verfassers nicht gestattet. Handelsnamen.2 Haftungsausschluss 1. Vollständigkeit oder Qualität der bereitgestellten Informationen. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden. Verweise und Links Bei direkten oder indirekten Verweisen auf fremde Internetseiten (“Links”). fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden. die Nutzung im Falle rechtswidriger Inhalte zu verhindern. Korrektheit. vom Verfasser selbst erstellte Objekte bleibt allein beim Verfasser der Seiten.Konfiguration Schulrouter Plus 12. bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer Gültigkeit davon unberührt. die außerhalb des Verantwortungsbereiches des Verfassers liegen. 3.und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitzrechten der jeweiligen eingetragenen Eigentümer. Haftungsansprüche gegen den Verfasser.und Produktnamen sind Gebrauchsnamen. dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf den zu verlinkenden Seiten erkennbar waren. zu ergänzen oder die Veröffentlichung zeitweise oder endgültig einzustellen. Für illegale.

which is a copyleft license designed for free software.) The relationship could be a matter of historical connection with the subject or with related matters. PREAMBLE The purpose of this License is to make a manual. It complements the GNU General Public License. Any member of the public is a licensee. as being those of Invariant Sections. Secondarily. it can be used for any textual work. royalty-free license.Konfiguration Schulrouter Plus 12. 1.2. ethical or political position regarding them. You accept the license if you copy. The “Invariant Sections” are certain Secondary Sections whose titles are designated. This License is a kind of “copyleft”. or other functional and useful document “free” in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it. in any medium. in the notice that says that the Document is released under this License. Fifth Floor. and is addressed as “you”. If a section does not fit the 125 . A “Modified Version” of the Document means any work containing the Document or a portion of it. 51 Franklin St. (Thus. We recommend this License principally for works whose purpose is instruction or reference. 0. modify or distribute the work in a way requiring permission under copyright law. a Secondary Section may not explain any mathematics. November 2002 Copyright (C) 2000. A “Secondary Section” is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document’s overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. which means that derivative works of the document must themselves be free in the same sense. Boston. or of legal. if the Document is in part a textbook of mathematics.2001. refers to any such manual or work. with or without modifying it. or with modifications and/or translated into another language. We have designed this License in order to use it for manuals for free software.3 GNU Free Documentation License Version 1. to use that work under the conditions stated herein. unlimited in duration. below. textbook.2002 Free Software Foundation. APPLICABILITY AND DEFINITIONS This License applies to any manual or other work. But this License is not limited to software manuals. but changing it is not allowed. while not being considered responsible for modifications made by others. The “Document”. philosophical. Inc. either copied verbatim. Such a notice grants a world-wide. MA 02110-1301 USA Everyone is permitted to copy and distribute verbatim copies of this license document. either commercially or noncommercially. this License preserves for the author and publisher a way to get credit for their work. commercial. regardless of subject matter or whether it is published as a printed book.

or “History”. (Here XYZ stands for a specific section name mentioned below. The Document may contain zero Invariant Sections. The “Cover Texts” are certain short passages of text that are listed. These Warranty Disclaimers are considered to be included by reference in this License. as Front-Cover Texts or Back-Cover Texts. For works in formats which do not have any title page as such. provided that this License. VERBATIM COPYING You may copy and distribute the Document in any medium. “Title Page” means the text near the most prominent appearance of the work’s title. A copy that is not “Transparent” is called “Opaque”. and the license notice saying this License applies to the Document are reproduced in all copies. the material this License requires to appear in the title page. 126 . Examples of suitable formats for Transparent copies include plain ASCII without markup. “Endorsements”. Examples of transparent image formats include PNG. LaTeX input format. and standard-conforming simple HTML. 2. A copy made in an otherwise Transparent file format whose markup. the copyright notices. that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor. “Dedications”. SGML or XML using a publicly available DTD. A section “Entitled XYZ” means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors. If you distribute a large enough number of copies you must also follow the conditions in section 3. The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. such as “Acknowledgements”. and a Back-Cover Text may be at most 25 words. and that you add no other conditions whatsoever to those of this License. A Front-Cover Text may be at most 5 words. plus such following pages as are needed to hold. PostScript or PDF produced by some word processors for output purposes only. the title page itself. has been arranged to thwart or discourage subsequent modification by readers is not Transparent. in the notice that says that the Document is released under this License. you may accept compensation in exchange for copies. The “Title Page” means. but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License. PostScript or PDF designed for human modification.Konfiguration Schulrouter Plus above definition of Secondary then it is not allowed to be designated as Invariant. If the Document does not identify any Invariant Sections then there are none. XCF and JPG. represented in a format whose specification is available to the general public. for a printed book. Texinfo input format. SGML or XML for which the DTD and/or processing tools are not generally available. and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters.) To “Preserve the Title” of such a section when you modify the Document means that it remains a section “Entitled XYZ” according to this definition. However. either commercially or noncommercially. or absence of markup. and the machine-generated HTML. A “Transparent” copy of the Document means a machine-readable copy. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. legibly. preceding the beginning of the body of the text. An image format is not Transparent if used for any substantial amount of text.

