Upload
rodney
View
212
Download
0
Embed Size (px)
Citation preview
8/17/2019 Handbuch_SRP_1-03.pdf
1/132
Schulrouter Plus 1.03Benutzerhandbuch
Professionelles NetzwerkmanagementLastverteilung, Datensafe, VLan-Verwaltung, DHCP-Reservierung uvw.
Integrierter Schulfilter PlusVerbesserte Oberfläche und zahlreiche neue Funktionen für nochmehr Sicherheit im Internet in der Schule
Was ist neu?Alle neuen und verbesserten Funktionen des Schulrouter Plusmit integriertem Schulfilter Plus aus einer Hand!
einfach sicher pädagogisch
8/17/2019 Handbuch_SRP_1-03.pdf
2/1322
TIME for kids Schulrouter Plus
Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigunggeändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden.
TIME for kids Schulrouter Plus und TIME for kids Schulfilter Plus sind Markenzeichen der
TIME for kids Informationstechnologien GmbH.
Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General Public
License » www.gnu.org/licenses/gpl.html distributiert.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free
Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with noInvariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled „GNU Free Documentation License“.
» www.gnu.org/licenses/old-licenses/fdl-1.2.txt
© 2011 TIME for kids Informationstechnologien GmbH
Gubener Str. 47
10243 Berlin
www.time-for-kids.de
8/17/2019 Handbuch_SRP_1-03.pdf
3/1323
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Vielen Dank, dass Sie sich für TIME for kids entschieden haben.
Für jede Schule gibt es den passenden Router
Schulrouter Plus Serie
ca. 15 Clients
Mini G1
ca. 100 Clients
Classic G2
ca. 250 Clients
Medium G2
500 Clients
BIG G2
1000 plus Clients
Giant G2
8/17/2019 Handbuch_SRP_1-03.pdf
4/1324
TIME for kids Schulrouter Plus
1 EINLEITUNG 9
1.1 Das Schulrouter Plus Konzept 9
1.2 Das Handbuch 9 1.3 Effektive Nutzung des Handbuches 10
1.3.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus 10
1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigenregie 10
1.3.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen 11
1.4 Orientierungshilfe 11
1.4.1 Was macht ein Router? 11
1.4.2 Unterschied DSL-Modem/Router 11
1.5 Integration ins Schulnetzwerk 12
1.5.1 Benötigte Netzwerkinformationen 12
1.5.2 Grundszenario 12 1.5.3 Netzwerksegmentierung 13
1.5.4 Kombination mit anderen Serverdiensten im Netzwerk 14
1.5.5 Client-PCs konfigurieren 14
1.6 Schulfilter Plus konfigureieren 15
1.7 Das Schulrouter Plus Cockpit 16
2 HAUPTMENÜ SYSTEM 19
2.1 Startseite 19
2.2 Updates 20 2.3 Passwörter 21
2.3.1 Shutdown 21
2.4 Fernwartung / Support 22
2.5 Benutzeroberfläche 23
2.6 Datensicherung 24
2.7 Herunterfahren 26
3 HAUPTMENÜ STATUS 28
3.1 System-Status 28
3.2 Netzwerkstatus 29
3.3 Systemdiagramm 30
3.4 Netzwerkdiagramme 31
3.5 Proxydiagramme 32
3.6 Verbindungen 33
3.7 OpenVPN Verbindungen 33
3.8 SMTP Mailstatistik 33
3.9 Email-Warteschlange 33
NEU
NEU
NEU
NEU
8/17/2019 Handbuch_SRP_1-03.pdf
5/1325
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
4 HAUPTMENÜ NETZWERK 35
4.1 Netzwerkkonfiguration 35
4.2 Host bearbeiten 39 4.3 Routing 40
4.4 Internet/ Verbindungen 41
4.4.1 Internet/ Verbindungen 42
4.5 Lastverteilung 42
5 HAUPTMENÜ DIENSTE 44
5.1 DHCP Server 44
5.2 Dynamischer DNS 48
5.3 Antivirus 50 5.4 Zeitserver 52
5.5 Trafficshaping 53
5.6 Spam Training 54
5.7 Einbruchdetektierung 56
5.8 Datenverkehrsüberwachung 57
6 HAUPTMENÜ FIREWALL 59
6.1 Portweiterleitung / NAT 59
6.1.1 Portweiterleitung 59 6.1.2 SourceNAT 60
6.2 Ausgehender Datenverkehr 62
6.3 Interner Datenverkehr 64
6.4 Systemzugriffe 65
7 HAUPTMENÜ PROXY 68
7.1 HTTP 68
7.1.1 Konfiguration 68
7.1.1.1 Erlaubte Ports und SSl Ports 69
7.1.1.2 Log-Einstellungen 70
7.1.1.3 Erlaubte Subnetze pro Zone 70
7.1.1.4 Interner Datenverkehr 71
7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele 71
7.1.1.6 Cache Verwaltung 71
7.1.1.7 Vorgelagerter Proxy 72
7.1.2 Authentifizierung 73
7.1.2.1 Lokale Authentifizierung 74
7.1.2.1.1 Benutzerverwaltung 75
7.1.2.2 LDAP 75
7.1.2.3 Windows 76
NEU
NEUNEU
NEU
NEU
NEU
NEU
8/17/2019 Handbuch_SRP_1-03.pdf
6/1326
TIME for kids Schulrouter Plus
7.1.2.4 Radius 77
7.1.3 Standardrichtlinie 78
7.1.4 Antivirus 79
7.1.5 Gruppenregeln 80 7.2 POP3 80
7.2.1 Globale Einstellungen 81
7.2.2 Spam Filter 82
7.3 FTP 83
7.4 SMTP 84
7.4.1 Hauptseite 84
7.4.2 Antivirus 85
7.4.3 Spam 87
7.4.4 Dateierweiterungen 89
7.4.5 Blacklist-Whitelist 91 7.4.6 Domains 92
7.4.7 Mailrouting 93
7.4.8 Erweitert 94
7.5 DNS 97
7.5.1 DNS Proxy 97
7.5.2 Benutzerdefinierter Nameserver 97
7.5.3 Anti-Spyware 98
8 HAUPTMENÜ VPN 100
8.1 OpenVPN Server 102
8.1.1 Serverkonfiguration 102
8.1.2 Konten 103
8.1.3 Erweitert 105
8.2 OpenVPN Client (Gw2Gw) 107
8.3 IPSec 109
9 HAUPTMENÜ PROTOKOLLE 114
9.1 Zusammenfassung 114
9.2 System 115
9.3 Dienst 116
9.4 Firewall 117
9.5 Proxy 118
9.5.1 http 118
9.5.2 SMTP 119
9.5.3 SIP 119
9.6 Einstellungen 120
NEU
8/17/2019 Handbuch_SRP_1-03.pdf
7/1327
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
HAFTUNGSAUSSCHLUSS 123
GNU FREE DOCUMENTATION LICENSE 124
Impressum 130
Was ist NEU beim Schulrouter Plus?
Datensafe für das tägliche, sichere Backup IhrerInstallations- und Konfigurationsdaten
Schieberegler zum Load Balancing mehrererInternetanschlüsse
Single Sign-on für eDirectory
Neues VLAN-Verwaltungstool
unterschiedliche Featurewünsche von Schulen
Bugfixes
NEU
1.
2.
3.
4.
5.
6.
8/17/2019 Handbuch_SRP_1-03.pdf
8/1328
TIME for kids Schulrouter Plus
8
EINLEITUNGEINLEITUNG11.1 Das Schulrouter Plus Konzept 7
1.2 Das Handbuch 7
1.3 Effektive Nutzung des Handbuches 8
1.3.1 Szenario 1 — Vorkonfigurierter Schulrouter Plus 8
1.3.2 Szenario 2 — Grundkonfiguration des Schulrouter Plus in Eigenregie 8
1.3.3 Szenario 3 — Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen 91.4 Orientierungshilfe 10
1.4.1 Was macht ein Router? 10
1.4.2 Unterschied DSL-Modem/Router 10
1.5 Integration ins Schulnetzwerk 11
1.5.1 Benötigte Netzwerkinformationen 11
1.5.2 Grundszenario 11
1.5.3 Netzwerksegmentierung 12
1.5.4 Kombination mit anderen Serverdiensten im Netzwerk 13
1.5.5 Client-PCs konfigurieren 13
1.6 Schulfilter Plus konfigureieren 14
1.7 Das Schulfilter Plus Cockpit 15
8/17/2019 Handbuch_SRP_1-03.pdf
9/1329
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
1 EINLEITUNG
1.1 Das Schulrouter Plus Konzept
Der Schulrouter Plus mit integriertem Schulfilter Plus und Antivirus Plus ist die Basis für alle Schulnetzwer-
ke. Er ist sowohl für kleine, mittlere und große Schulen mit ihren unterschiedlichen Anforderungen geeignet.
Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini, Classic und BIG eine skalierbare Hard-
warebasis. Die Software-Basis und die Bedieneroberflächen sind bei allen Schulrouter Plus Modellen gleich.
Die Konfiguration des Schulrouter Plus erfolgt über das so genannte Cockpit, eine webbasierte Bediener-
oberfläche. Diese bietet hauptsächlich Rechte und Funktionen für den Administrator.
Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste. Bitte prüfen Sie vor der
Einrichtung, ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und ggf. durch
den Schulrouter Plus ersetzt werden können. Dies kann zu einer Optimierung und einer Kostenreduktion inder Schule führen. Im Schulrouter Plus sind der Schulfilter Plus und der Antivirus Plus integriert und können
sofort verwendet werden. Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden
Handbücher oder wenden sie sich an das TIME for kids Service-Center für Schulen.
Die TIME for kids Produkte Schulrouter Plus, Schulfilter Plus und Antivirus Plus passen sich hervor-
ragend in jedes Betriebs- und Servicekonzept ein. Der Administrator der Schule kann ganz oder teilweise
Aufgaben auf andere Service Partner delegieren. Das webbasierte TIME for kids Service-Center bietet
Servicepartnern wie Schulträgern, Medienzentren, Kommunalen-Rechenzentren und IT-Dienstleistern vor
Ort für die Betreuung einer Vielzahl von Schulen mit dem Schulrouter Plus eine Managementoberfläche für
das Monitoring und die Fernwartung. Alle Akteure können entsprechend ihrem Service-Level-Auftrag Rechteerhalten.
Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs- und Servicekonzeptes.
1.2 Das Handbuch
Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu
konfigurieren. Folgende Darstellungskonventionen wurden vorgenommen, um Ihnen dies zu erleichtern.
Wenn Sie einmal nicht weiter wissen, können Sie gern unser Service-Center für Schulen kontaktieren.
» www.support.time-for-kids.de
TEXTMARKIERUNGEN BEDEUTEN: SYMBOLE:
Farbe Blau: Verweis auf externe Quelle Wichtige Information
Farbe Grün: Verweis auf anderen Bereich im Handbuch
BEFEHLSEINGABE
Webseite / Link: » www.time-for-kids.de Warnhinweis
AUFFORDERUNG ZUM TASTENDRUCK i
!
8/17/2019 Handbuch_SRP_1-03.pdf
10/13210
TIME for kids Schulrouter Plus
1.3 Effektive Nutzung des Handbuches
Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches
beschrieben. Bitte schauen Sie sich die Szenarien an und entscheiden dann, welcher Teil des Handbuchesfür Sie relevant ist.
1.3.1 Szenario 1 — Vorkonfigurierter Schulrouter Plus
TIME for kids stellt für Sie einen besonderen Service bereit. Ihr Schulrouter Plus kann für Ihre Netzwerksitu-
ation vorkonfiguriert werden. Der besondere Vorteil besteht darin, dass Sie den Schulrouter Plus nach der
Lieferung nur noch mit dem Strom- und Schulnetz sowie dem DSL-Modem verbinden müssen, um eine
Arbeitsfähigkeit herzustellen.
In diesem Handbuch sind nach einer Vorkonfiguration für Sie nur noch die kurzen Kapitel 1.4, 1.5 und 1.6
relevant (Umfang: ca. 4 Seiten). Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur
notwendig, wenn Sie weitere tiefergehende Einstellungen vornehmen möchten.
Um einen Vorkonfigurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor:
Schulrouter Plus bei TIME for kids bestellen:
1. Über die Webseite » www.schulrouterplus.de/vorkonfiguration Ihre Konfigurationsdaten an
TIME for kids übermitteln.
2. Gelieferten, vorkonfigurierten Schulrouter Plus auspacken und anschließen, siehe Aufbauanlei-
tung im Karton.
1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigenregie
Sollten Sie den Vorkonfigurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind für Sie die
Grundkonfiguration des Schulrouter Plus in diesem Handbuch die Kapitel 1,4, und 7.1 relevant
(Umfang ca. 31 Seiten).
Um den Schulrouter Plus zu erhalten und zu konfigurieren gehen sie wie folgt vor:
1. Schulrouter Plus bei TIME for kids bestellen.
2. Gelieferten Schulrouter Plus auspacken und anschließen, siehe Aufbauanleitung im Karton.
3. Handbuch studieren, Kapitel 1.4.1.
4. Grundkonfiguration des Schulrouter Plus vornehmen.
8/17/2019 Handbuch_SRP_1-03.pdf
11/13211
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
1.3.3 Szenario 3 — Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen
Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere
Nutzung des Internets in Ihrer Schule.
Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen
empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca. 100 Seiten). Gern können Sie
auch die Hilfe unseres Service-Center Hotline: +49 (0)30 293 69 89 0 oder » www.schulfilterplus.de/index.
php?action=service_center für Schulen in Anspruch nehmen.
1.4 Orientierungshilfe1.4.1 Was macht ein Router?
Ein Router ist ein Gerät, das mehrere Netzwerke koppelt. Das bedeutet, bei ihm eintreffende Netzwerk-Pake-
te eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet), bspw. von
einem internen Schulnetz ins Internet. Der TIME for kids Schulrouter Plus übernimmt
zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste, siehe Punkt 1.5.3.
1.4.2 Unterschied DSL-Modem/Router
Das DSL-Modem („NTBA“) dient zur Übertragung von Daten über eine DSL-Leitung. DSL-Modems können
direkt an einen PC (z.B. per USB), oder an ein Netzwerk (mit einem Router) angeschlossen werden. Heutzu-tage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft. Im Nachfol-
genden einige Beispiele.
DSL-Modem
Router
DSL-Modem und Router im Vergleich
8/17/2019 Handbuch_SRP_1-03.pdf
12/13212
TIME for kids Schulrouter Plus
1.5 Integration ins Schulnetzwerk1.5.1 Benötigte Netzwerkinformationen
Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfigurierten Schulrouter
Plus oder folgende Daten und Kenntnisse Ihres Netzwerks:
1. Internet-Zugangsdaten.
2. Informationen über bestehende Netzwerke.
3. IP-Adress-Bereiche der internen Netze.
4. Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt?
5. Wie sind die Client-PCs konfiguriert? Ist eventuell schon ein Proxy eingestellt?
6. Active Directory-Einstellungen, sowie Administrator-Zugang (optional).
1.5.2 Grundszenario
Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem, er übernimmt dann auch die
Einwahl. Haben Sie bereits einen Router in Betrieb, können Sie den Schulrouter Plus auch an Ihren Routeranschließen und die Einwahl Ihrem Router überlassen. In den meisten Fällen kann auf den vorhandenen
Router verzichtet werden.
Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke:
1. Über die rote Schnittstelle wird nach außen der Gefahrenbereich, also das Internet, eingebun-
den. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen, muss
eine freie Schnittstelle entsprechend um konfiguriert werden. Lesen Sie hierzu bitte
das Kapitel 4.4
2. Das grüne Netz repräsentiert Ihr erstes Netzwerk, das im Normalfall die Schüler-PCs beinhaltet.
3. Mit dem blauen Netz können Sie bspw. Ihre Verwaltung (und somit kritische Daten) von dem
Schüler-Netz trennen.
4. Das orange Netz steht zur freien Verfügung, z.B. für eine demilitarisierte Zone oder
ein weiteres Netz.
5. Alle Netze sind komplett voneinander getrennt und können sich nicht sehen. Daher müssen auch
alle Netze unterschiedliche IP-Adress-Bereiche besitzen!
8/17/2019 Handbuch_SRP_1-03.pdf
13/13213
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Schaubild Schulrouter Plus — Einordnung im Netzwerk
1.5.3 Netzwerksegmentierung
Wie in Punkt 1.5.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen, somit
muss auch das Netzwerk darauf abgestimmt sein, dass PCs nicht auf Server in einem anderen Netzwerk
zugreifen können.
Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden, der sich im
Schüler-Netz befindet.
In solchen Fälle ist zu überlegen, ob diese Konstellation erhalten bleiben muss. Die Firewall des Schulrouter
Plus kann so konfiguriert werden, dass ein eingeschränkter Zugriff auf spezifische Ressourcen zwischen den
Netzen möglich wird.
8/17/2019 Handbuch_SRP_1-03.pdf
14/13214
TIME for kids Schulrouter Plus
1.5.4 Kombination mit anderen Serverdiensten im Netzwerk
Der Schulrouter Plus stellt unter anderem folgende Serverdienste zur Verfügung:
• Internetfilter (Schulfilter Plus)
• Proxy
• DHCP
• DNS
• VPN
• Firewall
• AntiSpam
Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus
ersetzt werden.
Weiterhin ist darauf zu achten, dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchtigen,
z.B. ein zweiter DHCP-Server mit anderen Einstellungen.
1.5.5 Client-PCs konfigurieren
Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. Ihren vorge-
lagerten Router mit der roten Schnittstelle, sowie einen PC (oder Ihr Netzwerk) mit der grünen Schnittstelle
verbunden haben (siehe Markierungen auf der Rückseite des Gerätes).
Bei Ihren, an den Schulrouter Plus angeschlossenen, Client-PCs müssen Sie darauf achten, dass
folgende Einstellungen getätigt werden:
• In den benutzten Browsern darf kein Proxy eingestellt sein
• Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras Internetoptionen Reiter
„Verbindungen“ Button „LAN-Einstellungen“ die Elemente unter Proxyserver sind ausgegraut.
• Die entsprechende IP des Schulrouter Plus (im grünen Netz, die der Schnittstelle Grün) ist als
Standardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfiguration das vorsieht) oder auf
„IP-Adresse automatisch beziehen“ gesetzt.
8/17/2019 Handbuch_SRP_1-03.pdf
15/13215
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Screenshot IP Einstellungen am Client
1.6 Schulfilter Plus konfigureieren
Ihr Schulrouter Plus ist jetzt einsatzfähig. Wenn Sie mit einem Schüler-PC im Internet surfen greift
bereits ein voreingestellter Grundschutz. Um den integrierten Schulfilter Plus an Ihre Bedürfnisse
anzupassen, benutzen Sie die Weboberfläche (Cockpit) des Schulfilter Plus. Dieses erreichen Sie
entweder über den Link im Menü des Schulrouter Plus oder über die Adresse:
» http://RouterIP:83
Das Handbuch zum Schulfilter Plus finden Sie separat auf unserer Support-Seite unter:
» http://support.time-for-kids.de
8/17/2019 Handbuch_SRP_1-03.pdf
16/13216
TIME for kids Schulrouter Plus
1.7 Das Schulrouter Plus Cockpit
Die Konfiguration des Schulrouter Plus nehmen Sie über das so genannte Cockpit, eine webbasierte
Bedienoberfläche, vor. Um das Cockpit zu erreichen schließen Sie mindestens einen PC an die GRÜNELAN-Schnittstelle des Schulrouter Plus an.
! Der angeschlossene PC muss so konfiguriert sein, dass er seine IP-Adresse per DHCP
automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes
befindet. Die Grundkonfiguration entnehmen Sie bitte dem Beipackzettel im Karton.
Jetzt können Sie das Cockpit über die Eingabe » http://RouterIP:81 in einem Internetbrowser auf Ihrem PC
erreichen. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht. Ihr Internet-Browser wird
Sie über unsignierte Sicherheitszertifikate informieren und zur Bestätigung auffordern. Dies können Sieohne Bedenken bestätigen.
Sie werden nun aufgefordert, sich mit einem Benutzeraccount und einem Passwort anzumelden.
Verwenden Sie hierfür „tfkadmin“ als Benutzername und Passwort. Nach dem erfolgreichen Login sollten
Sie das Passwort sofort ändern siehe Kapitel 2.3 Passwörter.
