Вы находитесь на странице: 1из 130

T I M E for kids Schulrouter Plus

Handbuch
Version: 1.0.1
Stand: November 2009

Kurzanleitung Handbuch Handbuch Handbuch


a Schulrouter Plus a Schulrouter Plus a Schulfilter Plus a Antivirus Plus

 030 293 69 89 0  kontakt@time-for-kids.de  www.time-for-kids.de


T I M E for kids Handbuch Schulrouter Plus

Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung
geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden.

TIME for kids Schulrouter Plus und TIME for kids Schulfilter Plus sind Markenzeichen der
TIME for kids Informationstechnologien GmbH.

Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General
Public License (http://www.gnu.org/licenses/gpl.html) distributiert.

Permission is granted to copy, distribute and/or modify this document under the terms of the GNU
Free Documentation License, Version 1.2 or any later version published by the Free Software Founda-
tion; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled >GNU Free Documentation License<.

© 2009 TIME for kids Informationstechnologien GmbH.

Gubener Str. 47, 10243 Berlin

www.time-for-kids.de
T I M E for kids Handbuch Schulrouter Plus

Inhaltsverzeichnis
1 Einleitung 7
1.1 Das Schulrouter Plus Konzept 7
1.2 Das Handbuch 7
1.3 Effektive Nutzung des Handbuches 8
1.3.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus 8

1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie 8


1.3.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen 9
1.4 Orientierungshilfe 10
1.4.1 Was macht ein Router? 10

1.4.2 Unterschied DSL-Modem/Router 10


1.5 Integration ins Schulnetzwerk 11

1.5.1 Benötigte Netzwerkinformationen 11


1.5.2 Grundszenario 11
1.5.3 Netzwerksegmentierung 12
1.5.4 Kombination mit anderen Serverdiensten im Netzwerk 13
1.5.5 Client-PCs konfigurieren 13
1.6 Schulfilter Plus konfigureieren 14
1.7 Das Schulfilter Plus Cockpit 15

2 Hauptmenü System 17
2.1 Startseite 17
2.2 Updates 19
2.3 Passwörter 20
2.4 Fernwartung / Support 21
2.5 Benutzeroberfläche 22
2.6 Datensicherung 23
2.7 Herunterfahren 25

3 Hauptmenü Status 26
3.1 System-Status 26
3.2 Netzwerkstatus 27
3.3 Systemdiagramm 28
T I M E for kids Handbuch Schulrouter Plus

3.4 Netzwerkdiagramme 29
3.5 Proxydiagramme 30
3.6 Verbindungen 31
3.7 OpenVPN Verbindungen 31
3.8 SMTP Mailstatistik 31
3.9 Email-Warteschlange 31

4 Hauptmenü Netzwerk 32
4.1 Netzwerkkonfiguration 32
4.2 Host bearbeiten 37
4.3 Routing 38
4.4 Internet/WAN 39

5 Hauptmenü Dienste 40
5.1 DHCP Server 40
5.2 Dynamischer DNS 45
5.3 Antivirus 47
5.4 Zeitserver 49
5.5 Trafficshaping 50
5.6 Spam Training 52
5.7 Einbruchdetektierung 54
5.8 Datenverkehrsüberwachung 55

6 Hauptmenü Firewall 56
6.1 Portweiterleitung / NAT 56
6.1.1 Portweiterleitung 56
6.1.2 SourceNAT 58
6.2 Ausgehender Datenverkehr 60
6.3 Interner Datenverkehr 63
6.4 Systemzugriffe 64

7 Hauptmenü Proxy 66
7.1 HTTP 66
7.1.1 Konfiguration 66
7.1.1.1 Erlaubte Ports und SSl Ports 68
7.1.1.2 Log-Einstellungen 68
7.1.1.3 Erlaubte Subnetze pro Zone 69
7.1.1.4 Interner Datenverkehr 69
T I M E for kids Handbuch Schulrouter Plus

7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele 70


7.1.1.6 Cache Verwaltung 70
7.1.1.7 Vorgelagerter Proxy 71
7.1.2 Authentifizierung 72
7.1.2.1 Lokale Authentifizierung 74
7.1.2.1.1 Benutzerverwaltung 74
7.1.2.2 LDAP 75
7.1.2.3 Windows 76
7.1.2.4 Radius 77
7.1.3 Standardrichtlinie 78
7.1.4 Antivirus 80

7.1.5 Gruppenregeln 81

7.2 POP3 82

7.2.1 Globale Einstellungen 82


7.2.2 Spam Filter 83

7.3 FTP 84
7.4 SMTP 85

7.4.1 Hauptseite 85
7.4.2 Antivirus 87
7.4.3 Spam 88
7.4.4 Dateierweiterungen 90
7.4.5 Blacklist-Whitelist 91
7.4.6 Domains 93
7.4.7 Mailrouting 94
7.4.8 Erweitert 95

7.5 DNS 98

7.5.1 DNS Proxy 98


7.5.2 Benutzerdefinierter Nameserver 98
7.5.3 Anti-Spyware 99

8 Hauptmenü VPN 100


8.1 OpenVPN Server 103

8.1.1 Serverkonfiguration 103


8.1.2 Konten 104
8.1.3 Erweitert 106
T I M E for kids Handbuch Schulrouter Plus

8.2 OpenVPN Client (Gw2Gw) 108


8.3 IPSec 110

9 Hauptmenü Protokolle 115


9.1 Zusammenfassung 115
9.2 System 116
9.3 Dienst 117
9.4 Firewall 118
9.5 Proxy 119

9.5.1 http 119


9.5.2 SMTP 120
9.5.3 SIP 120

9.6 Einstellungen 121

10 Hauptmenü Schulfilter Plus 123


11 Hauptmenü Logout 123
12 Anhang 123
12.1 Impressum 123
12.2 Haftungsausschluss 124
12.3 GNU Free Documentation License 125
Konfiguration Schulrouter Plus

1 Einleitung
1.1 Das Schulrouter Plus Konzept
Der Schulrouter Plus mit integriertem Schulfilter Plus und Antivirus Plus ist die Basis für alle Schul-
netzwerke. Er ist sowohl für kleine, mittlere und große Schulen mit ihren unterschiedlichen Anforder-
ungen geeignet. Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini, Classic und BIG eine
skalierbare Hardwarebasis. Die Software-Basis und die Bedieneroberflächen sind bei allen Schulrouter
Plus Modellen gleich. Die Konfiguration des Schulrouter Plus erfolgt über das so genannte Cockpit,
eine webbasierte Bedieneroberfläche. Diese bietet hauptsächlich Rechte und Funktionen für den
Administrator.

Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste. Bitte prüfen Sie vor der
Einrichtung, ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und
ggf. durch den Schulrouter Plus ersetzt werden können. Dies kann zu einer Optimierung und einer
Kostenreduktion in der Schule führen.

Im Schulrouter Plus sind der Schulfilter Plus und der Antivirus Plus integriert und können sofort verwendet
werden. Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden Handbücher oder
wenden sie sich an das TIME for kids Service-Center für Schulen.

Die TIME for kids Produkte Schulrouter Plus, Schulfilter Plus und Antivirus Plus passen sich hervorra-
gend in jedes Betriebs- und Servicekonzept ein. Der Administrator der Schule kann ganz oder teilweise
Aufgaben auf andere Service Partner delegieren.

Das webbasierte TIME for kids Service-Center bietet Servicepartnern wie Schulträgern, Medienzentren,
Kommunalen-Rechenzentren und IT-Dienstleistern vor Ort für die Betreuung einerVielzahl von Schulen mit
dem Schulrouter Plus eine Managementoberfläche für das Monitoring und die Fernwartung. Alle Akteure
können entsprechend ihrem Service-Level-Auftrag Rechte erhalten.
Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs- und Servicekonzeptes.
1.2 Das Handbuch
Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu
konfigurieren. Folgende Darstellungskonventionen wurden vorgenommen, um Ihnen dies zu erleich-
tern. Wenn Sie einmal nicht weiter wissen, können Sie gern unser Service-Center für Schulen kontak-
tieren. http://support.time-for-kids.de

Textmarkierungen: Symbole:

Verweis auf externe Quelle
>Verweis auf anderen Bereich im Handbuch< i Wichtige Information
Befehlseingabe
Webseite / Link
AUFFORDERUNG ZUM TASTENDRUCK
ê
! Warnhinweis

7
Konfiguration Schulrouter Plus

1.3 Effektive Nutzung des Handbuches


Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches
beschrieben. Bitte schauen Sie sich die Szenarien an und entscheiden dann, welcher Teil des Hand-
buches für Sie relevant ist.

1.3.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus

TIME for kids stellt für Sie einen besonderen Service bereit. Ihr Schulrouter Plus kann für Ihre Netz-
werksituation vorkonfiguriert werden. Der besondere Vorteil besteht darin, dass Sie den Schulrouter
Plus nach der Lieferung nur noch mit dem Strom- und Schulnetz sowie dem DSL-Modem verbinden
müssen um eine Arbeitsfähigkeit herzustellen.
In diesem Handbuch sind nach einer Vorkonfiguration für Sie nur noch die kurzen Kapitel 1.4, 1.5 und
1.6 relevant (Umfang: ca. 4 Seiten). Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur
notwendig, wenn Sie weitere tiefergehende Einstellungen vornehmen möchten.

Um einen Vorkonfigurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor:

Schulrouter Plus bei TIME for kids bestellen

Über die Webseite www.schulrouterplus.de/vorkonfiguration Ihre Konfigurationsdaten an


TIME for kids übermitteln.

Gelieferten, vorkonfigurierten Schulrouter Plus auspacken und anschließen, siehe Aufbauanlei


tung im Karton.

1.3.2 Szenario 2 – Grundkonfiguration des Schulrouter Plus in Eigen-regie

Sollten Sie den Vorkonfigurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind
für die Grundkonfiguration des Schulrouter Plus in diesem Handbuch die Kapitel 1,4, und 7.1 relevant
(Umfang ca. 31 Seiten).

Um den Schulrouter Plus zu erhalten und zu konfigurieren gehen sie wie folgt vor:

Schulrouter Plus bei TIME for kids bestellen

Gelieferten Schulrouter Plus auspacken und anschließen, siehe Aufbauanleitung im Karton.

Handbuch studieren, Kapitel 1,4,7.1

Grundkonfiguration des Schulrouter Plus vornehmen

8
Konfiguration Schulrouter Plus

1.3.3 Szenario 3 – Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen

Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere
Nut-zung des Internets in Ihrer Schule.
Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen
empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca. 100 Seiten). Gern können
Sie auch die Hilfe unseres Service-Center für Schulen in Anspruch nehmen.

9
Konfiguration Schulrouter Plus

1.4 Orientierungshilfe
1.4.1 Was macht ein Router?

Ein Router ist ein Gerät, das mehrere Netzwerke koppelt. Das bedeutet, bei ihm eintreffende Netzwerk-
Pakete eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet),
also bspw. von einem internen Schulnetz ins Internet. Der TIME for kids Schulrouter Plus übernimmt
zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste, siehe Punkt 1.5.3.

1.4.2 Unterschied DSL-Modem/Router

Das DSL-Modem, im Fachjargon „NTBBA“ ist ein Modem zur Übertragung von Daten über eine
DSL-Leitung. Das DSL-Modem bildet den Netzabschluss für die DSL-Leitung. DSL-Modems können
direkt an einen PC (z.B. per USB), oder an ein Netzwerk (mit einem Router) angeschlossen werden.
Heutzutage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft.
Im Nachfolgenden einige optische Beispiele.

DSL-Modem

Router

DSL-Modem und Router im Vergleich

10
Konfiguration Schulrouter Plus

1.5 Integration ins Schulnetzwerk

1.5.1 Benötigte Netzwerkinformationen

Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfigurierten Schulrouter
Plus oder folgende Daten und Kenntnisse Ihres Netzwerks:

Internet-Zugangsdaten

Informationen über bestehende Netzwerke

IP-Adress-Bereiche der internen Netze

Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt?

Wie sind die Client-PCs konfiguriert? Ist eventuell schon ein Proxy eingestellt?

Active Directory-Einstellungen, sowie Administrator-Zugang (optional)

1.5.2
Grundszenario

Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem, er übernimmt dann auch
die Einwahl. Haben Sie bereits einen Router in Betrieb, können Sie den Schulrouter Plus auch an Ihren
Router anschließen und die Einwahl Ihrem Router überlassen. In den meisten Fällen kann auf den
vorhandenen Router verzichtet werden.

Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke:

Über die rote Schnittstelle wird nach außen der Gefahrenbereich, also das Internet, eingebun
den. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen, muss
eine freie Schnittstelle entsprechend um konfiguriert werden. Lesen Sie hierzu bitte das
Kapitel 4.4

Das grüne Netz repräsentiert Ihr erstes Netzwerk, das im Normalfall die Schüler-PCs bein-haltet.

Mit dem blauen Netz können Sie bspw. Ihre Verwaltung (und somit kritische Daten) von dem
Schüler-Netz trennen.

Das orange Netz steht zur freien Verfügung, z.B. für eine DMZ oder ein weiteres Netz.

Alle Netze sind komplett voneinander getrennt und können sich nicht sehen. Daher müssen
auch alle Netze unterschiedliche IP-Adress-Bereiche besitzen!

11
Konfiguration Schulrouter Plus

Schaubild Schulrouter Plus – Einordnung im Netzwerk

1.5.3 Netzwerksegmentierung

Wie in Punkt 1.5.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen,
somit muss auch das Netzwerk darauf abgestimmt sein, dass PCs nicht auf Server in einem anderen
Netzwerk zugreifen können.

Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden, der
sich im Schüler-Netz befindet.

In solchen Fälle ist zu überlegen, ob diese Konstellation erhalten bleiben muss. Die Firewall des
Schulrouter Plus kann so konfiguriert werden, dass ein eingeschränkter Zugriff auf spezifische
Ressourcen zwischen den Netzen möglich wird.

12
Konfiguration Schulrouter Plus

1.5.4 Kombination mit anderen Serverdiensten im Netzwerk

Der Schulrouter Plus stellt unter Anderem folgende Serverdienste zur Verfügung:

Proxy

Internetfilter (Schulfilter Plus)

DHCP

DNS

VPN

Firewall

AntiSpam

Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus
ersetzt werden.

Weiterhin ist darauf zu achten, dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchti-
gen, z.B. ein zweiter DHCP-Server mit anderen Einstellungen.

1.5.5 Client-PCs konfigurieren

Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. Ihren
vorgelagerten Router mit der roten Schnittstelle, sowie einen PC (oder Ihr Netzwerk) mit der grünen
Schnittstelle verbunden haben (siehe Markierungen auf der Rückseite des Gerätes).

Bei Ihren, an den Schulrouter Plus angeschlossenen, Client-PCs müssen Sie darauf achten, dass
folgende Einstellungen getätigt werden:

In den benutzten Browsern darf kein Proxy eingestellt sein:

Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras ’ Internetoptionen ’ Reiter
„Verbindungen“ ’ Button „LAN-Einstellungen“ ’ die Elemente unter Proxyserver sind ausgegraut

Die entsprechende IP des Schulrouter Plus (im grünen Netz, die der Schnittstelle Grün) ist als
Stan-dardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfiguration das vorsieht) oder auf
“IP-Adresse automatisch beziehen” gesetzt.

13
Konfiguration Schulrouter Plus

Screenshot - IP Einstellungen am Client

1.6 Schulfilter Plus konfigureieren


Ihr Schulrouter Plus ist jetzt einsatzfähig. Wenn Sie mit einem Schüler-PC im Internet surfen greift
bereits ein voreingestellter Grundschutz. Um den integrierten Schulfilter Plus an Ihre Bedürfnisse
anzupassen, benutzen Sie die Weboberfläche (Cockpit) des Schulfilter Plus. Dieses erreichen Sie
entweder über den Link im Menü des Schulrouter Plus oder über die Adresse

http://RouterIP:83

Das Handbuch zum Schulfilter Plus finden Sie separat auf unserer Support-Seite

http://support.time-for-kids.de

14
Konfiguration Schulrouter Plus

1.7 Das Schulfilter Plus Cockpit


Die Konfiguration des Schulrouter Plus nehmen Sie über das so genannte Cockpit, eine webbasierte
Bedienoberfläche, vor.
Um das Cockpit zu erreichen schließen Sie mindestens einen PC an die GRÜNE LAN-Schnittstelle des
Schulrouter Plus an.

Der angeschlossene PC muss so konfiguriert sein, dass er seine IP-Adresse per DHCP
ê
! automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes
befindet. Die Grundkonfiguration entnehmen Sie bitte dem Beipackzettel im Karton

Jetzt können Sie das Cockpit über die Eingabe h tt p : // R outer I P : 8 1 in einem Internetbrowser
auf Ihrem PC erreichen. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht. Ihr
Internet-Browser wird Sie über unsignierte Sicherheitszertifikate informieren und zur Bestätigung
auffordern. Dies können Sie ohne Bedenken bestätigen.

Sie werden nun aufgefordert sich mit einem Benutzeraccount und einem Passwort anzumelden.
Verwenden Sie hierfür „tfkadmin“ als Benutzername und Passwort. Nach dem erfolgreichen Login
sollten Sie das Passwort sofort ändern (>siehe Kapitel 2.3 Passwörter<).

Das Schulrouter Plus Cockpit gliedert sich in drei Teile:

1. Hauptmenü
2. Untermenü zum jeweiligen Hauptmenü
3. Konfigurationsseiten

15
Konfiguration Schulrouter Plus

Generell sollten Sie bei größeren Veränderungen der Konfiguration immer eine Datensicherung
vornehmen, um die Möglichkeit zu besitzen den Schulrouter Plus ggf. wieder auf einen vorherigen
Konfigurationsstand zu bringen.

Bei einigen Konfigurationen wird nach der Speicherung der Einstellungen ein Neustart der entsprechenden
Dienste durchgeführt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.

Die Konfigurationsseiten des Cockpits enthalten folgende Standardelemente, welche Sie für die
Bedienung benötigen:

Auswahl/ Bestätigung Verschieben/ Reihenfolge ändern



(aktiviert/ deaktiviert) Firewall akzeptiert
Exportieren Firewall anhalten
Löschen Firewall verwerfen
Wiederherstellen Verweigert
Hinzufügen/ Erstellen Info
Verbindung testen Warnung
Editieren Tipp
Erweitern/ Öffnen Speicher-Button o.ä. sind
Minimieren/ Schließen entsprechend gekennzeichnet

16
Konfiguration Schulrouter Plus

2 Hauptmenü System
2.1 Startseite

Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk).
Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung
angezeigt. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen
„Primäre WAN-Verbin-dung“.

Stati der Verbindungen:

“Angehalten”
Es besteht keine Onlineverbindung.

“Baue Verbindung auf...”


Die Verbindung wird gerade hergestellt.

“Verbunden”
Die Verbindung ist erfolgreich aufgebaut.

“Beende Verbindung...”
Die Verbindung wird getrennt.

“Fehler”
Es gibt einen Fehler beim Verbindungsaufbau.

System 17
Konfiguration Schulrouter Plus

“Wiederverbindungs Timeout”
Es gab einen Fehler beim Wiederherstellen der Verbindung. Es wird weiter versucht.

“Verbindung unterbrochen”
Die Verbindung ist zwar hergestellt, aber der Host, der zur Überprüfung definiert ist, ist nicht
erreichbar. Das heißt normalerweise, dass die Verbindung nicht zu nutzen ist.

Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. Im Modus
“Verwaltet” überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbind-
ung automatisch wieder her. Wird der Modus “Verwaltet” deaktiviert, kann die Verbindung manuell
her-gestellt oder getrennt werden. Es wird kein automatischer Wiederaufbau der Verbindung
eingeleitet, wenn die Verbindung getrennt wird.

