Sie sind auf Seite 1von 132

Schulrouter Plus 1.

03
Benutzerhandbuch

Was ist neu?


Alle neuen und verbesserten Funktionen des Schulrouter Plus
mit integriertem Schulfilter Plus aus einer Hand!

Professionelles Netzwerkmanagement
Lastverteilung, Datensafe, VLan-Verwaltung, DHCP-Reservierung uvw.

Integrierter Schulfilter Plus


Verbesserte Oberflche und zahlreiche neue Funktionen fr noch
mehr Sicherheit im Internet in der Schule

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Die in dieser Dokumentation enthaltenen Angaben und Daten knnen ohne vorherige Ankndigung
gendert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden.
TIME for kids Schulrouter Plus und TIME for kids Schulfilter Plus sind Markenzeichen der
TIME for kids Informationstechnologien GmbH.
Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General Public
License www.gnu.org/licenses/gpl.html distributiert.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free
Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no
Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled GNU Free Documentation License.
www.gnu.org/licenses/old-licenses/fdl-1.2.txt

2011 TIME for kids Informationstechnologien GmbH


Gubener Str. 47
10243 Berlin
www.time-for-kids.de

TIME for kids Schulrouter Plus

Fr jede Schule gibt es den passenden Router


Schulrouter Plus Serie

Mini G1

Classic G2

Medium G2

BIG G2

Giant G2

ca. 15 Clients

ca. 100 Clients

ca. 250 Clients

500 Clients

1000 plus Clients

Vielen Dank, dass Sie sich fr TIME for kids entschieden haben.

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

1 Einleitung

1.1

Das Schulrouter Plus Konzept

1.2

Das Handbuch

1.3

Effektive Nutzung des Handbuches

10

1.3.1

Szenario 1 Vorkonfigurierter Schulrouter Plus

10

1.3.2

Szenario 2 Grundkonfiguration des Schulrouter Plus in Eigenregie

10

1.3.3

Szenario 3 Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen

1.4 Orientierungshilfe

11

1.4.1

Was macht ein Router?

