Handbuch_SRP_1-03.pdf

8/17/2019 Handbuch_SRP_1-03.pdf

1/132

Schulrouter Plus 1.03Benutzerhandbuch

Professionelles NetzwerkmanagementLastverteilung, Datensafe, VLan-Verwaltung, DHCP-Reservierung uvw.

Integrierter Schulfilter PlusVerbesserte Oberfläche und zahlreiche neue Funktionen für nochmehr Sicherheit im Internet in der Schule

Was ist neu?Alle neuen und verbesserten Funktionen des Schulrouter Plusmit integriertem Schulfilter Plus aus einer Hand!

einfach sicher pädagogisch


2/1322

TIME for kids Schulrouter Plus

Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigunggeändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden.

TIME for kids Schulrouter Plus und TIME for kids Schulfilter Plus sind Markenzeichen der

TIME for kids Informationstechnologien GmbH.

Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General Public

License » www.gnu.org/licenses/gpl.html distributiert.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free

Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with noInvariant Sections, no Front-Cover Texts, and no Back-Cover Texts.

A copy of the license is included in the section entitled „GNU Free Documentation License“.

» www.gnu.org/licenses/old-licenses/fdl-1.2.txt

© 2011 TIME for kids Informationstechnologien GmbH

Gubener Str. 47

10243 Berlin

www.time-for-kids.de


3/1323



Vielen Dank, dass Sie sich für TIME for kids entschieden haben.

Für jede Schule gibt es den passenden Router

Schulrouter Plus Serie

ca. 15 Clients

Mini G1

ca. 100 Clients

Classic G2

ca. 250 Clients

Medium G2

500 Clients

BIG G2

1000 plus Clients

Giant G2


4/1324


1 EINLEITUNG 9

1.1 Das Schulrouter Plus Konzept 9

1.2 Das Handbuch 9 1.3 Effektive Nutzung des Handbuches 10

1.3.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus 10

1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigenregie 10

1.3.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen 11

1.4 Orientierungshilfe 11

1.4.1 Was macht ein Router? 11

1.4.2 Unterschied DSL-Modem/Router 11

1.5 Integration ins Schulnetzwerk 12

1.5.1 Benötigte Netzwerkinformationen 12

1.5.2 Grundszenario 12 1.5.3 Netzwerksegmentierung 13

1.5.4 Kombination mit anderen Serverdiensten im Netzwerk 14

1.5.5 Client-PCs konfigurieren 14

1.6 Schulfilter Plus konfigureieren 15

1.7 Das Schulrouter Plus Cockpit 16

2 HAUPTMENÜ SYSTEM 19

2.1 Startseite 19

2.2 Updates 20 2.3 Passwörter 21

2.3.1 Shutdown 21

2.4 Fernwartung / Support 22

2.5 Benutzeroberfläche 23

2.6 Datensicherung 24

2.7 Herunterfahren 26

3 HAUPTMENÜ STATUS 28

3.1 System-Status 28

3.2 Netzwerkstatus 29

3.3 Systemdiagramm 30

3.4 Netzwerkdiagramme 31

3.5 Proxydiagramme 32

3.6 Verbindungen 33

3.7 OpenVPN Verbindungen 33

3.8 SMTP Mailstatistik 33

3.9 Email-Warteschlange 33

NEU

NEU

NEU

NEU


5/1325



4 HAUPTMENÜ NETZWERK 35

4.1 Netzwerkkonfiguration 35

4.2 Host bearbeiten 39 4.3 Routing 40

4.4 Internet/ Verbindungen 41

4.4.1 Internet/ Verbindungen 42

4.5 Lastverteilung 42

5 HAUPTMENÜ DIENSTE 44

5.1 DHCP Server 44

5.2 Dynamischer DNS 48

5.3 Antivirus 50 5.4 Zeitserver 52

5.5 Trafficshaping 53

5.6 Spam Training 54

5.7 Einbruchdetektierung 56

5.8 Datenverkehrsüberwachung 57

6 HAUPTMENÜ FIREWALL 59

6.1 Portweiterleitung / NAT 59

6.1.1 Portweiterleitung 59 6.1.2 SourceNAT 60

6.2 Ausgehender Datenverkehr 62

6.3 Interner Datenverkehr 64

6.4 Systemzugriffe 65

7 HAUPTMENÜ PROXY 68

7.1 HTTP 68

7.1.1 Konfiguration 68

7.1.1.1 Erlaubte Ports und SSl Ports 69

7.1.1.2 Log-Einstellungen 70

7.1.1.3 Erlaubte Subnetze pro Zone 70

7.1.1.4 Interner Datenverkehr 71

7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele 71

7.1.1.6 Cache Verwaltung 71

7.1.1.7 Vorgelagerter Proxy 72

7.1.2 Authentifizierung 73

7.1.2.1 Lokale Authentifizierung 74

7.1.2.1.1 Benutzerverwaltung 75

7.1.2.2 LDAP 75

7.1.2.3 Windows 76

NEU

NEUNEU

NEU

NEU

NEU

NEU


6/1326


7.1.2.4 Radius 77

7.1.3 Standardrichtlinie 78

7.1.4 Antivirus 79

7.1.5 Gruppenregeln 80 7.2 POP3 80

7.2.1 Globale Einstellungen 81

7.2.2 Spam Filter 82

7.3 FTP 83

7.4 SMTP 84

7.4.1 Hauptseite 84

7.4.2 Antivirus 85

7.4.3 Spam 87

7.4.4 Dateierweiterungen 89

7.4.5 Blacklist-Whitelist 91 7.4.6 Domains 92

7.4.7 Mailrouting 93

7.4.8 Erweitert 94

7.5 DNS 97

7.5.1 DNS Proxy 97

7.5.2 Benutzerdefinierter Nameserver 97

7.5.3 Anti-Spyware 98

8 HAUPTMENÜ VPN 100

8.1 OpenVPN Server 102

8.1.1 Serverkonfiguration 102

8.1.2 Konten 103

8.1.3 Erweitert 105

8.2 OpenVPN Client (Gw2Gw) 107

8.3 IPSec 109

9 HAUPTMENÜ PROTOKOLLE 114

9.1 Zusammenfassung 114

9.2 System 115

9.3 Dienst 116

9.4 Firewall 117

9.5 Proxy 118

9.5.1 http 118

9.5.2 SMTP 119

9.5.3 SIP 119

9.6 Einstellungen 120

NEU


7/1327



HAFTUNGSAUSSCHLUSS 123

GNU FREE DOCUMENTATION LICENSE 124

Impressum 130

Was ist NEU beim Schulrouter Plus?

Datensafe für das tägliche, sichere Backup IhrerInstallations- und Konfigurationsdaten

Schieberegler zum Load Balancing mehrererInternetanschlüsse

Single Sign-on für eDirectory

Neues VLAN-Verwaltungstool

unterschiedliche Featurewünsche von Schulen

Bugfixes

NEU

1.

2.

3.

4.

5.

6.


8/1328


8

EINLEITUNGEINLEITUNG11.1 Das Schulrouter Plus Konzept 7

1.2 Das Handbuch 7

1.3 Effektive Nutzung des Handbuches 8

1.3.1 Szenario 1 — Vorkonfigurierter Schulrouter Plus 8

1.3.2 Szenario 2 — Grundkonfiguration des Schulrouter Plus in Eigenregie 8

1.3.3 Szenario 3 — Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen 91.4 Orientierungshilfe 10

1.4.1 Was macht ein Router? 10

1.4.2 Unterschied DSL-Modem/Router 10

1.5 Integration ins Schulnetzwerk 11

1.5.1 Benötigte Netzwerkinformationen 11

1.5.2 Grundszenario 11

1.5.3 Netzwerksegmentierung 12

1.5.4 Kombination mit anderen Serverdiensten im Netzwerk 13

1.5.5 Client-PCs konfigurieren 13

1.6 Schulfilter Plus konfigureieren 14

1.7 Das Schulfilter Plus Cockpit 15


9/1329



1 EINLEITUNG

1.1 Das Schulrouter Plus Konzept

Der Schulrouter Plus mit integriertem Schulfilter Plus und Antivirus Plus ist die Basis für alle Schulnetzwer-

ke. Er ist sowohl für kleine, mittlere und große Schulen mit ihren unterschiedlichen Anforderungen geeignet.

Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini, Classic und BIG eine skalierbare Hard-

warebasis. Die Software-Basis und die Bedieneroberflächen sind bei allen Schulrouter Plus Modellen gleich.

Die Konfiguration des Schulrouter Plus erfolgt über das so genannte Cockpit, eine webbasierte Bediener-

oberfläche. Diese bietet hauptsächlich Rechte und Funktionen für den Administrator.

Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste. Bitte prüfen Sie vor der

Einrichtung, ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und ggf. durch

den Schulrouter Plus ersetzt werden können. Dies kann zu einer Optimierung und einer Kostenreduktion inder Schule führen. Im Schulrouter Plus sind der Schulfilter Plus und der Antivirus Plus integriert und können

sofort verwendet werden. Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden

Handbücher oder wenden sie sich an das TIME for kids Service-Center für Schulen.

Die TIME for kids Produkte Schulrouter Plus, Schulfilter Plus und Antivirus Plus passen sich hervor-

ragend in jedes Betriebs- und Servicekonzept ein. Der Administrator der Schule kann ganz oder teilweise

Aufgaben auf andere Service Partner delegieren. Das webbasierte TIME for kids Service-Center bietet

Servicepartnern wie Schulträgern, Medienzentren, Kommunalen-Rechenzentren und IT-Dienstleistern vor

Ort für die Betreuung einer Vielzahl von Schulen mit dem Schulrouter Plus eine Managementoberfläche für

das Monitoring und die Fernwartung. Alle Akteure können entsprechend ihrem Service-Level-Auftrag Rechteerhalten.

Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs- und Servicekonzeptes.

1.2 Das Handbuch

Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu

konfigurieren. Folgende Darstellungskonventionen wurden vorgenommen, um Ihnen dies zu erleichtern.

Wenn Sie einmal nicht weiter wissen, können Sie gern unser Service-Center für Schulen kontaktieren.

» www.support.time-for-kids.de

TEXTMARKIERUNGEN BEDEUTEN: SYMBOLE:

Farbe Blau: Verweis auf externe Quelle Wichtige Information

Farbe Grün: Verweis auf anderen Bereich im Handbuch

BEFEHLSEINGABE

Webseite / Link: » www.time-for-kids.de Warnhinweis

AUFFORDERUNG ZUM TASTENDRUCK i

!


10/13210


1.3 Effektive Nutzung des Handbuches

Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches

beschrieben. Bitte schauen Sie sich die Szenarien an und entscheiden dann, welcher Teil des Handbuchesfür Sie relevant ist.

1.3.1 Szenario 1 — Vorkonfigurierter Schulrouter Plus

TIME for kids stellt für Sie einen besonderen Service bereit. Ihr Schulrouter Plus kann für Ihre Netzwerksitu-

ation vorkonfiguriert werden. Der besondere Vorteil besteht darin, dass Sie den Schulrouter Plus nach der

Lieferung nur noch mit dem Strom- und Schulnetz sowie dem DSL-Modem verbinden müssen, um eine

Arbeitsfähigkeit herzustellen.

In diesem Handbuch sind nach einer Vorkonfiguration für Sie nur noch die kurzen Kapitel 1.4, 1.5 und 1.6

relevant (Umfang: ca. 4 Seiten). Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur

notwendig, wenn Sie weitere tiefergehende Einstellungen vornehmen möchten.

Um einen Vorkonfigurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor:

Schulrouter Plus bei TIME for kids bestellen:

1. Über die Webseite » www.schulrouterplus.de/vorkonfiguration Ihre Konfigurationsdaten an

TIME for kids übermitteln.

2. Gelieferten, vorkonfigurierten Schulrouter Plus auspacken und anschließen, siehe Aufbauanlei-

tung im Karton.

1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigenregie

Sollten Sie den Vorkonfigurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind für Sie die

Grundkonfiguration des Schulrouter Plus in diesem Handbuch die Kapitel 1,4, und 7.1 relevant

(Umfang ca. 31 Seiten).

Um den Schulrouter Plus zu erhalten und zu konfigurieren gehen sie wie folgt vor:

1. Schulrouter Plus bei TIME for kids bestellen.

2. Gelieferten Schulrouter Plus auspacken und anschließen, siehe Aufbauanleitung im Karton.

3. Handbuch studieren, Kapitel 1.4.1.

4. Grundkonfiguration des Schulrouter Plus vornehmen.


11/13211



1.3.3 Szenario 3 — Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen

Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere

Nutzung des Internets in Ihrer Schule.

Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen

empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca. 100 Seiten). Gern können Sie

auch die Hilfe unseres Service-Center Hotline: +49 (0)30 293 69 89 0 oder » www.schulfilterplus.de/index.

php?action=service_center für Schulen in Anspruch nehmen.

1.4 Orientierungshilfe1.4.1 Was macht ein Router?

Ein Router ist ein Gerät, das mehrere Netzwerke koppelt. Das bedeutet, bei ihm eintreffende Netzwerk-Pake-

te eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet), bspw. von

einem internen Schulnetz ins Internet. Der TIME for kids Schulrouter Plus übernimmt

zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste, siehe Punkt 1.5.3.

1.4.2 Unterschied DSL-Modem/Router

Das DSL-Modem („NTBA“) dient zur Übertragung von Daten über eine DSL-Leitung. DSL-Modems können

direkt an einen PC (z.B. per USB), oder an ein Netzwerk (mit einem Router) angeschlossen werden. Heutzu-tage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft. Im Nachfol-

genden einige Beispiele.

DSL-Modem

Router

DSL-Modem und Router im Vergleich


12/13212


1.5 Integration ins Schulnetzwerk1.5.1 Benötigte Netzwerkinformationen

Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfigurierten Schulrouter

Plus oder folgende Daten und Kenntnisse Ihres Netzwerks:

1. Internet-Zugangsdaten.

2. Informationen über bestehende Netzwerke.

3. IP-Adress-Bereiche der internen Netze.

4. Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt?

5. Wie sind die Client-PCs konfiguriert? Ist eventuell schon ein Proxy eingestellt?

6. Active Directory-Einstellungen, sowie Administrator-Zugang (optional).

1.5.2 Grundszenario

Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem, er übernimmt dann auch die

Einwahl. Haben Sie bereits einen Router in Betrieb, können Sie den Schulrouter Plus auch an Ihren Routeranschließen und die Einwahl Ihrem Router überlassen. In den meisten Fällen kann auf den vorhandenen

Router verzichtet werden.

Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke:

1. Über die rote Schnittstelle wird nach außen der Gefahrenbereich, also das Internet, eingebun-

den. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen, muss

eine freie Schnittstelle entsprechend um konfiguriert werden. Lesen Sie hierzu bitte

das Kapitel 4.4

2. Das grüne Netz repräsentiert Ihr erstes Netzwerk, das im Normalfall die Schüler-PCs beinhaltet.

3. Mit dem blauen Netz können Sie bspw. Ihre Verwaltung (und somit kritische Daten) von dem

Schüler-Netz trennen.

4. Das orange Netz steht zur freien Verfügung, z.B. für eine demilitarisierte Zone oder

ein weiteres Netz.

5. Alle Netze sind komplett voneinander getrennt und können sich nicht sehen. Daher müssen auch

alle Netze unterschiedliche IP-Adress-Bereiche besitzen!


13/13213



Schaubild Schulrouter Plus — Einordnung im Netzwerk

1.5.3 Netzwerksegmentierung

Wie in Punkt 1.5.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen, somit

muss auch das Netzwerk darauf abgestimmt sein, dass PCs nicht auf Server in einem anderen Netzwerk

zugreifen können.

Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden, der sich im

Schüler-Netz befindet.

In solchen Fälle ist zu überlegen, ob diese Konstellation erhalten bleiben muss. Die Firewall des Schulrouter

Plus kann so konfiguriert werden, dass ein eingeschränkter Zugriff auf spezifische Ressourcen zwischen den

Netzen möglich wird.


14/13214


1.5.4 Kombination mit anderen Serverdiensten im Netzwerk

Der Schulrouter Plus stellt unter anderem folgende Serverdienste zur Verfügung:

• Internetfilter (Schulfilter Plus)

• Proxy

• DHCP

• DNS

• VPN

• Firewall

• AntiSpam

Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus

ersetzt werden.

Weiterhin ist darauf zu achten, dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchtigen,

z.B. ein zweiter DHCP-Server mit anderen Einstellungen.

1.5.5 Client-PCs konfigurieren

Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. Ihren vorge-

lagerten Router mit der roten Schnittstelle, sowie einen PC (oder Ihr Netzwerk) mit der grünen Schnittstelle

verbunden haben (siehe Markierungen auf der Rückseite des Gerätes).

Bei Ihren, an den Schulrouter Plus angeschlossenen, Client-PCs müssen Sie darauf achten, dass

folgende Einstellungen getätigt werden:

• In den benutzten Browsern darf kein Proxy eingestellt sein

• Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras Internetoptionen Reiter

„Verbindungen“ Button „LAN-Einstellungen“ die Elemente unter Proxyserver sind ausgegraut.

• Die entsprechende IP des Schulrouter Plus (im grünen Netz, die der Schnittstelle Grün) ist als

Standardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfiguration das vorsieht) oder auf

„IP-Adresse automatisch beziehen“ gesetzt.


15/13215



Screenshot IP Einstellungen am Client

1.6 Schulfilter Plus konfigureieren

Ihr Schulrouter Plus ist jetzt einsatzfähig. Wenn Sie mit einem Schüler-PC im Internet surfen greift

bereits ein voreingestellter Grundschutz. Um den integrierten Schulfilter Plus an Ihre Bedürfnisse

anzupassen, benutzen Sie die Weboberfläche (Cockpit) des Schulfilter Plus. Dieses erreichen Sie

entweder über den Link im Menü des Schulrouter Plus oder über die Adresse:

» http://RouterIP:83

Das Handbuch zum Schulfilter Plus finden Sie separat auf unserer Support-Seite unter:

» http://support.time-for-kids.de


16/13216


1.7 Das Schulrouter Plus Cockpit

Die Konfiguration des Schulrouter Plus nehmen Sie über das so genannte Cockpit, eine webbasierte

Bedienoberfläche, vor. Um das Cockpit zu erreichen schließen Sie mindestens einen PC an die GRÜNELAN-Schnittstelle des Schulrouter Plus an.

! Der angeschlossene PC muss so konfiguriert sein, dass er seine IP-Adresse per DHCP

automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes

befindet. Die Grundkonfiguration entnehmen Sie bitte dem Beipackzettel im Karton.

Jetzt können Sie das Cockpit über die Eingabe » http://RouterIP:81 in einem Internetbrowser auf Ihrem PC

erreichen. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht. Ihr Internet-Browser wird

Sie über unsignierte Sicherheitszertifikate informieren und zur Bestätigung auffordern. Dies können Sieohne Bedenken bestätigen.