System 18
Konfiguration Schulrouter Plus

2.2 Updates

Der Bereich Updates ist in drei Abschnitte aufgeteilt:


Automatische Updates
Im ersten Abschnitt haben Sie die Möglichkeit automatische Updates zu aktivieren.
Rechts wird automatisch der nächste freie Update-Zeitpunkt angezeigt. Durch das klicken auf den
Button Neu Gene-rieren wird ein neuer Zeitpunkt berechnet.
Verfügbare Updates
Jedes Mal, wenn die Seite Update aufgerufen wird, wird die Verfügbarkeit neuer Updates
überprüft. Neu verfügbare Updates werden mit einer kurzen Beschreibung angezeigt. Um ein Update
auszuführen, klicken Sie auf den Button Herunterladen und Installieren, der dann verfügbar
ist. Das Update wird heruntergeladen und sofort ausgeführt. Sie können außerdem alle verfügbaren
Updates hintereinander installieren, indem Sie den Button Alle Updates Herunterladen und
Installieren anklicken.
Installierte Updates
Nachdem ein Update installiert wurde, wird hier der entsprechende Eintrag ergänzt. Durch Klicken auf
den Button Update deinstallieren können Sie das letzte Update rückgängig machen.

Nur offizielle Schulrouter-Updates werden auf dem Schulrouter Plus installiert. Einige
i
Updates führen einen automatischen Neustart des Schulrouter aus. Lesen Sie
deshalb bitte alle Update-Informationen, bevor Sie ein Update installieren und lassen Sie die
Updates nur in Zeiten ausführen, in denen es zu keiner Betriebsstörung kommen kann.

System 19
Konfiguration Schulrouter Plus

2.3 Passwörter

Passwörter ändern
Sie können hier jedes Passwort für sich ändern. Geben Sie jedes neue Passwort zweimal ein und
drücken auf Passwort ändern. Die Passwörter folgender Benutzer können verändert werden:

admin
Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf.

root
Der Benutzer, der sich auf der Linux-Konsole anmelden kann.

System 20
Konfiguration Schulrouter Plus

2.4 Fernwartung / Support

Zugangseinstellung
Auf der Seite Fernwartung/ Support können Sie festlegen, ob ein gesicherter Fernzugriff für den
Schulrouter Plus möglich sein soll oder nicht. Außerdem können Sie hier weitere Parameter für den
Fernzugriff-Prozess konfigurieren.

Folgende Optionen können über diese Seite konfiguriert werden:

Fernwartung/ Support
Das Einschalten aktiviert den SSH-Zugriff. Wenn der externe Systemzugriff
(siehe Kapitel >6.4 Systemzugriffe<) nicht aktiviert ist, ist SSH nur über das grüne Netzwerk
erreichbar. Mit aktiviertem SSH-Zugriff kann sich jeder, der das root-Passwort kennt, auf der
Kommandozeile anmelden.

Unterstützung für Version 1 des SSH-Protokolls:


Diese Option aktiviert die Unterstützung der Version 1 des SSH-Protokolls. Von der Verwenung
dieser Option wird dringend abgeraten, da bekannte Sicherheitslücken der Version 1
existieren.

Erlaube TCP Weiterleitung


Diese Option ermöglicht es, SSH-verschlüsselte Tunnelverbindungen aufzubauen.

System 21
Konfiguration Schulrouter Plus

Passwortbasierte Authentifizierung zulassen


Diese Option ermöglicht es Benutzern, sich beim Schulrouter Plus mittels des root-Passworts
anzumelden. Wenn Sie diese Option ausschalten, müssen Sie zunächst Ihre SSH Schlüssel-
dateien konfigurieren und sicherstellen, dass Sie sich mit den Schlüsseldateien einloggen
können.

Authentifizierung auf Basis öffentlicher Schlüssel zulassen
Mit dieser Option wird die Authentifizierung auf Basis öffentlicher Schlüssel zugelassen. Dies
ist die bevorzugte Methode, den SSH-Zugriff auf dem Schulrouter Plus abzusichern.

SSH Host Schlüssel
Dieser Abschnitt listet die Fingerabdrücke der von Schulrouter Plus verwendeten SSH-Schlüssel auf, die
Sie verwenden können, um eine SSH-Verbindung mit dem Schulrouter Plus zu verifizieren. Wenn Sie
das erste Mal eine SSH-Verbindung zum Schulrouter Plus erstellen, wird der Fingerabdruck angezeigt,
und Sie werden aufgefordert, die Korrektheit zu bestätigen. Sie können den angezeigten Schlüssel mit
der Darstellung auf dieser Seite vergleichen.

2.5 Benutzeroberfläche

Einstellungen
Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen.

Folgende Optionen können über diese Seite konfiguriert werden:

Wählen Sie Ihre Sprache


Über dieses Drop-Down-Menü können Sie eine Sprache wählen, mit der die Seiten des
Schulrouter Plus Cockpits dargestellt werden.

Hostname im Fenstertitel anzeigen:


Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. Dies kann
hilfreich sein, wenn Sie mehr als einen Schulrouter Plus administrieren.

System 22
Konfiguration Schulrouter Plus

2.6 Datensicherung

In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten
Datensicherung zurückspringen. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert
und können auf Ihren Computer heruntergeladen werden. Es ist auch möglich, die Konfiguration auf
einen Wiederherstellungspunkt zurück zu setzen und regelmäßig automatisierte Datensicherungen
durchzuführen.

Folgende Optionen können über diese Seite konfiguriert werden:

Datensicherungssätze
Beim Klicken auf Neue Datensicherung durchführen öffnet sich ein Dialog zur Konfiguration
der geplanten Datensicherung:

Konfiguration einschließen
Schließt alle Einstellungen mit ein.

Konfiguration und Datenbankinhalt einschließen


Schließt zusätzlich alle Datenbankinhalte mit ein.

System 23
Konfiguration Schulrouter Plus

Logs aufnehmen
Schließt die aktuellen Protokolle mit ein.

Log Archive aufnehmen


Schließt ältere Protokolle mit ein. Diese Einstellung kann den Umfang der Datensicherungs-
menge stark erhöhen.

Anmerkung
Hier kann ein zusätzlicher Kommentar hinterlassen werden.

Klicken Sie auf Backup erzeugen um die Datensicherung mit den oben gemachten Einstellungen zu
erzeugen.

In der Liste der vorhandenen Datensicherungen können Sie, durch einen Klick auf das entsprechende
Icon auf der rechten Seite, ausgewählte Datensicherungen herunterladen, löschen oder wieder-
herstellen. Jede Datensicherung ist mit einer Markierung versehen:

S: Einstellungen. Die Datensicherung beinhaltet alle Einstellungen.



D: Datenbankinhalt. Die Datensicherung beinhaltet auch Datenbankinhalte.

E: Archiv ist verschlüsselt. Die Datensicherung ist verschlüsselt.

L: Log Dateien. Die Datensicherung beinhaltet Protokolle

A: Log Archive. Die Datensicherung beinhaltet ältere Log Dateien

!: Fehler beim Senden der Sicherung. Die Datensicherung ist fehlerhaft.




Datensicherungsarchive mit einem öffentlichen GPG Schlüssel verschlüsseln
Sie können einen GPG public key bereitstellen, der für die Verschlüsselung verwendet wird. Laden
Sie den GPG public key von Ihrem Client-PC und stellen Sie sicher, dass „Datensicherungsarchive
verschlüsseln“ aktiviert ist. Mit Klick auf SPEICHERN laden Sie den Schlüssel hoch und aktivieren die
Verschlüsselung.

Datensicherungsarchiv importieren
Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus
importieren. Wählen Sie die Datei des Sicherungssatzes auf Ihrem lokalen PC aus. Mit der Angabe
einer Anmerkung und dem Klicken auf Importieren laden Sie den Sicherungssatz hoch.
Der Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden.

System 24
Konfiguration Schulrouter Plus

2.7 Herunterfahren

Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten.
Sie können einfach einen der entsprechenden Buttons anklicken, um die Aktion sofort auszuführen.

System 25
Konfiguration Schulrouter Plus

3 Hauptmenü Status
3.1 System-Status

Dienste
Zeigt alle Dienste und deren aktuellen Status an.

Speicher
Zeigt die Auslastung von Arbeitsspeicher und Swapdatei.

Festplattenbelegung
Zeigt den verfügbaren und belegten Festplattenplatz

Status 26
Konfiguration Schulrouter Plus

3.2 Netzwerkstatus

Schnittstellen
Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. Dies beinhaltet
u.a. Informationen aller Netzwerk-Schnittstellen inkl. PPP, IPSec, Loopback, etc..

Netzwerkkarten
Zeigt bestimmte Eigenschaften der Netzwerkkarten, wie z.B. ob ein Link augebaut ist, oder welche
Geschwindigkeit ausgehandelt wurde.

Routingtabelleneinträge
Zeigt die Einträge der Routingtabelle an.

ARP Tabelleneinträge
Zeigt die Einträge der ARP-Tabelle an.

Status 27
Konfiguration Schulrouter Plus

3.3 Systemdiagramm

Diese Seite zeigt Ihnen für den aktuellen Tag bzw. für die aktuelle Woche, Monat und Jahr, folgende
Diagramme:

• CPU-Nutzung
• Speichernutzung
• Nutzung von Auslagerungsspeicher (Swap)
• Festplattenzugriff

Durch einen Klick auf eines der Diagramme kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.

Status 28
Konfiguration Schulrouter Plus

3.4 Netzwerkdiagramme

Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen
Netzwerk-Schnittstellen an.

Durch einen Klick auf eines der Diagramme kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.

Status 29
Konfiguration Schulrouter Plus

3.5 Proxydiagramme

Diese Seite zeigt die Diagramme der Zugriffsstatistiken des HTTP-Proxy der letzten 24 Stunden an.
Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.

Diagramme zur Proxyauslastung

Zugriffe
Zeigt die Anzahl der Zugriffe auf den Proxy an.

Übertragungen
Zeigt die Größe der Daten-Übertragungen über den Proxy an.

Durchschnittliche TCP-Übertragungsdauer
Zeigt die Dauer der Übertragungen an.

Status 30
Konfiguration Schulrouter Plus

3.6 Verbindungen

Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den
Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle
gekennzeichnet. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei
weitere Farben benutzt: Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbin-
dungen über ein VPN.

3.7 OpenVPN Verbindungen


Diese Seite zeigt eine Liste mit Verbindungen über OpenVPN. Es gibt hier die Möglich Verbindungen zu
beenden oder verbundene Benutzer zu blockieren.

3.8 SMTP Mailstatistik


Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur
zur Verfügung, wenn der SMTP-Proxy verwendet wird.

3.9 Email-Warteschlange
Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn
der SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.

Status 31
Konfiguration Schulrouter Plus

4 Hauptmenü Netzwerk
4.1 Netzwerkkonfiguration

Die Konfiguration der Netzwerkschnittstellen kann schnell und einfach mit dem Netzwerksetup-
Assistenten geändert werden. Der Assistent ist in mehrere Schritte unterteilt. Sie können mit <<< und
>>> vor und zurück navigieren und die Änderungen mit Abbrechen verwerfen. Sie werden erst im
letzten Schritt gefragt, ob die Einstellungen übernommen werden sollen.
Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Während dessen ist die
Konfigurationsoberfläche nicht erreichbar.

Im Folgenden ist jeder der einzelnen Schritte beschrieben:

Schritt 1 - Typ für ROT auswählen


Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfigurieren (üblicherweise die Verbindung
zu Ihrem Provider). Der Schulrouter Plus unterstützt die folgenden Verbindungs-Typen:

Ethernet statisch
Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen.
Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten Router
vebunden ist.

Ethernet DHCP
Sie möchten, dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem
vorgelagerten Gerät holt. Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem
vorgelagerten Router verbunden ist, der DHCP liefert. Zu empfehlen ist aber dabei eher die
Einstellung “Ethernet statisch”.

PPPoE (DSL-Direkteinwahl)
Diese Option ist zu wählen, wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist
und die Einwahl vom Schulrouter Plus gemacht werden soll.

Netzwerk 32
Konfiguration Schulrouter Plus

Schritt 2 - Netzwerkzonen auswählen


An diesem Punkt haben Sie bereits zwei Schnittstellen definiert:

GRÜN
Das grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die
Schüler-Endgeräte befinden.

ROT
Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene
DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann
auch ein zweites rotes Netzwerk definiert werden. Hierdurch ist eine Erhöhung der Internetbandbreite
z.B. über eine zweite DSL-Leitung möglich.

Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind:

BLAU
Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulver-
waltungs-Endgeräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist
physikalischvomSchulnetzwerkgetrennt.EskannaberbeiBedarfeinegesicherteVerbindungzwischenden
Netzwerken zur Datenübertragung eingerichtet werden.

ORANGE
Das orange Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden
z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch
eine höhere Absicherung vor unberechtigten Zugriffen benötigen. Das orange Netzwerk kann aber
auch als „normales“ drittes Netzwerk verwendet werden.

Netzwerk 33
Konfiguration Schulrouter Plus

Schritt 3 - Netzwerkeinstellungen
In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen definiert (Grün, Blau,
Orange). Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt:

IP Adresse
Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll. (z.B. 1 9 2 . 1 6 8 . 0 . 1 ). Achten
Sie darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach
dem Ändern der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden
(z.B. DHCP-Server oder erlaubte Subnetze im Proxy).

Netzwerkmaske
Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten
im Subnetz dieselbe Netzwerkmaske verwenden.

Weitere Adressen
Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen.

Schnittstellen
Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei
mindestens einer Schnittstelle zugeordnet sein. Eine Schnittstelle kann man allerdings nur
einer Zone zuordnen. Ordnen Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnitt-
stellen so, als wären sie Teil eines Switches. Ein Symbol zeigt den aktuelle Status der Schnitt
stelle: ein grüner Hacken zeigt, dass der Link aktiv ist. Ein rotes Kreuz zeigt, dass kein Link
vorhanden ist.

Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.

ê

!

Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich
nicht mit anderen Schnittstellen überschneidet. Zum Beispiel:
IP = 1 9 2 . 1 6 8 . 0 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für GRÜN
IP = 1 9 2 . 1 6 8 . 1 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für ORANGE
IP = 1 9 2 . 1 6 8 . 2 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für BLAU

Netzwerk 34
Konfiguration Schulrouter Plus

Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den
privaten Bereich reserviert sind:

1 0 . 0 . 0 . 0 - 1 0 . 2 5 5 . 2 5 5 . 2 5 5 ( 1 0 . 0 . 0 . 0 / 8 ) , 1 6 . 7 7 7 . 2 1 6 Adressen
1 7 2 . 1 6 . 0 . 0 - 1 7 2 . 3 1 . 2 5 5 . 2 5 5 ( 1 7 2 . 1 6 . 0 . 0 / 1 2 ) , 1 . 0 4 8 . 5 7 6 Adressen
1 9 2 . 1 6 8 . 0 . 0 - 1 9 2 . 1 6 8 . 2 5 5 . 2 5 5 ( 1 9 2 . 1 6 8 . 0 . 0 / 1 6 ) , 6 5 . 5 3 6 Adressen

Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die
Broadcastadresse und dürfen nicht vergeben werden.

Schritt 4 - Internetverbindungseinstellungen
Diese Schritte erlauben die Konfiguration der roten Schnittstelle und somit die Konfiguration des
Internetzugangs.
Sie finden auf dieser Seite unterschiedliche Konfigurationsmöglichkeiten, je nachdem welche Option
Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen nachsich
ziehen.

Hier werden die Konfigurationen für jeden Typ erklärt:

Für Alle
Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit
der sich der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmelde-
diensten nötig).

Ethernet statisch
Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben.
Weiterhin müssen Sie die IP-Adresse des Standardgateways festlegen.

Ethernet DHCP
Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP
empfangen werden soll oder ob dieser von Ihnen festgelegt wird.

PPPoE
Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an.
Für die Authentifizierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet
werden. Sie können auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische
von Ihrem Provider übergeben wird (Standard-Einstellung) oder manuell eingegeben werden
muss.

Netzwerk 35
Konfiguration Schulrouter Plus

Schritt 5 - DNS-Server konfigurieren


Hier definieren Sie bis zu zwei DNS-Server, wenn sie nicht automatisch zugewiesen werden. Soll nur
ein Nameserver verwendet werden, muss die IP-Adresse doppelt eingetragen werden. Die IP-Adresse
muss für den Schulrouter Plus erreichbar sein.

Schritt 6 - Konfiguration anwenden


Mit dem letzten Schritt bestätigen Sie die neuen Einstellungen.
Klicken Sie OK, Konfiguration übernehmen um die Konfiguration abzuschließen. Das
Übernehmen der Einstellungen kann bis zu einer Minute dauern. Während dieser Zeit ist das
Cockpit nicht erreichbar und eine Verbindungen zu und durch den Schulrouter Plus ist nicht möglich.
Das Cockpit aktualisiert sich nach den Änderungen automatisch. Wenn Sie die IP-Adresse von GRÜN
geändert haben, werden Sie automatisch an die richtige IP-Adresse weitergeleitet. In diesem Fall, oder
wenn sie den Hostnamen geändert haben, wird ein neues SSL-Zertifikat generiert und es kann evtl. ein
Warnhinweis vom Browser erscheinen.

Netzwerk 36
Konfiguration Schulrouter Plus

4.2 Host bearbeiten

Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht, neben der Zwischenspeicherung von
DNS-Informationen aus dem Internet, auch die manuelle Eingabe von Hostcomputern, deren
Adressinformationen lokal verwaltet werden sollen. Bei diesen Hostcomputern kann es sich
beispielsweise um lokale Computer oder Computer im Internet handeln, deren Adressinformationen
überschrieben werden sollen.

Aktuelle Hosts
In diesem Bereich werden die aktuell konfigurierten lokalen DNS-Einträge angezeigt. Sie können
die Liste sortieren, indem Sie auf eine der drei unterstrichenen Spaltenüberschriften klicken.
Ein weiterer Klick dreht die Sortierreihenfolge um. Zum Bearbeiten eines Eintrags klicken Sie auf
das zugehörige Stift-Symbol. Die Daten des Eintrags werden in dem Formular darüber angezeigt.
Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann im Formular auf die Schaltfläche
Aktualisieren.

Zum Löschen eines Eintrags klicken Sie auf das zugehörige Löschen-Symbol.

Über Host hinzufügen können Sie einen manuellen Host anlegen.

Folgende Daten müssen eingegeben werden:


IP-Adresse
Geben Sie in dieses Feld die IP-Adresse ein.

Hostname
Geben Sie in dieses Feld den Hostnamen ein.

Domainname
Geben Sie in dieses Feld den Domänennamen ein, falls sich der Hostcomputer in einer
anderen Domäne befindet.

Netzwerk 37
Konfiguration Schulrouter Plus

4.3 Routing

Statisches Routing
Aktuelle Routing-Einträge
Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden.
Wird an dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet, muss hier für jedes
VLAN ein Eintrag mit der IP des Switch als Gateway gesetzt werden.

Klicken Sie auf Eine neue Route hinzufügen um eine neue Route mit folgenden Feldern
anzulegen:

Quell-Netz
Quell-Netz in CIDR-Schreibweise (Bsp.: 1 9 2 . 1 6 8 . 1 0 . 0 / 2 4 )

Ziel-Netz
Ziel-Netz in CIDR-Schreibweise (Bsp.: 1 9 2 . 1 6 8 . 2 0 . 0 / 2 4 )

Route über
Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus.

Netzwerk 38
Konfiguration Schulrouter Plus

Aktiviert
Markieren zum Aktivieren (Standard).

Anmerkung
Geben Sie der Regel eine Anmerkung.

Klicken Sie auf Route hinzufügen um die Regel zu bestätigen. Sie können die Route mit den
entsprechenden Icons aktivieren bzw. deaktivieren.