11

1.4.2

Unterschied DSL-Modem/Router

11

1.5

Integration ins Schulnetzwerk

12

1.5.1

Bentigte Netzwerkinformationen

12

1.5.2 Grundszenario

12

1.5.3 Netzwerksegmentierung

13

1.5.4

Kombination mit anderen Serverdiensten im Netzwerk

14

1.5.5

Client-PCs konfigurieren

14

1.6

Schulfilter Plus konfigureieren

15

1.7

Das Schulrouter Plus Cockpit

16

Hauptmen System

2.1 Startseite

19

2.2 Updates

20

NEU
2.3

11

19

Passwrter 21

2.3.1 Shutdown

21

2.4

22

2.5 Benutzeroberflche

Fernwartung / Support

23

NEU
2.6

Datensicherung 24

2.7
NEU

Herunterfahren 26

Hauptmen Status

NEU
3.1

28

System-Status 28

3.2 Netzwerkstatus

29

3.3 Systemdiagramm

30

3.4 Netzwerkdiagramme

31

3.5 Proxydiagramme

32

3.6 Verbindungen

33

3.7

OpenVPN Verbindungen

33

3.8

SMTP Mailstatistik

33

3.9

Email-Warteschlange

33

TIME for kids Schulrouter Plus

Hauptmen Netzwerk

4.1
NEU

35

Netzwerkkonfiguration 35

4.2
NEU

Host bearbeiten

4.3
NEU

Routing 40

4.4
NEU

Internet/ Verbindungen

41

4.4.1

Internet/ Verbindungen

42

NEU
4.5

Lastverteilung

42

Hauptmen Dienste

5.1 NEU

DHCP Server

Dynamischer DNS

39

44
44

5.2

5.3 Antivirus

50

5.4 Zeitserver

52

5.5 Trafficshaping

53

5.6

54

5.7 Einbruchdetektierung

56

5.8 Datenverkehrsberwachung

57

Hauptmen Firewall

6.1

Portweiterleitung / NAT

6.1.1 Portweiterleitung

59

6.1.2 SourceNAT

60

6.2

Ausgehender Datenverkehr

62

6.3

Interner Datenverkehr

64

6.4 Systemzugriffe

Spam Training

Hauptmen Proxy

7.1 HTTP
7.1.1
NEU

48

59
59

65

68
68

Konfiguration 68

7.1.1.1

7.1.1.2 Log-Einstellungen

70

7.1.1.3

Erlaubte Subnetze pro Zone

70

7.1.1.4

Interner Datenverkehr

71

7.1.1.5

Umgehung / Ausgeschlossene Quellen und Ziele

71

7.1.1.6

Cache Verwaltung

71

7.1.1.7

Vorgelagerter Proxy

72

7.1.2 Authentifizierung

73

7.1.2.1

74

7.1.2.1.1 Benutzerverwaltung

75

7.1.2.2 LDAP

75

7.1.2.3 Windows

76

Erlaubte Ports und SSl Ports

Lokale Authentifizierung

69

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.1.2.4 Radius

77

7.1.3 Standardrichtlinie

78

7.1.4 Antivirus

79

7.1.5 Gruppenregeln

80

7.2

POP3

80

7.2.1

Globale Einstellungen

81

7.2.2

Spam Filter

82

7.3 FTP

83

7.4 SMTP

84

7.4.1 Hauptseite

84

7.4.2 Antivirus

85

7.4.3 Spam

87

7.4.4 Dateierweiterungen

89

7.4.5

91

7.4.6 Domains

Blacklist-Whitelist

NEU
7.4.7

92

Mailrouting 93

7.4.8 Erweitert

7.5 DNS

97

7.5.1

DNS Proxy

97

7.5.2

Benutzerdefinierter Nameserver

97

7.5.3 Anti-Spyware

Hauptmen VPN

8.1

OpenVPN Server

102

8.1.1 Serverkonfiguration

102

8.1.2 Konten

103

8.1.3 Erweitert

105

8.2

107

8.3 IPSec

9.1 Zusammenfassung

114

9.2 System

115

9.3 Dienst

116

9.4 Firewall

117

9.5 Proxy

118

9.5.1 http

118

9.5.2 SMTP

119

9.5.3 SIP

119

9.6 Einstellungen

120

OpenVPN Client (Gw2Gw)

Hauptmen Protokolle

94

98

100

109

114

TIME for kids Schulrouter Plus

Haftungsausschluss

GNU Free Documentation License

123
124

Impressum

130

N EU

Was ist NEU beim Schulrouter Plus?

1.

Datensafe fr das tgliche, sichere Backup Ihrer


Installations- und Konfigurationsdaten

2.

Schieberegler zum Load Balancing mehrerer


Internetanschlsse

3.

Single Sign-on fr eDirectory

4.

Neues VLAN-Verwaltungstool

5.

unterschiedliche Featurewnsche von Schulen

6.

Bugfixes

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Einleitung
1.1

Das Schulrouter Plus Konzept

1.2

Das Handbuch

1.3

Effektive Nutzung des Handbuches

1.3.1

Szenario 1 Vorkonfigurierter Schulrouter Plus

1.3.2

Szenario 2 Grundkonfiguration des Schulrouter Plus in Eigenregie

1.3.3

Szenario 3 Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen

1.4 Orientierungshilfe

10

1.4.1

Was macht ein Router?

10

1.4.2

Unterschied DSL-Modem/Router

10

1.5

Integration ins Schulnetzwerk

11

1.5.1

Bentigte Netzwerkinformationen

11

1.5.2 Grundszenario

11

1.5.3 Netzwerksegmentierung

12

1.5.4

Kombination mit anderen Serverdiensten im Netzwerk

13

1.5.5

Client-PCs konfigurieren

13

1.6

Schulfilter Plus konfigureieren

14

1.7

Das Schulfilter Plus Cockpit

15

TIME for kids Schulrouter Plus

1 Einleitung
1.1

Das Schulrouter Plus Konzept

Der Schulrouter Plus mit integriertem Schulfilter Plus und Antivirus Plus ist die Basis fr alle Schulnetzwerke. Er ist sowohl fr kleine, mittlere und groe Schulen mit ihren unterschiedlichen Anforderungen geeignet.
Die Schulrouter Plus Serie bietet hierfr mit den Modellen Mini, Classic und BIG eine skalierbare Hardwarebasis. Die Software-Basis und die Bedieneroberflchen sind bei allen Schulrouter Plus Modellen gleich.
Die Konfiguration des Schulrouter Plus erfolgt ber das so genannte Cockpit, eine webbasierte Bedieneroberflche. Diese bietet hauptschlich Rechte und Funktionen fr den Administrator.
Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und dienste. Bitte prfen Sie vor der
Einrichtung, ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und ggf. durch
den Schulrouter Plus ersetzt werden knnen. Dies kann zu einer Optimierung und einer Kostenreduktion in
der Schule fhren. Im Schulrouter Plus sind der Schulfilter Plus und der Antivirus Plus integriert und knnen
sofort verwendet werden. Fr Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden
Handbcher oder wenden sie sich an das TIME for kids Service-Center fr Schulen.
Die TIME for kids Produkte Schulrouter Plus, Schulfilter Plus und Antivirus Plus passen sich hervorragend in jedes Betriebs- und Servicekonzept ein. Der Administrator der Schule kann ganz oder teilweise
Aufgaben auf andere Service Partner delegieren. Das webbasierte TIME for kids Service-Center bietet
Servicepartnern wie Schultrgern, Medienzentren, Kommunalen-Rechenzentren und IT-Dienstleistern vor
Ort fr die Betreuung einer Vielzahl von Schulen mit dem Schulrouter Plus eine Managementoberflche fr
das Monitoring und die Fernwartung. Alle Akteure knnen entsprechend ihrem Service-Level-Auftrag Rechte
erhalten.
Sprechen Sie mit TIME for kids ber die Optimierung Ihres Betriebs- und Servicekonzeptes.