Das Schulrouter Plus Cockpit gliedert sich in drei Teile:
1. Hauptmenü mit Seriennummer und der Systemzeit
2. Untermenü zum jeweiligen Hauptmenü
3. Konfigurationsseiten
8/17/2019 Handbuch_SRP_1-03.pdf
17/13217
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Generell sollten Sie bei größeren Veränderungen der Konfiguration immer eine Datensicherung
vornehmen, um die Möglichkeit zu besitzen den Schulrouter Plus ggf. wieder auf einen vorherigen Konfigu-
rationsstand zu bringen.
Bei einigen Konfigurationen wird nach der Speicherung der Einstellungen ein Neustart der ent-
sprechenden Dienste durchgeführt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.
Die Konfigurationsseiten des Cockpits enthalten folgende Standardelemente, welche Sie für die
Bedienung benötigen:
Auswahl/ Bestätigung Verschieben/ Reihenfolge ändern
(aktiviert/ deaktiviert) Firewall akzeptiert
Exportieren Firewall anhalten
Löschwen Firewall verwerfen
Wiederherstellen Verweigert
Hinzufügen/ Erstellen Info
Verbindung testen Warnung
Editieren Tipp
Erweitern/ Öffnen Speicher-Button o.ä. sind
entsprechend gekennzeichnet
Minimieren/ Schließen
i
!
8/17/2019 Handbuch_SRP_1-03.pdf
18/13218
TIME for kids Schulrouter Plus
18
HAUPTMENÜ SYSTEM22.1 Startseite 17
2.2 Updates 18
2.3 Passwörter 19
2.4 Fernwartung / Support 20
2.5 Benutzeroberfläche 21
2.6 Datensicherung 222.7 Herunterfahren 24
8/17/2019 Handbuch_SRP_1-03.pdf
19/13219
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
2 HAUPTMENÜ SYSTEM
2.1 Startseite
Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk).
Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung
angezeigt. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen
„Primäre WAN-Verbindung“.
Stati der Verbindungen:
„Angehalten“
• Es besteht keine Onlineverbindung.
„Baue Verbindung auf...“
• Die Verbindung wird gerade hergestellt.
„Verbunden“
• Die Verbindung ist erfolgreich aufgebaut.
„Beende Verbindung...“
• Die Verbindung wird getrennt.
„Fehler“
• Es gibt einen Fehler beim Verbindungsaufbau.
8/17/2019 Handbuch_SRP_1-03.pdf
20/13220
TIME for kids Schulrouter Plus
„Wiederverbindungs Timeout“
• Es gab einen Fehler beim Wiederherstellen der Verbindung. Es wird weiter versucht.
„Verbindung unterbrochen“• Die Verbindung ist zwar hergestellt, aber der Host, der zur Überprüfung definiert ist, ist nicht
erreichbar. Das heißt normalerweise, dass die Verbindung nicht zu nutzen ist.
Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. Im Modus
„Verwaltet“ überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbindung
automatisch wieder her. Wird der Modus „Verwaltet“ deaktiviert, kann die Verbindung manuell
hergestellt oder getrennt werden. Es wird kein automatischer Wiederaufbau der Verbindung
eingeleitet, wenn die Verbindung getrennt wird.
2.2 Updates
Der Bereich Updates ist in drei Abschnitte aufgeteilt:
Automatische Updates
Im ersten Abschnitt haben Sie die Möglichkeit, automatische Updates zu aktivieren.
Rechts wird automatisch der nächste freie Update-Zeitpunkt angezeigt. Durch das klicken auf den Button
Neu Generieren wird ein neuer Update-Zeitpunkt berechnet.
Verfügbare Updates
Jedes Mal, wenn die Seite Update aufgerufen wird, wird die Verfügbarkeit neuer Updates
überprüft. Neu verfügbare Updates werden mit einer kurzen Beschreibung angezeigt. Um ein Update
8/17/2019 Handbuch_SRP_1-03.pdf
21/13221
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
auszuführen, klicken Sie auf den Button Herunterladen und Installieren, der dann verfügbar ist. Das Update wird
heruntergeladen und sofort ausgeführt. Sie können außerdem alle verfügbaren Updates hintereinander
installieren, indem Sie den Button Alle Updates Herunterladen und Installieren anklicken.
Installierte Updates
Nachdem ein Update installiert wurde, wird hier der entsprechende Eintrag ergänzt. Durch Klicken auf den
Button Update deinstallieren können Sie das letzte Update rückgängig machen.
Nur offizielle Schulrouter Plus-Updates können installiert werden. Einige Updates führen
einen automatischen Neustart des Schulrouter aus. Lesen Sie deshalb bitte alle
Update-Informationen, bevor Sie ein Update installieren und lassen Sie die Updates
nur in Zeiten ausführen, in denen es zu keiner Betriebsstörung kommen kann.
i
2.3 Passwörter
Passwörter ändern:
Sie können jedes Passwort für sich ändern. Geben Sie dazu das neue Passwort zweimal ein und
drücken auf Passwort ändern. Die Passwörter folgender Benutzer können verändert werden:
admin
• Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf.
root
• Der Benutzer, der sich auf der Linux-Konsole anmelden kann.
shutdown
• Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf und nur die Rechte zum
herunterfahren und neustarten besitzt.
2.3.1 Shutdown
Eine eingeschränkte Oberfläche mit den Möglichkeiten den Schulrouter Plus herunterzufahren oder neuzu-
starten, wurde eingerichtet. Diese erreicht man, wenn man sich als „shutdown“ mit einem vorher auf der
Weboberfläche eingerichteten Passwort anmeldet.
8/17/2019 Handbuch_SRP_1-03.pdf
22/13222
TIME for kids Schulrouter Plus
2.4 Fernwartung / Support
Zugangseinstellung
Auf der Seite Fernwartung / Support können Sie festlegen, ob ein gesicherter Fernzugriff für den
Schulrouter Plus möglich sein soll. Außerdem können Sie hier weitere Parameter für den Fernzu-
griff-Prozess konfigurieren.
Folgende Optionen können über diese Seite konfiguriert werden:
Fernwartung / Support
• Das Einschalten aktiviert den SSH-Zugriff. Wenn der externe Systemzugriff siehe Kapitel 6.4 System-
zugriffe nicht aktiviert ist, ist SSH nur über das grüne Netzwerk erreichbar. Mit aktiviertem SSH-Zu-
griff kann sich jeder, der das root-Passwort kennt, auf der Kommandozeile anmelden.
Unterstützung für Version 1 des SSH-Protokolls
• Diese Option aktiviert die Unterstützung der Version 1 des SSH-Protokolls. Von der Verwendung die-
ser Option wird dringend abgeraten, da bekannte Sicherheitslücken der Version 1 existieren.
Erlaube TCP Weiterleitung
• Diese Option ermöglicht es, SSH-verschlüsselte Tunnelverbindungen aufzubauen.
Passwortbasierte Authentifizierung zulassen
• Diese Option ermöglicht es Benutzern, sich beim Schulrouter Plus mittels des root-Passworts anzu-
melden. Wenn Sie diese Option ausschalten, müssen Sie zunächst Ihre SSH Schlüssel-Dateien
konfigurieren und sicherstellen, dass Sie sich mit den Schlüsseldateien einloggen können.
8/17/2019 Handbuch_SRP_1-03.pdf
23/13223
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Authentifizierung auf Basis öffentlicher Schlüssel zulassen
• Mit dieser Option wird die Authentifizierung auf Basis öffentlicher Schlüssel zugelassen. Dies ist die
bevorzugte Methode, den SSH-Zugriff auf dem Schulrouter Plus abzusichern.
SSH-Host-Schlüssel
Dieser Abschnitt listet die Fingerabdrücke der von Schulrouter Plus verwendeten SSH-Schlüssel auf, die Sie
verwenden können, um eine SSH-Verbindung mit dem Schulrouter Plus zu verifizieren. Wenn Sie das erste
Mal eine SSH-Verbindung zum Schulrouter Plus erstellen, wird der Fingerabdruck angezeigt, und Sie werden
aufgefordert, die Korrektheit zu bestätigen. Sie können den angezeigten Schlüssel mit der Darstellung auf
dieser Seite vergleichen.
2.5 Benutzeroberfläche
Einstellungen
Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen.
Folgende Optionen können über diese Seite konfiguriert werden:
Wählen Sie Ihre Sprache
• Über dieses Drop-Down-Menü können Sie eine Sprache wählen, mit der die Seiten des
Schulrouter Plus Cockpits dargestellt werden.
Hostname im Fenstertitel anzeigen
• Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. Dies kann hilfreich
sein, wenn Sie mehr als einen Schulrouter Plus administrieren.
8/17/2019 Handbuch_SRP_1-03.pdf
24/13224
TIME for kids Schulrouter Plus
2.6 Datensicherung
In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten Datensicherung
zurückspringen. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert und können auf Ihren
Computer heruntergeladen werden. Es ist auch möglich, die Konfiguration auf einen Wiederherstellungs-
punkt zurückzusetzen und regelmäßig automatisierte Datensicherungen durchzuführen.
Folgende Optionen können über diese Seite konfiguriert werden:
Datensicherungssätze
• Beim Klicken auf Neue Datensicherung durchführen öffnet sich ein Dialog zur Konfiguration der
geplanten Datensicherung.
8/17/2019 Handbuch_SRP_1-03.pdf
25/13225
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Konfiguration einschließen
• Schließt alle Einstellungen mit ein.
Konfiguration und Datenbankinhalt einschließen• Schließt zusätzlich alle Datenbankinhalte mit ein.
Logs aufnehmen
• Schließt die aktuellen Protokolle mit ein.
Log-Archive aufnehmen
• Schließt ältere Protokolle mit ein. Diese Einstellung kann den Umfang der Datensicherungsmenge
stark erhöhen.
Anmerkung• Hier kann ein zusätzlicher Kommentar hinterlassen werden.
Klicken Sie auf Backup Erzeugen, um die Datensicherung mit den oben gemachten Einstellungen zu erzeugen.
In der Liste der vorhandenen Datensicherungen können Sie, durch einen Klick auf das entsprechende Icon
auf der rechten Seite, ausgewählte Datensicherungen herunterladen, löschen oder wiederherstellen.