4.4 Internet/WAN

Hier können mit einem Klick auf WAN-Verbindung erstellen weitere WAN-Verbindungen
definiert werden. Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende
Formular aus. Die Felder sind weitestgehend identisch mit dem Netzwerkassistenten. Folgende Felder
unterscheiden sich zum Netzwerkassistenten:

WAN-Verbindung beim Starten aktivieren
Diese Einstellung legt fest, ob diese WAN-Verbindung beim Starten des Schulrouter Plus
automatisch verbunden werden soll.

Wenn diese WAN-Verbindung fehlschlägt aktiviere


Hier können Sie festlegen, ob eine andere WAN-Verbindung gewählt werden soll, falls diese
WAN-Verbindung ausfällt.

Wiederverbindungs- Timeout
Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird,
wenn die Verbindung ausfällt. Bleibt das Feld leer, wird sofort die Wiederverbindung versucht.

Netzwerk 39
Konfiguration Schulrouter Plus

5 Hauptmenü Dienste
5.1 DHCP Server

DHCP (Dynamic Host Configuration Protocol) ermöglicht eine Steuerung der Netzwerk-
konfiguration aller Computer über den Schulrouter Plus. Computer, die eine Verbindung zum
Netzwerk herstellen, wird eine gültige IP-Adresse zugewiesen und ihre DNS-Konfiguration wird vom
Schulrouter Plus festgelegt. Um diese Funktion verwenden zu können, müssen die Computer im
Netzwerk so konfiguriert sein, dass sie ihre Netzwerkkonfiguration automatisch erhalten.

Sie können auswählen, welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden
soll. Aktivieren Sie einfach die entsprechenden Kontrollkästchen. Sie können auswählen, welchem
internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. Aktivieren Sie einfach die
entsprechenden Kontrollkästchen.

DHCP-Server Parameter
Aktiviert:
Markieren Sie dieses Feld, um den DHCP-Server für dieses Netzwerk zu aktivieren.

Dienste 40
Konfiguration Schulrouter Plus

Anfangsadresse und Endadresse:


Sie können die unterste und die oberste Adresse angeben, die der Server für andere Computer
bereitstellt. Wenn sich in Ihrem Netzwerk Computer befinden, die DHCP nicht verwenden,
deren IP-Adressen also manuell festgelegt werden, sollten Sie die Anfangs- und Endadresse
so wählen, dass der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt.

Standard Lease Zeit (Min):


Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert
zu verwenden.
Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten, die für IP-Adress-Leases reserviert
werden. Vor dem Ablauf der Lease (der Zeitpunkt, zu dem die zugewiesene IP-Adresse
verfällt) fordern die Clientcomputer, unter Angabe ihrer aktuell gültigen IP-Adresse, eine
Erneuerung der Lease an. Bei einer Anforderung auf eine Erneuerung der Lease werden ggf.
durchgeführte Änderungen an DHCP-Parametern berücksichtigt und die Clientkonfigura
tion wird entsprechend aktualisiert. Im Allgemeinen werden IP-Adresszuordnungen vom
Server erneuert.

Maximale Lease Zeit (Min):


Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen
Wert zu verwenden. Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten), in dem der
DHCP-Server Clientanfragen auf Erneuerung der Lease für die aktuell gültige IP-Adresse
immer zustimmt. Nach Ablauf der maximalen Vorhaltezeit kann die IP-Adresse des Clients
vom Server geändert werden. Wenn der Bereich des Pools für die Vergabe von IP-Adressen (der
dynamische IP-Adressbereich) zwischenzeitlich geändert wurde, erhält der Client eine neue
IP-Adresse aus dem neuen dynamischen IP-Adressbereich.

Domain-Name-Suffix:
Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf, dass das Format keinen
führenden “Punkt” vorsieht. Hier wird der Domänenname festgelegt, den der DHCP-Server
für seine Clients verwendet. Wenn ein Hostname nicht aufgelöst werden kann, versucht der
Client erneut, den ursprünglichen Namen mit dem als Namen angegeben Suffix aufzulösen.
Die DHCP-Server von vielen Internetdienstanbietern sind so konfiguriert, dass als Standard
domänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf, beim
Internetzugriff “www” als Standard-Homepage in ihrem Browser festzulegen.
“www” ist jedoch kein voll qualifizierter Domänen-Name (FQDN). Der voll qualifizierte
Domänenname des Webservers wird jedoch automatisch clientseitig über die Software Ihres
Computers erstellt, indem das Suffix des Domänennamens, wie von dem DHCP-Server des
Internetdienstanbieters vorgegeben, angehängt wird. Legen Sie das Domänen-Name-Suffix
entsprechend der Vorgabe des DHCP-Servers Ihres Internetdienstan bieters fest, damit die
Benutzer in Ihrem Intranet die Teiladresse “www” weiterhin nicht eingeben müssen.

Dienste 41
Konfiguration Schulrouter Plus

Primärer DNS:
Legt für die Clients des DHCP-Servers fest, welcher Server als primärer DNS-Server verwendet
werden soll. Da der Schulrouter Plus auch einen DNS-Proxy enthält, wird in der Regel
empfohlen, den Standardwert zu verwenden. In diesem Fall wird für den primären DNS-Server
die IP-Adresse des Schulrouter Plus verwendet. Wenn Sie einen eigenen separaten DNS-Server
verwenden, geben Sie dessen IP-Adresse in das Feld ein.

Sekundärer DNS:
Sie können auch einen sekundären DNS-Server angeben, der verwendet wird, falls der primäre
DNS-Server nicht verfügbar sein sollte. Dieser DNS-Server könnte beispielsweise ein weiterer
DNS-Server in Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein.

Erster NTP-Server:
Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen
NTP-Servers an Geräte in Ihrem Netzwerk weiterleiten wollen, können Sie die IP-Adresse des
NTP-Servers in dieses Feld eingeben. Der DHCP-Server gibt diese Adresse bei der Übergabe der
Netzwerkparameter an alle Clients weiter.

Zweiter NTP-Server:
Wenn Sie eine zweite NTP-Server-Adresse haben, geben Sie diese hier ein. Der DHCP-Server
gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter.

Erste/zweite WINS-Server Adresse:


Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server
(Windows Internet Naming Service-Server) verwenden, können Sie in diese Felder den
primären und, falls vorhanden, sekundären WINS-Server eintragen. Der DHCP-Server gibt
diese Adresse bei der Übergabe der Netzwerkparameter an die Hostcomputer weiter.

Für erfahrene Benutzer ist es möglich, weitere angepasste DHCP-Regeln zu der Konfigura-
i
tion hinzufügen. Diese können in dem Textfeld „Benutzerdefinierte Konfigurationszeilen“
eingetragen werden. Beachten Sie, dass hier keine Prüfung der Syntax durch den Schulrouter
Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers verhindern können.

Dienste 42
Konfiguration Schulrouter Plus

Aktuelle feste Zuordnungen


Wenn sich in Ihrem Netzwerk Computer befinden, deren IP-Adressen zentral verwaltet werden sollen,
für die es jedoch darüber hinaus auch erforderlich ist, dass sie stets dieselbe IP-Adresse erhalten,
können Sie über den DHCP-Server festlegen, dass diesen Computern auf Grundlage der MAC-Adresse
der in dem Computer installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. Diese Art
der Konfiguration unterscheidet sich wesentlich von der manuellen Adresszuweisung, da auch diese
Computer weiterhin ihre IP-Adressen von dem DHCP-Server beziehen. Die Adressen werden also nicht
manuell auf dem Computer selbst, sondern zentral über den DCHP-Server vergeben.

Für feste Zuordnungen können die folgenden Parameter festgelegt werden:

MAC-Adresse:
Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers,
für den die feste Zuordnung gelten soll.
Das Format der MAC-Adresse lautet x x : x x : x x : x x : x x : x x , und nicht x x - x x - x x - x x - x x - x x ,
wie es auf einigen Computern angezeigt wird (Beispiel: 0 0 : e 5 : b 0 : 0 0 : 0 2 : d 2 ).

IP-Adresse:
Dies ist die fest zugeordnete IP-Adresse, die der DHCP-Server stets für die angegebene
MAC-Adresse vergeben soll. Stellen Sie sicher, dass Sie keine IP-Adresse aus dem dynamischen
Adressbereich des DHCP-Servers vergeben.

Beschreibung:
Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen.

Nächste Adresse:
Möglicherweise befinden sich in Ihrem Netzwerk Computer, die eine Startdatei von einem
Server im Netzwerk erhalten müssen (sog. Thin Clients). Bei Bedarf können Sie in diesem Feld
die Serveradresse angeben.

Dienste 43
Konfiguration Schulrouter Plus

Dateiname
Geben Sie den Namen der Startdatei für diesen Computer an.

Rootpfad
Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befindet, können Sie in
diesem Feld den Pfad zu der Startdatei angeben.

Aktiviert
Aktivieren Sie dieses Kontrollkästchen, um den DHCP-Server anzuweisen, die angegebene
feste Zuordnung bereitzustellen. Ist das Kontrollkästchen nicht aktiviert, wird der
entsprechende Datensatz zwar in den Dateien des Schulrouter Plus gespeichert, der
DHCP-Server gibt die Zuordnung jedoch nicht aus.

Liste der festen Zuordnung


In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und können
bearbeitet oder gelöscht werden. Sie können die Liste sortieren, indem Sie auf die
unterstrichenen Spaltenüberschriften MAC-Adresse oder IP-Adresse klicken. Ein weiterer
Klick dreht die Sortierreihenfolge um. Zum Bearbeiten einer bestehenden festen Zuordnung
klicken Sie auf das zugehörige Stift-Symbol. Die Werte für die feste Zuordnung werden im
Ausschnitt “Fixe Lease hinzufügen” weiter oben angezeigt. Nehmen Sie die gewünschten
Änderungen vor und klicken Sie dann auf Speichern. Zum Löschen einer bestehenden
festen Zuordnung klicken Sie auf das zugehörige Papier-korb-Symbol.

Dienste 44
Konfiguration Schulrouter Plus

5.2 Dynamischer DNS

Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen,
auch wenn dieser über keine statische öffentliche IP-Adresse verfügt. Um dynDNS verwenden zu
können, müssen Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren.
Anschließend muss Ihr Server jedes Mal, wenn eine Verbindung zum Internet hergestellt und ihm von
Ihrem Internetdienstanbieter eine IP-Adresse zugewiesen wird, dem dynDNS-Server diese IP-Adresse
mitteilen. Hostcomputer, die eine Verbindung zu Ihrem Server herstellen möchten, lösen die Adresse
über den dynDNS-Server auf, der die aktuellste gültige IP-Adresse bereitstellt. Ist diese IP-Adresse
aktuell, kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt, die
festgelegten >Firewall-Regeln< lassen dies zu).
Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die
automatische Aktualisierung bei zahlreichen dynDNS-Anbietern.

Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen, bekommt er in aller Regel von
Ihrem Provider eine externe IP zugeordnet, mit der Sie auch von außen auf den Schulrouter Plus
zugreifen können. Diese Adresse sehen Sie auf der Startseite. Wird dort eine externe IP angezeigt,
wählen Sie hier den ersten Auswahlpunkt.
Wird dort eine IP-Adresse angezeigt, die in Ihrem internen Netzwerk liegt - wenn Sie also bspw. einen
vorgelagerten Router verwenden - wählen Sie die zweite Variante, die versucht, die externe IP über
eine Webseite zu bekommen.

Dienste 45
Konfiguration Schulrouter Plus

Aktuelle Hosts
Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden:

Dienst
Wählen Sie einen dynDNS-Anbieter aus der Dropdownliste aus. Sie sollten bei dem aus
gewählten Anbieter bereits registriert sein.

Hinter einem Proxy


Aktivieren Sie dieses Kontrollkästchen nur dann, wenn Sie als Anbieter “no-ip.com”
gewählt haben und der Schulrouter Plus sich hinter einem Proxyserver befindet.
Dieses Kontrollkästchen wird bei Auswahl eines anderen Anbieters nicht berücksichtigt.

Platzhalter erlauben
Wenn Sie Platzhalterzeichen zulassen, ermöglichen Sie, dass alle Unterdomänen Ihres dyna-
mischen DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. Ist das
Kontrollkästchen aktiviert, erhält beispielsweise die Unterdomäne www.srp.dyndns.org
dieselbe IP-Adresse wie die übergeordnete Domäne timeforkids.dyndns.org.
Wenn Sie als Anbieter “no-ip.com” gewählt haben, wird das Kontrollkästchen nicht
berücksichtigt, da dieser Anbieter die Einstellung dieser Option ausschließlich über seine
Website ermöglicht.

Hostname
Geben Sie den Hostnamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.

Domäne
Geben Sie den Domänennamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.

Benutzername
Geben Sie den Benutzernamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.

Passwort
Geben Sie das Kennwort für den Benutzernamen ein.

Aktiviert
Aktivieren Sie dieses Kontrollkästchen, damit der Schulrouter Plus die auf dem dynDNS-
Server hinterlegten Daten aktualisiert. Die Daten werden auch auf dem Schulrouter Plus ge-
speichert, wenn das Kontrollkästchen deaktiviert ist. Auf diese Weise können Sie die
dynDNS-Aktualisierung zu einem späteren Zeitpunkt wieder aktivieren, ohne die Daten
erneut eingeben zu müssen.

Hinter einem Router (NAT)


Wählen Sie dies aus, wenn der Schulrouter Plus über einen vorgelagerten Router ins Internet
geht. In diesem Fall wird der Dienst von http://checkip.dyndns.org verwendet um die externe
IP herauszufinden.

Dienste 46
Konfiguration Schulrouter Plus

5.3 Antivirus

Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von
ClamAV. In diesem Bereich können Sie einstellen, wie ClamAV mit Archiv-Bomben umgeht und wie oft
Virenupdates heruntergeladen werden.
Antivirus Konfiguration
Um diese Arten von Angriffen zu unterbinden, ist der Antivirus-Dienst so vorkonfiguriert, dass Archive
mit bestimmten Eigenschaften nicht gescannt werden:

Max. Größe des Archives


Archive, die größer als die angegebene MB-Zahl sind.

Max. Archive in Archiven


Archive, die wiederum andere Archive beinhalten, wenn die Anzahl der eingebetteten Archive
diese Zahl übersteigt.

Max. Anzahl von Dateien in Archiven


Archive , die mehr als die hier angegebene Anzahl von Dateien enthalten.

Max. Kompressionsverhältnis
Archive, deren unkomprimierte Größe die komprimierte Größe um mehr als den hier angege-
benen x-fachen Wert übersteigen. Der Standardwert ist 1000. Normalerweise übersteigt der
Faktor der Komprimierung selten 10.

Dienste 47
Konfiguration Schulrouter Plus

Umgang mit gefährlichen Archiven


Was soll mit den Archiven passieren, die in dieses Raster fallen? Es ist möglich zwischen
„Nicht scannen aber durchlassen“ und „als Virus blockieren“ zu wählen.

Verschlüsselte Archive blockieren


Seitdem es technisch unmöglich ist, verschlüsselte (passwortgeschützte) Archive zu scannen,
stellen diese ein Sicherheitsrisiko dar. Sie können hier auswählen, ob verschlüsselte Archive
standardmäßig blockiert werden sollen.

Aktualisierungszeitplan der Antivirus Signaturen


Ein anderer, sehr wichtiger Aspekt bei einem Antivirus-Scanner sind die Signatur-Updates:
Informationen über neue Viren müssen regelmäßig von einem ClamAV-Server geladen werden.
Rechts können Sie auswählen, wie oft diese Aktualisierungen herunter geladen werden.
Der voreinstellte Standard ist stündlich.

Antivirus Viren Signaturen


Dieser Bereich zeigt an, wann das letzte Update geladen wurde und welches die letzte
geladene Signatur-Version ist. Klicken Sie auf Signaturen jetzt aktualisieren, um das
Update sofort auszuführen - beachten Sie, dass dies einige Zeit in Anspruch nimmt. Falls Sie
nach Informationen über einen bestimmten Virus suchen möchten, gelangen Sie mit dem
angezeigten Link direkt zur ClamAV Online-Virus-Datenbank.

Dienste 48
Konfiguration Schulrouter Plus

5.4 Zeitserver

Der Schulrouter Plus kann so konfiguriert werden, dass die Uhrzeit mit einem Zeitserver im Internet
abgeglichen wird.

Eine Anzahl von Zeitservern ist bereits voreingestellt.


Mit Aktivieren von Standard NTP Server überschreiben können Sie eigene NTP-Server eintragen.
Hier muss jeder NTP-Server in eine eigene Zeile geschrieben werden.

Darunter können Sie auch die Zeitzone festlegen.

Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.

Dienste 49
Konfiguration Schulrouter Plus

5.5 Trafficshaping

Trafficshaping, also die Optimierung der Datenübertragung, ermöglicht die Festlegung von Vorrang-
regeln für die verschiedenen Datenströme, die durch die Firewall geleitet werden.

Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit, die Übertragungsverfahren des
Datenaufkommens selbst Ihren Bedürfnissen entsprechend zu optimieren. Die Steuerung erfolgt
durch die Einstufung des Datenaufkommens in Prioritätsstufen “Hoch”, “Mittel” und “Niedrig”.
Die Ping-Übertragung erhält stets die höchste Priorität, damit Sie auch dann die Geschwindigkeit
Ihrer Verbindung genau überprüfen können, während umfangreiche Downloads aus dem Internet
durchgeführt werden.

So verwenden Sie die Trafficshaping-Funktionalität im Schulrouter Plus:

1. Verwenden Sie einen DSL Speedtest im Internet, um die maximalen Upload- und Download-
geschwindigkeiten zu ermitteln. Geben Sie die so ermittelten Geschwindigkeiten in die
entsprechenden Felder im Bereich Einstellungen der Webseite ein.

2. Aktivieren Sie die Übertragungsoptimierung, indem Sie die WAN-Verbindung bearbeiten


und die maximal zu verwendende Geschwindigkeit eingeben.

3. Ermitteln Sie, welche Dienste in Ihrem Netzwerk verwendet werden, bei denen Daten-
übertragungen über die Firewall vom bzw. ins Internet erfolgen.

Dienste 50
Konfiguration Schulrouter Plus

4. Weisen Sie diesen die gewünschte Priorität zu. Beispiel:


a. Interaktivem Datenaufkommen wie SSH (Port 22) und VoIP wird die Prioritätsstufe „Hoch“
zugeordnet.

b. Standarddatenaufkommen wie surfen (Port 80) und Kommunikation (bspw. E-Mail-Verkehr


über Port 25 bzw. 110) s owie Audio- und Videostreaming wird die Prioritäts-stufe „Mittel“
zugeordnet.

c. Dauerdatenübertragungen wie beispielsweise P2P-Dateifreigaben erhalten die Prioritäts-


stufe „Niedrig“.

5. Erstellen Sie durch den Klick auf Einen Dienst erstellen eine Liste mit Diensten und den
jeweils zugeordneten Prioritätsstufen.

Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfigurationen zur Optimierung
der Übertragung des Datenaufkommens. Sie sollten die Einstufung in die drei Prioritätskategorien
entsprechend den Anforderungen in Ihrem Netzwerk anpassen.

Dienste 51
Konfiguration Schulrouter Plus

5.6 Spam Training

Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfiguriert werden, um automatisch
zu lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermöglichen, benötigt der
Dienst einen über IMAP erreichbaren Mailserver, damit dort voreingestellte Ordner überprüft werden.
Die Standardkonfiguration wird noch nicht für das Training verwendet.
Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern, die darunter
konfiguriert wird. Durch Klick auf Standardkonfiguration bearbeiten öffnet sich darunter ein
neuer Bereich, in dem die Stand-ardeinstellungen gesetzt werden können:

Standard IMAP Host


Der IMAP-Mailserver, der die Trainingsordner beinhaltet.