1.2

Das Handbuch

Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus fr Ihre Bedrfnisse zu
konfigurieren. Folgende Darstellungskonventionen wurden vorgenommen, um Ihnen dies zu erleichtern.
Wenn Sie einmal nicht weiter wissen, knnen Sie gern unser Service-Center fr Schulen kontaktieren.
www.support.time-for-kids.de

Textmarkierungen bedeuten:

Symbole:

Farbe Blau: Verweis auf externe Quelle

Farbe Grn: Verweis auf anderen Bereich im Handbuch

Befehlseingabe

Webseite / Link: www.time-for-kids.de Warnhinweis

AUFFORDERUNG ZUM TASTENDRUCK

Wichtige Information

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

1.3

Effektive Nutzung des Handbuches

Im Folgenden werden verschiedene Szenarien der Nutzung des Schulrouter Plus Handbuches
beschrieben. Bitte schauen Sie sich die Szenarien an und entscheiden dann, welcher Teil des Handbuches
fr Sie relevant ist.

1.3.1 Szenario 1 Vorkonfigurierter Schulrouter Plus


TIME for kids stellt fr Sie einen besonderen Service bereit. Ihr Schulrouter Plus kann fr Ihre Netzwerksituation vorkonfiguriert werden. Der besondere Vorteil besteht darin, dass Sie den Schulrouter Plus nach der
Lieferung nur noch mit dem Strom- und Schulnetz sowie dem DSL-Modem verbinden mssen, um eine
Arbeitsfhigkeit herzustellen.
In diesem Handbuch sind nach einer Vorkonfiguration fr Sie nur noch die kurzen Kapitel 1.4, 1.5 und 1.6
relevant (Umfang: ca. 4 Seiten). Das Lesen der restlichen Kapitel des Handbuches ist fr Sie nur
notwendig, wenn Sie weitere tiefergehende Einstellungen vornehmen mchten.
Um einen Vorkonfigurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor:
Schulrouter Plus bei TIME for kids bestellen:
1. ber die Webseite www.schulrouterplus.de/vorkonfiguration Ihre Konfigurationsdaten an

TIME for kids bermitteln.

2. Gelieferten, vorkonfigurierten Schulrouter Plus auspacken und anschlieen, siehe Aufbauanlei

tung im Karton.

1.3.2 Szenario 2 Grundkonfiguration des Schulrouter Plus in Eigenregie


Sollten Sie den Vorkonfigurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind fr Sie die
Grundkonfiguration des Schulrouter Plus in diesem Handbuch die Kapitel 1,4, und 7.1 relevant
(Umfang ca. 31 Seiten).
Um den Schulrouter Plus zu erhalten und zu konfigurieren gehen sie wie folgt vor:
1. Schulrouter Plus bei TIME for kids bestellen.
2. Gelieferten Schulrouter Plus auspacken und anschlieen, siehe Aufbauanleitung im Karton.
3. Handbuch studieren, Kapitel 1.4.1.
4. Grundkonfiguration des Schulrouter Plus vornehmen.

10

TIME for kids Schulrouter Plus

1.3.3 Szenario 3 Besondere Zusatzeinstellungen des Schulrouter Plus vornehmen


Der Schulrouter Plus verfgt ber zahlreiche Zusatzeinstellungen fr die einfache und sichere
Nutzung des Internets in Ihrer Schule.
Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen
empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca. 100 Seiten). Gern knnen Sie
auch die Hilfe unseres Service-Center Hotline: +49 (0)30 293 69 89 0 oder www.schulfilterplus.de/index.
php?action=service_center fr Schulen in Anspruch nehmen.

1.4 Orientierungshilfe
1.4.1 Was macht ein Router?
Ein Router ist ein Gert, das mehrere Netzwerke koppelt. Das bedeutet, bei ihm eintreffende Netzwerk-Pakete eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet), bspw. von
einem internen Schulnetz ins Internet. Der TIME for kids Schulrouter Plus bernimmt
zustzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste, siehe Punkt 1.5.3.

1.4.2 Unterschied DSL-Modem/Router


Das DSL-Modem (NTBA) dient zur bertragung von Daten ber eine DSL-Leitung. DSL-Modems knnen
direkt an einen PC (z.B. per USB), oder an ein Netzwerk (mit einem Router) angeschlossen werden. Heutzutage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft. Im Nachfolgenden einige Beispiele.