Jede Datensicherung ist mit einer Markierung versehen:
1: Einstellungen. Die Datensicherung beinhaltet alle Einstellungen.
2: Datenbankinhalt. Die Datensicherung beinhaltet auch Datenbankinhalte.
3: Archiv ist verschlüsselt. Die Datensicherung ist verschlüsselt.
4: Log Dateien. Die Datensicherung beinhaltet Protokolle.
5: Log Archive. Die Datensicherung beinhaltet ältere Log Dateien
6: Fehler beim Senden der Sicherung. Die Datensicherung ist fehlerhaft.
Datensafe und automatische Datensicherung
Die automatische Datensicherung des Schulrouter Plus im TIME for kids Datensafe wird täglich durchge-
führt. Sie dient der kompletten Wiederherstellung des Schulrouter Plus bei einem möglichen Hardware- oder
Softwaredefekt.
Automatische Datensicherung im TIME for kids Datensafe und lokal (Empfehlung)
• Die Daten werden auf den geschützten TIME for kids Datensafe-Servern unter Beachtung aller
Datenschutzanforderungen abgelegt. Es werden keine personenbezogenen Logfiles o.ä. im Datensafe
gespeichert. Die Sicherung erfolgt einmal täglich, diese Einstellung wird empfohlen.
8/17/2019 Handbuch_SRP_1-03.pdf
26/13226
TIME for kids Schulrouter Plus
Automatische Datensicherung nur lokal
• Das Archiv der Datensicherung wird nur lokal auf ihrem Schulrouter Plus erstellt. Die Sicherung
erfolgt einmal täglich.
Automatische Datensicherung deaktivieren
• Eine automatische Datensicherung wird nicht erstellt, diese Einstellung wird nicht empfohlen.
Datensicherungsarchiv importieren
• Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus
importieren. Wählen Sie die Datei des Sicherungssatzes auf z.Bsp. Ihrem lokalen PC aus. Mit der
Angabe einer Anmerkung und dem Klicken auf Importieren laden Sie den Sicherungssatz hoch. Der
Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden.
2.7 Herunterfahren
Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten.
Sie können einfach einen der entsprechenden Buttons anklicken, um die Aktion sofort auszuführen.
Zusätzlich dazu können sie einen beliebigen Zeitpunkt an einem oder mehreren Wochentagen festlegen, an
dem der Schulrouter Plus regelmäßig heruntergefahren oder neu gestartet wird.
8/17/2019 Handbuch_SRP_1-03.pdf
27/13227
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
33.1 System-Status 25
3.2 Netzwerkstatus 26
3.3 Systemdiagramm 27
3.4 Netzwerkdiagramme 28
3.5 Proxydiagramme 29
3.6 Verbindungen 303.7 OpenVPN Verbindungen 30
3.8 SMTP Mailstatistik 30
3.9 Email-Warteschlange 30
HAUPTMENÜ STATUS
8/17/2019 Handbuch_SRP_1-03.pdf
28/13228
TIME for kids Schulrouter Plus
3 HAUPTMENÜ STATUS
3.1 System—Status
Dienste
• Zeigt alle Dienste und deren aktuellen Status an, insbesondere auch den Schulfilter Plus
Speicher
• Zeigt die Auslastung vom Arbeitsspeicher und von der Swapdatei.
Festplattenbelegung
• Zeigt den verfügbaren und belegten Festplattenplatz
8/17/2019 Handbuch_SRP_1-03.pdf
29/13229
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
3.2 Netzwerkstatus
Schnittstellen• Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. Dies beinhaltet
u.a. Informationen aller Netzwerk-Schnittstellen, inkl. PPP, IPSec, Loopback, etc..
Netzwerkkarten
• Zeigt bestimmte Eigenschaften der Netzwerkkarten, wie z.B. ob ein Link augebaut ist, oder welche
Geschwindigkeit ausgehandelt wurde.
Routingtabelleneinträge
• Zeigt die Einträge der Routingtabelle an.
ARP Tabelleneinträge
• Zeigt die Einträge der ARP-Tabelle an.
8/17/2019 Handbuch_SRP_1-03.pdf
30/13230
TIME for kids Schulrouter Plus
3.3 Systemdiagramm
Diese Seite zeigt Ihnen für den aktuellen Tag bzw. für die aktuelle Woche, Monat und Jahr,folgende Diagramme:
• CPU-Nutzung
• Speichernutzung
• Nutzung von Auslagerungsspeicher (Swap)
• Festplattenzugriff
Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und Jahr
gewechselt werden.
8/17/2019 Handbuch_SRP_1-03.pdf
31/13231
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
3.4 Netzwerkdiagramme
Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen Netzwerk-Schnittstellen an.
Durch einen Klick auf eines der DIAGRAMME kann die Darstellung zwischen Tag, Woche, Monat und Jahr
gewechselt werden.
8/17/2019 Handbuch_SRP_1-03.pdf
32/13232
TIME for kids Schulrouter Plus
3.5 Proxydiagramme
Diese Seite zeigt die Diagramme der Zugriffsstatistiken des HTTP-Proxy der letzten 24 Stunden an.
Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.
Diagramme zur Proxyauslastung:
Zugriffe
• Zeigt die Anzahl der Zugriffe auf den Proxy an.
Übertragungen
• Zeigt die Größe der Daten-Übertragungen über den Proxy an.
Durchschnittliche TCP-Übertragungsdauer
• Zeigt die Dauer der Übertragungen an.
8/17/2019 Handbuch_SRP_1-03.pdf
33/13233
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
3.6 Verbindungen
Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den
Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle gekennzeich-net. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei weitere Farben benutzt:
Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbindungen über ein VPN.
3.7 OpenVPN Verbindungen
Diese Seite zeigt eine Liste mit Verbindungen über OpenVPN. Es gibt hier die möglichkeiten Verbindungen
zu beenden oder verbundene Benutzer zu blockieren.
3.8 SMTP Mailstatistik
Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur zur
Verfügung, wenn der SMTP-Proxy verwendet wird.
3.9 Email-Warteschlange
Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn der
SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.
8/17/2019 Handbuch_SRP_1-03.pdf
34/13234
TIME for kids Schulrouter Plus
3434
44.1 Netzwerkkonfiguration 31
4.2 Host bearbeiten 35
4.3 Routing 36
4.4 Internet/WAN Verbindungen 37
HAUPTMENÜ NETZWERK
8/17/2019 Handbuch_SRP_1-03.pdf
35/13235
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
4 HAUPTMENÜ NETZWERK
4.1 Netzwerkkonfiguration
Die Konfiguration der Netzwerkschnittstellen kann schnell und einfach mit dem Netzwerksetup-
Assistenten geändert werden. Der Assistent ist in mehrere Schritte unterteilt. Sie können mit
vor und zurück navigieren und die Änderungen mit Abbrechen verwerfen. Sie werden erst im letzten Schritt
gefragt, ob die Einstellungen übernommen werden sollen.
Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Während dessen ist die
Konfigurationsoberfläche nicht erreichbar.
Im Folgenden ist jeder der einzelnen Schritte beschrieben:
Schritt 1 — Typ für ROT auswählen
Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfigurieren (üblicherweise die Verbindung
zu Ihrem Provider). Der Schulrouter Plus unterstützt die folgenden Verbindungs-Typen:
Ethernet statisch
• Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen. Dies ist übli-
cherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten Router vebunden ist.
Ethernet DHCP
• Sie möchten, dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem vorgelagerten
Gerät bezieht. Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten
Router verbunden ist, der DHCP liefert. Zu empfehlen ist aber dabei eher die Einstellung „Ethernet
statisch“.
PPPoE (DSL-Direkteinwahl)
• Diese Option ist zu wählen, wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist und die
Einwahl vom Schulrouter Plus übernommen werden soll.
8/17/2019 Handbuch_SRP_1-03.pdf
36/13236
TIME for kids Schulrouter Plus
Schritt 2 — Netzwerkzonen auswählen
An diesem Punkt hat Schulrouter Plus bereits zwei Schnittstellen definiert:
GRÜNDas grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die
Schüler-Endgeräte befinden.
ROT
Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene
DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann auch
ein zweites rotes Netzwerk definiert werden. Hierdurch ist eine Erhöhung der Internetbandbreite z.B.
über eine zweite DSL-Leitung möglich.
Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind:
BLAU
Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulverwaltungs-End-
geräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist physikalisch vom Schulnetz-
werk getrennt. Es kann aber bei Bedarf eine gesicherte Verbindung zwischen den Netzwerken zur Daten-
übertragung eingerichtet werden.
ORANGE
Das orangene Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden
z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch einehöhere Absicherung vor unberechtigten Zugriffen benötigen. Das orangene Netzwerk kann aber auch als
„normales“ drittes Netzwerk verwendet werden.
Schritt 3 — Netzwerkeinstellungen
In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen definiert (Grün, Blau, Orange).
Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt:
IP-Adresse
• Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll (z.B. 192.168.0.1). Achten Sie
darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach dem Ändern
der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden (z.B. DHCP-Server oder erlaubte
Subnetze im Proxy).
Netzwerkmaske
• Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten im
Subnetz dieselbe Netzwerkmaske verwenden.
Weitere Adressen
• Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen.
8/17/2019 Handbuch_SRP_1-03.pdf
37/13237
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Schnittstellen
• Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei mindestens
einer Schnittstelle zugeordnet sein. Eine Schnittstelle läßt sich nur einer Zone zuordnen. Ordnen
Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnittstellen so, als wären sie Teil einesSwitches. Ein Symbol zeigt den aktuelle Status ,der Schnittstelle: ein grüner Hacken zeigt, dass
der Link aktiv ist. Ein rotes Kreu zeigt, dass kein Link vorhanden ist.
Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.
Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich nicht
mit anderen Schnittstellen überschneidet. Zum Beispiel:
IP = 192.168.0.1, Netzwerkmaske = /24 — 255.255 .255.0 für GRÜN
IP = 192.168.1.1, Netzwer kmaske = /24 — 255.255 .255.0 für ORANGE IP = 192.168.2.1, Netzwer kmaske = /24 — 255.255 .255.0 für BLAU
i
Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den
privaten Bereich reserviert sind:
10.0.0.0 — 10. 255.255.255 (10.0.0.0/8), 16.777.216 Adressen
172.16.0.0 — 172.31.255.255 (172.16.0.0/12), 1.048.576 Adressen
192.168.0.0 — 192.168.255.255 ( 192.168.0.0/16), 65.536 Adressen
Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die Broadcast-
adresse und dürfen nicht vergeben werden.