Standard-Benutzername
Der Anmeldename für den IMAP-Mailserver.

Standard-Passwort
Das zugehörige Passwort.

Standard-Hamordner
Der Name des Ordners, der nur HAM-Mails beinhaltet. Dieser Ordner beinhaltet Mails, die
nicht als Spam zu klassifizieren sind.

Standard-Spamordner
Der Name des Ordners, der nur Spam-Mails beinhaltet.

Für automatisches Spamfilter-Training vormerken


Das Intervall zwischen den Prüfungen. Das regelmäßige Training kann entweder deaktiviert
werden, so dass es nur manuell durchgeführt werden kann (z.B. nach einer Überprüfung der
entsprechenden Ordner auf Richtigkeit) oder in regelmäßigen Abständen automatisch
ausgeführt werden.

Dienste 52
Konfiguration Schulrouter Plus

In dem Bereich darunter können die entsprechenden “Trainingsserver” konfiguriert werden. Durch
einen Klick auf IMAP Spam Trainingsquelle hinzufügen öffnet sich ein neuer Bereich.
Die Einstellungen für weitere “Trainingsserver” entspricht den Standardeinstellungen. Es fehlt nur die
Einstellung der Regelmäßigkeit. Diese wird immer von den Standardeinstellungen übernommen.

Drei weitere Optionen sind verfügbar:

Aktiviert
Erst wenn hier eine Markierung gesetzt ist, wird diese Quelle für das Training verwendet.

Anmerkung
In diesem Feld können Sie eine Anmerkung einfügen.

Bearbeitete Mails löschen


Nach dem Training werden die verwendeten E-Mails gelöscht.

Die anderen Optionen können genauso wie in der Standardkonfiguration vorgenommen werden.
Wenn Sie hier gesetzt werden überschreiben Sie die Standardeinstellung. Eine Quelle wird mit dem
entsprechenden Button getestet, aktiviert, bearbeitet oder gelöscht.
Es ist auch möglich die Verbindung zu allen Quellen zu testen, indem Sie oben auf den Button Alle
Verbindungen testen klicken. Wenn mehrere Quellen definiert sind, kann dies einige Zeit in
Anspruch nehmen, abhängig von der Geschwindigkeit der Mailserver und der Anzahl der definierten
Quellen.

Um das Training sofort zu starten, klicken Sie auf Training jetzt starten. Abhängig von der Anzahl
der Quellen, der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails,
die für das Training zur Verfügung stehen, kann das Training einige Zeit in Anspruch nehmen.

Sie können das Anti-Spam-Training auch manuell durchführen, wenn der SMTP Proxy angeschaltet ist.
Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an spam@spam.spam für
Spamnachrichten und an ham@ham.ham für Hamnachrichten machen.
Dafür ist notwendig, dass die Domänen “spam.spam” und “ham.ham” aufgelöst werden können
indem Sie unter >4.2 Netzwerk - Hosts bearbeiten< auf den Schulrouter Plus zeigen.

Dienste 53
Konfiguration Schulrouter Plus

5.7 Einbruchdetektierung

Der Schulrouter Plus enthält ein hochleistungsfähiges System zur Einbruchserkennung, das die von
der Firewall empfangenen IP-Pakete analysiert und nach bekannten Signaturen für schädliche
Aktivitäten durchsucht.

Der Schulrouter Plus kann IP-Pakete überwachen, die über jedes genutzte Netzwerk übertragen
werden. Aktivieren Sie einfach die gewünschten Kontrollkästchen.
Die Regeln zur Einbruchdetektierung werden von snort.org gepflegt.

Mit dem Haken Einbruchdetektierung automatisch herunterladen und dem darunter


liegenden Updateintervall können sie die Einbruchdetektierung vom Schulrouter Plus automatisch
aktuell halten.

Für erfahrene Benutzer besteht die Möglichkeit, eigenen Regeln auf dem Schulrouter Plus einzusetzen.
Die im Feld Benutzerdefinierte Einbruchdetektierungsregeln einzufügende Regeln müssen
entweder direkt “.rules- oder gepackte .tar-”, “.gz- oder .zip-Dateien” sein.

Dienste 54
Konfiguration Schulrouter Plus

5.8 Datenverkehrsüberwachung

Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den Button
oben aktiviert oder deaktiviert werden. Wenn die Datenverkehrsüberwachung aktiviert ist, erscheint
darunter ein Link, der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrs-
überwachung weiterleitet. Diese Administrationsoberfläche wird ebenfalls von „ntop“ geliefert und
enthält detaillierte Statistiken über den Datenverkehr.
Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben, wobei
der Verkehr nach Host, Protokoll, Schnittstellen und weiteren Parametern gefiltert werden kann.
Für detaillierte Informationen über die ntop-Administrationsoberfläche besuchen Sie die „ntop“
Dokumentation unter: >http://www.ntop.org/documentation.html<

Dienste 55
Konfiguration Schulrouter Plus

6 Hauptmenü Firewall
6.1 Portweiterleitung / NAT
6.1.1 Portweiterleitung

Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz. Manchmal
kann diese Einstellung zu restriktiv sein. Wenn Sie z.B. einen Webserver betreiben, würden alle von
außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. Dies
würde bedeuten, dass der Webserver nur aus dem internen Netz zu nutzen wäre. Dies ist natürlich
nicht die Normalsituation für einen Webserver. In den meisten Fällen sollen Außenstehende den
Zugriff auf Ihren Webserver erhalten. Für diese Fälle gibt es Port-Weiterleitungen. Wenn Sie diese Ports
kennen, können Sie die Port-Weiterleitung im Schulrouter Plus konfigurieren.

Klicken Sie auf Eine neue Portweiterleitung hinzufügen, um eine Portweiterleitung zu


erstellen.

Sie können individuell definieren, welche Anfragen von welcher Schnittstelle über welchen Port zu
welchem Client geleitet werden. Folgende Parameter müssen dabei festgelegt werden:

Protokoll: TCP, UDP, GRE (generic routing encapsulation) wird von Tunneln verwendet, z.B.
PPTP-VPN) oder Alle Protokolle.

Eingehende IP
Die externe Schnittstelle. Hier kann eine der verwendeten roten Schnittstellen, alle roten
Schnittstellen oder VPN-Verbindungen gewählt werden.

Eingehender Port
Auf welchem Port (1 - 65535) soll der Schulrouter Plus an den roten Schnittstellen auf Anfragen
warten.

Firewall 56
Konfiguration Schulrouter Plus

Ziel-IP-Adresse
Die IP-Adresse des internen Clients, an den die Anfrage von extern geleitet werden soll.

Ziel-Port
Der Port am Client intern an, den die externe Anfrage geleitet werden soll.

Anmerkung
Eine eigene Anmerkung, um später die Regel schnell wiederzufinden.

Aktiviert
Diese Regel aktivieren

SNAT eingehende Verbindungen


Legen Sie fest, ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus
(aktiviert) oder mit der externen IP des Anfragenden ankommen.

Enable log
Alle Pakete über diese Regel protokollieren.
Klicken Sie auf Hinzufügen um die Regel zu bestätigen. Sie können die Regel in der Zeile mit
den entsprechenden Symbolen bearbeiten, de-/aktivieren oder sie löschen.

Vergessen Sie nicht nach dem Ändern bzw. Hinzufügen der Regeln oben auf Übernehmen zu klicken!

Wenn eine Regel definiert ist, können Sie den Zugriff von außen beschränken. Mit dem Klick auf das
Plus-Symbol der entsprechenden Regel öffnet sich darüber eine Maske, in der Sie die IP-Adresse oder
das Netz derjenigen eintragen können, die nur die Weiterleitung nutzen dürfen. Das setzt voraus, dass
diese eine feste externe IP haben. Um weitere Quellen zu definieren wiederholen Sie den Schritt.

Firewall 57
Konfiguration Schulrouter Plus

6.1.2 SourceNAT

In diesem Unterabschnitt können Sie definieren, für welche ausgehende Verbindungen


„Source Network Adress Translation“ (SourceNAT) genutzt werden sollen. SourceNAT kann nützlich
sein, wenn ein Server im internen Netz eine eigene externe IP bekommen und für den Datenverkehr
des Servers ins Internet nicht die externe IP-Adresse der roten Schnittstelle verwendet werden soll.
Das Hinzufügen von SourceNAT-Regeln ist identisch zu der Bearbeitung von Portweiterleitungen. Die
folgenden Einstellungen können gesetzt werden:

Quelle
Legen Sie fest, für welche Quellen SourceNAT verwendet werden sollen. Sie können zwischen
bestimmten IP-Adressen, Netzwerke oder Benutzern wählen.

Ziel
Hier können Sie, genau wie bei der Quelle, ein Ziel definieren, bei dem die Regel aktiv ist (also
das Ziel, dass der Client anfragt). Zusätzlich können Sie auch Zonen und WAN-Verbindungen
nutzen.

Dienst/Port
Hier können Sie den Dienst/Port, der beeinflusst werden soll, auswählen.

NAT
Hier wählen Sie aus, ob Sie SourceNAT nutzen möchten oder nicht. Wenn Sie sich für NAT
entscheiden, können Sie die IP-Adresse wählen, die nach außen für diese Regel sichtbar
sein soll. In der Vorauswahl erscheint automatisch die entsprechend zugehörige IP-Adresse.

Aktivieren
Hier aktivieren Sie die Regel.

Firewall 58
Konfiguration Schulrouter Plus

Anmerkung
Hier können Sie eine kurze Anmerkung eintragen.

Position
Hier können Sie festlegen, an welcher Stelle die Regel eingefügt werden soll.

Zum Speichern der Regel klicken Sie auf Regel erstellen.

Beispiel:
Konfigurieren eines SMTP-Mailservers auf der IP 1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 (davon ausgehend, dass
1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 eine weitere IP des roten Schnittstelle ist) in der DMZ mit SourceNAT:

1. Konfigurieren Sie die orange Schnittstelle so, damit der Server ins Internet kommt.

2. Konfigurieren Sie den Mailserver so, damit er auf Port 25 mit seiner internen IP der
Orangenen Zone reagiert.

3. Fügen Sie eine WAN-Verbindung mit der IP 1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 (Ethernet statisch) im


Abschnitt >4.4 Internet/WAN< hinzu.

4. Fügen Sie eine SourceNAT-Regel hinzu und definieren Sie als Quelle die interne (orange) IP.

Firewall 59
Konfiguration Schulrouter Plus

6.2 Ausgehender Datenverkehr

Die ausgehende Verbindungsfirewall regelt den Datenverkehr von den internen Netzen nach außen.
Die Standardeinstellungen reichen aus, um im Internet surfen und E-Mails abholen zu können. Sie
können diese Regeln nach Ihren Bedürfnissen erweitern, um bspw. Lernsoftware die Verbindung ins
Internet über benötigte Ports zu gewähren.

Mit dem Schalter Ausgehende Firewall deaktivieren/aktivieren können Sie die aus
gehende Verbindungsfirewall komplett deaktivieren, so dass jeglicher Datenverkehr von innen
nach außen gelangt.

Mit der Einstellung Alle akzeptierten ausgehenden Verbindungen protokollieren


protokolliert der Schulrouter Plus alle akzeptierten Pakete im >Firewalllog<. Dies schließt
nicht die abgewiesenen Pakete ein.

ê
!
Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das
System verlangsamen.

Firewall 60
Konfiguration Schulrouter Plus

Im Abschnitt “Aktuelle Regeln” sind alle bereits definierten aktivierten Firewall-Regeln aufgelistet.
Diese sind nach ihrer Priorität absteigend sortiert: Ist bspw. als erstes der Port 80 freigegeben und
darunter eine Regel, die die Ports 50 bis 100 sperrt, wird dennoch Port 80 freigegeben. In dieser
Ansicht können Sie auch die Priorität der Regeln ändern, indem Sie die Pfeile in der entsprechenden
Zeile benutzen. Außerdem können Sie die Regeln de-/aktivieren, bearbeiten und löschen.

Am Ende der Seite werden die Systemregeln angezeigt. Diese Regeln werden automatisch vom
Schulrouter Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Sie können
nicht verändert oder gelöscht werden.

Wenn Sie eine neue Firewallregel anlegen möchten, klicken Sie auf „Eine neue Firewallregel
hinzufügen. Zum Bearbeiten klicken Sie auf das entsprechende Stift-Symbol in der Zeile der Regel,
die Sie bearbeiten möchten. Es öffnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Um
die Regel zu de-/aktivieren, setzen Sie entsprechend den Haken in den Punkt “Aktiviert:” und drücken
den Button Speichern, nachdem alle Einstellungen für diese Regel getätigt sind.

Folgende Einstellungen können gesetzt werden:


Quelle:
Für welche Quelle soll diese Regel gelten. Sie können entweder Netzwerkschnittstellen,
Zonen, IP-Adressen/IP-Bereiche oder MAC-Adressen verwenden. Es können mehrere Quellen
gleichen Typs verwendet werden.

Ziel IP Adresse:
Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet
verwendet werden. Sie können hier entweder WAN-Verbindungen oder
IP-Adressen/IP-Bereiche wählen. Es können mehrere Quellen gleichen Typs verwendet werden.

Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Pro
tokoll selber festlegen.

Aktionen:
Legen Sie fest, ob der Vorgang gestattet oder abgelehnt werden soll.

Anmerkung:
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.

Firewall 61
Konfiguration Schulrouter Plus

Position:
Wie bereits erwähnt, ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller
Regeln festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.

Alle akzeptierten Pakete loggen:


Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog<
aufgeführt.

ê
!
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Es erscheint eine Meldung mit dem entsprechenden Hinweis!

Firewall 62
Konfiguration Schulrouter Plus

6.3 Interner Datenverkehr

Hier legen Sie fest, ob Datenverkehr zwischen den einzelnen internen (alle außer ROT)
Netzwerksegmenten gesendet werden darf.
Der Schulrouter Plus ist standardmäßig so eingestellt, dass der Datenverkehr nur im jeweiligen
Netzwerksegment bleiben darf. Ein Senden in eine andere Zone ist nicht erlaubt. Dies ist notwendig,
um bspw. das pädagogische Netz und die Verwaltung zu trennen.
Dies betrifft aber nur den Datenverkehr, der auch über den Schulrouter Plus übertragen wird. Sprich,
nur die Pakete, die von einer zu einer anderen Schnittstelle übertragen werden. Der Datenverkehr, der
im internen Netzwerk geschieht und über den dort stehenden Switch läuft, ist davon nicht betroffen.
Analog zu “Ausgehender Datenverkehr” können Sie diese Einstellungen ein-/ausschalten, Regeln
bearbeiten, löschen und hinzufügen.

ê

!

Wird der interne Datenverkehr deaktiviert, werden alle Verbindungen untereinander erlaubt
(Datenverkehr zu ROT ausgeschlossen). Dies ist nicht zu empfehlen! Durch Klick auf
Eine neue Interne Firewallregel hinzufügen können Sie eine neue Regel hinzufügen.
Die Einstellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.

ê !
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!

Firewall 63
Konfiguration Schulrouter Plus

6.4 Systemzugriffe

Hier können Sie den Zugriff direkt auf den Schulrouter Plus regeln. Es gibt eine Liste vorkonfigurierter
Regeln, die für den Betrieb der einzelnen Dienste und für den Zugriff auf die Konfigurationsober-
flächen notwendig sind. Klicken Sie auf Eine neue Systemzugangsregel hinzufügen um eine
neue Regel für den Systemzugriff zu erstellen.

Diese Einstellungen können gemacht werden:


Quelladresse
Legen Sie eine oder mehrere IP-Adressen, Netzwerke oder MAC-Adressen fest, deren Zugriff
mit dieser Regel festgelegt werden soll. Diese Einstellung ist optional, wenn Sie den
kompletten Zugriff aus bestimmten Zonen (Quellschnittstellen) gewähren wollen.

Quellschnittstelle
Legen Sie fest, aus welcher Zone oder über welche Schnittstelle dieser Zugriff geregelt werden
soll.

Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und
Protokoll selber festlegen.

Aktion
Stellen Sie ein, ob der Zugriff gewährt, abgelehnt (ohne Rückmeldung) oder abgewiesen
(Meldung an den Sender) werden.

Anmerkung
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.

Firewall 64
Konfiguration Schulrouter Plus

Position
Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln
festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.

Aktiviert
Anhaken zum Aktivieren der Regel (Standard).

Alle akzeptierten Pakete loggen


Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog<
aufgeführt.

Klicken Sie auf Regel hinzufügen um die Regel zu bestätigen.


Durch den Klick auf das entsprechende Symbol rechts in der Zeile der erstellten Regel, können Sie die
entsprechenden Regeln de-/aktivieren, bearbeiten oder löschen.

ê
!
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!

Firewall 65
Konfiguration Schulrouter Plus

7 Hauptmenü Proxy
7.1 HTTP
7.1.1 Konfiguration

Der integrierte HTTP-Proxy ist ein vollwertiger Proxy, der als Vermittler der Daten zwischen Netz-
werkverkehr und dem integrierten Schulfilter Plus agiert und auch Webobjekte zwischenspeichern
kann. Außerdem bietet der integrierte Proxy weitere grundsätzliche Einstellungsmöglichkeiten zur
Filterung des Datenverkehrs und zur Authentifizierung.

Um den Datenverkehr über den Schulfilter Plus zu leiten, muss der Proxy für die entsprechende
Schnittstelle aktiviert sein. Sie können in dieser Übersicht den Proxy für jede Schnittstelle aktivieren
oder deaktivieren.
So können Sie beispielsweise Ihr Schüler-Netz (z.B. im Grünen Netz) über den Schulfilter Plus filtern
lassen und für Ihr Verwaltungsnetz separat den Proxy deaktivieren, so dass die Verwaltungsrechner
(z.B. im Blauen Netz) ohne Filterung und ohne weitere Einstellungen am Filter vorbei gehen können.

Bei dieser Auswahl haben Sie die Optionen zwischen:


Deaktiviert
Der Proxy ist auf dieser Schnittstelle deaktiviert. Es wird ein reines Routing gemacht.

ê
! Ist an einem Client noch ein Proxy eingestellt, so gibt der Browser eine Fehlermeldung zurück.

Proxy 66
Konfiguration Schulrouter Plus

Keine Authentifizierung
Der Proxy ist aktiviert. Um den Proxy zu nutzen, muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden.

Authentifizierung benötigt
Der Proxy ist aktiviert. Um den Proxy zu nutzen muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden. Weiterhin ist die Anbindung des Proxy an einen Verzeichnisdienst
notwendig, so dass die Anmeldedaten des Clients abgefragt werden und auch an den Schul-
filter Plus weitergegeben werden können.

Transparent
Der Proxy ist aktiviert und fängt selbständig alle http-Anfragen (über Port 80) ein. Es muss
am Client für den http-Verkehr kein Proxy eingetragen werden. In diesem Fall ist aber keine
Authentifizierung gegen einen Verzeichnisdienst möglich.

Proxy Port
Wenn Sie den Proxy nicht transparent einsetzen wollen, müssen Sie einen Port wählen, der
bei den Clients eingestellt wird. Standardmäßig ist der Port 800 eingestellt, da dabei die
Gefahr einer Mehrfachnutzung durch andere Programme relativ klein ist.
Achten Sie beim Einstellen des Ports darauf, dass keine anderen Programme auf Ihren Clients
diesen Port beanspruchen.

Sichtbarer Hostname
Zeigt in Fehlermeldungen des Schulrouter Plus nicht den Hostnamen, sondern den hier
eingetragenen Namen an.

Cache Administrator E-Mail


Diese E-mail-Adresse wird in Fehlermeldungen des Schulrouter Plus als Kontakt angezeigt.

Sprache der Fehlermeldungen


Wählen Sie die Sprache, in der Fehlermeldungen angezeigt werden sollen.