Sie werden nun aufgefordert, sich mit einem Benutzeraccount und einem Passwort anzumelden.

Verwenden Sie hierfür „tfkadmin“ als Benutzername und Passwort. Nach dem erfolgreichen Login sollten

Sie das Passwort sofort ändern siehe Kapitel 2.3 Passwörter.

Das Schulrouter Plus Cockpit gliedert sich in drei Teile:

1. Hauptmenü mit Seriennummer und der Systemzeit

2. Untermenü zum jeweiligen Hauptmenü

3. Konfigurationsseiten


17/13217



Generell sollten Sie bei größeren Veränderungen der Konfiguration immer eine Datensicherung

vornehmen, um die Möglichkeit zu besitzen den Schulrouter Plus ggf. wieder auf einen vorherigen Konfigu-

rationsstand zu bringen.

Bei einigen Konfigurationen wird nach der Speicherung der Einstellungen ein Neustart der ent-

sprechenden Dienste durchgeführt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.

Die Konfigurationsseiten des Cockpits enthalten folgende Standardelemente, welche Sie für die

Bedienung benötigen:

Auswahl/ Bestätigung Verschieben/ Reihenfolge ändern

(aktiviert/ deaktiviert) Firewall akzeptiert

Exportieren Firewall anhalten

Löschwen Firewall verwerfen

Wiederherstellen Verweigert

Hinzufügen/ Erstellen Info

Verbindung testen Warnung

Editieren Tipp

Erweitern/ Öffnen Speicher-Button o.ä. sind

entsprechend gekennzeichnet

Minimieren/ Schließen

i

!


18/13218


18

HAUPTMENÜ SYSTEM22.1 Startseite 17

2.2 Updates 18

2.3 Passwörter 19

2.4 Fernwartung / Support 20

2.5 Benutzeroberfläche 21

2.6 Datensicherung 222.7 Herunterfahren 24


19/13219



2 HAUPTMENÜ SYSTEM

2.1 Startseite

Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk).

Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung

angezeigt. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen

„Primäre WAN-Verbindung“.

Stati der Verbindungen:

„Angehalten“

• Es besteht keine Onlineverbindung.

„Baue Verbindung auf...“

• Die Verbindung wird gerade hergestellt.

„Verbunden“

• Die Verbindung ist erfolgreich aufgebaut.

„Beende Verbindung...“

• Die Verbindung wird getrennt.

„Fehler“

• Es gibt einen Fehler beim Verbindungsaufbau.


20/13220


„Wiederverbindungs Timeout“

• Es gab einen Fehler beim Wiederherstellen der Verbindung. Es wird weiter versucht.

„Verbindung unterbrochen“• Die Verbindung ist zwar hergestellt, aber der Host, der zur Überprüfung definiert ist, ist nicht

erreichbar. Das heißt normalerweise, dass die Verbindung nicht zu nutzen ist.

Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. Im Modus

„Verwaltet“ überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbindung

automatisch wieder her. Wird der Modus „Verwaltet“ deaktiviert, kann die Verbindung manuell

hergestellt oder getrennt werden. Es wird kein automatischer Wiederaufbau der Verbindung

eingeleitet, wenn die Verbindung getrennt wird.

2.2 Updates

Der Bereich Updates ist in drei Abschnitte aufgeteilt:

Automatische Updates

Im ersten Abschnitt haben Sie die Möglichkeit, automatische Updates zu aktivieren.

Rechts wird automatisch der nächste freie Update-Zeitpunkt angezeigt. Durch das klicken auf den Button

Neu Generieren wird ein neuer Update-Zeitpunkt berechnet.

Verfügbare Updates

Jedes Mal, wenn die Seite Update aufgerufen wird, wird die Verfügbarkeit neuer Updates

überprüft. Neu verfügbare Updates werden mit einer kurzen Beschreibung angezeigt. Um ein Update


21/13221



auszuführen, klicken Sie auf den Button Herunterladen und Installieren, der dann verfügbar ist. Das Update wird

heruntergeladen und sofort ausgeführt. Sie können außerdem alle verfügbaren Updates hintereinander

installieren, indem Sie den Button Alle Updates Herunterladen und Installieren anklicken.

Installierte Updates

Nachdem ein Update installiert wurde, wird hier der entsprechende Eintrag ergänzt. Durch Klicken auf den

Button Update deinstallieren können Sie das letzte Update rückgängig machen.

Nur offizielle Schulrouter Plus-Updates können installiert werden. Einige Updates führen

einen automatischen Neustart des Schulrouter aus. Lesen Sie deshalb bitte alle

Update-Informationen, bevor Sie ein Update installieren und lassen Sie die Updates

nur in Zeiten ausführen, in denen es zu keiner Betriebsstörung kommen kann.

i

2.3 Passwörter

Passwörter ändern:

Sie können jedes Passwort für sich ändern. Geben Sie dazu das neue Passwort zweimal ein und

drücken auf Passwort ändern. Die Passwörter folgender Benutzer können verändert werden:

admin

• Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf.

root

• Der Benutzer, der sich auf der Linux-Konsole anmelden kann.

shutdown

• Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf und nur die Rechte zum

herunterfahren und neustarten besitzt.

2.3.1 Shutdown

Eine eingeschränkte Oberfläche mit den Möglichkeiten den Schulrouter Plus herunterzufahren oder neuzu-

starten, wurde eingerichtet. Diese erreicht man, wenn man sich als „shutdown“ mit einem vorher auf der

Weboberfläche eingerichteten Passwort anmeldet.


22/13222


2.4 Fernwartung / Support

Zugangseinstellung

Auf der Seite Fernwartung / Support können Sie festlegen, ob ein gesicherter Fernzugriff für den

Schulrouter Plus möglich sein soll. Außerdem können Sie hier weitere Parameter für den Fernzu-

griff-Prozess konfigurieren.

Folgende Optionen können über diese Seite konfiguriert werden:

Fernwartung / Support

• Das Einschalten aktiviert den SSH-Zugriff. Wenn der externe Systemzugriff siehe Kapitel 6.4 System-

zugriffe nicht aktiviert ist, ist SSH nur über das grüne Netzwerk erreichbar. Mit aktiviertem SSH-Zu-

griff kann sich jeder, der das root-Passwort kennt, auf der Kommandozeile anmelden.

Unterstützung für Version 1 des SSH-Protokolls

• Diese Option aktiviert die Unterstützung der Version 1 des SSH-Protokolls. Von der Verwendung die-

ser Option wird dringend abgeraten, da bekannte Sicherheitslücken der Version 1 existieren.

Erlaube TCP Weiterleitung

• Diese Option ermöglicht es, SSH-verschlüsselte Tunnelverbindungen aufzubauen.

Passwortbasierte Authentifizierung zulassen

• Diese Option ermöglicht es Benutzern, sich beim Schulrouter Plus mittels des root-Passworts anzu-

melden. Wenn Sie diese Option ausschalten, müssen Sie zunächst Ihre SSH Schlüssel-Dateien

konfigurieren und sicherstellen, dass Sie sich mit den Schlüsseldateien einloggen können.


23/13223



Authentifizierung auf Basis öffentlicher Schlüssel zulassen

• Mit dieser Option wird die Authentifizierung auf Basis öffentlicher Schlüssel zugelassen. Dies ist die

bevorzugte Methode, den SSH-Zugriff auf dem Schulrouter Plus abzusichern.

SSH-Host-Schlüssel

Dieser Abschnitt listet die Fingerabdrücke der von Schulrouter Plus verwendeten SSH-Schlüssel auf, die Sie

verwenden können, um eine SSH-Verbindung mit dem Schulrouter Plus zu verifizieren. Wenn Sie das erste

Mal eine SSH-Verbindung zum Schulrouter Plus erstellen, wird der Fingerabdruck angezeigt, und Sie werden

aufgefordert, die Korrektheit zu bestätigen. Sie können den angezeigten Schlüssel mit der Darstellung auf

dieser Seite vergleichen.

2.5 Benutzeroberfläche

Einstellungen

Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen.


Wählen Sie Ihre Sprache

• Über dieses Drop-Down-Menü können Sie eine Sprache wählen, mit der die Seiten des

Schulrouter Plus Cockpits dargestellt werden.

Hostname im Fenstertitel anzeigen

• Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. Dies kann hilfreich

sein, wenn Sie mehr als einen Schulrouter Plus administrieren.


24/13224


2.6 Datensicherung

In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten Datensicherung

zurückspringen. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert und können auf Ihren

Computer heruntergeladen werden. Es ist auch möglich, die Konfiguration auf einen Wiederherstellungs-

punkt zurückzusetzen und regelmäßig automatisierte Datensicherungen durchzuführen.


Datensicherungssätze

• Beim Klicken auf Neue Datensicherung durchführen öffnet sich ein Dialog zur Konfiguration der

geplanten Datensicherung.


25/13225



Konfiguration einschließen

• Schließt alle Einstellungen mit ein.

Konfiguration und Datenbankinhalt einschließen• Schließt zusätzlich alle Datenbankinhalte mit ein.

Logs aufnehmen

• Schließt die aktuellen Protokolle mit ein.

Log-Archive aufnehmen

• Schließt ältere Protokolle mit ein. Diese Einstellung kann den Umfang der Datensicherungsmenge

stark erhöhen.

Anmerkung• Hier kann ein zusätzlicher Kommentar hinterlassen werden.

Klicken Sie auf Backup Erzeugen, um die Datensicherung mit den oben gemachten Einstellungen zu erzeugen.