Schritt 4 — Internetverbindungseinstellungen
Dieser Schritt erlauben die Konfiguration der roten Schnittstelle und somit die Konfiguration des
Internetzugangs. Sie finden auf dieser Seite unterschiedliche Konfigurationsmöglichkeiten, je nachdem
welche Option Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen
nachsich ziehen.
Hier werden die Konfigurationen für jeden Typ erklärt:
Für Alle
• Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit der sich
der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmeldediensten nötig).
Ethernet statisch
• Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben. Weiterhin
müssen Sie die IP-Adresse des Standardgateways festlegen.
8/17/2019 Handbuch_SRP_1-03.pdf
38/13238
TIME for kids Schulrouter Plus
Ethernet DHCP
• Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP empfangen
werden soll oder ob dieser von Ihnen festgelegt wird.
PPPoE
• Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an. Für die
Authentifizierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet werden. Sie können
auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische von Ihrem Provider überge-
ben wird (Standard-Einstellung) oder manuell eingegeben werden muss.
PPPoE-Verbindungen werden vom Schulrouter Plus automatisch in der Nacht zwischen 0 Uhr und
4 Uhr getrennt und erneut verbunden. Dies ist notwendig, da der Provider PPPoE-Verbindungen
nach 24 Stunden automatisch trennt und somit sichergestellt ist, dass dies nicht während der
Unterrichtszeit geschieht.
Schritt 5 — DNS-Server konfigurieren
Hier definieren Sie bis zu zwei DNS-Server, wenn sie nicht automatisch zugewiesen werden. Soll nur ein
Nameserver verwendet werden, muss die IP-Adresse doppelt eingetragen werden. Die IP-Adresse muss für
den Schulrouter Plus erreichbar sein.
Schritt 6 — Konfiguration anwenden
Mit dem letzten Schritt bestätigen Sie die neuen Einstellungen.
Klicken Sie OK, KONFIGURATION ÜBERNEHMEN um die Konfiguration abzuschließen. Das Übernehmen der
Einstellungen kann bis zu einer Minute dauern. Während dieser Zeit ist das Cockpit nicht erreichbar und eine
Verbindungen zu und durch den Schulrouter Plus ist nicht möglich. Das Cockpit aktualisiert sich nach den
Änderungen automatisch. Wenn Sie die IP-Adresse von GRÜN geändert haben, werden Sie automatisch an
die richtige IP-Adresse weitergeleitet. In diesem Fall, oder wenn sie den Hostnamen geändert haben, wird ein
neues SSL-Zertifikat generiert und es kann evtl. ein Warnhinweis vom Browser erscheinen.
8/17/2019 Handbuch_SRP_1-03.pdf
39/13239
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
4.2 Host bearbeiten
Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht, neben der Zwischenspeicherung von DNS-Infor-
mationen aus dem Internet, auch die manuelle Eingabe von Hostcomputern, deren Adressinformationen
lokal verwaltet werden sollen. Bei diesen Hostcomputern kann es sich beispielsweise um lokale Computer
oder Computer im Internet handeln, deren Adressinformationen überschrieben werden sollen.
Aktuelle HostsIn diesem Bereich werden die aktuell konfigurierten lokalen DNS-Einträge angezeigt. Sie können die Liste
sortieren, indem Sie auf eine der drei unterstrichenen Spaltenüberschriften klicken. Ein weiterer Klick dreht
die Sortierreihenfolge um. Zum Bearbeiten eines Eintrags klicken Sie auf das zugehörige Stift-Symbol . Die
Daten des Eintrags werden in dem Formular darüber angezeigt. Nehmen Sie die gewünschten Änderungen
vor und klicken Sie dann im Formular auf die Schaltfläche Aktualisieren .
Zum Löschen eines Eintrags klicken Sie auf das zugehörige Löschen-Symbol. Über Host hinzufügen können
Sie einen manuellen Host anlegen.
Folgende Daten müssen eingegeben werden:
IP-Adresse
• Geben Sie in dieses Feld die IP-Adresse ein.
Hostname
• Geben Sie in dieses Feld den Hostnamen ein.
Domainname
• Geben Sie in dieses Feld den Domänennamen ein, falls sich der Hostcomputer in einer anderen
Domäne befindet.
8/17/2019 Handbuch_SRP_1-03.pdf
40/13240
TIME for kids Schulrouter Plus
4.3 Routing
Statisches RoutingAktuelle Routing-Einträge
Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden. Wird an
dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet, muss hier für jedes VLAN ein
Eintrag mit der IP des Switch als Gateway gesetzt werden.
Klicken Sie auf eine neue Route hinzufügen um eine neue Route mit folgenden Feldern
anzulegen:
Quell-Netz
• Quell-Netz in CIDR-Schreibweise (Bsp.: 192.168.10.0/24)
Ziel-Netz
• Ziel-Netz in CIDR-Schreibweise (Bsp.: 192.168.20.0/24)
Route über
• Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus, über die
geroutet werden soll.
8/17/2019 Handbuch_SRP_1-03.pdf
41/13241
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Aktiviert
• Markieren zum Aktivieren (Standard).
Anmerkung• Geben Sie der Regel eine Anmerkung.
Klicken Sie auf Route hinzufügen um die Regel zu bestätigen. Sie können die Route mit den entsprechenden
Icons aktivieren bzw. deaktivieren.
Dynamisches Routing
• Durch Aktivieren der Funktion Dynamisches Routing wird sichergestellt, dass bei nicht verfügbaren sta-
tischen Routen, diese vorübergehend deaktiviert werden und automatisch andere verfügbare Routen
gewählt werden.
4.4 Internet-Verbindungen
WAN-Verbindung erstellen
• Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende Formular aus. Die
Felder sind weitestgehend identisch mit dem Netzwerkassistenten.
Folgende Felder unterscheiden sich zum Netzwerkassistenten:
WAN-Verbindung beim Starten aktivieren
• Diese Einstellung legt fest, ob diese WAN-Verbindung beim Starten des Schulrouter Plus automatisch
verbunden werden soll.
Wenn diese WAN-Verbindung fehlschlägt aktiviere
• Hier können Sie festlegen, ob eine andere WAN-Verbindung gewählt werden soll, falls diese WAN-Ver-
bindung ausfällt.
8/17/2019 Handbuch_SRP_1-03.pdf
42/13242
TIME for kids Schulrouter Plus
Wiederverbindungs-Timeout
• Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird, wenn die
Verbindung ausfällt. Bleibt das Feld leer, wird sofort die Wiederverbindung versucht.
4.4.1 Internet-Verbindungen
VLAN ermöglicht eine Unterteilung des Lokalen-Netzwerkes. Traditionell separiert man sein Lokales-Netz-
werk, indem man mehrere Netzwerkkarten für die verschiedenen Teilnetze verwendet. Dies ist ab einer
gewissen Größe aber nicht mehr praktikabel. VLAN ermöglicht es mehrere unabhängige Netzwerke zu
konfigurieren, die über eine einzelne Netzwerkkarte geroutet werden.
Der SRP verfügt über 4 Netzwerkzonen (Grün, Blau, Orange, Rot) diese Zonen haben unterschiedliche
Bedeutungen im Sicherheitskonzept des SRP (auf welche hier nicht eingegangen wird). Diesen Zonen kann
man in der Netzwerkkonfiguration jeweils beliebig viele vorhandene Netzwerkkarten zuweisen, deren Traffic
dann unter den jeweiligen Sicherheitsaspekten geroutet wird.
Weist man einer Netzwerkkarte VLAN-Netze zu, so ist diese nicht mehr für Zonen auswählbar. An ihre Stelle
treten die konfigurierten VLAN-Netze deren Traffic dann über die Netzwerkkarte geroutet werden. Dies
ermöglicht es insbesondere mehrere Sicherheitszonen einer Netzwerkkarte zuzuweisen. Zu beachten ist
hierbei, dass das VLAN-Interface einen eigenen IP-Adressraum benötigt, welcher unabhängig vom Adress-
raum des Anschlusses ist, zu dem das VLAN gehört.
Zur Einrichtung eines oder mehrerer VLAN-Netze benötigt man einen VLAN-Fähigen Switch. Die VLAN-IDs
des Switch konfiguriert man entsprechend den VLAN-Einstellungen des Schulrouter Plus.
4.5 Lastverteilung
Hier kann man die Prozentuale Verteilung des Datenverkehrs auf die einzelnen Uplink-Verbindungen konfi-
gurieren.
8/17/2019 Handbuch_SRP_1-03.pdf
43/13243
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
55.1 DHCP Server 38
5.2 Dynamischer DNS 42
5.3 Antivirus 44
5.4 Zeitserver 46
5.5 Trafficshaping 47
5.6 Spam Training 485.7 Einbruchdetektierung 50
5.8 Datenverkehrsüberwachung 51
6.1 Portweiterleitung / NAT 52
HAUPTMENÜ DIENSTE
8/17/2019 Handbuch_SRP_1-03.pdf
44/13244
TIME for kids Schulrouter Plus
5 HAUPTMENÜ DIENSTE
5.1 DHCP Server
DHCP (Dynamic Host Configuration Protocol) ermöglicht eine Steuerung der Netzwerkkonfiguration aller
Computer über den Schulrouter Plus. Computer, die eine Verbindung zum Netzwerk herstellen, wird eine gül-
tige IP-Adresse zugewiesen und ihre DNS-Konfiguration wird vom Schulrouter Plus festgelegt. Um diese
Funktion verwenden zu können, müssen die Computer im Netzwerk so konfiguriert sein, dass sie ihre Netz-
werkkonfiguration automatisch erhalten.
Sie können auswählen, welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll.
Aktivieren Sie einfach die entsprechenden Kontrollkästchen. Aktivieren Sie einfach die entsprechenden
Kontrollkästchen.
DHCP-Server Parameter
• Aktiviert
Markieren Sie dieses Feld, um den DHCP-Server für dieses Netzwerk zu aktivieren.