Max. Größe von Uploads (KB)


Limit für http-Dateiuploads (so wie z.B. Anhänge in Formularen) in KB (0 bedeutet unbegrenzt).

Proxy 67
Konfiguration Schulrouter Plus

7.1.1.1 Erlaubte Ports und SSl Ports

Hier werden die zulässigen Ziel-Ports geführt, über die HTTP(S)-Anfragen an den Schulrouter Plus
gesendet werden dürfen, um weitergeleitet zu werden.

7.1.1.2 Log-Einstellungen
Log aktiviert
Aktivieren Sie hier die Protokollierung aller Aktivitäten über den http-Proxy. Sie können das
Protokoll in den >Proxy-Logdateien< einsehen. Diese Daten zu sammeln kann Datenschutz-
richtlinien und die Privatsphäre der Benutzer verletzen. Bitte prüfen Sie die Datenschutzricht-
linien Ihres Bundeslandes.
Diese Einstellung ist unabhängig von der Protokollierung des Schulfilter Plus, kann also für
eine reine Protokollierung der Filterereignisse ausgeschaltet bleiben.

Protokolliere Query Terms


Standardmäßig werden dynamische Abfragen bei der Protokollierung abgeschnitten. Ist
dieser Punkt aktiviert, werden auch diese protokolliert.
Z.B.: http://www.time-for-kids.de/index.php?user=hallo&passwort=welt

dynamische Abfragen

Protokolliere User Agents


So werden auch die verwendeten User-Agents, bspw. wenn der Browser mit dem die Internet-
seite angesehen wird, protokolliert.
Dieser Punkt sollte nur zur Fehlersuche aktiviert werden. Die User-Agents sind nicht in der
Weboberfläche zu sehen, sondern nur in der Datei “/var/log/squid/useragent.log”

Firewall protokolliert ausgehende Verbindungen


Alle Proxy-Anfragen werden auch im Firewalllog protokolliert (nur bei transparentem Proxy).

Proxy 68
Konfiguration Schulrouter Plus

7.1.1.3 Erlaubte Subnetze pro Zone


Hier werden die Zugriffsrechte auf den Webzugriff über den Proxy geregelt. Nur Anfragen aus
diesen Subnetzen wird der Webzugriff über den HTTP-Proxy genehmigt, alle anderen bekommen eine
Fehlermeldung.
Standardmäßig werden hier automatisch die Subnetze von den Schnittstellen Grün, Blau und
Orange eingetragen. Sie können diese manuell editieren, um bspw. nur einem kleineren IP-Bereich den
Internetzugriff zu gewähren.

ê
!

Wenn Sie die IP-Adressen und dementsprechend auch den Adressbereich ändern
(also bspw. 1 9 2 . 1 6 8 . 0 . 1 ü 1 9 2 . 1 6 8 . 1 0 0 . 1 ), müssen Sie den Bereich auch hier manuell
ändern! Alternativ können Sie das komplette Feld leeren und Speichern klicken. Dann holt sich der Proxy
automatisch die richtigen Einstellungen.

7.1.1.4 Interner Datenverkehr


Verweigere Zugang von GRÜN auf BLAU / ORANGE
Diese Einstellung verhindert direkte HTTP-Zugriffe auf lokale Web-Server in den anderen
internen Zonen durch den http-Proxy hindurch.

Beispiel:
Solange der Proxy-Zugriff untereinander deaktiviert ist, werden Anfragen gewöhnlich nach ROT weiter
geleitet. Wenn aber ein Client von Blau auf einen Web-Server in Grün zugreifen möchte, dann nimmt
der Proxy-Server eine interne Abkürzung zwischen den Schnittstellen Grün und Blau, unabhängig von
jeglichen Firewall-Regeln.

ê
!
Um die Server zu schützen, wird empfohlen diese Option zu aktivieren und falls notwendig den
Zugriff über den internen Datenverkehr zu regeln.

Proxy 69
Konfiguration Schulrouter Plus

7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele


Hier können Sie festlegen, ob bestimmten PCs nicht den HTTP-Proxy nutzen müssen.

Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele


Diese Quellen oder Ziele werden nicht über den Proxy geleitet, selbst wenn er im Modus
“Transparent” läuft.

Den Proxy von folgenden Quell-IPs/Quell-MAC-Adressen umgehen


Für die in diesen Feldern eingetragenen IP- bzw. MAC-Adressen gelten die >Einstellungen der
Standardrichtlinie< nicht.
MAC-Adressen müssen im Format 0 0 - 0 0 - 0 0 - 0 0 - 0 0 - 0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
eingegeben werden.

Gesperrte IP-Adressen/MAC-Adresse
Alle in diesen Feldern angegebenen IP- bzw. MAC-Adressen bekommen beim Versuch über
den http-Proxy ins Internet zu gelangen die Fehlermeldung “Zugriff verweigert”.
MAC-Adressen müssen im Format 0 0 - 0 0 - 0 0 - 0 0 - 0 0 - 0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
eingegeben werden.

7.1.1.6 Cache Verwaltung


Der http-Proxy des Schulrouter Plus verfügt auch über einen Zwischenspeicher (Cache), um den
Internetdatenverkehr zu minimieren und die Seitenaufrufe bei den Clients möglichst schnell zu halten.

Sie können hier die Größe des Cache im Arbeitsspeicher (RAM) und auf der Festplatte definie-
ren. Der Cache im RAM ist viel schneller und Strom sparender als auf der Festplatte. Er sollte
aber nicht zu groß gewählt werden, da sonst andere Dienste beeinträchtigt werden könnten.

Weiterhin können Sie auch festlegen, welche Größe die zwischengespeicherten Objekte
mindestens und maximal haben dürfen.

Mit der Option „Aktiviere Offline-Modus“ werden die zwischengespeicherten Objekte nicht
auf dem Server auf Aktualität überprüft und es wird beim Abrufen auch auf evtl. veraltete
Objekte zugegriffen.

Im Eingabefeld „Diese Domains nicht zwischenspeichern“ können Sie eine Liste von Domains
führen, von denen keine Objekte zwischengespeichert werden sollen. Objekte dieser Domains
werden also immer direkt vom Server geholt.

Die Einträge müssen immer mit einem Punkt beginnen und es muss für jede Domain eine neue Zeile
verwendet werden.

Beispiel: “.time-for-kids.de” “.schulrouterplus.de”

Proxy 70
Konfiguration Schulrouter Plus

7.1.1.7 Vorgelagerter Proxy


Gibt es einen weiteren Proxy in Ihrem Netzwerk, über den der Schulrouter Plus ins Internet gehen soll,
müssen Sie hier die passenden Daten eintragen:

Geben Sie zuerst den Hostnamen mit dem Proxyport in dem Format Hostname:Port an.
Verlangt der vorgelagerte Proxy, dass Sie sich authentifizieren, geben Sie darunter
Benutzername und Passwort ein.

Auf der rechten Seite können Sie festlegen, welche Daten mit an den Proxy übergeben
werden. So kann die IP-Adresse und der Benutzername des Clients weitergegeben werden.

Proxy 71
Konfiguration Schulrouter Plus

7.1.2 Authentifizierung

Der HTTP-Proxy des Schulrouter Plus unterstützt vier Authentifizierungsmethoden:


Lokal, LDAP, Windows, Radius. Jede dieser Methoden benötigt unterschiedliche Einstellungen, die
weiter unten beschrieben werden.

Die globalen Einstellungen für alle Authentifizierungsmethoden sind:

Anzahl der Authentifizierungsprozesse


Gibt an, wie viele Prozesse auf Authentifizierungsanfragen warten. Der Wert sollte erhöht
werden, wenn die Anmeldung zu lange dauert.

Authentifizierungscache TTL
Gibt in Minuten an, wie lange die Session der Anmeldung bestehen bleibt. Nach Ablauf der
Zeit muss sich der Benutzer neu anmelden. Schickt der angemeldete Benutzer während dieser
Zeit eine Anfrage ab (ruft bspw. eine Internetseite auf), beginnt die Zeit von neuem.

Begrenzung von IP-Adressen pro Benutzer


Gibt an, von wie vielen unterschiedlichen IP-Adressen aus sich ein Benutzer gleichzeitig
anmelden darf. Wenn das Feld leer bleibt, besteht keine Beschränkung.

Proxy 72
Konfiguration Schulrouter Plus

Benutzer/IP-Cache TTL
Gibt an, für welche Dauer die Beziehung von IP-Adresse zu Anmeldename gespeichert wird.
Diese Einstellung macht nur Sinn, wenn die Begrenzung von IP-Adressen pro Benutzer
genutzt wird. Meldet sich ein Benutzer an einem Client-PC an und wird die Begrenzung der
IP-Adressen bspw. auf eins gestellt, kann er sich erst wieder an einem anderen Client-PC
anmelden, sobald die hier eingegebene Zeit abgelaufen ist. Ist der Wert auf 0 gesetzt, besteht
keine Beschränkung.

Authentifizierungs-Realm Anzeige
Die hier eingegebene Bezeichnung wird auf der Anmeldmaske als Name des Proxy angezeigt.
Für die Anbindung eines Active Diretories über die Authentifizierungsmethode „Windows“
muss hier der FQDN-Domänenname stehen.

Authentifizierung für uneingeschränkte Quelladressen erforderlich


Aktivieren Sie diese Option, wenn Sie möchten, dass eine Anmeldung auch von IP-Adressen
geschehen soll, die unter Konfiguration im Feld >Den Proxy von folgenden Quell-IPs umghen<
oder >Den Proxy von folgenden Quell-MAC-Adressen umgehen< stehen.

Domains ohne Authentifizierung


Hier können Sie eine Liste mit Internetseiten pflegen, für die keine Anmeldung erforderlich ist.

Zum Beispiel für Windows- und AntiVirus-Update.

Alle angegebenen Domains müssen mit einem Punkt beginnen.

Beispiel für Windows-Update: “.windowsupdate.com” “.microsoft.com”

Quellsubnetze/IP/MAC ohne Authentifizierung


Hier können Sie eine Liste mit Hosts (IP-Adressen/Netz/MAC-Adressen) pflegen, von denen
keine Anmeldung abgefragt wird.

Proxy 73
Konfiguration Schulrouter Plus

7.1.2.1 Lokale Authentifizierung


Bei der lokalen Benutzerauthentifizierung werden die Benutzer direkt auf dem Schulrouter Plus
gepflegt, ohne dass ein Authentifizierungsserver angebunden sein muss.

Über den Button Benutzerverwaltung können Sie die Benutzer anlegen und bearbeiten.

Min. Passwordlänge
Geben Sie an, wie lang ein Passwort mindestens sein darf.

7.1.2.1.1 Benutzerverwaltung
Dies ist die Oberfläche, auf der die gesamte Benutzerverwaltung vorgenommen werden kann. Im
oberen Bereich sind die Eingabefelder, mit denen Sie neue Benutzer anlegen, bzw. Benutzer bearbeiten
können, im unteren Bereich die Übersicht der vorhandenen Benutzer. In der Übersichts-tabelle werden
die angelegten Benutzer nach Benutzernamen sortiert.

Gruppen
Hier können Sie den Benutzer einer bestimmten Gruppe zuordnen. Diese muss vorher bei den
>Gruppenregeln< erstellt worden sein.

Benutzer anlegen
Um einen neuen Benutzer anzulegen, geben Sie die entsprechenden Benutzerdaten in die
Eingabefelder ein und wählen Sie eine entsprechende Gruppe. Nachdem Sie auf den Button
Benutzer erstellen klicken, erscheint der neue Benutzer in der Liste darunter.

Benutzer bearbeiten
Um vorhandene Benutzer zu bearbeiten, klicken Sie auf das Stift-Symbol in der Zeile des
entsprechenden Benutzers. Daraufhin erscheinen die Daten in der Eingabemaske oben.
Sie können bei dem zu bearbeitenden Benutzer nur Passwort und Gruppe ändern, nicht den
Benutzernamen. Wenn Sie die Einstellungen vorgenommen haben, klicken Sie auf den Button
Benutzer aktualisieren.

Benutzer löschen
Um einzelne Benutzer zu löschen, klicken Sie auf das Papierkorp-Symbol am Ende der Zeile.

Proxy 74
Konfiguration Schulrouter Plus

7.1.2.2 LDAP
Diese Einstellung wird verwendet, um ein LDAP-Server anzubinden.

Folgende Einstellungen müssen gesetzt werden:

Base DN
Der „base distinguished name“, ist der Startpunkt der LDAP-Suche. Standardmäßig kann hier
der Domänenname verwendet werden.

Beispiel für die Domäne schule.local: dc=schule,dc=local

LDAP Server
Die IP-Adresse Ihres LDAP-Servers

LDAP-Typ
Hier können Sie wählen ob Sie ein Active Directory, Novell eDirectory, LDAP Server Version 2
oder einen LDAP Server Version 3 verwenden.

Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 389.

Bind DN Benutzername/Passwort
Der vollständige Benutzername und das Passwort eines Benutzers, der die Berechtigung
besitzt Benutzerattribute auszulesen.

Beispiel für den Benutzer Administrator eines Active Directory mit der Domäne schule.local:
cn=administrator,cn=users,dc=schule,dc=local

Proxy 75
Konfiguration Schulrouter Plus

7.1.2.3 Windows
Diese Einstellung wird verwendet, um ein Active Directory anzubinden.

Folgende Einstellungen müssen gesetzt werden:

Domäne
Geben Sie hier Ihren Domänenamen ein. Nutzen Sie die kurze Variante (NETBIOS), z.B.: schule

PDC Hostname
Der Hostname des primären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<

BDC Hostname
Der Hostname des sekundären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<
Benutzername/Passwort

Benutzername und Passwort


Der Benutzername und das Passwort des Benutzers mit dem der Schulrouter Plus der Domäne
beitreten kann. Dies muss ein Benutzer mit administrativen Rechten sein (z.B. der Domänen-
administrator).

Zugangsbeschränkungen
Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.

ê !
Mit dem Klick auf Domäne beitreten wird der Schulrouter Plus nur als Computer in der
Domäne angelegt und erst mit Speichern wird die Einstellung auch gespeichert übernommen.

Single Sign-On gegen ein Active Directory


i
Um das Single Sing-On gegen ein Active Directory nutzen zu können müssen einige
Voraussetzungen geschaffen werden:
• Der Schulrouter Plus muss der >Domäne beigetreten< sein.
• Die Uhrzeit des Schulrouter Plus und des Domänencontrollers müssen synchron laufen.
• Im >DNS-Proxy< muss der Domänencontroller als Nameserver für die interne Domäne festgelegt
werden.
• Der Schulrouter Plus muss in der Lage sein den Hostnamen des Domänencontrollers aufzulösen
(z.B. durch Bekanntmachung über >Hosts bearbeiten<)
• Die Authentifizierungs-Realm Anzeige muss der FQDN sein.
• Der >PDC Hostname< muss der Netbios-Computername des Domänencontrollers sein.

Proxy 76
Konfiguration Schulrouter Plus

7.1.2.4 Radius
Diese Einstellung wird verwendet, um einen Radius-Server anzubinden.

Folgende Einstellungen müssen gesetzt werden:

RADIUS Server
Die IP-Adresse Ihres LDAP-Servers

Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 1645.

Kennung
Eine zusätzliche Kennung (Identifier) des Radius-Servers.

Shared secret
Das Kennwort für die Signierung der Kommunikation.

Zugangsbeschränkungen
Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.

Proxy 77
Konfiguration Schulrouter Plus

7.1.3 Standardrichtlinie

Die Standardrichtlinie gilt für alle Hosts, die über den HTTP-Proxy surfen.
Sie können hier einschränken welche Browser verwendet werden dürfen, welche Dateitypen
aufgerufen werden dürfen und die maximale Größe von Downloads festlegen.

Zulässige Clients für Webzugriffe beschränken


Mit dieser Funktion können Sie die Client-PCs auf bestimmte Browser einschränken, so dass
Schüler bspw. nur noch den Microsft Internet Explorer nutzen können und nicht mehr ihren
mitgebrachten Portable Firefox.
Die Browser/Programme werden über ihre mit gesendete Kennung (Useragent) identifiziert
und können so ziemlich sicher ausgefiltert werden.

Aktivieren Sie zunächst die Funktion „Zulässige Clients für Webzugriffe beschränken„ und
wählen Sie dann unten die Programme aus, mit denen der Internetzugriff gewährt werden soll.

ê
! Beachten Sie, dass dadurch eventuell AntiVirus-Updates oder andere Programme blockiert werden.
Möchten Sie es bspw. erlauben, dass auch mit einem Browser Videos angesehen werden können,
muss zusätzlich zu dem Browser auch der Windows Media Player aktiviert werden.
Alle hier nicht aufgeführten Programme werden dann blockiert.

Proxy 78
Konfiguration Schulrouter Plus

Dateitypen blockieren
Um den Zugriff auf bestimmte Dateitypen zu verhindern, können Sie die zu blockierenden
Dateitypen in Form von MIME-Types hier angeben.

Beispiele:
application/octet-stream für ausführbare Dateien (*.bin *.exe *.com *.dll)
text/javascript für JavaScript (*.js)

Eine Übersicht der gängigen MIME-Types bekommen Sie bspw. bei >SelfHTML<

Sie können auch Teilausdrücke nutzen, so dass mit dem Eintrag javascript sowohl
i “application/x-javascript” als auch “text/javascript” unterbinden.

Max. Größe von Downloads


Legen sie hier fest, ob die maximale Größe von Downloads beschränkt werden soll.
„0“ bedeutet keine Beschränkung.

Proxy 79
Konfiguration Schulrouter Plus

7.1.4 Antivirus

Hier können Sie die Virus-Scan-Engine, die vom HTTP-Proxy verwendet wird, konfigurieren.

Max. zu scannende Dateigröße


Definieren Sie die maximale Größe von Dateien, die gescannt werden sollen.

Folgende URLs nicht durchsuchen


Eine Liste von Internetadressen, die nicht gescannt werden sollen.

i Die Aktualität des Virenscanners kann bei >Abschnitt 7.1.4 Antivirus< überprüft werden.

Proxy 80
Konfiguration Schulrouter Plus

7.1.5 Gruppenregeln

Hier können Sie bei Nutzung der Authentifizierungsmethoden Lokal oder Windows Gruppen
erstellen oder hinzufügen.

Bei der Nutzung der Authentifizierungsmethode Windows importieren Sie hier nach dem erfolg-
reichen Anbinden des Schulrouter Plus an die Domäne die Gruppen, denen der Zugriff über den
http-Proxy gewährt werden soll.

Gruppen, die standardmäßig alle Benutzer abdecken, sind „Domänenmitglieder“ und


i „Domänenadmins“.

Bei Nutzung der Authentifizierungsmethode Lokal erstellen und bearbeiten Sie hier die Gruppen,
denen die Benutzer in der Benutzerverwaltung (L) zugeordnet sein müssen.

Das Richtlinien-Profil definiert die Einschränkungen bei der Nutzung des http-Proxys. Benutzer-
gruppen mit dem Profil „Standardeinstellungen“ nutzen den http-Proxy mit allen eingestellten
Einschränkungen der >Standardrichtlinie<.
Benutzergruppen mit dem Profil „Uneingeschränkt“ umgehen diese Einstellungen.

Proxy 81
Konfiguration Schulrouter Plus

7.2 POP3
In diesem Abschnitt können Sie den POP3-Proxy für eingehende E-Mails konfigurieren.

7.2.1 Globale Einstellungen

Hier können Sie den POP3-Proxy für jedes einzelne Netzsegment aktivieren. Es ist weiterhin
möglich, den Virusscanner und Spamfilter für eingehende E-Mails zu aktivieren.

Um jede ausgehende POP3-Verbindung im Firewalllog zu protokollieren, aktivieren Sie den


Haken „Firewall protokolliert ausgehende Verbindungen“.