In der Liste der vorhandenen Datensicherungen können Sie, durch einen Klick auf das entsprechende Icon

auf der rechten Seite, ausgewählte Datensicherungen herunterladen, löschen oder wiederherstellen.

Jede Datensicherung ist mit einer Markierung versehen:

1: Einstellungen. Die Datensicherung beinhaltet alle Einstellungen.

2: Datenbankinhalt. Die Datensicherung beinhaltet auch Datenbankinhalte.

3: Archiv ist verschlüsselt. Die Datensicherung ist verschlüsselt.

4: Log Dateien. Die Datensicherung beinhaltet Protokolle.

5: Log Archive. Die Datensicherung beinhaltet ältere Log Dateien

6: Fehler beim Senden der Sicherung. Die Datensicherung ist fehlerhaft.

Datensafe und automatische Datensicherung

Die automatische Datensicherung des Schulrouter Plus im TIME for kids Datensafe wird täglich durchge-

führt. Sie dient der kompletten Wiederherstellung des Schulrouter Plus bei einem möglichen Hardware- oder

Softwaredefekt.

Automatische Datensicherung im TIME for kids Datensafe und lokal (Empfehlung)

• Die Daten werden auf den geschützten TIME for kids Datensafe-Servern unter Beachtung aller

Datenschutzanforderungen abgelegt. Es werden keine personenbezogenen Logfiles o.ä. im Datensafe

gespeichert. Die Sicherung erfolgt einmal täglich, diese Einstellung wird empfohlen.


26/13226


Automatische Datensicherung nur lokal

• Das Archiv der Datensicherung wird nur lokal auf ihrem Schulrouter Plus erstellt. Die Sicherung

erfolgt einmal täglich.

Automatische Datensicherung deaktivieren

• Eine automatische Datensicherung wird nicht erstellt, diese Einstellung wird nicht empfohlen.

Datensicherungsarchiv importieren

• Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus

importieren. Wählen Sie die Datei des Sicherungssatzes auf z.Bsp. Ihrem lokalen PC aus. Mit der

Angabe einer Anmerkung und dem Klicken auf Importieren laden Sie den Sicherungssatz hoch. Der

Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden.

2.7 Herunterfahren

Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten.

Sie können einfach einen der entsprechenden Buttons anklicken, um die Aktion sofort auszuführen.

Zusätzlich dazu können sie einen beliebigen Zeitpunkt an einem oder mehreren Wochentagen festlegen, an

dem der Schulrouter Plus regelmäßig heruntergefahren oder neu gestartet wird.


27/13227



33.1 System-Status 25

3.2 Netzwerkstatus 26

3.3 Systemdiagramm 27

3.4 Netzwerkdiagramme 28

3.5 Proxydiagramme 29

3.6 Verbindungen 303.7 OpenVPN Verbindungen 30

3.8 SMTP Mailstatistik 30

3.9 Email-Warteschlange 30

HAUPTMENÜ STATUS


28/13228


3 HAUPTMENÜ STATUS

3.1 System—Status

Dienste

• Zeigt alle Dienste und deren aktuellen Status an, insbesondere auch den Schulfilter Plus

Speicher

• Zeigt die Auslastung vom Arbeitsspeicher und von der Swapdatei.

Festplattenbelegung

• Zeigt den verfügbaren und belegten Festplattenplatz


29/13229



3.2 Netzwerkstatus

Schnittstellen• Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. Dies beinhaltet

u.a. Informationen aller Netzwerk-Schnittstellen, inkl. PPP, IPSec, Loopback, etc..

Netzwerkkarten

• Zeigt bestimmte Eigenschaften der Netzwerkkarten, wie z.B. ob ein Link augebaut ist, oder welche

Geschwindigkeit ausgehandelt wurde.

Routingtabelleneinträge

• Zeigt die Einträge der Routingtabelle an.

ARP Tabelleneinträge

• Zeigt die Einträge der ARP-Tabelle an.


30/13230


3.3 Systemdiagramm

Diese Seite zeigt Ihnen für den aktuellen Tag bzw. für die aktuelle Woche, Monat und Jahr,folgende Diagramme:

• CPU-Nutzung

• Speichernutzung

• Nutzung von Auslagerungsspeicher (Swap)

• Festplattenzugriff

Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und Jahr

gewechselt werden.


31/13231



3.4 Netzwerkdiagramme

Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen Netzwerk-Schnittstellen an.

Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und Jahr

gewechselt werden.


32/13232


3.5 Proxydiagramme

Diese Seite zeigt die Diagramme der Zugriffsstatistiken des HTTP-Proxy der letzten 24 Stunden an.

Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.

Diagramme zur Proxyauslastung:

Zugriffe

• Zeigt die Anzahl der Zugriffe auf den Proxy an.

Übertragungen

• Zeigt die Größe der Daten-Übertragungen über den Proxy an.

Durchschnittliche TCP-Übertragungsdauer

• Zeigt die Dauer der Übertragungen an.


33/13233



3.6 Verbindungen

Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den

Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle gekennzeich-net. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei weitere Farben benutzt:

Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbindungen über ein VPN.

3.7 OpenVPN Verbindungen

Diese Seite zeigt eine Liste mit Verbindungen über OpenVPN. Es gibt hier die möglichkeiten Verbindungen

zu beenden oder verbundene Benutzer zu blockieren.

3.8 SMTP Mailstatistik

Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur zur

Verfügung, wenn der SMTP-Proxy verwendet wird.

3.9 Email-Warteschlange

Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn der

SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.


34/13234


3434

44.1 Netzwerkkonfiguration 31

4.2 Host bearbeiten 35

4.3 Routing 36

4.4 Internet/WAN Verbindungen 37

HAUPTMENÜ NETZWERK


35/13235



4 HAUPTMENÜ NETZWERK

4.1 Netzwerkkonfiguration

Die Konfiguration der Netzwerkschnittstellen kann schnell und einfach mit dem Netzwerksetup-

Assistenten geändert werden. Der Assistent ist in mehrere Schritte unterteilt. Sie können mit

vor und zurück navigieren und die Änderungen mit Abbrechen verwerfen. Sie werden erst im letzten Schritt

gefragt, ob die Einstellungen übernommen werden sollen.

Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Während dessen ist die

Konfigurationsoberfläche nicht erreichbar.

Im Folgenden ist jeder der einzelnen Schritte beschrieben:

Schritt 1 — Typ für ROT auswählen

Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfigurieren (üblicherweise die Verbindung

zu Ihrem Provider). Der Schulrouter Plus unterstützt die folgenden Verbindungs-Typen:

Ethernet statisch

• Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen. Dies ist übli-

cherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten Router vebunden ist.

Ethernet DHCP

• Sie möchten, dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem vorgelagerten

Gerät bezieht. Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten

Router verbunden ist, der DHCP liefert. Zu empfehlen ist aber dabei eher die Einstellung „Ethernet

statisch“.

PPPoE (DSL-Direkteinwahl)

• Diese Option ist zu wählen, wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist und die

Einwahl vom Schulrouter Plus übernommen werden soll.


36/13236


Schritt 2 — Netzwerkzonen auswählen

An diesem Punkt hat Schulrouter Plus bereits zwei Schnittstellen definiert:

GRÜNDas grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die

Schüler-Endgeräte befinden.

ROT

Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene

DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann auch

ein zweites rotes Netzwerk definiert werden. Hierdurch ist eine Erhöhung der Internetbandbreite z.B.

über eine zweite DSL-Leitung möglich.

Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind:

BLAU

Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulverwaltungs-End-

geräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist physikalisch vom Schulnetz-

werk getrennt. Es kann aber bei Bedarf eine gesicherte Verbindung zwischen den Netzwerken zur Daten-

übertragung eingerichtet werden.

ORANGE

Das orangene Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden

z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch einehöhere Absicherung vor unberechtigten Zugriffen benötigen. Das orangene Netzwerk kann aber auch als

„normales“ drittes Netzwerk verwendet werden.

Schritt 3 — Netzwerkeinstellungen

In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen definiert (Grün, Blau, Orange).

Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt:

IP-Adresse

• Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll (z.B. 192.168.0.1). Achten Sie

darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach dem Ändern

der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden (z.B. DHCP-Server oder erlaubte

Subnetze im Proxy).

Netzwerkmaske

• Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten im

Subnetz dieselbe Netzwerkmaske verwenden.

Weitere Adressen

• Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen.


37/13237



Schnittstellen

• Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei mindestens

einer Schnittstelle zugeordnet sein. Eine Schnittstelle läßt sich nur einer Zone zuordnen. Ordnen

Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnittstellen so, als wären sie Teil einesSwitches. Ein Symbol zeigt den aktuelle Status ,der Schnittstelle: ein grüner Hacken zeigt, dass

der Link aktiv ist. Ein rotes Kreu zeigt, dass kein Link vorhanden ist.

Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.

Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich nicht

mit anderen Schnittstellen überschneidet. Zum Beispiel:

IP = 192.168.0.1, Netzwerkmaske = /24 — 255.255 .255.0 für GRÜN

IP = 192.168.1.1, Netzwer kmaske = /24 — 255.255 .255.0 für ORANGE IP = 192.168.2.1, Netzwer kmaske = /24 — 255.255 .255.0 für BLAU

i

Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den

privaten Bereich reserviert sind:

10.0.0.0 — 10. 255.255.255 (10.0.0.0/8), 16.777.216 Adressen

172.16.0.0 — 172.31.255.255 (172.16.0.0/12), 1.048.576 Adressen

192.168.0.0 — 192.168.255.255 ( 192.168.0.0/16), 65.536 Adressen

Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die Broadcast-

adresse und dürfen nicht vergeben werden.