DSL-Modem

Router

DSL-Modem und Router im Vergleich

11

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

1.5 Integration ins Schulnetzwerk


1.5.1 Bentigte Netzwerkinformationen
Zur Installation eines Schulrouter Plus bentigen Sie entweder einen vorkonfigurierten Schulrouter
Plus oder folgende Daten und Kenntnisse Ihres Netzwerks:
1. Internet-Zugangsdaten.
2. Informationen ber bestehende Netzwerke.
3. IP-Adress-Bereiche der internen Netze.
4. Ist ein DHCP/DNS-Server vorhanden? Wie ist er eingestellt?
5. Wie sind die Client-PCs konfiguriert? Ist eventuell schon ein Proxy eingestellt?
6. Active Directory-Einstellungen, sowie Administrator-Zugang (optional).

1.5.2 Grundszenario
Der ideale Standort fr den Schulrouter Plus ist direkt an Ihrem DSL-Modem, er bernimmt dann auch die
Einwahl. Haben Sie bereits einen Router in Betrieb, knnen Sie den Schulrouter Plus auch an Ihren Router
anschlieen und die Einwahl Ihrem Router berlassen. In den meisten Fllen kann auf den vorhandenen
Router verzichtet werden.
Der Schulrouter Plus untersttzt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke:
1. ber die rote Schnittstelle wird nach auen der Gefahrenbereich, also das Internet, eingebun

den. Wenn Sie mehrere Internetzugnge im Schulrouter Plus zusammenfhren wollen, muss

eine freie Schnittstelle entsprechend um konfiguriert werden. Lesen Sie hierzu bitte
das Kapitel 4.4

2. Das grne Netz reprsentiert Ihr erstes Netzwerk, das im Normalfall die Schler-PCs beinhaltet.

3. Mit dem blauen Netz knnen Sie bspw. Ihre Verwaltung (und somit kritische Daten) von dem

Schler-Netz trennen.

4. Das orange Netz steht zur freien Verfgung, z.B. fr eine demilitarisierte Zone oder

ein weiteres Netz.

5. Alle Netze sind komplett voneinander getrennt und knnen sich nicht sehen. Daher mssen auch

alle Netze unterschiedliche IP-Adress-Bereiche besitzen!

12

TIME for kids Schulrouter Plus

Schaubild Schulrouter Plus Einordnung im Netzwerk

1.5.3 Netzwerksegmentierung
Wie in Punkt 1.5.1 beschrieben knnen PCs in unterschiedlichen Netzen nicht aufeinander zugreifen, somit
muss auch das Netzwerk darauf abgestimmt sein, dass PCs nicht auf Server in einem anderen Netzwerk
zugreifen knnen.
Beispielsweise knnen sich Verwaltungsangestellte nicht ber einen Verzeichnisdienst anmelden, der sich im
Schler-Netz befindet.
In solchen Flle ist zu berlegen, ob diese Konstellation erhalten bleiben muss. Die Firewall des Schulrouter
Plus kann so konfiguriert werden, dass ein eingeschrnkter Zugriff auf spezifische Ressourcen zwischen den
Netzen mglich wird.

13

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

1.5.4 Kombination mit anderen Serverdiensten im Netzwerk


Der Schulrouter Plus stellt unter anderem folgende Serverdienste zur Verfgung:
Internetfilter (Schulfilter Plus)
Proxy
DHCP
DNS
VPN
Firewall
AntiSpam
Solche bestehenden Serverdienste im Netzwerk knnen in aller Regel durch den Schulrouter Plus
ersetzt werden.
Weiterhin ist darauf zu achten, dass andere Server nicht die Arbeit des Schulrouter Plus beeintrchtigen,
z.B. ein zweiter DHCP-Server mit anderen Einstellungen.

1.5.5 Client-PCs konfigurieren


Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. Ihren vorgelagerten Router mit der roten Schnittstelle, sowie einen PC (oder Ihr Netzwerk) mit der grnen Schnittstelle
verbunden haben (siehe Markierungen auf der Rckseite des Gertes).
Bei Ihren, an den Schulrouter Plus angeschlossenen, Client-PCs mssen Sie darauf achten, dass
folgende Einstellungen gettigt werden:
In den benutzten Browsern darf kein Proxy eingestellt sein
Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras Internetoptionen Reiter
Verbindungen Button LAN-Einstellungen die Elemente unter Proxyserver sind ausgegraut.
Die entsprechende IP des Schulrouter Plus (im grnen Netz, die der Schnittstelle Grn) ist als
Standardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfiguration das vorsieht) oder auf
IP-Adresse automatisch beziehen gesetzt.