Proxy 82
Konfiguration Schulrouter Plus

7.2.2 Spam Filter

Hier definieren Sie, wie sich der POP3-Proxy mit aktiviertem Spamfilter verhält, wenn er eine
Spam-Nachricht entdeckt.

Spam Betreffzeile
Dieser Eintrag wird vor den Betreff der Originalnachricht geschrieben.

benötigte Punktezahl
Diese Einstellung legt fest, bei welcher Punktzahl eine E-Mail als Spam definiert wird.
Die Anzahl der vergebenen Punkte wird durch die einzelnen Prüfalgorithmen des Spamfilters
festgelegt und addiert.

Hash Spamprüfung aktivieren


Diese Option aktiviert die Spamerkennung über Prüfsummen. Hierbei wird die Prüfsumme einer als
Spam erkannten E-Mail an eine zentrale Datenbank gemeldet. Auf auf dem Schulrouter Plus werden
von allen eingehenden E-Mails die Prüfsumme generiert und mit dieser Datenbank verglichen.

Proxy 83
Konfiguration Schulrouter Plus

ê
! Dies wird zu einer eheblichen Auslastung des Schulrouter Plus führen.

Whitelist/Blacklist
Hier können Absenderadressen definieren, die nie bzw. immer als Spam erkannt werden
sollen. Sie können hierbei auch Platzhalter verwenden (z.B. *@example.com)

7.3 FTP

Der FTP-Proxy ist nur als transparenter Proxy einsetzbar. Dies erlaubt das Scannen von Viren bei
FTP-Downloads.

ê
!
Die Transparenz greift nur auf den Standardport 21 zu. Das heißt: Wenn Sie Ihre Clients
einstellen, und Sie den http-Proxy für alle Ports verwenden, wird der FTP-Proxy umgangen.

Sie können hier den FTP-Proxy für die einzelnen Netzsegmente aktivieren und folgende Einstellungen
vornehmen:

Firewall protokolliert ausgehende Verbindungen


Hiermit werden alle ausgehenden FTP-Verbindungen im Firewalllog protokolliert.

Umgehe den transparenten Proxy von folgenden Quellen/für folgende Ziele


Sie können festlegen, dass bestimmte Hosts den FTP-Proxy umgehen bzw. für bestimmte
Ziele der FTP-Proxy nicht verwendet wird.

Proxy 84
Konfiguration Schulrouter Plus

7.4 SMTP
Der SMTP-Proxy kann ausgehender E-Mails weiterleiten und filtern.

Der Einsatzbereich des SMTP-Proxys ist, den SMTP-E-Mail-Verkehr zu steuern, zu optimieren und Ihr
Netzwerk vor Angriffen über das SMTP-Protokoll zu schützen.

Die Konfiguration ist in mehrere Abschnitte unterteilt:

7.4.1 Hauptseite

Dies ist der Hauptschnitt zur generellen Konfiguration des SMTP-Proxys. Er beinhaltet folgende
Einstellungsmöglichkeiten:

Aktiviert
Dies aktiviert den SMTP-Proxy, so dass er SMTP-Anfragen auf Port 25 annimmt.

Transparent
Wenn die Transparenz aktiviert ist, werden alle Anfragen an den Zielport 25 abgefangen und
an den SMTP-Proxy weitergegeben, ohne dass bei dem Client ein Proxy eingestellt sein muss.

Virusprüfung aktiviert
Aktivieren Sie die Antivirenprüfung der ausgehenden E-Mail. Die Konfiguration kann im
Abschnitt >Antivirus< vorgenommen werden.

Spamprüfung aktiviert
Aktivieren Sie diese Option, um ausgehende E-Mails auf Spamnachrichten zu prüfen. Die
Konfiguration kann im Abschnitt >7.4.3 Spam< vorgenommen werden.

Proxy 85
Konfiguration Schulrouter Plus

Blockiere Dateiendungen
Aktivieren Sie diese Option, um E-Mails mit bestimmten Dateianhängen zu blockieren. Die
Konfiguration kann im Abschnitt >7.4.4 Dateierweiterungen< vorgenommen werden.

Eingehende Mail aktiviert


Wenn Sie in Ihrem Netzwerk einen internen E-Mail-Server betreiben, können Sie diese Option
aktivieren um eingehende an den internen Mailserver weiterzuleiten.

Firewall protokolliert ausgehende Verbindungen
Aktivieren Sie diese Option, um alle ausgehenden SMTP-Verbindungen im >Firewalllog< zu
protokollieren. Beachten Sie dabei die Datenschutzbestimmungen.

Sie müssen weiterhin die E-Mail-Domains definieren für die der SMTP-Server verantwortlich sein
i soll. Sie können diese im Abschnitt “Domains” (L) definieren.

Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.

Proxy 86
Konfiguration Schulrouter Plus

7.4.2 Antivirus

Die Antivirenprüfung ist eine der Hauptaufgaben des SMTP-Proxys. Drei Reaktionen können festgelegt
werden, wenn einen virenbefallene E-Mail versendet wird. Es ist auch möglich eine E-Mail -Adresse für
Benachrichtigungen festzulegen:

Standardeinstellung
Sie können zwischen drei Reaktionen auf infizierte E-Mails wählen:
“Verwerfen”: Die infizierte E-Mail wird sofort gelöscht.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.

Mailadresse zur Virus Benachrichtigung (Virus Admin)


Hier können Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung über den Fund
infizierter E-Mails geschickt werden soll.

Virus Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert
· Virus-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab
· E-Mail-Adresse – Wenn Sie eine gültige E-Mail-Adresse angeben, werden infizierte
E-Mails dorthin weitergeleitet

Um die Einstellungen zu übernehmen klicken Sie unten auf Speichern und Neustart.

Proxy 87
Konfiguration Schulrouter Plus

7.4.3 Spam

Der Antispamschutz des Schulrouter Plus kennt verschiedene Wege, um Sie vor Spammails zu
schützen: Regelbasierter Spamfilter und Greylisting. Wobei beim Greylisting wird die Nachrichten von
unbekannten (noch nie zugestellt) Absendern zuerst abgewiesen und erst nach einer gewissen Zeit
angenommen.
Während die meisten einfachen Spamnachrichten von bekannten Mailservern versendet und vom
Spamfilter geblockt werden, verändern Spammer ständig beim Versenden ihre Nachrichten. Dafür
ist es absolut notwendig, den Spam-Filter zu trainieren, um einen für Sie wirkenden Spamschutz zu
bekommen.

Folgende Einstellungen betreffen die regelbasierte Spamfilterung:


Spam Ziel
Was soll mit erkannten Spamnachrichten geschehen.
“Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.

E-mail zur Benachrichtigung bei Spam Alarm (Spam Admin)


Hier können Sie eine E-Mail -Adresse angeben, an die eine Benachrichtigung über den Fund
von Spammails geschickt werden soll.

Spam Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert.
· Spam-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab.
· E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben, werden infizierte E-Mails
dorthin weitergeleitet.
Proxy 88
Konfiguration Schulrouter Plus

Spam Kennzeichnungsstufe
Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird, wird
dem Header der Nachricht die Tags X-Spam-Status und X-Spam-Level hinzugefügt. Diese
beschreiben welche Regeln mit welchem Punkten gegriffen hat.

Spam Markierungsstufe
Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird, wird die
Nachricht als Spam eingestuft und wie in “Spam Subjekt” angegeben die Kopfzeile erweitert.

Spam Quarantäne Level


Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird, wird die
Nachricht als Spam eingestuft und in die Quarantäne verschoben.

Maximale SPAM Punktezahl für Senderbenachrichtigung


Senden nur eine Benachrichtigung an den oben angegebenen Spam-Admin, wenn diese Zahl
unterschritten bleibt.

Spam Subjekt
Hier können Sie festlegen, welche Nachricht in die Kopfzeile der zugestellten Nachricht
geschrieben wird.

Der zweite Abschnitt dieser Seite enthält die Einstellungen für das Greylisting:

Greylisting aktiviert
Aktiviert die Spamprüfung mittels Greylisting.

Verzögerung
Hier könen Sie die Zeit einstellen wie lange eine Nachricht abgewiesen wird, bis sie zugestellt
wird. Dies kann ein Wert zwischen 30 und 3600 Sekunden sein.

Whitelist Empfänger
Sie können hier E-Mail-Adressen oder ganze Domains freigeben, die nicht durch Greylisting
geprüft werden.

Whitelist Client
Sie können hier Mailserver freigeben, die nicht durch Greylisting geprüft werden. Das heißt,
dass E-Mails, die von diesem Server eintreffen, nicht geprüft werden.

Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.

Proxy 89
Konfiguration Schulrouter Plus

7.4.4 Dateierweiterungen

Sie können hier bestimmte Dateianhänge sperren:

Blockierte Dateierweiterungen
Hier können Sie eine oder mehrere Dateitypen wählen, die gesperrt werden.

Aktion bei gesperrten Dateiendungen


Was soll mit blockierten Nachrichten geschehen?
“Verwerfen”: Die Nachricht wird sofort gelöscht und nicht zugestellt.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.

Quarantäne für verbotene Dateien


Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert.
· Banned-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab.
· E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben, werden infizierte E-Mails
dorthin weitergeleitet.

Proxy 90
Konfiguration Schulrouter Plus

E-Mail für Warnmeldungen bei blockierten Dateien (Admin)


Hier können Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung über den Fund
von E-Mails mit geblockten Dateien geschickt werden soll.

Doppelte Dateiendungen verbieten


Wenn Sie diese Option aktivieren, werden Dateien mit doppelten Anhängen blockiert.
Doppelte Dateiendungen sind Endungen mit irgendeiner Dateiendung gefolgt von
.exe, .com, .vbs, .pif, .scr, .bat, .cmd oder .dll

Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.

7.4.5 Blacklist-Whitelist

Eine oft genutzte Methode, um Spamnachrichten zu blockieren, sind so genannte real-time Blacklists
(RBL). Diese Listen werden von unterschiedlichen Organisationen gepflegt.

Wenn eine Domäne oder IP-Adresse in einer der aktivierten Liste aufgeführt ist, wird sie ohne
Rückmeldung abgelehnt. Dies spart Ressourcen im Vergleich zum Antispam, da hier keine E-Mail
angenommen und analysiert werden müssen.

Es gibt hier auch die Möglichkeit bestimmte Absender, Empfänger, IP-Adressen oder Netzwerke zu
sperren oder freizugeben.

Proxy 91
Konfiguration Schulrouter Plus

Folgende Listen können verwendet werden:

“bl.spamcop.net “

“zen.spamhaus.org”

“cbl.abuseat.org”

“dul.dnsbl.sorbs.net”

“list.dsbl.org”

“dsn.rfc-ignorant.org”

“ix.dnsbl.manitu.net”

Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.

Proxy 92
Konfiguration Schulrouter Plus

7.4.6 Domains

Wenn Sie auf der Hauptseite „Eingehende Mail“ aktiviert haben und Nachrichten zu einem internen
Mailserver weiterleiten wollen, müssen Sie die Domänen definieren, die vom SMTP-Proxy akzeptiert
werden sollen und welcher Ihrer Mailserver diese Nachrichten empfangen soll.

Es ist möglich mehrere Mailserver für unterschiedliche Domänen zu verwenden. Geben Sie hier
einfach die Domäne und den internen Mailserver an. Fügen Sie alle notwendigen Mailserver der Liste
hinzu.

Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.

Proxy 93
Konfiguration Schulrouter Plus

7.4.7 Mailrouting

Diese Einstellung erlaubt es Ihnen eine blind carbon copy (BCC) an eine spezielle E-Mail-Adresse zu
senden. Diese Kopie wir gesendet, sobald eine E-Mail zu einem bestimmten Empfänger oder von
einem bestimmten Absender gesendet wird.

Richtung
Legen Sie fest, ob die Kopie erstellt werden soll, wenn die Nachricht zu einem bestimmte
Empfänger oder von einem bestimmten Absender gesendet wird.

Mailadresse
Hier geben Sie die entsprechend zu prüfenden Empfänger- oder Absenderadresse an.

BCC Adresse
Dies ist die E-Mail-Adresse an die die Kopie geschickt werden soll.

Durch Klick auf Mailroute hinzufügen wird die Regel hinzugefügt und durch Klick auf Speichern
und Neustart übernommen.

ê
!
Weder Empfänger noch Absender werden informiert. Dies kann den Datenschutzrichtlinien
widersprechen!

Proxy 94
Konfiguration Schulrouter Plus

7.4.8 Erweitert

Hier können Sie erweiterte Einstellungen für den SMTP-Proxy vornehmen.

Im Abschnitt Smarthost können folgende Einstellungen vorgenommen werden:

Zustellung über externen Mailserver (Smarthost)


Aktivieren Sie diese Einstellung wenn Sie einen Smarthost oder Relay-Server verwenden
wollen. Ein Smarthost ist ein Mailserver, der von einem Sender E-Mails annimmt und an
beliebige Dritte weiterleitet.

Adresse des Smarthostes


Geben Sie die Adresse des Smarthosts an.

Smarthost benötigt Authentifizierung


Aktivieren Sie dieses Feld, wenn der Smarthost eine Anmeldung benötigt und geben sie
darunter die entsprechenden Anmeldedaten an.

Authentifizierungsmethode
Hier können Sie die Authentifizierungsmethoden festlegen, die Ihr Smarthost unterstützt.

Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.

Proxy 95
Konfiguration Schulrouter Plus

ê


!
Wenn der Schulrouter Plus eine dynamische IP-Adresse bekommt, weil der Provider bei jeder
Einwahl eine neue Ip-Adresse vergibt, kann es sein, dass Sie Probleme beim Versenden von E-Mails
über den SMTP-Proxy bekommen. Immer mehr Mailserver überprüfen, ob ihre IP als dynamische IP-Adresse
bekannt ist und verweigert ggf. die Verbindung. Dafür kann es hilfreich sein, einen Smarthost zu verwenden.
Normalerweise können Sie den Mailserver Ihres E-Mail-Providers verwenden.

Im Abschnitt „IMAP Server für die SMTP Authentifizierung“ können Sie festlegen welcher IMAP-Server
für die Authentifizierung beim Versenden von E-Mails verwendet werden soll.

In den erweiterten Einstellungen können Sie noch folgende Einstellungen vornehmen:

smtpd HELO benötigt


Ist dies aktiviert, muss der Client ein HELO beim Aufbau der Verbindung senden

Ungültige Rechnernamen abweisen


Die Verbindung wird abgewiesen, wenn das HELO-Signal des Clients einen ungültigen
Hostnamen enthält.

Unvollständige Rechnernamen abweisen (FQDN)


Die Verbindung wird abgewiesen, wenn das HELO-Signal keinen voll qualifizierten
Hostnamen (FQDN) enthält.

Unvollständige Empfangsadresse abweisen (FQDN)


Die Verbindung wird abgewiesen, wenn die Empfängeradresse keinen voll qualifizierten
Hostnamen (FQDN) ist.

Unbekannte Sender Domain abweisen


Die Verbindung wird abgewiesen, wenn die Domäne der Absender- E-Mail-Adresse keinen
DNS A oder MX-Eintrag hat.

Unbekannte Empfänger abweisen


Die Verbindung wird abgewiesen, wenn die Domäne der Empfänger- E-Mail-Adresse keinen
DNS A oder MX-Eintrag hat.

SMTP HELO Name


Dies ist der Hostname, der mit dem ausgehenden HELO-Signal gesendet wird. Standard ist die
IP-Adresse der roten Schnittstelle.

Proxy 96
Konfiguration Schulrouter Plus

Immer an BCC Adresse


Optional können Sie hier eine E-Mail-Adresse angeben, die eine Kopie von jeder E-Mail erhält,
die über den SMTP-Proxy versandt wird.

Das Zusenden von solchen E-Mails kann Datenschutzrichtlinien und die Privatsphäre der
Benutzer verletzen. Bitte prüfen Sie die Datenschutzrichtlinien Ihres Bundeslandes.

SMTP Daemon Hard Error Limit


Dies ist die maximale Anzahl von Fehlern, welche beim Abschicken einer E-Mail von ein und
demselben SMTP Client auftreten dürfen.
Der SMTP Proxy schließt die Verbindung wenn dieses Limit überschritten wird.

Sprache der Email-Vorlage


Die Sprache in der Fehlermeldungen des SMTP-Proxys angezeigt werden.

Maximal Email-Größe
Die maximale Größe, die eine einzelne E-Mail haben darf.

Um die Einstellungen zu übernehmen klicken Sie unten auf Speichern und Neustart.

Proxy 97
Konfiguration Schulrouter Plus

7.5 DNS
7.5.1 DNS Proxy

Auf dieser Seite können Sie den transparenten DNS-Proxy aktivieren und konfigurieren. Sie können
den DNS-Proxy für die einzelnen Schnittstellen aktivieren und außerdem festlegen bei welchen Quell-
und Zieladressen der DNS-Proxy umgangen werden soll.

Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.

7.5.2 Benutzerdefinierter Nameserver

Hier können Sie Nameserver für bestimmte Domänen festlegen, wie z.B. den Domänencontroller Ihrer
internen Domäne.

Geben Sie dazu einfach nach dem Klick auf einen neuen benutzerdefinierten Nameserver für
eine Domain hinzufügen die Domäne und den dafür zuständigen Nameserver an.

Proxy 98
Konfiguration Schulrouter Plus

7.5.3 Anti-Spyware

Hier können Sie festlegen wie der Schulrouter Plus reagieren soll, wenn der Domänenname für bekannt
ist für “Spyware-Angriffe” bekannt ist.

Folgende Einstellungen können Sie setzen:

Aktiviert
Wenn aktiviert, werden die Anfragen an localhost umgeleitet.

Anfragen an den Spyware Listening Port weiterleiten


Ist dies aktiviert, werden die Anfragen anstatt an localhost an das Spyware-Modul
weitergegeben.

Erlaubte/Blacklist Domains
Hier eingegebene Domains werden entweder nicht oder immer als Spyware klassifiziert.

Spyware Domainlisten Updateintervall


Hier können Sie festlegen, wie oft die Spyware Domain Liste aktualisiert wird.

Proxy 99
Konfiguration Schulrouter Plus

8 Hauptmenü VPN
Virtual Private Networks oder VPNs erlauben es zwei Netzwerken, sich direkt über ein anderes
Netzwerk, z.B. das Internet, miteinander zu verbinden. Alle Daten werden sicher über einen
verschlüsselten Tunnel versendet, geschützt vor neugierigen Blicken. Auf die gleiche Weise kann sich
ein einzelner Computer mit einem anderen Netzwerk verbinden.
Der Schulrouter Plus kann sehr einfach VPNs zwischen anderen Schulrouter Plus aufbauen. Im
Schulrouter Plus werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz definiert. Diese sind
zu 100% optional; Sie sollten diesen Abschnitt sicherheitshalber ignorieren, wenn Sie diese Funktion
nicht benutzen wollen.

Die meisten aktuellen Betriebssysteme unterstützen IPSec. Das beinhaltet Windows, Macintosh OSX,
Linux und die meisten Unix-Varianten. Unglücklicherweise bieten diese Tools sehr unterschiedliche
Unterstützungen und könnten daher schwierig einzustellen sein.

1. Verbindgunsarten

Netz-zu-Netz
Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke über das Internet
miteinander, indem sie einen “Tunnel” aufbauen. In einem Netz-zu-Netz VPN muss
mindestens eines der beteiligten Netzwerke per Schulrouter Plus mit dem Internet
verbunden sein. Das andere Netzwerk kann an einen Schulrouter Plus angeschlossen sein,
oder an einen an deren VPN-fähigen Router oder Firewall.
Diesen Routern/Firewalls wurde eine öffentliche IP von einem Provider zugewiesen und
sie benutzen höchstwahrscheinlich NAT (Network Address Translation). Falls gewünscht,
kann auch ein VPN zwischen den Clients in den internen Netzen und dem Schulrouter Plus
aufgebaut werden. Das stellt sicher, dass der Datenverkehr im entsprechen den Netzwerk
nicht mit Sniffern abgehorcht werden kann.