Anfangsadresse und Endadresse
• Sie können die unterste und die oberste Adresse angeben, die der Server für andere Computer bereit-
stellt. Wenn sich in Ihrem Netzwerk Computer befinden, die DHCP nicht verwenden, deren IP-Ad-
ressen also manuell festgelegt werden, sollten Sie die Anfangs- und Endadresse so wählen, dass
der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt.
8/17/2019 Handbuch_SRP_1-03.pdf
45/13245
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Standard Lease Zeit (Min)
• Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert zu ver-
wenden. Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten, die für IP-Adress-Leases reser-
viert werden. Vor dem Ablauf des Lease (der Zeitpunkt, zu dem die zugewiesene IP-Adresse ver-fällt) fordern die Clientcomputer, unter Angabe ihrer aktuell gültigen IP-Adresse eine Erneuerung
der Lease an. Bei einer Anforderung auf eine Erneuerung der Lease werden ggf. durchgeführte
Änderungen an DHCP-Parametern berücksichtigt und die Clientkonfiguration wird entsprechend
aktualisiert. Im Allgemeinen werden IP-Adresszuordnungen vom Server erneuert.
Maximale Lease-Zeit (Min)
• Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert zu ver-
wenden. Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten), in dem der DHCP-Server Clientan-
fragen auf Erneuerung der Lease für die aktuell gültige IP-Adresse immer zustimmt. Nach Ablauf der
maximalen Vorhaltezeit kann die IP-Adresse des Clients vom Server geändert werden. Wenn der Be-reich des Pools für die Vergabe von IP-Adressen (der dynamische IP-Adressbereich) zwischenzeitlich
geändert wurde, erhält der Client eine neue IP-Adresse aus dem neuen dynamischen IP-Adressbereich.
Domain-Name-Suffix
• Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf, dass das Format keinen führenden
„Punkt“ vorsieht. Hier wird der Domänenname festgelegt, den der DHCP-Server für seine Clients ver-
wendet. Wenn ein Hostname nicht aufgelöst werden kann, versucht der Client erneut, den ursprüngli-
chen Namen mit dem als Namen angegeben Suffix aufzulösen.
Die DHCP-Server von vielen Internetdienstanbietern sind so konfiguriert, dass als Standarddomänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf, beim Internetzu-
griff „www“ als Standard-Homepage in ihrem Browser festzulegen.
„www“ ist jedoch kein voll qualifizierter Domänen-Name (FQDN). Der voll qualifizierte Domänen-
name des Webservers wird jedoch automatisch clientseitig über die Software Ihres Computers
erstellt, indem das Suffix des Domänennamens, wie von dem DHCP-Server des Internetdienstan-
bieters vorgegeben, angehängt wird. Legen Sie das Domänen-Name-Suffix entsprechend der Vor-
gabe des DHCP-Servers Ihres Internetdienstan bieters fest, damit die Benutzer in Ihrem Intranet
die Teiladresse „www“ weiterhin nicht eingeben müssen.
Primärer DNS
• Legt für die Clients des DHCP-Servers fest, welcher Server als primärer DNS-Server verwendet
werden soll. Da der Schulrouter Plus auch einen DNS-Proxy enthält, wird in der Regel empfohlen, den
Standardwert zu verwenden. In diesem Fall wird für den primären DNS-Server die IP-Adresse des
Schulrouter Plus verwendet. Wenn Sie einen eigenen separaten DNS-Server verwenden, geben
Sie dessen IP-Adresse in das Feld ein.
Sekundärer DNS
• Sie können auch einen sekundären DNS-Server angeben, der verwendet wird, falls der primäre DNS-
Server nicht verfügbar sein sollte. Dieser DNS-Server könnte beispielsweise ein weiterer DNS-Server in
Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein.
8/17/2019 Handbuch_SRP_1-03.pdf
46/13246
TIME for kids Schulrouter Plus
Erster NTP-Server
• Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen NTP-Servers
an Geräte in Ihrem Netzwerk weiterleiten wollen, können Sie die IP-Adresse des NTP-Servers in dieses
Feld eingeben. Der DHCP-Server gibt diese Adresse bei der Übergabe der Netzwerkparameter an alleClients weiter.
Zweiter NTP-Server
• Wenn Sie eine zweite NTP-Server-Adresse haben, geben Sie diese hier ein. Der DHCP-Server gibt diese
Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter.
Erste zweite WINS-Server Adresse
• Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server (Windows Inter-
net Naming Service-Server) verwenden, können Sie in diese Felder den primären und falls vor-
handen sekundären WINS-Server eintragen. Der DHCP-Server gibt diese Adresse bei derÜbergabe der Netzwerkparameter an die Hostcomputer weiter.
Für erfahrene Benutzer ist es möglich, weitere angepasste DHCP-Regeln zu der Konfigu-
ration hinzufügen. Diese können in dem Textfeld „Benutzerdefinierte Konfigurationszei-
len“ eingetragen werden. Beachten Sie, dass hier keine Prüfung der Syntax durch den
Schulrouter Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers
verhindern können.
i
Aktuelle feste ZuordnungenWenn sich in Ihrem Netzwerk Computer befinden, deren IP-Adressen zentral verwaltet werden sollen, für die
es jedoch darüber hinaus auch erforderlich ist, dass sie stets dieselbe IP-Adresse erhalten, können Sie über
den DHCP-Server festlegen, dass diesen Computern auf Grundlage der MAC-Adresse der in dem Computer
installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. Diese Art der Konfiguration unterschei-
det sich wesentlich von der manuellen Adresszuweisung, da auch diese Computer weiterhin ihre IP-Adressen
von dem DHCP-Server beziehen. Die Adressen werden also nicht manuell auf dem Computer selbst, sondern
zentral über den DCHP-Server vergeben.
Für feste Zuordnungen können die folgenden Parameter festgelegt werden:
MAC-Adresse
• Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers, für den die
feste Zuordnung gelten soll.
Das Format der MAC-Adresse lautet xx:xx:xx:xx:xx:xx, und nicht xx-xx-xx-xx-xx-xx, wie es auf
einigen Computern angezeigt wird (Beispiel: 00:e5:b0:00:02:d2).
IP-Adresse
• Dies ist die festzugeordnete IP-Adresse, die der DHCP-Servertets für die angegebene MAC-Adresse
vergeben soll. Stellen Sie sicher, dass Sie keine IP-Adresse aus dem dynamischen Adressbereich des
DHCP-Servers vergeben.
8/17/2019 Handbuch_SRP_1-03.pdf
47/13247
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Beschreibung
• Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen.
Nächste Adresse• Möglicherweise befinden sich in Ihrem Netzwerk Computer, die eine Startdatei von einem Server im
Netzwerk erhalten müssen (sog. Thin Clients). Bei Bedarf können Sie in diesem Feld die Serveradresse
angeben.
Dateiname
• Geben Sie den Namen der Startdatei für diesen Computer an.
Rootpfad
• Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befindet, können Sie in diesem Feld
den Pfad zu der Startdatei angeben.
Aktiviert
• Aktivieren Sie dieses Kontrollkästchen, um den DHCP-Server anzuweisen, die angegebene feste Zu-
ordnung bereitzustellen. Ist das Kontrollkästchen nicht aktiviert, wird der entsprechende Datensatz
zwar in den Dateien des Schulrouter Plus gespeichert, der DHCP-Server gibt die Zuordnung jedoch
nicht aus.
Liste der festen Zuordnung
• In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und können bearbeitet oder ge-
löscht werden. Sie können die Liste sortieren, indem Sie auf die unterstrichenen SpaltenüberschriftenMAC-Adresse oder IP-Adresse klicken. Ein weiterer Klick dreht die Sortierreihenfolge um. Zum Bearbei-
ten einer bestehenden festen Zuordnung klicken Sie auf das zugehörige Stift -Symbol. Die Werte für
die feste Zuordnung werden im Ausschnitt „Fixe Lease hinzufügen“ weiter oben angezeigt. Nehmen
Sie die gewünschten Änderungen vor und klicken Sie dann auf Speichern . Zum Löschen einer beste-
henden festen Zuordnung klicken Sie auf das zugehörige Papierkorb -Symbol.
Aktuelle Dynamische Zuordnungen
An dieser Stelle werden die aktuellen dynamischen Zuordnungen angezeigt.
Hinzufügen
• Die markierten Dynamischen Verbindungen können der Liste der festen Zuordnungen hinzugefügt
werden.
8/17/2019 Handbuch_SRP_1-03.pdf
48/13248
TIME for kids Schulrouter Plus
5.2 Dynamischer DNS
Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen, auch
wenn dieser über keine statische öffentliche IP-Adresse verfügt. Um dynDNS verwenden zu können, müssen
Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren.
Anschließend muss Ihr Server jedes Mal, wenn eine Verbindung zum Internet hergestellt und ihm von Ihrem
Internetdienstanbieter eine IP-Adresse zugewiesen wird, dem dynDNS-Server diese IP-Adresse mitteilen.
Hostcomputer, die eine Verbindung zu Ihrem Server herstellen möchten, lösen die Adresse über den
dynDNS-Server auf, der die aktuellste gültige IP-Adresse bereitstellt. Ist diese IP-Adresse
aktuell, kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt, die festgelegten
Firewall Regeln lassen dies zu).
Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die automati-
sche Aktualisierung bei zahlreichen dynDNS-Anbietern.
Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen, bekommt er in aller Regel von Ihrem
Provider eine externe IP zugeordnet, mit der Sie auch von außen auf den Schulrouter Plus
zugreifen können. Diese Adresse sehen Sie auf der Startseite. Wird dort eine externe IP angezeigt, wählen
Sie hier den ersten Auswahlpunkt.
Wird dort eine IP-Adresse angezeigt, die in Ihrem internen Netzwerk liegt wenn Sie also bspw. einen vorgela-
gerten Router verwenden wählen Sie die zweite Variante, die versucht, die externe IP über eine Webseite
zu bekommen.
Aktuelle Hosts
• Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden.
Dienst
• Wählen Sie einen dynDNS-Anbieter aus der Dropdownliste aus. Sie sollten bei dem aus gewählten
Anbieter bereits registriert sein.