14

TIME for kids Schulrouter Plus

Screenshot IP Einstellungen am Client

1.6

Schulfilter Plus konfigureieren

Ihr Schulrouter Plus ist jetzt einsatzfhig. Wenn Sie mit einem Schler-PC im Internet surfen greift
bereits ein voreingestellter Grundschutz. Um den integrierten Schulfilter Plus an Ihre Bedrfnisse
anzupassen, benutzen Sie die Weboberflche (Cockpit) des Schulfilter Plus. Dieses erreichen Sie
entweder ber den Link im Men des Schulrouter Plus oder ber die Adresse:
http://RouterIP:83
Das Handbuch zum Schulfilter Plus finden Sie separat auf unserer Support-Seite unter:
http://support.time-for-kids.de

15

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

1.7

Das Schulrouter Plus Cockpit

Die Konfiguration des Schulrouter Plus nehmen Sie ber das so genannte Cockpit, eine webbasierte
Bedienoberflche, vor. Um das Cockpit zu erreichen schlieen Sie mindestens einen PC an die GRNE
LAN-Schnittstelle des Schulrouter Plus an.

Der angeschlossene PC muss so konfiguriert sein, dass er seine IP-Adresse per DHCP

automatisch empfngt oder sich im gleichen Netzwerksegment des Grnen Netzwerkes

befindet. Die Grundkonfiguration entnehmen Sie bitte dem Beipackzettel im Karton.

Jetzt knnen Sie das Cockpit ber die Eingabe http://RouterIP:81 in einem Internetbrowser auf Ihrem PC
erreichen. Wobei RouterIP fr die IP-Adresse der GRNEN LAN-Schnittstelle steht. Ihr Internet-Browser wird
Sie ber unsignierte Sicherheitszertifikate informieren und zur Besttigung auffordern. Dies knnen Sie
ohne Bedenken besttigen.
Sie werden nun aufgefordert, sich mit einem Benutzeraccount und einem Passwort anzumelden.
Verwenden Sie hierfr tfkadmin als Benutzername und Passwort. Nach dem erfolgreichen Login sollten
Sie das Passwort sofort ndern siehe Kapitel 2.3 Passwrter.

Das Schulrouter Plus Cockpit gliedert sich in drei Teile:


1. Hauptmen mit Seriennummer und der Systemzeit
2. Untermen zum jeweiligen Hauptmen
3. Konfigurationsseiten

16

TIME for kids Schulrouter Plus

Generell sollten Sie bei greren Vernderungen der Konfiguration immer eine Datensicherung
vornehmen, um die Mglichkeit zu besitzen den Schulrouter Plus ggf. wieder auf einen vorherigen Konfigurationsstand zu bringen.
Bei einigen Konfigurationen wird nach der Speicherung der Einstellungen ein Neustart der entsprechenden Dienste durchgefhrt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.
Die Konfigurationsseiten des Cockpits enthalten folgende Standardelemente, welche Sie fr die
Bedienung bentigen:

Auswahl/ Besttigung

Verschieben/ Reihenfolge ndern

(aktiviert/ deaktiviert) Firewall akzeptiert


Exportieren Firewall anhalten
Lschwen Firewall verwerfen
Wiederherstellen Verweigert
!
Hinzufgen/ Erstellen Info

i
Verbindung testen Warnung

Editieren Tipp

Erweitern/ ffnen

Speicher-Button o.. sind

entsprechend gekennzeichnet

17

Minimieren/ Schlieen

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

hauptmen system
2.1 Startseite

17

2.2 Updates

18

2.3 Passwrter

19

2.4

20

Fernwartung / Support

2.5 Benutzeroberflche

21

2.6 Datensicherung

22

2.7 Herunterfahren

24

18

TIME for kids Schulrouter Plus

Hauptmen System

2.1 Startseite

Diese Seite zeigt eine bersicht ber alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk).
Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung
angezeigt. Standardmig sehen Sie nur eine WAN-Verbindung mit dem Namen
Primre WAN-Verbindung.
Stati der Verbindungen:
Angehalten
Es besteht keine Onlineverbindung.
Baue Verbindung auf...
Die Verbindung wird gerade hergestellt.
Verbunden
Die Verbindung ist erfolgreich aufgebaut.
Beende Verbindung...
Die Verbindung wird getrennt.
Fehler
Es gibt einen Fehler beim Verbindungsaufbau.

19

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Wiederverbindungs Timeout
Es gab einen Fehler beim Wiederherstellen der Verbindung. Es wird weiter versucht.
Verbindung unterbrochen
Die Verbindung ist zwar hergestellt, aber der Host, der zur berprfung definiert ist, ist nicht
erreichbar. Das heit normalerweise, dass die Verbindung nicht zu nutzen ist.
Jede WAN-Verbindung kann entweder im Modus Verwaltet oder manuell laufen. Im Modus
Verwaltet berwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbindung
automatisch wieder her. Wird der Modus Verwaltet deaktiviert, kann die Verbindung manuell
hergestellt oder getrennt werden. Es wird kein automatischer Wiederaufbau der Verbindung
eingeleitet, wenn die Verbindung getrennt wird.