In addition. if there were any. unless they release you from this requirement. you must enclose the copies in covers that carry. C. The front cover must present the full title with all words of the title equally prominent and visible. with the Modified Version filling the role of the Document. It is requested. you must either include a machine-readable Transparent copy along with each Opaque copy. and you may publicly display copies. If there is no section Entitled 127 . new authors. 3. G. can be treated as verbatim copying in other respects. and from those of previous versions (which should. you should put the first ones listed (as many as fit reasonably) on the actual cover. clearly and legibly. F.Konfiguration Schulrouter Plus You may also lend copies. under the same conditions stated above. Preserve all the copyright notices of the Document. You may use the same title as a previous version if the original publisher of that version gives permission. if it has fewer than five). Both covers must also clearly and legibly identify you as the publisher of these copies. Include an unaltered copy of this License. 4. to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. Preserve the section Entitled “History”. H. Include. if any) a title distinct from that of the Document. year. as authors. free of added material. thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. together with at least five of the principal authors of the Document (all of its principal authors. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. I. that you contact the authors of the Document well before redistributing any large number of copies. one or more persons or entities responsible for authorship of the modifications in the Modified Version. COPYING IN QUANTITY If you publish printed copies (or copies in media that commonly have printed covers) of the Document. as the publisher. numbering more than 100. If you use the latter option. in the form shown in the Addendum below. when you begin distribution of Opaque copies in quantity. and continue the rest onto adjacent pages. Copying with changes limited to the covers. State on the Title page the name of the publisher of the Modified Version. E. Use in the Title Page (and on the covers. as long as they preserve the title of the Document and satisfy these conditions. you must take reasonably prudent steps. and publisher of the Modified Version as given on the Title Page. and Back-Cover Texts on the back cover. D. Preserve its Title. be listed in the History section of the Document). all these Cover Texts: Front-Cover Texts on the front cover. you must do these things in the Modified Version: A. immediately after the copyright notices. List on the Title Page. B. You may add other material on the covers in addition. If the required texts for either cover are too voluminous to fit legibly. but not required. and the Document’s license notice requires Cover Texts. and add to it an item stating at least the title. provided that you release the Modified Version under precisely this License. If you publish or distribute Opaque copies of the Document numbering more than 100. to give them a chance to provide you with an updated version of the Document. a license notice giving the public permission to use the Modified Version under the terms of this License. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document’s license notice. or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document. MODIFICATIONS You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above.