Host-zu-Netz
Eine Host-zu-Netz Verbindung besteht, wenn der Schulrouter Plus an dem einem Ende des
VPN-Tunnels steht und ein Remote- oder Mobilbenutzer am anderen Ende. Der Mobilbenutzer
ist höchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen,
dynamischen öffentlichen IP. Man nennt diese Konstellation daher Host-zu-Netz oder
Roadwarrior.

Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfigurieren können,


müssen Sie sich für eine der Authentifizierungsmethoden pre-shared key (PSK) bzw.
Passwort-/Passphrase oder X.509-Zertifikat entscheiden. Mit der Authentifizierungsmethode
identifiziert sich der Benutzer für den Zugang zum VPN.

VPN 100
Konfiguration Schulrouter Plus

2. Authentifizierungsmethoden

Pre-Shared Key
Die pre-shared key (PSK) Authentifizierungsmethode ist eine einfache Methode, die eine
schnelle Konfiguration von VPNs ermöglicht.
Für diese Methode geben Sie eine Authentifizierungsphrase ein. Dabei kann es sich um eine
beliebige Zeichenfolge handeln, vergleichbar zu einem Passwort. Diese Phrase muss für die
Authentifizierung beim Schulrouter Plus und dem VPN-Client verfügbar sein.
Die PSK-Methode benötigt weniger Schritte als bei einer Authentifizierung über Zertifikate.
Sie kann verwendet werden, um Verbindungstests durchzuführen und Erfahrungen beim
Aufbau einer VPN-Verbindung zu sammeln.

Die System-Uhrzeiten an jedem Ende des VPN-Tunnels sollten aktuell sein, bevor das VPN
i konfiguriert wird.

VPN 101
Konfiguration Schulrouter Plus

X.509 Zertifikate
X.509 Zertifikate stellen einen sehr sicheren Weg für die Verbindung von VPN-Servern dar.
Um X.509-Zertifikate zu implementieren, müssen Sie entweder die Zertifikate auf dem Schulrouter
Plus erzeugen oder durch eine andere Zertifizierungsstelle in Ihrem Netzwerk ausstellen lassen.

X.509 Begriffe
X.509 Zertifikate auf dem Schulrouter Plus und vielen anderen Implementierungen werden über
OpenSSL verwaltet. SSL (Secure Socket Layer) hat seine eigenen Begriffsdefinitionen.
X.509 Zertifikate enthalten, abhängig vom Anwendungsfall, öffentliche und private Schlüssel,
Passphrasen und Informationen über die zugehörige Funktionseinheit. Diese Zertifikate dienen dazu,
von Zertifizierungsstellen (Certificate Authorities oder CA) validiert zu werden.
Webbrowser beinhalten die CAs von öffentlichen Zertifizierungsstellen. Ein Host-Zertifikat wird von
der dazugehörigen CA validiert. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer
lokalen Maschine liegen. Im Falle von Schulrouter Plus ist dies der Schulrouter Plus selbst.

Zertifizierungsanfragen sind Anfragen für X.509 Zertifikate, die von CAs signiert (digital unter-
schrieben) werden.
Dabei entsteht aus der Anfrage das eigentliche Zertifikat, das dann zum Anforderer zurückgeschickt
wird. Dieses Zertifikat ist dann der CA bekannt, da es durch sie ausgestellt wurde.

X.509 Zertifikate können in drei verschiedenen Formaten gespeichert werden, die Anhand der
Dateiendung erkannt werden können. PEM ist das Standard-Format für OpenSSL. Es kann alle zum
Zertifikat gehörenden Informationen in lesbarer Form enthalten. Das DER-Format enthält nur die
Key-Informationen und keine separaten X.509-Informationen. Dies ist das Standard-Format für die
meisten Browser.
Das PEM-Format ergänzt das DER-Format durch Kopf-Informationen. PKCS#12, PFK oder P12 Zertifikate
enthalten im Binärformat dieselben Informationen wie PEM-Dateien. Mit dem OpenSSL-Kommando
können die Formate untereinander konvertiert werden. Um ein Zertifikat benutzen zu können, muss
es der Gegenstelle bekannt gemacht werden. Die IPSec-Implementierung vom Schulrouter Plus
enthält ihre eigene, selbst erstellte CA.
CAs können auch auf Roadwarrior-Maschinen laufen. Wenn die IPSec-Implementierung auf den
Roadwarrior-Maschinen keine eigenen CA-Fähigkeiten besitzt, können Sie eine Zertifikatsanforderung
(Request) erstellen, die dann von der CA des Schulrouter Plus signiert wird. Das daraus resultierende
Zertifikat kann dann auf der Roadwarrior-Maschine importiert werden.

VPN 102
Konfiguration Schulrouter Plus

8.1 OpenVPN Server


8.1.1 Serverkonfiguration

Hier können Sie den OpenVPN Server aktivieren, um eine VPN-Verbindung zu diesem Schulrouter Plus
von einem einzelnen PC oder einem anderen Schulrouter Plus aufzubauen.

Weiterhin legen Sie fest, welcher IP-Bereich aus dem Grünen Netz für die VPN-Clients zur Verfügung
gestellt wird.

Mit dem Button Speichern und Neustart übernehmen Sie die Einstellungen und starten den
OpenVPN Server.
Im Abschnitt Verbindungsstatus und –kontrolle werden die momentan aufgebauten
VPN-Verbindungen angezeigt.

Dort ist es möglich VPN-Verbindungen zu trennen (kill) oder die dazugehörigen Benutzer zu verban-
nen (ban). In beiden Fällen wird die VPN-Verbindung getrennt. Mit „ban“ hat der verbannte Benutzer
nicht mehr die Möglichkeit sich wiederzuverbinden.

VPN 103
Konfiguration Schulrouter Plus

8.1.2 Konten

In diesem Abschnitt wird die OpenVPN-Konten für PSK-Verbindungen verwaltet.


Mit dem Button Account hinzufügen erstellen Sie einen neuen OpenVPN-Zugang mit folgenden
Einstellungen:

Account Information
Benutzername
Anmeldename des Benutzers

Passwort / Passwort bestätigen


Das dazugehörige Passwort (doppelt)

Client Routing
Den gesamten Client Datenverkehr über den VPN Server leiten.
Wenn Sie dies auswählen, wird sämtlicher Datenverkehr des Clients (unabhängig von der
Richtung) durch den Schulrouter Plus geleitet. Ohne diese Funktion wird nur der Verkehr
mit dem den internen Zonen des Schulrouter Plus als Ziel über den VPN-Tunnel gesendet und
bspw. kein Internetverkehr.

Pushe keine Routen zu den Clients


(fortgeschritten) normalerweise wird, wenn sich ein Cleint verbindet, die Route zu den Zonen
hinter dem Schulrouter Plus automatisch am Client eingerichtet. Möchten Sie dies manuell
tun, aktivieren Sie diese Funktion.

Netzwerke hinter dem Client


Diese Einstellung wird nur bei der Gw2Gw-Verbindung benötigt (Gateway zu Gateway), wenn
Sie diesen Schulrouter Plus als Client verwenden möchten. Geben Sie in diese Feld die Netz
werke hinter diesem Schulrouter Plus an, die Sie an die Gegenstelle pushen möchten.

VPN 104
Konfiguration Schulrouter Plus

Pushe nur diese Netzwerke


Fügen Sie Ihre eigenen Routen hinzu, die zum Client gepusht werden sollen. Dies überschreibt
die automatisch gepushten Routen.

Individuelle Push Konfiguration


Statische IP Adresse
Normalerweise werden die IP-Adressen dynamisch den VPN-Clients zugewiesen
(entsprechend Reiter „Serverkonfiguration“). Diese Einstellung können Sie hier überschrieben
und eine feste IP-Adresse vergeben.

Diese Nameserver pushen


Pushen Sie einen weiteren internen Nameserver zum VPN-Client.

Domäne pushen
Pushen Sie einen Domänennamen zum VPN-Client.

In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z.B.
1 9 2 . 1 6 8 . 1 0 . 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an: http://www.heise.
de/netze/lib/netzwerk-rechner.shtml (L)

Klicken Sie auf Speichern, um das Konto anzulegen oder zu speichern.


Sie können jederzeit die angelegten Konten de-/aktivieren, bearbeiten oder löschen durch klick auf
das entsprechende Symbol.

Wenn Sie planen zwei oder mehr Netzwerke hinter einem Schulrouter Plus miteinander zu verbinden
(Gw2Gw), ist es zu empfehlen in diesen Netzwerken jeweils unterschiedliche Subnetze zu wählen.
Zum Beispiel hat eine Gegenstelle ein Grünes Netz mit 1 9 2 . 1 6 8 . 1 . 0 / 2 4 und die andere benutzt
1 9 2 . 1 6 8 . 2 . 0 / 2 4 . Nur auf diesem Weg funktionieren die automatisch generierten Routen.

VPN 105
Konfiguration Schulrouter Plus

8.1.3 Erweitert

Mit diesem Reiter können Sie die erweiterten Einstellungen bearbeiten. Neben anderen Einstellungen
können Sie hier auch festlegen, wie die Authentifizierung erfolgen soll (Benutzer/Passwort oder über
Zertifikat).

Der erste Abschnitt Erweiterte Einstellungen beinhaltet allgemeine Einstellungen für den
OpenVPN-Server:

Port / Protokoll
Port 1194 und Protokoll UDP sind die Standardeinstellungen. Es ist zu empfehlen diese zu
belassen wie sie sind.

DHCP Antworten aus dem Tunnel blockieren


Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk
bekommen, die mit Ihrem lokalen DHCP-Server in Konflikt geraten.

Datenverkehr zwischen Clients nicht blockieren


Standardmäßig werden die VPN-Clients voneinander getrennt. Aktivieren Sie diese Option,
wenn Sie Datenverkehr zwischen einzelnen VPN-Clients erlauben wollen.

VPN 106
Konfiguration Schulrouter Plus

Im zweiten Abschnitt können Sie die globalen Pushoptionen festlegen:

Diese Netzwerke pushen


Wenn aktiviert, werden die festgelegten Routen zu den verbundenen VPN-Clients gepusht.

Diese Nameserver pushen


Wenn aktiviert, werden die festgelegten Nameserver zu den VPN-Clients gepusht.

Domäne pushen
Wenn aktiviert, werden die festgelegten Domänennamen zu den VPN-Clients gepusht.

In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden
(z.B. 1 9 2 . 1 6 8 . 1 0 . 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an:
http://www.heise.de/netze/lib/netzwerk-rechner.shtml

Im dritten Abschnitt bestimmen Sie die Authentifizierungsmethode:

Standardmäßig nutzt der Schulrouter Plus die Methode PSK (Benutzername/Passwort) zur
Authentifizierung. Wenn Sie PSK weiterhin nutzen möchten, müssen Sie in diesem Abschnitt nichts
verändern.

Der Link „CA Zertifikat herunterladen“ stellt das CA-Zertifikat für diesen OpenVPn-Server zur
Verfügung. Dieses Zertifikat benötigen Sie am Client zum Herstellen der VPN-Verbindung. Weiterhin
können Sie dieses Zertifikat im PKCS#12-Format mit dem Link Exportiere CA als PKCS#12 Datei
herunterladen. Dies können Sie in den Fallback-Server importieren.

Letztendlich können Sie ein PKCS#12-Zertifikat hochladen, wenn dieser Schulrouter Plus ein Fallback-
Server sein soll.

Wenn Sie dennoch die Methode „X.509 Zertifikat“ (entweder nur mit Zertifikat oder auch zusammen
mit PSK) verwenden möchten, wird die Einrichtung etwas komplizierter. Verwenden Sie dazu die
separate Anleitung zu diesem Thema.

VPN 107
Konfiguration Schulrouter Plus

8.2 OpenVPN Client (Gw2Gw)

In diesem Abschnitt können Sie die Client-Seite der Gw2Gw-Verbindung (Gateway zu Gateway)
zwischen zwei Schulrouter Plus einrichten.

Klicken Sie auf Tunnelkonfiguration hinzufügen, um die Informationen über den oder die
entsprechenden OpenVPN-Server einzutragen:

Name für die Verbindung


Nur eine Bezeichnung für diese Verbindung.

Verbinden mit
Hier wird der externe Hostname eingetragen, über den der OpenVPN-Server erreichbar ist.
Die Portangabe ist optional und nur nötig falls nicht der Standardport 1194 verwendet wird.

Zertifikat hochladen
Wenn der OpenVPN-Server auf dem Schulrouter Plus der Gegenstelle für die Authentifi-
zierungsmethode PSK konfiguriert ist, müssen Sie hier dessen Hostzertifikat (CA-Zertifikat)
hochladen. Andernfalls, wenn auf Basis von Zertifikaten authentifiziert wird, müssen Sie das
PKCS#12-Zertifikat angeben.

PKCS#12 Challange Passwort


Geben Sie das dazu gehörige Passwort an, wenn eins angegeben wurde.

VPN 108
Konfiguration Schulrouter Plus

Benutzername / Passwort
Wenn die Gegenstelle für PSK-Authentifizierung (Benutzername und Passwort) oder Zertifikat
+ PSK konfiguriert ist, geben Sie hier die entsprechenden Zugangsdaten ein.

Anmerkung
Tragen Sie hier Ihren Kommentar zu der Verbindung ein.

Klicken Sie auf Erweiterte Tunnelkonfiguration um mehr Optionen einzurichten:

Fallback VPN Servers


Legen Sie für diese Verbindung ein oder mehrere (einer pro Zeile) Fallback-Server im Format
srp.example.com:port fest. Der Port ist optional und standardmäßig 1194. Wenn die Verbind
ung zum oben angegebenen Server fehlschlägt, wird der hier angegebene Fallbackserver
verwendet.

Verbindungstyp
“gerouted” (Der Schulrouter Plus-Client agiert als Gateway für das remote LAN) oder
“gebridget” (Als wäre der Schulrouter Plus-Client Bestandteil des remote LAN).
Standard ist „geroutet“.

DHCP Antworten aus dem Tunnel blockieren


Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk
bekommen, die mit Ihrem lokalen DHCP-Server in Konflikt geraten.

NAT
Wählen Sie dies aus, wenn Anfragen von Clients hinter dem Schulrouter Plus-Client versteckt
werden sollen und nur die IP des Schulrouter Plus die Gegenstelle erreicht.

Protokoll
UDP (Standard) oder TCP, entsprechend der Einstellung der Gegenstelle.

HTTP Proxy
Wenn Ihr Schulrouter Plus das Internet nur über einen externen HTTP-Proxy erreicht, können
Sie hier die Zugangsdaten des vorgelagerten Proxies eingeben.

Klicken Sie auf Speichern um das Konto anzulegen oder zu speichern. Sie können jederzeit die an-
gelegten Tunnel de-/aktivieren, Bearbeiten oder Löschen durch klick auf das entsprechende Symbol.

VPN 109
Konfiguration Schulrouter Plus

8.3 IPSec

Globale Einstellungen
Geben Sie die VPN-Server-Details ein, entweder den vollen Domainnamen oder die öffentliche
IP-Adresse von der ROT-Schnittstelle. Wenn Sie einen dynamischen DNS-Service benutzen, sollten Sie
hier den dynamischen DNS-Namen benutzen.

VPNs und dynamisches DNS


Falls Ihr Provider Ihre IP-Adresse geändert haben sollte (z.B. nach der Zwangstrennung),
müssen sie sich darüber bewusst sein, dass Sie die Netz-zu-Netz VPNs möglicherweise an
beiden Enden des Tunnels neu starten müssen. Roadwarriors müssen in diesem Falle ebenfalls
deren Verbindungen neu herstellen.

Aktivieren Sie VPN auf dem Schulrouter Plus, indem Sie das Feld “lokaler VPN Hostname/IP”
ausfüllen, das Kästchen Aktivieren anhaken und dann auf den Speichern-Button drücken.
Um ein VPN mit einem internen Netz außer Grün herstellen zu können, müssen Sie das
entsprechende Kästchen VPN auf BLAU/ORANGE aktivieren.

Verbindungsstatus und –kontrolle



Um eine VPN-Verbindung zu erzeugen, benutzen Sie den Button Hinzufügen. Daraufhin
erscheint die Seite für den VPN Verbindungstyp.
VPN 110
Konfiguration Schulrouter Plus

Zertifizierungsstellen
Erzeugen der Zertifikate für den Schulrouter Plus
Um eine Schulrouter Plus Zertifikats-Authority oder CA zu erstellen, geben Sie einen Namen für Ihre
Organisation o.ä. in das entsprechende Textfeld ein. Der gewählte Name sollte sich vom Hostnamen
des Schulrouter Plus unterscheiden, um Missverständnisse zu vermeiden. Zum Beispiel “srpa” für
Benutzer und “srp” für den Hostnamen.
Dann klicken Sie auf den Button Erzeuge Root/Host Zerti-fikate. Die Seite zur Erstellung von
“Root/Host Zertifikaten” erscheint. Füllen Sie das Formular aus und beide, ein X.509 Root und Host
Zertifikat, werden erzeugt.

Name der Organisation


Geben Sir hier den Namen der Organisation ein, den Sie im Zertifikat benutzen wollen. Wenn
Ihr VPN zum Beispiel einige Schulen in einem Schulbezirk zusammenschließt, könnten Sie
beispielsweise “Schulbezirk Ost” als Namen verwenden.

Hostname des Schulrouter Plus


Dies sollte der voll qualifizierte Domainname des Schulrouter Plus sein. Wenn Sie einen
dynamischen DNS nutzen, nehmen Sie diesen.

Ihre E-Mail Adresse


Geben Sie hier Ihre E-Mail-Adresse an, damit man mit Ihnen in Kontakt treten kann. Die
nächsten drei Angaben (Abteilung, Stadt und Staat/Bundesland) sind optional und können
weggelassen werden.

Ihre Abteilung
Dies ist der Abteilungs- oder Unterabteilungsname. Um das Schulbeispiel weiterzuführen,
könnten dies die Offenburger Grund- und Hauptschulen sein.

Stadt
Die Stadt oder Postanschrift Ihrer Maschine.

Staat oder Bundesland


Der Staat bzw. das Bundesland der Postanschrift.

Land
Dieses Pull-Down-Menü beinhaltet jeden bekannten ISO-Ländernamen. Benutzen Sie dieses
zur Auswahl des Landes, das zum Zertifikat passt.

Subjekt Alternativer Name


Diese optionale Einstellung ermöglicht es Ihnen, weitere Identifikationsmerkmale
unterzubringen.

Nach dem vollständigen Ausfüllen des Formulars klicken Sie auf den Button Erzeuge Root/Host
Zertifikate, um die Zertifikate zu erzeugen.

VPN 111
Konfiguration Schulrouter Plus

Verbindungstyp

Wählen Sie entweder Host-zu-Netz für mobile Anwender, die Zugriff zum grünen Netzwerk
benötigen, oder Netz-zu-Netz, um Benutzern eines anderen Netzwerks Zugang zu Ihrem
Grünen Netzwerk zu erlauben.
Wählen Sie den Verbindungstyp, den Sie erstellen möchten und klicken Sie auf den Button
Hinzufügen.

Die nächste Seite die erscheint, beinhaltet zwei Bereiche. Der Verbindungs-Bereich kann je nach dem
hinzuzufügenden Verbindungstyp variieren. Der Authentifizierungs-Bereich bleibt gleich.

PC-zu-Netz Verbindung

Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen), um diese
Verbindung zu identifizieren.