2.2 Updates

Der Bereich Updates ist in drei Abschnitte aufgeteilt:


Automatische Updates
Im ersten Abschnitt haben Sie die Mglichkeit, automatische Updates zu aktivieren.
Rechts wird automatisch der nchste freie Update-Zeitpunkt angezeigt. Durch das klicken auf den Button
Neu Generieren

wird ein neuer Update-Zeitpunkt berechnet.

Verfgbare Updates
Jedes Mal, wenn die Seite Update aufgerufen wird, wird die Verfgbarkeit neuer Updates
berprft. Neu verfgbare Updates werden mit einer kurzen Beschreibung angezeigt. Um ein Update

20

TIME for kids Schulrouter Plus

auszufhren, klicken Sie auf den Button

Herunterladen und Installieren,

der dann verfgbar ist. Das Update wird

heruntergeladen und sofort ausgefhrt. Sie knnen auerdem alle verfgbaren Updates hintereinander
installieren, indem Sie den Button

Alle Updates Herunterladen

und

Installieren

anklicken.

Installierte Updates
Nachdem ein Update installiert wurde, wird hier der entsprechende Eintrag ergnzt. Durch Klicken auf den
Button

Update deinstallieren

knnen Sie das letzte Update rckgngig machen.

Nur offizielle Schulrouter Plus-Updates knnen installiert werden. Einige Updates fhren

einen automatischen Neustart des Schulrouter aus. Lesen Sie deshalb bitte alle

Update-Informationen, bevor Sie ein Update installieren und lassen Sie die Updates

nur in Zeiten ausfhren, in denen es zu keiner Betriebsstrung kommen kann.

2.3 Passwrter
Passwrter ndern:
Sie knnen jedes Passwort fr sich ndern. Geben Sie dazu das neue Passwort zweimal ein und
drcken auf

Passwort ndern.

Die Passwrter folgender Benutzer knnen verndert werden:

admin
Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf.
root
Der Benutzer, der sich auf der Linux-Konsole anmelden kann.
shutdown
Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf und nur die Rechte zum
herunterfahren und neustarten besitzt.

2.3.1 Shutdown
Eine eingeschrnkte Oberflche mit den Mglichkeiten den Schulrouter Plus herunterzufahren oder neuzustarten, wurde eingerichtet. Diese erreicht man, wenn man sich als shutdown mit einem vorher auf der
Weboberflche eingerichteten Passwort anmeldet.

21

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

2.4

Fernwartung / Support

Zugangseinstellung

Auf der Seite Fernwartung / Support knnen Sie festlegen, ob ein gesicherter Fernzugriff fr den

Schulrouter Plus mglich sein soll. Auerdem knnen Sie hier weitere Parameter fr den Fernzu-

griff-Prozess konfigurieren.

Folgende Optionen knnen ber diese Seite konfiguriert werden:


Fernwartung / Support
Das Einschalten aktiviert den SSH-Zugriff. Wenn der externe Systemzugriff siehe Kapitel 6.4 Systemzugriffe nicht aktiviert ist, ist SSH nur ber das grne Netzwerk erreichbar. Mit aktiviertem SSH-Zugriff kann sich jeder, der das root-Passwort kennt, auf der Kommandozeile anmelden.
Untersttzung fr Version 1 des SSH-Protokolls
Diese Option aktiviert die Untersttzung der Version 1 des SSH-Protokolls. Von der Verwendung dieser Option wird dringend abgeraten, da bekannte Sicherheitslcken der Version 1 existieren.
Erlaube TCP Weiterleitung
Diese Option ermglicht es, SSH-verschlsselte Tunnelverbindungen aufzubauen.
Passwortbasierte Authentifizierung zulassen
Diese Option ermglicht es Benutzern, sich beim Schulrouter Plus mittels des root-Passworts anzumelden. Wenn Sie diese Option ausschalten, mssen Sie zunchst Ihre SSH Schlssel-Dateien
konfigurieren und sicherstellen, dass Sie sich mit den Schlsseldateien einloggen knnen.

22

TIME for kids Schulrouter Plus

Authentifizierung auf Basis ffentlicher Schlssel zulassen


Mit dieser Option wird die Authentifizierung auf Basis ffentlicher Schlssel zugelassen. Dies ist die
bevorzugte Methode, den SSH-Zugriff auf dem Schulrouter Plus abzusichern.

SSH-Host-Schlssel
Dieser Abschnitt listet die Fingerabdrcke der von Schulrouter Plus verwendeten SSH-Schlssel auf, die Sie
verwenden knnen, um eine SSH-Verbindung mit dem Schulrouter Plus zu verifizieren. Wenn Sie das erste
Mal eine SSH-Verbindung zum Schulrouter Plus erstellen, wird der Fingerabdruck angezeigt, und Sie werden
aufgefordert, die Korrektheit zu besttigen. Sie knnen den angezeigten Schlssel mit der Darstellung auf
dieser Seite vergleichen.