5. J. year. the name of the original author or publisher of that section if known. The combined work need only contain one copy of this License. Such a section may not be included in the Modified Version. N. You may add a passage of up to five words as a Front-Cover Text. For any section Entitled “Acknowledgements” or “Dedications”. you may not add another. or if the original publisher of the version it refers to gives permission. To do this. unaltered in their text and in their titles. if any. or else a unique number. and any 128 . provided it contains nothing but endorsements of your Modified Version by various parties--for example. under the terms defined in section 4 above for modified versions. to the end of the list of Cover Texts in the Modified Version. forming one section Entitled “History”. The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version. provided that you include in the combination all of the Invariant Sections of all of the original documents. likewise combine any sections Entitled “Acknowledgements”. create one stating the title. unmodified. authors. and likewise the network locations given in the Document for previous versions it was based on. and multiple identical Invariant Sections may be replaced with a single copy. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. previously added by you or by arrangement made by the same entity you are acting on behalf of. These may be placed in the “History” section. and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. and a passage of up to 25 words as a Back-Cover Text. These titles must be distinct from any other section titles. If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document. O. If the Document already includes a cover text for the same cover. but you may replace the old one. Preserve all the Invariant Sections of the Document. you must combine any sections Entitled “History” in the various original documents. statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard. You may add a section Entitled “Endorsements”. COMBINING DOCUMENTS You may combine the Document with other documents released under this License. add their titles to the list of Invariant Sections in the Modified Version’s license notice. Section numbers or the equivalent are not considered part of the section titles. L. Preserve the Title of the section. and that you preserve all their Warranty Disclaimers. In the combination. Do not retitle any existing section to be Entitled “Endorsements” or to conflict in title with any Invariant Section. then add an item describing the Modified Version as stated in the previous sentence. make the title of each such section unique by adding at the end of it. given in the Document for public access to a Transparent copy of the Document. you may at your option designate some or all of these sections as invariant. Delete any section Entitled “Endorsements”. M. Preserve any Warranty Disclaimers. Preserve the network location.Konfiguration Schulrouter Plus “History” in the Document. on explicit permission from the previous publisher that added the old one. You may omit a network location for a work that was published at least four years before the Document itself. K. If there are multiple Invariant Sections with the same name but different contents. and publisher of the Document as given on its Title Page. in parentheses. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work. and list them all as Invariant Sections of your combined work in its license notice.

but may differ in detail to address 129 . the original version will prevail. COLLECTIONS OF DOCUMENTS You may make a collection consisting of the Document and other documents released under this License. modify. “Dedications”. the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual title. is called an “aggregate” if the copyright resulting from the compilation is not used to limit the legal rights of the compilation’s users beyond what the individual works permit. 8. Any other attempt to copy. provided you insert a copy of this License into the extracted document. and follow this License in all other respects regarding verbatim copying of that document. in or on a volume of a storage or distribution medium. and any Warranty Disclaimers. 9. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer. and distribute it individually under this License. provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects.Konfiguration Schulrouter Plus sections Entitled “Dedications”. or “History”. then if the Document is less than one half of the entire aggregate. You must delete all sections Entitled “Endorsements. the Document’s Cover Texts may be placed on covers that bracket the Document within the aggregate. provided that you also include the original English version of this License and the original versions of those notices and disclaimers. However. You may extract a single document from such a collection. 10. Such new versions will be similar in spirit to the present version. parties who have received copies. or rights. TERMINATION You may not copy. When the Document is included in an aggregate. and replace the individual copies of this License in the various documents with a single copy that is included in the collection. Replacing Invariant Sections with translations requires special permission from their copyright holders. and all the license notices in the Document. AGGREGATION WITH INDEPENDENT WORKS A compilation of the Document or its derivatives with other separate and independent documents or works. TRANSLATION Translation is considered a kind of modification. and will automatically terminate your rights under this License. sublicense or distribute the Document is void. from you under this License will not have their licenses terminated so long as such parties remain in full compliance. 7. sublicense. but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. If a section in the Document is Entitled “Acknowledgements”. modify. so you may distribute translations of the Document under the terms of section 4. this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document.” 6. or distribute the Document except as expressly provided for under this License. revised versions of the GNU Free Documentation License from time to time. If the Cover Text requirement of section 3 is applicable to these copies of the Document. Otherwise they must appear on printed covers that bracket the whole aggregate. You may include a translation of this License. or the electronic equivalent of covers if the Document is in electronic form. FUTURE REVISIONS OF THIS LICENSE The Free Software Foundation may publish new.

Konfiguration Schulrouter Plus new problems or concerns. If the Document specifies that a particular numbered version of this License “or any later version” applies to it.gnu. See http://www. 130 .org/copyleft/. you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License. you may choose any version ever published (not as a draft) by the Free Software Foundation. Each version of the License is given a distinguishing version number.

Sign up to vote on this title
UsefulNot useful