Schritt 4 — Internetverbindungseinstellungen

Dieser Schritt erlauben die Konfiguration der roten Schnittstelle und somit die Konfiguration des

Internetzugangs. Sie finden auf dieser Seite unterschiedliche Konfigurationsmöglichkeiten, je nachdem

welche Option Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen

nachsich ziehen.

Hier werden die Konfigurationen für jeden Typ erklärt:

Für Alle

• Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit der sich

der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmeldediensten nötig).

Ethernet statisch

• Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben. Weiterhin

müssen Sie die IP-Adresse des Standardgateways festlegen.


38/13238


Ethernet DHCP

• Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP empfangen

werden soll oder ob dieser von Ihnen festgelegt wird.

PPPoE

• Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an. Für die

Authentifizierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet werden. Sie können

auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische von Ihrem Provider überge-

ben wird (Standard-Einstellung) oder manuell eingegeben werden muss.

PPPoE-Verbindungen werden vom Schulrouter Plus automatisch in der Nacht zwischen 0 Uhr und

4 Uhr getrennt und erneut verbunden. Dies ist notwendig, da der Provider PPPoE-Verbindungen

nach 24 Stunden automatisch trennt und somit sichergestellt ist, dass dies nicht während der

Unterrichtszeit geschieht.

Schritt 5 — DNS-Server konfigurieren

Hier definieren Sie bis zu zwei DNS-Server, wenn sie nicht automatisch zugewiesen werden. Soll nur ein

Nameserver verwendet werden, muss die IP-Adresse doppelt eingetragen werden. Die IP-Adresse muss für

den Schulrouter Plus erreichbar sein.

Schritt 6 — Konfiguration anwenden

Mit dem letzten Schritt bestätigen Sie die neuen Einstellungen.

Klicken Sie OK, KONFIGURATION ÜBERNEHMEN um die Konfiguration abzuschließen. Das Übernehmen der

Einstellungen kann bis zu einer Minute dauern. Während dieser Zeit ist das Cockpit nicht erreichbar und eine

Verbindungen zu und durch den Schulrouter Plus ist nicht möglich. Das Cockpit aktualisiert sich nach den

Änderungen automatisch. Wenn Sie die IP-Adresse von GRÜN geändert haben, werden Sie automatisch an

die richtige IP-Adresse weitergeleitet. In diesem Fall, oder wenn sie den Hostnamen geändert haben, wird ein

neues SSL-Zertifikat generiert und es kann evtl. ein Warnhinweis vom Browser erscheinen.


39/13239



4.2 Host bearbeiten

Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht, neben der Zwischenspeicherung von DNS-Infor-

mationen aus dem Internet, auch die manuelle Eingabe von Hostcomputern, deren Adressinformationen

lokal verwaltet werden sollen. Bei diesen Hostcomputern kann es sich beispielsweise um lokale Computer

oder Computer im Internet handeln, deren Adressinformationen überschrieben werden sollen.

Aktuelle HostsIn diesem Bereich werden die aktuell konfigurierten lokalen DNS-Einträge angezeigt. Sie können die Liste

sortieren, indem Sie auf eine der drei unterstrichenen Spaltenüberschriften klicken. Ein weiterer Klick dreht

die Sortierreihenfolge um. Zum Bearbeiten eines Eintrags klicken Sie auf das zugehörige Stift-Symbol . Die

Daten des Eintrags werden in dem Formular darüber angezeigt. Nehmen Sie die gewünschten Änderungen

vor und klicken Sie dann im Formular auf die Schaltfläche Aktualisieren .

Zum Löschen eines Eintrags klicken Sie auf das zugehörige Löschen-Symbol. Über Host hinzufügen können

Sie einen manuellen Host anlegen.

Folgende Daten müssen eingegeben werden:

IP-Adresse

• Geben Sie in dieses Feld die IP-Adresse ein.

Hostname

• Geben Sie in dieses Feld den Hostnamen ein.

Domainname

• Geben Sie in dieses Feld den Domänennamen ein, falls sich der Hostcomputer in einer anderen

Domäne befindet.


40/13240


4.3 Routing

Statisches RoutingAktuelle Routing-Einträge

Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden. Wird an

dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet, muss hier für jedes VLAN ein

Eintrag mit der IP des Switch als Gateway gesetzt werden.

Klicken Sie auf eine neue Route hinzufügen um eine neue Route mit folgenden Feldern

anzulegen:

Quell-Netz

• Quell-Netz in CIDR-Schreibweise (Bsp.: 192.168.10.0/24)

Ziel-Netz

• Ziel-Netz in CIDR-Schreibweise (Bsp.: 192.168.20.0/24)

Route über

• Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus, über die

geroutet werden soll.


41/13241



Aktiviert

• Markieren zum Aktivieren (Standard).

Anmerkung• Geben Sie der Regel eine Anmerkung.

Klicken Sie auf Route hinzufügen um die Regel zu bestätigen. Sie können die Route mit den entsprechenden

Icons aktivieren bzw. deaktivieren.

Dynamisches Routing

• Durch Aktivieren der Funktion Dynamisches Routing wird sichergestellt, dass bei nicht verfügbaren sta-

tischen Routen, diese vorübergehend deaktiviert werden und automatisch andere verfügbare Routen

gewählt werden.

4.4 Internet-Verbindungen

WAN-Verbindung erstellen

• Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende Formular aus. Die

Felder sind weitestgehend identisch mit dem Netzwerkassistenten.

Folgende Felder unterscheiden sich zum Netzwerkassistenten:

WAN-Verbindung beim Starten aktivieren

• Diese Einstellung legt fest, ob diese WAN-Verbindung beim Starten des Schulrouter Plus automatisch

verbunden werden soll.

Wenn diese WAN-Verbindung fehlschlägt aktiviere

• Hier können Sie festlegen, ob eine andere WAN-Verbindung gewählt werden soll, falls diese WAN-Ver-

bindung ausfällt.


42/13242


Wiederverbindungs-Timeout

• Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird, wenn die

Verbindung ausfällt. Bleibt das Feld leer, wird sofort die Wiederverbindung versucht.

4.4.1 Internet-Verbindungen

VLAN ermöglicht eine Unterteilung des Lokalen-Netzwerkes. Traditionell separiert man sein Lokales-Netz-

werk, indem man mehrere Netzwerkkarten für die verschiedenen Teilnetze verwendet. Dies ist ab einer

gewissen Größe aber nicht mehr praktikabel. VLAN ermöglicht es mehrere unabhängige Netzwerke zu

konfigurieren, die über eine einzelne Netzwerkkarte geroutet werden.

Der SRP verfügt über 4 Netzwerkzonen (Grün, Blau, Orange, Rot) diese Zonen haben unterschiedliche

Bedeutungen im Sicherheitskonzept des SRP (auf welche hier nicht eingegangen wird). Diesen Zonen kann

man in der Netzwerkkonfiguration jeweils beliebig viele vorhandene Netzwerkkarten zuweisen, deren Traffic

dann unter den jeweiligen Sicherheitsaspekten geroutet wird.

Weist man einer Netzwerkkarte VLAN-Netze zu, so ist diese nicht mehr für Zonen auswählbar. An ihre Stelle

treten die konfigurierten VLAN-Netze deren Traffic dann über die Netzwerkkarte geroutet werden. Dies

ermöglicht es insbesondere mehrere Sicherheitszonen einer Netzwerkkarte zuzuweisen. Zu beachten ist

hierbei, dass das VLAN-Interface einen eigenen IP-Adressraum benötigt, welcher unabhängig vom Adress-

raum des Anschlusses ist, zu dem das VLAN gehört.

Zur Einrichtung eines oder mehrerer VLAN-Netze benötigt man einen VLAN-Fähigen Switch. Die VLAN-IDs

des Switch konfiguriert man entsprechend den VLAN-Einstellungen des Schulrouter Plus.

4.5 Lastverteilung

Hier kann man die Prozentuale Verteilung des Datenverkehrs auf die einzelnen Uplink-Verbindungen konfi-

gurieren.


43/13243



55.1 DHCP Server 38

5.2 Dynamischer DNS 42

5.3 Antivirus 44

5.4 Zeitserver 46

5.5 Trafficshaping 47

5.6 Spam Training 485.7 Einbruchdetektierung 50

5.8 Datenverkehrsüberwachung 51

6.1 Portweiterleitung / NAT 52

HAUPTMENÜ DIENSTE


44/13244


5 HAUPTMENÜ DIENSTE

5.1 DHCP Server

DHCP (Dynamic Host Configuration Protocol) ermöglicht eine Steuerung der Netzwerkkonfiguration aller

Computer über den Schulrouter Plus. Computer, die eine Verbindung zum Netzwerk herstellen, wird eine gül-

tige IP-Adresse zugewiesen und ihre DNS-Konfiguration wird vom Schulrouter Plus festgelegt. Um diese

Funktion verwenden zu können, müssen die Computer im Netzwerk so konfiguriert sein, dass sie ihre Netz-

werkkonfiguration automatisch erhalten.

Sie können auswählen, welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll.

Aktivieren Sie einfach die entsprechenden Kontrollkästchen. Aktivieren Sie einfach die entsprechenden

Kontrollkästchen.

DHCP-Server Parameter

• Aktiviert

Markieren Sie dieses Feld, um den DHCP-Server für dieses Netzwerk zu aktivieren.

Anfangsadresse und Endadresse

• Sie können die unterste und die oberste Adresse angeben, die der Server für andere Computer bereit-

stellt. Wenn sich in Ihrem Netzwerk Computer befinden, die DHCP nicht verwenden, deren IP-Ad-

ressen also manuell festgelegt werden, sollten Sie die Anfangs- und Endadresse so wählen, dass

der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt.