Schnittstelle
Wählen Sie die Netzwerk-Schnittstelle, mit der sich der Roadwarrior verbinden soll.
Die Auswahl der roten Schnittstelle erlaubt es dem Roadwarrior, sich vom Internet aus zu
verbinden. Die Auswahl einer internen Schnittstelle erlaubt es dem Roadwarrior, sich über
ein lokales Netzsegment mit dem Grünen Netzwerk zu verbinden.

Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks definiert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.

Anmerkung
Hier können Sie eine optionale Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.

Aktivieren
Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.

Erweiterte Einstellungen bearbeiten
Klicken Sie das Kontrollkästchen Erweiterte Einstellungen bearbeiten, wenn fertig
an, wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen.

VPN 112
Konfiguration Schulrouter Plus

Netz-zu-Netz Verbindung

Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen) um diese
Verbindung zu identifizieren.

Schulrouter Plus Seite


Wählen Sie eine Seite für den Schulrouter Plus, Rechts oder Links, die in den IPSec Konfigura-
tionsdateien verwendet wird, um die Seite der Verbindung dieses Schulrouter Plus auf dieser
Maschine zu identifizieren (siehe Hinweis).

Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks definiert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.

Gegenstelle/IP
Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. Sie
können auch den kompletten qualifizierten Domänennamen des entfernten Servers angeben.
Wenn der entfernte Server einen dynamischen DNS-Dienst benutzt, könnte es sein, dass Sie
das VPN neu starten müssen, falls sich die IP-Adresse ändert.

Subnetz der Gegenseite


Geben Sie die Netzwerk-Adresse und Subnetz-Maske des entfernten Netzwerks im selben
Format wie das lokale Subnetz-Feld an. Dieses Netzwerk muss sich vom lokalen Subnetz
unterscheiden, weil IPSec Routing-Tabellen-Einträge erstellt, um IP-Pakete zum richtigen
entfernten Netzwerk zu schicken.

Anmerkung
Hier können Sie optional eine Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.

Aktivieren
Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.

Erweiterte Einstellungen bearbeiten


Klicken Sie das Kontrollkästchen Erweiterte Einstellungen bearbeiten, wenn fertig
an, wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen.

VPN 113
Konfiguration Schulrouter Plus

Hinweise zur IPSec Terminologie IPSec benutzt die Begriffe Rechts und Links für die beiden Seiten

i einer Verbindung bzw. eines Tunnels. Diese Begriffe haben keine wirkliche Bedeutung.
Es ist am besten, wenn man sich das Ganze als „Seite A“ und „Seite B“ einer alten Langspielplatte vorstellt.
IPSec orientiert sich anhand von Netzwerkadressen und Routen. Wenn es einmal festgestellt hat, welche
Netzwerkverbindung (Rechts oder Links) zu benutzen ist, um auf die andere Seite der Verbindung zu
gelangen, folgen alle anderen Rechts/Links Parameter automatisch. Viele benutzen Links für die lokale
Seite einer Verbindung und Rechts für die entfernte Seite. Dies ist nicht notwendig.

VPN 114
Konfiguration Schulrouter Plus

9 Hauptmenü Protokolle
9.1 Zusammenfassung

Auf dieser Seite sehen Sie eine Zusammenfassung der Protokolle. Folgende Bedienungselemente sind
verfügbar:

Monat/Tag
Hier können Sie das Datum der Anzeige auswählen.

<< / >>
Durch die Nutzung der Pfeile können Sie einen Tag vor und zurück springen.

Aktualisieren
Durch den Klick hierauf wird die Anzeige aktualisiert, z.B. beim Ändern des Anzeigedatums.

Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Entsprechend dem Detaillierungsgrad unter Einstellungen können hier mehr oder weniger Informa-
tionen angezeigt werden.

Protokolle 115
Konfiguration Schulrouter Plus

9.2 System

Auf dieser Seite können Sie Sich verschiedene System-Protokolle ausgeben lassen. Sie können nach
Einträgen suchen, indem Sie folgende Bedienungselemente verwenden:

Abschnitt
Hier wählen Sie das Protokoll aus, das Sie einsehen möchten.

Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.

Gehe zum Datum


Wählen Sie das Datum des gesuchten Eintrags aus.

Gehe zur Seite


Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.

Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.

Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Sie können ältere und neuere Einträge mit den Buttons Älter und Neuer aufrufen.

Protokolle 116
Konfiguration Schulrouter Plus

9.3 Dienst

In den Dienst-Protokollen können Sie die Protokolle der Dienste Einbruchsdetektierung, OpenVPN und
Antivirus in deren Abschnitte ansehen.

Sie können nach Einträgen suchen indem Sie folgende Bedienungselemente verwenden:

Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.

Gehe zum Datum


Wählen Sie das Datum des gesuchten Eintrags aus.

Gehe zur Seite


Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.

Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.

Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Sie können ältere und neuere Einträge mit den Buttons Älter und Neuer aufrufen.

Protokolle 117
Konfiguration Schulrouter Plus

9.4 Firewall

Das Firewall-Protokoll zeigt Ihnen je nach Firewall-Log-Einstellung alle Pakete oder nur die blockierten
Pakete, die die Firewall passiert haben. Die Bedienung entspricht der der Dienst-Protokolle.

Protokolle 118
Konfiguration Schulrouter Plus

9.5 Proxy
9.5.1 http

Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.

Quell IP-Adresse
Anzeige auf bestimmte Quell-IP beschränken.

„Ignorieren“-Filter
Zeilen, die dies beinhalten, werden nicht angezeigt. Die Standardeinstellung beinhaltet Bilder,
Stylesheets und Javascript.

“Ignorieren”-Filter ein
Aktivieren Sie diese Einstellung, um den „ignorieren-Filter“ zu nutzen.

Gehe zum Datum


Wählen Sie das Datum des gesuchten Eintrags aus.

Gehe zur Seite


Wählen Sie direkt die Seite aus, zu der Sie navigieren wollen.

Voreinstellung wiederherstellen
Dies stellt die Filter wieder her.

Protokolle 119
Konfiguration Schulrouter Plus

Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.

Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.

Sie können ältere und neuere Einträge mit den Buttons Älter und Neuer aufrufen.

9.5.2 SMTP

Die Bedienung des SMTP-Protokolls entspricht die der Dienst-Protokolle.

9.5.3 SIP
Die Bedienung des SIP-Protokolls entspricht die der Dienst-Protokolle.

Protokolle 120
Konfiguration Schulrouter Plus

9.6 Einstellungen

Auf dieser Seite können Sie die globalen Einstellungen der Protokoll-Ansicht setzen. Folgende
Optionen können gesetzt werden:

Anzahl der anzuzeigenden Zeilen


Wie viele Zeilen sollen pro Seite angezeigt werden?

In umgekehrter chronologischer Reihenfolge sortieren


Hiermit werden die neuesten Einträge an oberster Stelle angezeigt.

Zusammenfassungen aufheben für __ Tage


Wie lange sollen die Protokolle gespeichert werden?

Detaillierungsgrad
Wie viele Details sollen in der Zusammenfassung ausgegeben werden?

Aktiviert (Remote logging)


Aktivieren Sie Remote logging, um die Protkolle zu einem anderen Syslog-Server zu senden.

Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.

Protokolle 121
Konfiguration Schulrouter Plus

Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.

Pakete mit verdächtigen TCP Flags protokollieren


Wenn aktiviert, werden im Firewall-Protokoll ungewöhnliche TCP Flags protokolliert.

Neue Verbindungen ohne SYN Flag protokollieren


Wenn aktiviert, werden im Firewall-Protokoll neue TCP-Verbindungen ohne SYN Flag proto-
kolliert.

Alle akzeptierten ausgehenden Verbindungen protokollieren


Wenn Sie auch alle Anfragen protokollieren wollen, die von der Firewall zugelassen wurden,
aktivieren Sie diese Option.

Abgewiesene Pakete protokollieren


Wenn Sie die Anfragen protokollieren wollen, die von der Firewall abgelehnt wurden, aktivie-
ren Sie diese Option.

Protokolle 122
Konfiguration Schulrouter Plus

10 Hauptmenü Schulfilter Plus


Über diesen Link können Sie das Cockpit des Schulfilter Plus direkt aufrufen.

11 Hauptmenü Logout
Hiermit melden Sie sich von der Schulrouter Plus-Konfigurationsoberfläche ab.

12 Anhang
12.1 Impressum
TIME for kids Informationstechnologien GmbH
Gubener Straße 47
10243 Berlin
Tel.: +49 (0)30 293 698 90
Fax: +49 (0)30 293 698 919
E-Mail: kontakt@time-for-kids.de
WWW: www.time-for-kids.de

Vertretungsberechtigte Personen:
Marian Schroeder (Geschäftsführer)
Jan Arne Schmock (Geschäftsführer)

Verantwortlicher im Sinne von § 10 Abs. 3


des Mediendienste - Staatsvertrages:
Marian Schroeder (Geschäftsführer)
Jan Arne Schmock (Geschäftsführer)

Registergericht:
Berlin-Charlottenburg
Registernummer:
HRB 82365
Umsatzsteuer-ID gemäß § 27 a Umsatzsteuergesetz:
37/191/20440

123
Konfiguration Schulrouter Plus

12.2 Haftungsausschluss
1. Inhalt des Handbuchs
Der Verfasser übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der
bereitgestellten Informationen. Haftungsansprüche gegen den Verfasser, welche sich auf Schäden materieller
oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw.
durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich
ausgeschlossen, sofern seitens des Verfassers kein nachweislich vorsätzliches oder grob fahrlässiges
Verschulden vorliegt. Der Verfasser behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Werk
ohne gesonderte Ankündigung zu verändern, zu ergänzen oder die Veröffentlichung zeitweise oder endgültig
einzustellen.

2. Verweise und Links


Bei direkten oder indirekten Verweisen auf fremde Internetseiten (“Links”), die außerhalb des Verantwortungs-
bereiches des Verfassers liegen, würde eine Haftungsverpflichtung ausschließlich in dem Fall in Kraft treten,
in dem der Verfasser von den Inhalten Kenntnis hat und es ihm technisch möglich und zumutbar wäre, die
Nutzung im Falle rechtswidriger Inhalte zu verhindern.
Der Verfasser erklärt hiermit ausdrücklich, dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf
den zu verlinkenden Seiten erkennbar waren. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die
Urheberschaft der gelinkten/verknüpften Seiten hat der Verfasser keinerlei Einfluss. Deshalb distanziert
er sich hiermit ausdrücklich von allen Inhalten aller gelinkten/ verknüpften Seiten, die nach der Linksetzung
verändert wurden.
Für illegale, fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden, die aus der Nutzung oder
Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite, auf welche
verwiesen wurde, nicht derjenige, der über Links auf die jeweilige Veröffentlichung lediglich verweist.

3. Urheber- und Kennzeichenrecht


Alle innerhalb des Dokumentes genannten und ggf. durch Dritte geschützten Marken- und Warenzeichen
unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitz-
rechten der jeweiligen eingetragenen Eigentümer. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu
ziehen, dass Markenzeichen nicht durch Rechte Dritter geschützt sind!
Alle anderen Handels- und Produktnamen sind Gebrauchsnamen, Handelsnamen, Warenbezeichnungen der
entsprechenden Firmen. Das Copyright für veröffentlichte, vom Verfasser selbst erstellte Objekte bleibt allein
beim Verfasser der Seiten.
Eine Vervielfältigung oder Verwendung solcher Grafiken und Texte in anderen elektronischen oder gedruckten
Publikationen ist ohne ausdrückliche Zustimmung des Verfassers nicht gestattet.

4. Rechtswirksamkeit dieses Haftungsausschlusses


Sofern Teile oder einzelne Formulierungen dieses Dokumentes der geltenden Rechtslage nicht, nicht mehr
oder nicht vollständig entsprechen sollten, bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer
Gültigkeit davon unberührt. Gerichtsstand ist Berlin.

124
Konfiguration Schulrouter Plus

12.3 GNU Free Documentation License


Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.
51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.

0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document “free” in
the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without
modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and
publisher a way to get credit for their work, while not being considered responsible for modifications made by
others.

This License is a kind of “copyleft”, which means that derivative works of the document must themselves be free
in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free
software.

We have designed this License in order to use it for manuals for free software, because free software needs free
documentation: a free program should come with manuals providing the same freedoms that the software
does. But this License is not limited to software manuals; it can be used for any textual work, regardless of
subject matter or whether it is published as a printed book. We recommend this License principally for works
whose purpose is instruction or reference.

1. APPLICABILITY AND DEFINITIONS


This License applies to any manual or other work, in any medium, that contains a notice placed by the
copyright holder saying it can be distributed under the terms of this License. Such a notice grants a world-wide,
royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The “Document”,
below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as “you”. You
accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law.

A “Modified Version” of the Document means any work containing the Document or a portion of it, either
copied verbatim, or with modifications and/or translated into another language.

A “Secondary Section” is a named appendix or a front-matter section of the Document that deals exclusively
with the relationship of the publishers or authors of the Document to the Document’s overall subject (or to
related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document
is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship
could be a matter of historical connection with the subject or with related matters, or of legal, commercial,
philosophical, ethical or political position regarding them.

The “Invariant Sections” are certain Secondary Sections whose titles are designated, as being those of Invariant
Sections, in the notice that says that the Document is released under this License. If a section does not fit the

125
Konfiguration Schulrouter Plus

above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain
zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.
The “Cover Texts” are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts,
in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5
words, and a Back-Cover Text may be at most 25 words.

A “Transparent” copy of the Document means a machine-readable copy, represented in a format whose
specification is available to the general public, that is suitable for revising the document straightforwardly with
generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely
available drawing editor, and that is suitable for input to text formatters or for automatic translation to a
variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format
whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by
readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy
that is not “Transparent” is called “Opaque”.

Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input
format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML,
PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF
and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word
processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the
machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.

The “Title Page” means, for a printed book, the title page itself, plus such following pages as are needed to hold,
legibly, the material this License requires to appear in the title page. For works in formats which do not have any
title page as such, “Title Page” means the text near the most prominent appearance of the work’s title,
preceding the beginning of the body of the text.

A section “Entitled XYZ” means a named subunit of the Document whose title either is precisely XYZ or
contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific
section name mentioned below, such as “Acknowledgements”, “Dedications”, “Endorsements”, or “History”.) To
“Preserve the Title” of such a section when you modify the Document means that it remains a section “Entitled
XYZ” according to this definition.

The Document may include Warranty Disclaimers next to the notice which states that this License applies to
the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only
as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and
has no effect on the meaning of this License.

2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided
that this License, the copyright notices, and the license notice saying this License applies to the Document are
reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may
not use technical measures to obstruct or control the reading or further copying of the copies you make or
distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough
number of copies you must also follow the conditions in section 3.
126
Konfiguration Schulrouter Plus

You may also lend copies, under the same conditions stated above, and you may publicly display copies.

3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the Document,
numbering more than 100, and the Document’s license notice requires Cover Texts, you must enclose the copies
in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover
Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies.
The front cover must present the full title with all words of the title equally prominent and visible. You may add
other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve
the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as
many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either
include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque
copy a computer-network location from which the general network-using public has access to download using
public-standard network protocols a complete Transparent copy of the Document, free of added material. If you
use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies
in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least
one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that
edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing any
large number of copies, to give them a chance to provide you with an updated version of the Document.

4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3
above, provided that you release the Modified Version under precisely this License, with the Modified
Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to
whoever possesses a copy of it. In addition, you must do these things in the Modified Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of
previous versions (which should, if there were any, be listed in the History section of the Document). You may
use the same title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the
modifications in the Modified Version, together with at least five of the principal authors of the Document (all
of its principal authors, if it has fewer than five), unless they release you from this requirement.
C. State on the Title page the name of the publisher of the Modified Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the
Modified Version under the terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the
Document’s license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled “History”, Preserve its Title, and add to it an item stating at least the title, year,
new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled

127
Konfiguration Schulrouter Plus

“History” in the Document, create one stating the title, year, authors, and publisher of the Document as given
on its Title Page, then add an item describing the Modified Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Doc-
ument, and likewise the network locations given in the Document for previous versions it was based on. These
may be placed in the “History” section. You may omit a network location for a work that was published at least
four years before the Document itself, or if the original publisher of the version it refers to gives permission.
K. For any section Entitled “Acknowledgements” or “Dedications”, Preserve the Title of the section, and preserve
in the section all the substance and tone of each of the contributor acknowledgements and/or dedications
given therein.
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers
or the equivalent are not considered part of the section titles.
M. Delete any section Entitled “Endorsements”. Such a section may not be included in the Modified Version.
N. Do not retitle any existing section to be Entitled “Endorsements” or to conflict in title with any Invariant
Section.
O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections
and contain no material copied from the Document, you may at your option designate some or all of these
sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version’s license
notice. These titles must be distinct from any other section titles.
You may add a section Entitled “Endorsements”, provided it contains nothing but endorsements of your
Modified Version by various parties--for example, statements of peer review or that the text has been approved
by an organization as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover
Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one
of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already
includes a cover text for the same cover, previously added by you or by arrangement made by the same entity
you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission
from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for
publicity for or to assert or imply endorsement of any Modified Version.

5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms defined in
section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections
of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its
license notice, and that you preserve all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be
replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents,
make the title of each such section unique by adding at the end of it, in parentheses, the name of the original
author or publisher of that section if known, or else a unique number. Make the same adjustment to the section
titles in the list of Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections Entitled “History” in the various original documents,
forming one section Entitled “History”; likewise combine any sections Entitled “Acknowledgements”, and any

128
Konfiguration Schulrouter Plus

sections Entitled “Dedications”. You must delete all sections Entitled “Endorsements.”

6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License, and
replace the individual copies of this License in the various documents with a single copy that is included in the
collection, provided that you follow the rules of this License for verbatim copying of each of the documents in
all other respects.
You may extract a single document from such a collection, and distribute it individually under this License,
provided you insert a copy of this License into the extracted document, and follow this License in all other
respects regarding verbatim copying of that document.

7. AGGREGATION WITH INDEPENDENT WORKS


A compilation of the Document or its derivatives with other separate and independent documents or works, in
or on a volume of a storage or distribution medium, is called an “aggregate” if the copyright resulting from the
compilation is not used to limit the legal rights of the compilation’s users beyond what the individual works
permit. When the Document is included in an aggregate, this License does not apply to the other works in the
aggregate which are not themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document
is less than one half of the entire aggregate, the Document’s Cover Texts may be placed on covers that bracket
the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form.
Otherwise they must appear on printed covers that bracket the whole aggregate.

8. TRANSLATION
Translation is considered a kind of modification, so you may distribute translations of the Document under
the terms of section 4. Replacing Invariant Sections with translations requires special permission from their
copyright holders, but you may include translations of some or all Invariant Sections in addition to the original
versions of these Invariant Sections. You may include a translation of this License, and all the license notices
in the Document, and any Warranty Disclaimers, provided that you also include the original English version of
this License and the original versions of those notices and disclaimers. In case of a disagreement between the
translation and the original version of this License or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled “Acknowledgements”, “Dedications”, or “History”, the requirement
(section 4) to Preserve its Title (section 1) will typically require changing the actual title.

9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this
License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will
automatically terminate your rights under this License. However, parties who have received copies, or rights,
from you under this License will not have their licenses terminated so long as such parties remain in full
compliance.

10. FUTURE REVISIONS OF THIS LICENSE


The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from
time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address

129
Konfiguration Schulrouter Plus

new problems or concerns. See http://www.gnu.org/copyleft/.


Each version of the License is given a distinguishing version number. If the Document specifies that a particular
numbered version of this License “or any later version” applies to it, you have the option of following the terms
and conditions either of that specified version or of any later version that has been published (not as a draft)
by the Free Software Foundation. If the Document does not specify a version number of this License, you may
choose any version ever published (not as a draft) by the Free Software Foundation.

130