2.5 Benutzeroberflche

Einstellungen
Auf dieser Seite knnen Sie die Sprache des Schulrouter Plus Cockpits einstellen.
Folgende Optionen knnen ber diese Seite konfiguriert werden:
Whlen Sie Ihre Sprache
ber dieses Drop-Down-Men knnen Sie eine Sprache whlen, mit der die Seiten des
Schulrouter Plus Cockpits dargestellt werden.
Hostname im Fenstertitel anzeigen
Mit dieser Option aktivieren Sie die Anzeige des Hostnamens oben auf jeder Seite. Dies kann hilfreich
sein, wenn Sie mehr als einen Schulrouter Plus administrieren.

23

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

2.6 Datensicherung

In diesem Abschnitt knnen Sie Datensicherungen anlegen und zu einer vorher erstellten Datensicherung
zurckspringen. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert und knnen auf Ihren
Computer heruntergeladen werden. Es ist auch mglich, die Konfiguration auf einen Wiederherstellungspunkt zurckzusetzen und regelmig automatisierte Datensicherungen durchzufhren.
Folgende Optionen knnen ber diese Seite konfiguriert werden:
Datensicherungsstze
Beim Klicken auf

Neue Datensicherung durchfhren

ffnet sich ein Dialog zur Konfiguration der

geplanten Datensicherung.

24

TIME for kids Schulrouter Plus

Konfiguration einschlieen
Schliet alle Einstellungen mit ein.
Konfiguration und Datenbankinhalt einschlieen
Schliet zustzlich alle Datenbankinhalte mit ein.
Logs aufnehmen
Schliet die aktuellen Protokolle mit ein.
Log-Archive aufnehmen
Schliet ltere Protokolle mit ein. Diese Einstellung kann den Umfang der Datensicherungsmenge
stark erhhen.
Anmerkung
Hier kann ein zustzlicher Kommentar hinterlassen werden.
Klicken Sie auf

Backup Erzeugen,

um die Datensicherung mit den oben gemachten Einstellungen zu erzeugen.

In der Liste der vorhandenen Datensicherungen knnen Sie, durch einen Klick auf das entsprechende Icon
auf der rechten Seite, ausgewhlte Datensicherungen herunterladen, lschen oder wiederherstellen.
Jede Datensicherung ist mit einer Markierung versehen:

1: Einstellungen. Die Datensicherung beinhaltet alle Einstellungen.


2: Datenbankinhalt. Die Datensicherung beinhaltet auch Datenbankinhalte.
3: Archiv ist verschlsselt. Die Datensicherung ist verschlsselt.
4: Log Dateien. Die Datensicherung beinhaltet Protokolle.
5: Log Archive. Die Datensicherung beinhaltet ltere Log Dateien
6: Fehler beim Senden der Sicherung. Die Datensicherung ist fehlerhaft.

Datensafe und automatische Datensicherung
Die automatische Datensicherung des Schulrouter Plus im TIME for kids Datensafe wird tglich durchgefhrt. Sie dient der kompletten Wiederherstellung des Schulrouter Plus bei einem mglichen Hardware- oder
Softwaredefekt.
Automatische Datensicherung im TIME for kids Datensafe und lokal (Empfehlung)
Die Daten werden auf den geschtzten TIME for kids Datensafe-Servern unter Beachtung aller
Datenschutzanforderungen abgelegt. Es werden keine personenbezogenen Logfiles o.. im Datensafe
gespeichert. Die Sicherung erfolgt einmal tglich, diese Einstellung wird empfohlen.

25

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Automatische Datensicherung nur lokal


Das Archiv der Datensicherung wird nur lokal auf ihrem Schulrouter Plus erstellt. Die Sicherung
erfolgt einmal tglich.
Automatische Datensicherung deaktivieren
Eine automatische Datensicherung wird nicht erstellt, diese Einstellung wird nicht empfohlen.
Datensicherungsarchiv importieren
Sie knnen einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus
importieren. Whlen Sie die Datei des Sicherungssatzes auf z.Bsp. Ihrem lokalen PC aus. Mit der
Angabe einer Anmerkung und dem Klicken auf

Importieren

laden Sie den Sicherungssatz hoch. Der

Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden.

2.7 Herunterfahren

ber diese Seite knnen Sie Ihren Schulrouter Plus entweder

herunterfahren

oder

neu starten.

Sie knnen einfach einen der entsprechenden Buttons anklicken, um die Aktion sofort auszufhren.
Zustzlich dazu knnen sie einen beliebigen Zeitpunkt an einem oder mehreren Wochentagen festlegen, an
dem der Schulrouter Plus regelmig heruntergefahren oder neu gestartet wird.