45/13245



Standard Lease Zeit (Min)

• Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert zu ver-

wenden. Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten, die für IP-Adress-Leases reser-

viert werden. Vor dem Ablauf des Lease (der Zeitpunkt, zu dem die zugewiesene IP-Adresse ver-fällt) fordern die Clientcomputer, unter Angabe ihrer aktuell gültigen IP-Adresse eine Erneuerung

der Lease an. Bei einer Anforderung auf eine Erneuerung der Lease werden ggf. durchgeführte

Änderungen an DHCP-Parametern berücksichtigt und die Clientkonfiguration wird entsprechend

aktualisiert. Im Allgemeinen werden IP-Adresszuordnungen vom Server erneuert.

Maximale Lease-Zeit (Min)

• Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert zu ver-

wenden. Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten), in dem der DHCP-Server Clientan-

fragen auf Erneuerung der Lease für die aktuell gültige IP-Adresse immer zustimmt. Nach Ablauf der

maximalen Vorhaltezeit kann die IP-Adresse des Clients vom Server geändert werden. Wenn der Be-reich des Pools für die Vergabe von IP-Adressen (der dynamische IP-Adressbereich) zwischenzeitlich

geändert wurde, erhält der Client eine neue IP-Adresse aus dem neuen dynamischen IP-Adressbereich.

Domain-Name-Suffix

• Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf, dass das Format keinen führenden

„Punkt“ vorsieht. Hier wird der Domänenname festgelegt, den der DHCP-Server für seine Clients ver-

wendet. Wenn ein Hostname nicht aufgelöst werden kann, versucht der Client erneut, den ursprüngli-

chen Namen mit dem als Namen angegeben Suffix aufzulösen.

Die DHCP-Server von vielen Internetdienstanbietern sind so konfiguriert, dass als Standarddomänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf, beim Internetzu-

griff „www“ als Standard-Homepage in ihrem Browser festzulegen.

„www“ ist jedoch kein voll qualifizierter Domänen-Name (FQDN). Der voll qualifizierte Domänen-

name des Webservers wird jedoch automatisch clientseitig über die Software Ihres Computers

erstellt, indem das Suffix des Domänennamens, wie von dem DHCP-Server des Internetdienstan-

bieters vorgegeben, angehängt wird. Legen Sie das Domänen-Name-Suffix entsprechend der Vor-

gabe des DHCP-Servers Ihres Internetdienstan bieters fest, damit die Benutzer in Ihrem Intranet

die Teiladresse „www“ weiterhin nicht eingeben müssen.

Primärer DNS

• Legt für die Clients des DHCP-Servers fest, welcher Server als primärer DNS-Server verwendet

werden soll. Da der Schulrouter Plus auch einen DNS-Proxy enthält, wird in der Regel empfohlen, den

Standardwert zu verwenden. In diesem Fall wird für den primären DNS-Server die IP-Adresse des

Schulrouter Plus verwendet. Wenn Sie einen eigenen separaten DNS-Server verwenden, geben

Sie dessen IP-Adresse in das Feld ein.

Sekundärer DNS

• Sie können auch einen sekundären DNS-Server angeben, der verwendet wird, falls der primäre DNS-

Server nicht verfügbar sein sollte. Dieser DNS-Server könnte beispielsweise ein weiterer DNS-Server in

Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein.


46/13246


Erster NTP-Server

• Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen NTP-Servers

an Geräte in Ihrem Netzwerk weiterleiten wollen, können Sie die IP-Adresse des NTP-Servers in dieses

Feld eingeben. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an alleClients weiter.

Zweiter NTP-Server

• Wenn Sie eine zweite NTP-Server-Adresse haben, geben Sie diese hier ein. Der DHCP-Server gibt diese

Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter.

Erste zweite WINS-Server Adresse

• Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server (Windows Inter-

net Naming Service-Server) verwenden, können Sie in diese Felder den primären und falls vor-

handen sekundären WINS-Server eintragen. Der DHCP-Server gibt diese Adresse bei derÜbergabe der Netzwerkparameter an die Hostcomputer weiter.

Für erfahrene Benutzer ist es möglich, weitere angepasste DHCP-Regeln zu der Konfigu-

ration hinzufügen. Diese können in dem Textfeld „Benutzerdefinierte Konfigurationszei-

len“ eingetragen werden. Beachten Sie, dass hier keine Prüfung der Syntax durch den

Schulrouter Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers

verhindern können.

i

Aktuelle feste ZuordnungenWenn sich in Ihrem Netzwerk Computer befinden, deren IP-Adressen zentral verwaltet werden sollen, für die

es jedoch darüber hinaus auch erforderlich ist, dass sie stets dieselbe IP-Adresse erhalten, können Sie über

den DHCP-Server festlegen, dass diesen Computern auf Grundlage der MAC-Adresse der in dem Computer

installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. Diese Art der Konfiguration unterschei-

det sich wesentlich von der manuellen Adresszuweisung, da auch diese Computer weiterhin ihre IP-Adressen

von dem DHCP-Server beziehen. Die Adressen werden also nicht manuell auf dem Computer selbst, sondern

zentral über den DCHP-Server vergeben.

Für feste Zuordnungen können die folgenden Parameter festgelegt werden:

MAC-Adresse

• Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers, für den die

feste Zuordnung gelten soll.

Das Format der MAC-Adresse lautet xx:xx:xx:xx:xx:xx, und nicht xx-xx-xx-xx-xx-xx, wie es auf

einigen Computern angezeigt wird (Beispiel: 00:e5:b0:00:02:d2).

IP-Adresse

• Dies ist die festzugeordnete IP-Adresse, die der DHCP-Servertets für die angegebene MAC-Adresse

vergeben soll. Stellen Sie sicher, dass Sie keine IP-Adresse aus dem dynamischen Adressbereich des

DHCP-Servers vergeben.


47/13247



Beschreibung

• Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen.

Nächste Adresse• Möglicherweise befinden sich in Ihrem Netzwerk Computer, die eine Startdatei von einem Server im

Netzwerk erhalten müssen (sog. Thin Clients). Bei Bedarf können Sie in diesem Feld die Serveradresse

angeben.

Dateiname

• Geben Sie den Namen der Startdatei für diesen Computer an.

Rootpfad

• Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befindet, können Sie in diesem Feld

den Pfad zu der Startdatei angeben.

Aktiviert

• Aktivieren Sie dieses Kontrollkästchen, um den DHCP-Server anzuweisen, die angegebene feste Zu-

ordnung bereitzustellen. Ist das Kontrollkästchen nicht aktiviert, wird der entsprechende Datensatz

zwar in den Dateien des Schulrouter Plus gespeichert, der DHCP-Server gibt die Zuordnung jedoch

nicht aus.

Liste der festen Zuordnung

• In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und können bearbeitet oder ge-

löscht werden. Sie können die Liste sortieren, indem Sie auf die unterstrichenen SpaltenüberschriftenMAC-Adresse oder IP-Adresse klicken. Ein weiterer Klick dreht die Sortierreihenfolge um. Zum Bearbei-

ten einer bestehenden festen Zuordnung klicken Sie auf das zugehörige Stift -Symbol. Die Werte für

die feste Zuordnung werden im Ausschnitt „Fixe Lease hinzufügen“ weiter oben angezeigt. Nehmen

Sie die gewünschten Änderungen vor und klicken Sie dann auf Speichern . Zum Löschen einer beste-

henden festen Zuordnung klicken Sie auf das zugehörige Papierkorb -Symbol.

Aktuelle Dynamische Zuordnungen

An dieser Stelle werden die aktuellen dynamischen Zuordnungen angezeigt.

Hinzufügen

• Die markierten Dynamischen Verbindungen können der Liste der festen Zuordnungen hinzugefügt

werden.


48/13248


5.2 Dynamischer DNS

Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen, auch

wenn dieser über keine statische öffentliche IP-Adresse verfügt. Um dynDNS verwenden zu können, müssen

Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren.

Anschließend muss Ihr Server jedes Mal, wenn eine Verbindung zum Internet hergestellt und ihm von Ihrem

Internetdienstanbieter eine IP-Adresse zugewiesen wird, dem dynDNS-Server diese IP-Adresse mitteilen.

Hostcomputer, die eine Verbindung zu Ihrem Server herstellen möchten, lösen die Adresse über den

dynDNS-Server auf, der die aktuellste gültige IP-Adresse bereitstellt. Ist diese IP-Adresse

aktuell, kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt, die festgelegten

Firewall Regeln lassen dies zu).

Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die automati-

sche Aktualisierung bei zahlreichen dynDNS-Anbietern.

Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen, bekommt er in aller Regel von Ihrem

Provider eine externe IP zugeordnet, mit der Sie auch von außen auf den Schulrouter Plus

zugreifen können. Diese Adresse sehen Sie auf der Startseite. Wird dort eine externe IP angezeigt, wählen

Sie hier den ersten Auswahlpunkt.

Wird dort eine IP-Adresse angezeigt, die in Ihrem internen Netzwerk liegt wenn Sie also bspw. einen vorgela-

gerten Router verwenden wählen Sie die zweite Variante, die versucht, die externe IP über eine Webseite

zu bekommen.

Aktuelle Hosts

• Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden.

Dienst

• Wählen Sie einen dynDNS-Anbieter aus der Dropdownliste aus. Sie sollten bei dem aus gewählten

Anbieter bereits registriert sein.