8/17/2019 Handbuch_SRP_1-03.pdf
49/13249
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Hinter einem Proxy
• Aktivieren Sie dieses Kontrollkästchen nur dann, wenn Sie als Anbieter » www.no-ip.com gewählt
haben und der Schulrouter Plus sich hinter einem Proxyserver befindet.
Dieses Kontrollkästchen wird bei Auswahl eines anderen Anbieters nicht berücksichtigt.
Platzhalter erlauben
• Wenn Sie Platzhalterzeichen zulassen, ermöglichen Sie, dass alle Unterdomänen Ihres dynamischen
DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. Ist das Kontrollkästchen
aktiviert, erhält beispielsweise die Unterdomäne » www.srp.dyndns.org dieselbe IP-Adresse wie die
übergeordnete Domäne » www.timeforkids.dyndns.org. Wenn Sie als Anbieter » www.no-ip.com
gewählt haben, wird das Kontrollkästchen nicht berücksichtigt, da dieser Anbieter die Einstellung
dieser Option ausschließlich über seine Website ermöglicht.
Hostname• Geben Sie den Hostnamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Domäne
• Geben Sie den Domänennamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Benutzername
• Geben Sie den Benutzernamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Passwort
• Geben Sie das Kennwort für den Benutzernamen ein.
Aktiviert
• Aktivieren Sie dieses Kontrollkästchen, damit der Schulrouter Plus die auf dem dynDNS-Server
hinterlegten Daten aktualisiert. Die Daten werden auch auf dem Schulrouter Plus gespeichert, wenn
das Kontrollkästchen deaktiviert ist. Auf diese Weise können Sie die dynDNS-Aktualisierung zu einem
späteren Zeitpunkt wieder aktivieren, ohne die Daten erneut eingeben zu müssen.
Hinter einem Router (NAT)
• Wählen Sie dies aus, wenn der Schulrouter Plus über einen vorgelagerten Router ins Internet geht.
In diesem Fall wird der Dienst von » www.checkip.dyndns.org verwendet um die externe IP herauszu-
finden.
8/17/2019 Handbuch_SRP_1-03.pdf
50/13250
TIME for kids Schulrouter Plus
5.3 Antivirus
Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von ClamAV. Indiesem Bereich können Sie einstellen, wie ClamAV mit Archiv-Bomben umgeht und wie oft Virenupdates
heruntergeladen werden.
Antivirus Konfiguration
Um diese Arten von Angriffen zu unterbinden, ist der Antivirus-Dienst so vorkonfiguriert, dass Archive mit
bestimmten Eigenschaften nicht gescannt werden:
Max. Größe des Archives
• Archive, die größer als die angegebene MB-Zahl sind.
Max. Archive in Archiven
• Archive, die wiederum andere Archive beinhalten, wenn die Anzahl der eingebetteten Archive diese
Zahl übersteigt.
Max. Anzahl von Dateien in Archiven
• Archive, die mehr als die hier angegebene Anzahl von Dateien enthalten.
8/17/2019 Handbuch_SRP_1-03.pdf
51/132
8/17/2019 Handbuch_SRP_1-03.pdf
52/13252
TIME for kids Schulrouter Plus
5.4 Zeitserver
Der Schulrouter Plus kann so konfiguriert werden, dass die Uhrzeit mit einem Zeitserver im Internet abgegli-
chen wird.
Eine Anzahl von Zeitservern ist bereits voreingestellt. Mit Aktivieren von STANDARD NTP SERVER ÜBER-
SCHREIBEN können Sie eigene NTP-Server eintragen. Hier muss jeder NTP-Server in eine eigene Zeile
geschrieben werden.
Darunter können Sie auch die Zeitzone festlegen.
Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.
8/17/2019 Handbuch_SRP_1-03.pdf
53/13253
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
5.5 Trafficshaping
Trafficshaping, also die Optimierung der Datenübertragung, ermöglicht die Festlegung von Vorrangregeln
für die verschiedenen Datenströme, die durch die Firewall geleitet werden.
Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit, die Übertragungsverfahren des Datenaufkommens
selbst Ihren Bedürfnissen entsprechend zu optimieren. Die Steuerung erfolgt durch die Einstufung desDatenaufkommens in Prioritätsstufen „Hoch“, „Mittel“ und „Niedrig“.
Die Ping-Übertragung erhält stets die höchste Priorität, damit Sie auch dann die Geschwindigkeit Ihrer
Verbindung genau überprüfen können, während umfangreiche Downloads aus dem Internet
durchgeführt werden.
So verwenden Sie die Trafficshaping-Funktionalität im Schulrouter Plus:
1. Verwenden Sie einen DSL Speedtest im Internet, um die maximalen Upload- und Download-
geschwindigkeiten zu ermitteln. Geben Sie die so ermittelten Geschwindigkeiten in die entspre-
chenden Felder im Bereich Einstellungen der Webseite ein.
2. Aktivieren Sie die Übertragungsoptimierung, indem Sie die WAN-Verbindung bearbeiten und die
maximal zu verwendende Geschwindigkeit eingeben.
3. Ermitteln Sie, welche Dienste in Ihrem Netzwerk verwendet werden, bei denen Datenübertragun-
gen über die Firewall vom bzw. ins Internet erfolgen.
8/17/2019 Handbuch_SRP_1-03.pdf
54/13254
TIME for kids Schulrouter Plus
4. Weisen Sie diesen die gewünschte Priorität zu. Beispiel:
a. Interaktivem Datenaufkommen wie SSH (Port 22) und VoIP wird die Prioritätsstufe „Hoch“
zugeordnet.
b. Standarddatenaufkommen wie surfen (Port 80) und Kommunikation (bspw. E-Mail- Verkehr
über Port 25 bzw. 110) s owie Audio- und Videostreaming wird die Prioritätsstufe „Mittel“
zugeordnet.
c. Dauerdatenübertragungen wie beispielsweise P2P-Dateifreigaben erhalten die
Prioitätsstufe „Niedrig“.
5. Erstellen Sie durch den Klick auf Einen Dienst erstellen eine Liste mit Diensten und den jeweils
zugeordneten Prioritätsstufen.
Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfigurationen zur Optimierung der
Übertragung des Datenaufkommens. Sie sollten die Einstufung in die drei Prioritätskategorien entsprechend
den Anforderungen in Ihrem Netzwerk anpassen.
5.6 Spam Training
Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfiguriert werden, um automatisch zu
lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermöglichen, benötigt der Dienst einen
über IMAP erreichbaren Mailserver, damit dort voreingestellte Ordner überprüft werden.
Die Standardkonfiguration wird noch nicht für das Training verwendet.
Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern, die darunter konfigu-
riert wird. Durch Klick auf Standardkonfiguration bearbeiten öffnet sich darunter ein neuer Bereich, in dem
die Standardeinstellungen gesetzt werden können:
8/17/2019 Handbuch_SRP_1-03.pdf
55/13255
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Standard IMAP Host
• Der IMAP-Mailserver, der die Trainingsordner beinhaltet.
Standard-Benutzername• Der Anmeldename für den IMAP-Mailserver.
Standard-Passwort
• Das zugehörige Passwort.
Standard-Hamordner
• Der Name des Ordners, der nur HAM-Mails beinhaltet. Dieser Ordner beinhaltet Mails, die nicht als
Spam zu klassifizieren sind.
Standard-Spamordner• Der Name des Ordners, der nur Spam-Mails beinhaltet.
Für automatisches Spamfilter-Training vormerken
• Das Intervall zwischen den Prüfungen. Das regelmäßige Training kann entweder deaktiviert werden,
so dass es nur manuell durchgeführt werden kann (z.B. nach einer Überprüfung der entsprechenden
Ordner auf Richtigkeit) oder in regelmäßigen Abständen automatisch ausgeführt werden.
In dem Bereich darunter können die entsprechenden „Trainingsserver“ konfiguriert werden. Durch einen
Klick auf IMAP Spam Trainingsquelle hinzufügen öffnet sich ein neuer Bereich.
Die Einstellungen für weitere „Trainingsserver“ entspricht den Standardeinstellungen. Es fehlt nur dieEinstellung der Regelmäßigkeit. Diese wird immer von den Standardeinstellungen übernommen.
Drei weitere Optionen sind verfügbar:
Aktiviert
• Erst wenn hier eine MARKIERUNG gesetzt ist, wird diese Quelle für das Training verwendet.
Anmerkung
• In diesem Feld können Sie eine Anmerkung einfügen.
Bearbeitete Mails löschen
• Nach dem Training werden die verwendeten E-Mails gelöscht.
Die anderen Optionen können genauso wie in der Standardkonfiguration vorgenommen werden. Wenn Sie
hier gesetzt werden überschreiben Sie die Standardeinstellung. Eine Quelle wird mit dem entsprechenden
Button getestet, aktiviert, bearbeitet oder gelöscht.
Es ist auch möglich die Verbindung zu allen Quellen zu testen, indem Sie oben auf den Button
Alle Verbindungen testen klicken. Wenn mehrere Quellen definiert sind, kann dies einige Zeit
in Anspruch nehmen, abhängig von der Geschwindigkeit der Mailserver und der Anzahl der definierten
Quellen.
8/17/2019 Handbuch_SRP_1-03.pdf
56/13256
TIME for kids Schulrouter Plus
Um das Training sofort zu starten, klicken Sie auf Training jetzt starten. Abhängig von der Anzahl der Quellen,
der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails, die für das Trai-
ning zur Verfügung stehen, kann das Training einige Zeit in Anspruch nehmen.
Sie können das Anti-Spam-Training auch manuell durchführen, wenn der SMTP Proxy angeschaltet ist.
Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an » [email protected] für
Spamnachrichten und an » [email protected] für Hamnachrichten machen.
Dafür ist notwendig, dass die Domänen „spam.spam“ und „ham.ham“ aufgelöst werden können indem Sie
unter >4.2 NETZWERK - HOSTS BEARBEITEN
8/17/2019 Handbuch_SRP_1-03.pdf
57/13257
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
5.8 Datenverkehrsüberwachung
Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den Button oben
aktiviert oder deaktiviert werden. Wenn die Datenverkehrsüberwachung aktiviert ist, erscheint darunter ein
Link, der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrsüberwachung weiter-
leitet. Diese Administrationsoberfläche wird ebenfalls von „ntop“ geliefert und enthält detaillierte
Statistiken über den Datenverkehr.
Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben, wobei der
Verkehr nach Host, Protokoll, Schnittstellen und weiteren Parametern gefiltert werden kann.
Für detaillierte Informationen über die ntop-Administrationsoberfläche besuchen Sie die „ntop“
Dokumentation unter: » http://www.ntop.org/documentation.html
8/17/2019 Handbuch_SRP_1-03.pdf
58/13258
TIME for kids Schulrouter Plus
58
66.1.2 SourceNAT 54
6.2 Ausgehender Datenverkehr 56
6.3 Interner Datenverkehr 58
6.4 Systemzugriffe 59
HAUPTMENÜ FIREWALL
8/17/2019 Handbuch_SRP_1-03.pdf
59/13259
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
6 HAUPTMENÜ FIREWALL
6.1 Portweiterleitung / NAT
6.1.1 Portweiterleitung
Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz. Manchmal kann diese
Einstellung zu restriktiv sein. Wenn Sie z.B. einen Webserver betreiben, würden alle von
außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. Dies würde
bedeuten, dass der Webserver nur aus dem internen Netz zu nutzen wäre. Dies ist natürlich nicht die Nor-
malsituation für einen Webserver. In den meisten Fällen sollen Außenstehende den
Zugriff auf Ihren Webserver erhalten. Für diese Fälle gibt es Port-Weiterleitungen. Wenn Sie diese Ports
kennen, können Sie die Port-Weiterleitung im Schulrouter Plus konfigurieren.
Klicken Sie auf Eine neue Portweiterleitung hinzufügen, um eine Portweiterleitung zu erstellen.
Sie können individuell definieren, welche Anfragen von welcher Schnittstelle über welchen Port zu welchem
Client geleitet werden. Folgende Parameter müssen dabei festgelegt werden:
Protokoll
• TCP, UDP, GRE (generic routing encapsulation) wird von Tunneln verwendet, z.B. PPTP-VPN) oder
Alle Protokolle.
Eingehende IP
• Die externe Schnittstelle. Hier kann eine der verwendeten roten Schnittstellen, alle roten Schnittstel-
len oder VPN-Verbindungen gewählt werden.
Eingehender Port
• Auf welchem Port (1 - 65535) soll der Schulrouter Plus an den roten Schnittstellen auf
Anfragen warten.
Ziel-IP-Adresse
• Die IP-Adresse des internen Clients, an den die Anfrage von extern geleitet werden soll.
8/17/2019 Handbuch_SRP_1-03.pdf
60/13260
TIME for kids Schulrouter Plus
Ziel-Port
• Der Port am Client intern an, den die externe Anfrage geleitet werden soll.
Anmerkung• Eine eigene Anmerkung, um später die Regel schnell wiederzufinden.
Aktiviert
• Diese Regel aktivieren
SNAT eingehende Verbindungen
• Legen Sie fest, ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus (aktiviert)
oder mit der externen IP des Anfragenden ankommen.
Enable log• Alle Pakete über diese Regel protokollieren.
Klicken Sie auf Hinzufügen um die Regel zu bestätigen. Sie können die Regel in der Zeile mit den
entsprechenden SYMBOLEN bearbeiten, de-/aktivieren oder sie löschen.
Vergessen Sie nicht nach dem Ändern bzw. Hinzufügen der Regeln oben auf Übernehmen zu klicken!
Wenn eine Regel definiert ist, können Sie den Zugriff von außen beschränken. Mit dem Klick auf das
Plus-Symbol der entsprechenden Regel öffnet sich darüber eine Maske, in der Sie die IP-Adresse oder das
Netz derjenigen eintragen können, die nur die Weiterleitung nutzen dürfen. Das setzt voraus, dass diese eine
feste externe IP haben. Um weitere Quellen zu definieren wiederholen Sie den Schritt.
6.1.2 SourceNAT
In diesem Unterabschnitt können Sie definieren, für welche ausgehende Verbindungen „Source Network
Adress Translation“ (SourceNAT) genutzt werden sollen. SourceNAT kann nützlich sein, wenn ein Server im
internen Netz eine eigene externe IP bekommen und für den Datenverkehr des Servers ins Internet nicht die
externe IP-Adresse der roten Schnittstelle verwendet werden soll.
8/17/2019 Handbuch_SRP_1-03.pdf
61/132
8/17/2019 Handbuch_SRP_1-03.pdf
62/13262
TIME for kids Schulrouter Plus
6.2 Ausgehender Datenverkehr
Die ausgehende Verbindungsfirewall regelt den Datenverkehr von den internen Netzen nach außen. Die
Standardeinstellungen reichen aus, um im Internet surfen und E-Mails abholen zu können. Sie können diese
Regeln nach Ihren Bedürfnissen erweitern, um bspw. Lernsoftware die Verbindung ins Internet über
benötigte Ports zu gewähren.
• Mit dem Schalter Ausgehende Firewall deaktivieren/aktivieren können Sie die ausgehende Verbin-
dungsfirewall komplett deaktivieren, so dass jeglicher Datenverkehr von innen nach außen gelangt.
• Mit der Einstellung Alle akzeptierten ausgehenden Verbindungen protokollieren protokolliert der Schul-
router Plus alle akzeptierten Pakete im >FIREWALLLOG
8/17/2019 Handbuch_SRP_1-03.pdf
63/13263
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das
System verlangsamen.!
Im Abschnitt „Aktuelle Regeln“ sind alle bereits definierten aktivierten Firewall-Regeln aufgelistet. Diese
sind nach ihrer Priorität absteigend sortiert: Ist bspw. als erstes der Port 80 freigegeben und darunter eine
Regel, die die Ports 50 bis 100 sperrt, wird dennoch Port 80 freigegeben. In dieser Ansicht können Sie auch
die Priorität der Regeln ändern, indem Sie die Pfeile in der entsprechenden Zeile benutzen. Außerdem
können Sie die Regeln de-/aktivieren, bearbeiten und löschen.
Am Ende der Seite werden die Systemregeln angezeigt. Diese Regeln werden automatisch vom Schulrouter
Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Sie können nicht verändert oder
gelöscht werden.
Wenn Sie eine neue Firewallregel anlegen möchten, klicken Sie auf Eine neue Firewallregel hinzufügen. Zum
Bearbeiten klicken Sie auf das entsprechende Stift-Symbol in der Zeile der Regel, die Sie bearbeiten möch-
ten. Es öffnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Um die Regel zu de-/aktivieren,
setzen Sie entsprechend den HAKEN in den Punkt „AKTIVIERT:“ und drücken den Button Speichern, nach-
dem alle Einstellungen für diese Regel getätigt sind.
Folgende Einstellungen können gesetzt werden:
Quelle
• Für welche Quelle soll diese Regel gelten. Sie können entweder Netzwerkschnittstellen, Zonen, IP-Ad-ressen/IP-Bereiche oder MAC-Adressen verwenden. Es können mehrere Quellen gleichen Typs verwen-
det werden.
Ziel IP Adresse
• Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet verwendet
werden. Sie können hier entweder WAN-VERBINDUNGEN oder IP-ADRESSEN/ IP-BEREICHE wählen.
Es können mehrere Quellen gleichen Typs verwendet werden.
Dienst/Port
• Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese Regel
angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen, so dass Port
und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen.
Aktionen
• Legen Sie fest, ob der Vorgang gestattet oder abgelehnt werden soll.
Anmerkung
• Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.
8/17/2019 Handbuch_SRP_1-03.pdf
64/13264
TIME for kids Schulrouter Plus
Position:
• Wie bereits erwähnt, ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln
festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Alle akzeptierten Pakete loggen
• Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >FIREWALLLOG
8/17/2019 Handbuch_SRP_1-03.pdf
65/13265
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
hender Datenverkehr“ können Sie diese Einstellungen ein-/ausschalten, Regeln bearbeiten, löschen
und hinzufügen.
Wird der interne Datenverkehr deaktiviert, werden alle Verbindungen untereinander er-laubt (Datenverkehr zu ROT ausgeschlossen). Dies ist nicht zu empfehlen! Durch Klick
auf Eine neue Interne Firewallregel hinzufügen können Sie eine neue Regel hinzufügen. Die Ein-
stellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.
!
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch
übernommen werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem
entsprechenden Schalter!
!
6.4 Systemzugriffe
Hier können Sie den Zugriff direkt auf den Schulrouter Plus regeln. Es gibt eine Liste vorkonfigurierter
Regeln, die für den Betrieb der einzelnen Dienste und für den Zugriff auf die Konfigurationsoberflächen
notwendig sind. Klicken Sie auf Eine neue Systemzugangsregel hinzufügen um eine neue Regel für den
Systemzugriff zu erstellen.
Diese Einstellungen können gemacht werden:
Quelladresse
• Legen Sie eine oder mehrere IP-Adressen, Netzwerke oder MAC-Adressen fest, deren Zugriff mit die-
ser Regel festgelegt werden soll. Diese Einstellung ist optional, wenn Sie den kompletten Zugriff aus
bestimmten Zonen (Quellschnittstellen) gewähren wollen.
8/17/2019 Handbuch_SRP_1-03.pdf
66/13266
TIME for kids Schulrouter Plus
Quellschnittstelle
• Legen Sie fest, aus welcher Zone oder über welche Schnittstelle dieser Zugriff geregelt werden soll.
Dienst/Port• Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese Regel
angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen, so dass Port
und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen.
Aktion
• Stellen Sie ein, ob der Zugriff gewährt, abgelehnt (ohne Rückmeldung) oder abgewiesen (Meldung an
den Sender) werden.
Anmerkung
• Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.
Position
• Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln festgelegt.
Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Aktiviert
• Anhaken zum Aktivieren der Regel (Standard).
Alle akzeptierten Pakete loggen
• Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >FIREWALLLOG
8/17/2019 Handbuch_SRP_1-03.pdf
67/13267
TIME for kids Schulrouter Plus
einfach sicher pädagogisch
77.1 HTTP 61
7.1.1 Konfiguration 61
7.1.1.1 Erlaubte Ports und SSl Ports 62
7.1.1.2 Log-Einstellungen 637.1.1.3 Erlaubte Subnetze pro Zone 63
7.1.1.4 Interner Datenverkehr 64
7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele 64
7.1.1.6 Cache Verwaltung 65
7.1.1.7 Vorgelagerter Prox