49/13249



Hinter einem Proxy

• Aktivieren Sie dieses Kontrollkästchen nur dann, wenn Sie als Anbieter » www.no-ip.com gewählt

haben und der Schulrouter Plus sich hinter einem Proxyserver befindet.

Dieses Kontrollkästchen wird bei Auswahl eines anderen Anbieters nicht berücksichtigt.

Platzhalter erlauben

• Wenn Sie Platzhalterzeichen zulassen, ermöglichen Sie, dass alle Unterdomänen Ihres dynamischen

DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. Ist das Kontrollkästchen

aktiviert, erhält beispielsweise die Unterdomäne » www.srp.dyndns.org dieselbe IP-Adresse wie die

übergeordnete Domäne » www.timeforkids.dyndns.org. Wenn Sie als Anbieter » www.no-ip.com

gewählt haben, wird das Kontrollkästchen nicht berücksichtigt, da dieser Anbieter die Einstellung

dieser Option ausschließlich über seine Website ermöglicht.

Hostname• Geben Sie den Hostnamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.

Domäne

• Geben Sie den Domänennamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.

Benutzername

• Geben Sie den Benutzernamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.

Passwort

• Geben Sie das Kennwort für den Benutzernamen ein.

Aktiviert

• Aktivieren Sie dieses Kontrollkästchen, damit der Schulrouter Plus die auf dem dynDNS-Server

hinterlegten Daten aktualisiert. Die Daten werden auch auf dem Schulrouter Plus gespeichert, wenn

das Kontrollkästchen deaktiviert ist. Auf diese Weise können Sie die dynDNS-Aktualisierung zu einem

späteren Zeitpunkt wieder aktivieren, ohne die Daten erneut eingeben zu müssen.

Hinter einem Router (NAT)

• Wählen Sie dies aus, wenn der Schulrouter Plus über einen vorgelagerten Router ins Internet geht.

In diesem Fall wird der Dienst von » www.checkip.dyndns.org verwendet um die externe IP herauszu-

finden.


50/13250


5.3 Antivirus

Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von ClamAV. Indiesem Bereich können Sie einstellen, wie ClamAV mit Archiv-Bomben umgeht und wie oft Virenupdates

heruntergeladen werden.

Antivirus Konfiguration

Um diese Arten von Angriffen zu unterbinden, ist der Antivirus-Dienst so vorkonfiguriert, dass Archive mit

bestimmten Eigenschaften nicht gescannt werden:

Max. Größe des Archives

• Archive, die größer als die angegebene MB-Zahl sind.

Max. Archive in Archiven

• Archive, die wiederum andere Archive beinhalten, wenn die Anzahl der eingebetteten Archive diese

Zahl übersteigt.

Max. Anzahl von Dateien in Archiven

• Archive, die mehr als die hier angegebene Anzahl von Dateien enthalten.


51/132


52/13252


5.4 Zeitserver

Der Schulrouter Plus kann so konfiguriert werden, dass die Uhrzeit mit einem Zeitserver im Internet abgegli-

chen wird.

Eine Anzahl von Zeitservern ist bereits voreingestellt. Mit Aktivieren von STANDARD NTP SERVER ÜBER-

SCHREIBEN können Sie eigene NTP-Server eintragen. Hier muss jeder NTP-Server in eine eigene Zeile

geschrieben werden.

Darunter können Sie auch die Zeitzone festlegen.

Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.


53/13253



5.5 Trafficshaping

Trafficshaping, also die Optimierung der Datenübertragung, ermöglicht die Festlegung von Vorrangregeln

für die verschiedenen Datenströme, die durch die Firewall geleitet werden.

Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit, die Übertragungsverfahren des Datenaufkommens

selbst Ihren Bedürfnissen entsprechend zu optimieren. Die Steuerung erfolgt durch die Einstufung desDatenaufkommens in Prioritätsstufen „Hoch“, „Mittel“ und „Niedrig“.

Die Ping-Übertragung erhält stets die höchste Priorität, damit Sie auch dann die Geschwindigkeit Ihrer

Verbindung genau überprüfen können, während umfangreiche Downloads aus dem Internet

durchgeführt werden.

So verwenden Sie die Trafficshaping-Funktionalität im Schulrouter Plus:

1. Verwenden Sie einen DSL Speedtest im Internet, um die maximalen Upload- und Download-

geschwindigkeiten zu ermitteln. Geben Sie die so ermittelten Geschwindigkeiten in die entspre-

chenden Felder im Bereich Einstellungen der Webseite ein.

2. Aktivieren Sie die Übertragungsoptimierung, indem Sie die WAN-Verbindung bearbeiten und die

maximal zu verwendende Geschwindigkeit eingeben.

3. Ermitteln Sie, welche Dienste in Ihrem Netzwerk verwendet werden, bei denen Datenübertragun-

gen über die Firewall vom bzw. ins Internet erfolgen.


54/13254


4. Weisen Sie diesen die gewünschte Priorität zu. Beispiel:

a. Interaktivem Datenaufkommen wie SSH (Port 22) und VoIP wird die Prioritätsstufe „Hoch“

zugeordnet.

b. Standarddatenaufkommen wie surfen (Port 80) und Kommunikation (bspw. E-Mail- Verkehr

über Port 25 bzw. 110) s owie Audio- und Videostreaming wird die Prioritätsstufe „Mittel“

zugeordnet.

c. Dauerdatenübertragungen wie beispielsweise P2P-Dateifreigaben erhalten die

Prioitätsstufe „Niedrig“.

5. Erstellen Sie durch den Klick auf Einen Dienst erstellen eine Liste mit Diensten und den jeweils

zugeordneten Prioritätsstufen.

Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfigurationen zur Optimierung der

Übertragung des Datenaufkommens. Sie sollten die Einstufung in die drei Prioritätskategorien entsprechend

den Anforderungen in Ihrem Netzwerk anpassen.

5.6 Spam Training

Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfiguriert werden, um automatisch zu

lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermöglichen, benötigt der Dienst einen

über IMAP erreichbaren Mailserver, damit dort voreingestellte Ordner überprüft werden.

Die Standardkonfiguration wird noch nicht für das Training verwendet.

Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern, die darunter konfigu-

riert wird. Durch Klick auf Standardkonfiguration bearbeiten öffnet sich darunter ein neuer Bereich, in dem

die Standardeinstellungen gesetzt werden können:


55/13255



Standard IMAP Host

• Der IMAP-Mailserver, der die Trainingsordner beinhaltet.

Standard-Benutzername• Der Anmeldename für den IMAP-Mailserver.

Standard-Passwort

• Das zugehörige Passwort.

Standard-Hamordner

• Der Name des Ordners, der nur HAM-Mails beinhaltet. Dieser Ordner beinhaltet Mails, die nicht als

Spam zu klassifizieren sind.

Standard-Spamordner• Der Name des Ordners, der nur Spam-Mails beinhaltet.

Für automatisches Spamfilter-Training vormerken

• Das Intervall zwischen den Prüfungen. Das regelmäßige Training kann entweder deaktiviert werden,

so dass es nur manuell durchgeführt werden kann (z.B. nach einer Überprüfung der entsprechenden

Ordner auf Richtigkeit) oder in regelmäßigen Abständen automatisch ausgeführt werden.

In dem Bereich darunter können die entsprechenden „Trainingsserver“ konfiguriert werden. Durch einen

Klick auf IMAP Spam Trainingsquelle hinzufügen öffnet sich ein neuer Bereich.

Die Einstellungen für weitere „Trainingsserver“ entspricht den Standardeinstellungen. Es fehlt nur dieEinstellung der Regelmäßigkeit. Diese wird immer von den Standardeinstellungen übernommen.

Drei weitere Optionen sind verfügbar:

Aktiviert

• Erst wenn hier eine MARKIERUNG gesetzt ist, wird diese Quelle für das Training verwendet.

Anmerkung

• In diesem Feld können Sie eine Anmerkung einfügen.

Bearbeitete Mails löschen

• Nach dem Training werden die verwendeten E-Mails gelöscht.

Die anderen Optionen können genauso wie in der Standardkonfiguration vorgenommen werden. Wenn Sie

hier gesetzt werden überschreiben Sie die Standardeinstellung. Eine Quelle wird mit dem entsprechenden

Button getestet, aktiviert, bearbeitet oder gelöscht.

Es ist auch möglich die Verbindung zu allen Quellen zu testen, indem Sie oben auf den Button

Alle Verbindungen testen klicken. Wenn mehrere Quellen definiert sind, kann dies einige Zeit

in Anspruch nehmen, abhängig von der Geschwindigkeit der Mailserver und der Anzahl der definierten

Quellen.


56/13256


Um das Training sofort zu starten, klicken Sie auf Training jetzt starten. Abhängig von der Anzahl der Quellen,

der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails, die für das Trai-

ning zur Verfügung stehen, kann das Training einige Zeit in Anspruch nehmen.

Sie können das Anti-Spam-Training auch manuell durchführen, wenn der SMTP Proxy angeschaltet ist.

Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an » [email protected] für

Spamnachrichten und an » [email protected] für Hamnachrichten machen.

Dafür ist notwendig, dass die Domänen „spam.spam“ und „ham.ham“ aufgelöst werden können indem Sie

unter >4.2 NETZWERK - HOSTS BEARBEITEN


57/13257



5.8 Datenverkehrsüberwachung

Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den Button oben

aktiviert oder deaktiviert werden. Wenn die Datenverkehrsüberwachung aktiviert ist, erscheint darunter ein

Link, der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrsüberwachung weiter-

leitet. Diese Administrationsoberfläche wird ebenfalls von „ntop“ geliefert und enthält detaillierte

Statistiken über den Datenverkehr.

Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben, wobei der

Verkehr nach Host, Protokoll, Schnittstellen und weiteren Parametern gefiltert werden kann.

Für detaillierte Informationen über die ntop-Administrationsoberfläche besuchen Sie die „ntop“

Dokumentation unter: » http://www.ntop.org/documentation.html


58/13258


58

66.1.2 SourceNAT 54

6.2 Ausgehender Datenverkehr 56

6.3 Interner Datenverkehr 58

6.4 Systemzugriffe 59

HAUPTMENÜ FIREWALL


59/13259



6 HAUPTMENÜ FIREWALL

6.1 Portweiterleitung / NAT

6.1.1 Portweiterleitung

Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz. Manchmal kann diese

Einstellung zu restriktiv sein. Wenn Sie z.B. einen Webserver betreiben, würden alle von

außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. Dies würde

bedeuten, dass der Webserver nur aus dem internen Netz zu nutzen wäre. Dies ist natürlich nicht die Nor-

malsituation für einen Webserver. In den meisten Fällen sollen Außenstehende den

Zugriff auf Ihren Webserver erhalten. Für diese Fälle gibt es Port-Weiterleitungen. Wenn Sie diese Ports

kennen, können Sie die Port-Weiterleitung im Schulrouter Plus konfigurieren.

Klicken Sie auf Eine neue Portweiterleitung hinzufügen, um eine Portweiterleitung zu erstellen.

Sie können individuell definieren, welche Anfragen von welcher Schnittstelle über welchen Port zu welchem

Client geleitet werden. Folgende Parameter müssen dabei festgelegt werden:

Protokoll

• TCP, UDP, GRE (generic routing encapsulation) wird von Tunneln verwendet, z.B. PPTP-VPN) oder

Alle Protokolle.

Eingehende IP

• Die externe Schnittstelle. Hier kann eine der verwendeten roten Schnittstellen, alle roten Schnittstel-

len oder VPN-Verbindungen gewählt werden.

Eingehender Port

• Auf welchem Port (1 - 65535) soll der Schulrouter Plus an den roten Schnittstellen auf

Anfragen warten.

Ziel-IP-Adresse

• Die IP-Adresse des internen Clients, an den die Anfrage von extern geleitet werden soll.


60/13260


Ziel-Port

• Der Port am Client intern an, den die externe Anfrage geleitet werden soll.

Anmerkung• Eine eigene Anmerkung, um später die Regel schnell wiederzufinden.

Aktiviert

• Diese Regel aktivieren

SNAT eingehende Verbindungen

• Legen Sie fest, ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus (aktiviert)

oder mit der externen IP des Anfragenden ankommen.

Enable log• Alle Pakete über diese Regel protokollieren.

Klicken Sie auf Hinzufügen um die Regel zu bestätigen. Sie können die Regel in der Zeile mit den

entsprechenden SYMBOLEN bearbeiten, de-/aktivieren oder sie löschen.

Vergessen Sie nicht nach dem Ändern bzw. Hinzufügen der Regeln oben auf Übernehmen zu klicken!

Wenn eine Regel definiert ist, können Sie den Zugriff von außen beschränken. Mit dem Klick auf das

Plus-Symbol der entsprechenden Regel öffnet sich darüber eine Maske, in der Sie die IP-Adresse oder das

Netz derjenigen eintragen können, die nur die Weiterleitung nutzen dürfen. Das setzt voraus, dass diese eine

feste externe IP haben. Um weitere Quellen zu definieren wiederholen Sie den Schritt.

6.1.2 SourceNAT

In diesem Unterabschnitt können Sie definieren, für welche ausgehende Verbindungen „Source Network

Adress Translation“ (SourceNAT) genutzt werden sollen. SourceNAT kann nützlich sein, wenn ein Server im

internen Netz eine eigene externe IP bekommen und für den Datenverkehr des Servers ins Internet nicht die

externe IP-Adresse der roten Schnittstelle verwendet werden soll.


61/132


62/13262


6.2 Ausgehender Datenverkehr

Die ausgehende Verbindungsfirewall regelt den Datenverkehr von den internen Netzen nach außen. Die

Standardeinstellungen reichen aus, um im Internet surfen und E-Mails abholen zu können. Sie können diese

Regeln nach Ihren Bedürfnissen erweitern, um bspw. Lernsoftware die Verbindung ins Internet über

benötigte Ports zu gewähren.

• Mit dem Schalter Ausgehende Firewall deaktivieren/aktivieren können Sie die ausgehende Verbin-

dungsfirewall komplett deaktivieren, so dass jeglicher Datenverkehr von innen nach außen gelangt.

• Mit der Einstellung Alle akzeptierten ausgehenden Verbindungen protokollieren protokolliert der Schul-

router Plus alle akzeptierten Pakete im >FIREWALLLOG


63/13263



Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das

System verlangsamen.!

Im Abschnitt „Aktuelle Regeln“ sind alle bereits definierten aktivierten Firewall-Regeln aufgelistet. Diese

sind nach ihrer Priorität absteigend sortiert: Ist bspw. als erstes der Port 80 freigegeben und darunter eine

Regel, die die Ports 50 bis 100 sperrt, wird dennoch Port 80 freigegeben. In dieser Ansicht können Sie auch

die Priorität der Regeln ändern, indem Sie die Pfeile in der entsprechenden Zeile benutzen. Außerdem

können Sie die Regeln de-/aktivieren, bearbeiten und löschen.

Am Ende der Seite werden die Systemregeln angezeigt. Diese Regeln werden automatisch vom Schulrouter

Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Sie können nicht verändert oder

gelöscht werden.

Wenn Sie eine neue Firewallregel anlegen möchten, klicken Sie auf Eine neue Firewallregel hinzufügen. Zum

Bearbeiten klicken Sie auf das entsprechende Stift-Symbol in der Zeile der Regel, die Sie bearbeiten möch-

ten. Es öffnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Um die Regel zu de-/aktivieren,

setzen Sie entsprechend den HAKEN in den Punkt „AKTIVIERT:“ und drücken den Button Speichern, nach-

dem alle Einstellungen für diese Regel getätigt sind.

Folgende Einstellungen können gesetzt werden:

Quelle

• Für welche Quelle soll diese Regel gelten. Sie können entweder Netzwerkschnittstellen, Zonen, IP-Ad-ressen/IP-Bereiche oder MAC-Adressen verwenden. Es können mehrere Quellen gleichen Typs verwen-

det werden.

Ziel IP Adresse

• Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet verwendet

werden. Sie können hier entweder WAN-VERBINDUNGEN oder IP-ADRESSEN/ IP-BEREICHE wählen.

Es können mehrere Quellen gleichen Typs verwendet werden.

Dienst/Port

• Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese Regel

angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen, so dass Port

und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen.

Aktionen

• Legen Sie fest, ob der Vorgang gestattet oder abgelehnt werden soll.

Anmerkung

• Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.


64/13264


Position:

• Wie bereits erwähnt, ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln

festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.

Alle akzeptierten Pakete loggen

• Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >FIREWALLLOG


65/13265



hender Datenverkehr“ können Sie diese Einstellungen ein-/ausschalten, Regeln bearbeiten, löschen

und hinzufügen.

Wird der interne Datenverkehr deaktiviert, werden alle Verbindungen untereinander er-laubt (Datenverkehr zu ROT ausgeschlossen). Dies ist nicht zu empfehlen! Durch Klick

auf Eine neue Interne Firewallregel hinzufügen können Sie eine neue Regel hinzufügen. Die Ein-

stellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.

!

Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch

übernommen werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem

entsprechenden Schalter!

!

6.4 Systemzugriffe

Hier können Sie den Zugriff direkt auf den Schulrouter Plus regeln. Es gibt eine Liste vorkonfigurierter

Regeln, die für den Betrieb der einzelnen Dienste und für den Zugriff auf die Konfigurationsoberflächen

notwendig sind. Klicken Sie auf Eine neue Systemzugangsregel hinzufügen um eine neue Regel für den

Systemzugriff zu erstellen.

Diese Einstellungen können gemacht werden:

Quelladresse

• Legen Sie eine oder mehrere IP-Adressen, Netzwerke oder MAC-Adressen fest, deren Zugriff mit die-

ser Regel festgelegt werden soll. Diese Einstellung ist optional, wenn Sie den kompletten Zugriff aus

bestimmten Zonen (Quellschnittstellen) gewähren wollen.


66/13266


Quellschnittstelle

• Legen Sie fest, aus welcher Zone oder über welche Schnittstelle dieser Zugriff geregelt werden soll.

Dienst/Port• Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese Regel

angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen, so dass Port

und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen.

Aktion

• Stellen Sie ein, ob der Zugriff gewährt, abgelehnt (ohne Rückmeldung) oder abgewiesen (Meldung an

den Sender) werden.

Anmerkung

• Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.

Position

• Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln festgelegt.

Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.

Aktiviert

• Anhaken zum Aktivieren der Regel (Standard).

Alle akzeptierten Pakete loggen

• Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >FIREWALLLOG


67/13267



77.1 HTTP 61

7.1.1 Konfiguration 61

7.1.1.1 Erlaubte Ports und SSl Ports 62

7.1.1.2 Log-Einstellungen 637.1.1.3 Erlaubte Subnetze pro Zone 63

7.1.1.4 Interner Datenverkehr 64

7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele 64

7.1.1.6 Cache Verwaltung 65

7.1.1.7 Vorgelagerter Prox

Documents

Handbuch_SRP_1-03.pdf