26

TIME for kids Schulrouter Plus

3
27

Hauptmen Status

3.1 System-Status

25

3.2 Netzwerkstatus

26

3.3 Systemdiagramm

27

3.4 Netzwerkdiagramme

28

3.5 Proxydiagramme

29

3.6 Verbindungen

30

3.7

OpenVPN Verbindungen

30

3.8

SMTP Mailstatistik

30

3.9

Email-Warteschlange

30

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Hauptmen Status

3.1 SystemStatus

Dienste
Zeigt alle Dienste und deren aktuellen Status an, insbesondere auch den Schulfilter Plus
Speicher
Zeigt die Auslastung vom Arbeitsspeicher und von der Swapdatei.
Festplattenbelegung
Zeigt den verfgbaren und belegten Festplattenplatz

28

TIME for kids Schulrouter Plus

3.2 Netzwerkstatus

Schnittstellen
Dieser Abschnitt zeigt alle fr die Netzwerk-Fehleranalyse notwendigen Angaben auf. Dies beinhaltet
u.a. Informationen aller Netzwerk-Schnittstellen, inkl. PPP, IPSec, Loopback, etc..
Netzwerkkarten
Zeigt bestimmte Eigenschaften der Netzwerkkarten, wie z.B. ob ein Link augebaut ist, oder welche
Geschwindigkeit ausgehandelt wurde.
Routingtabelleneintrge
Zeigt die Eintrge der Routingtabelle an.
ARP Tabelleneintrge
Zeigt die Eintrge der ARP-Tabelle an.

29

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

3.3 Systemdiagramm

Diese Seite zeigt Ihnen fr den aktuellen Tag bzw. fr die aktuelle Woche, Monat und Jahr,
folgende Diagramme:
CPU-Nutzung
Speichernutzung
Nutzung von Auslagerungsspeicher (Swap)
Festplattenzugriff
Durch einen Klick auf eines der Diagramme kann die Darstellung zwischen Tag, Woche, Monat und Jahr
gewechselt werden.

30

TIME for kids Schulrouter Plus

3.4 Netzwerkdiagramme

Diese Seite zeigt Ihnen fr den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen NetzwerkSchnittstellen an.
Durch einen Klick auf eines der Diagramme kann die Darstellung zwischen Tag, Woche, Monat und Jahr
gewechselt werden.

31

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

3.5 Proxydiagramme

Diese Seite zeigt die Diagramme der Zugriffsstatistiken des HTTP-Proxy der letzten 24 Stunden an.
Die Daten knnen nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.
Diagramme zur Proxyauslastung:
Zugriffe
Zeigt die Anzahl der Zugriffe auf den Proxy an.
bertragungen
Zeigt die Gre der Daten-bertragungen ber den Proxy an.
Durchschnittliche TCP-bertragungsdauer
Zeigt die Dauer der bertragungen an.

32

TIME for kids Schulrouter Plus

3.6 Verbindungen

Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den
Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle gekennzeichnet. Zustzlich zu den vier Schnittstellen (GRN, BLAU, ORANGE, ROT) werden zwei weitere Farben benutzt:
Schwarz fr Verbindungen zum bzw. vom Schulrouter Plus; Lila fr Verbindungen ber ein VPN.

3.7

OpenVPN Verbindungen

Diese Seite zeigt eine Liste mit Verbindungen ber OpenVPN. Es gibt hier die mglichkeiten Verbindungen
zu beenden oder verbundene Benutzer zu blockieren.

3.8

SMTP Mailstatistik

Diese Seite zeigt Statistiken des SMTP(G)-Verkehrs (gesendete E-Mails). Diese Information steht nur zur
Verfgung, wenn der SMTP-Proxy verwendet wird.

3.9 Email-Warteschlange
Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfgung, wenn der
SMTP-Proxy verwendet wird. Es ist auch mglich, die Warteschlange zu leeren.

33

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Hauptmen Netzwerk

4.1 Netzwerkkonfiguration

31

4.2

35

Host bearbeiten

4.3 Routing

36

4.4

37

Internet/WAN Verbindungen

34

TIME for kids Schulrouter Plus

Hauptmen Netzwerk

4.1 Netzwerkkonfiguration

Die Konfiguration der Netzwerkschnittstellen kann schnell und einfach mit dem NetzwerksetupAssistenten gendert werden. Der Assistent ist in mehrere Schritte unterteilt. Sie knnen mit
vor und zurck navigieren und die nderungen mit

Abbrechen

<<<

und

>>>

verwerfen. Sie werden erst im letzten Schritt

gefragt, ob die Einstellungen bernommen werden sollen.


Das bernehmen der nderungen kann einige Zeit in Anspruch nehmen. Whrend dessen ist die
Konfigurationsoberflche nicht erreichbar.
Im Folgenden ist jeder der einzelnen Schritte beschrieben:
Schritt 1 Typ fr ROT auswhlen
Dieser Abschnitt erlaubt es Ihnen die rote Schnittstelle zu konfigurieren (blicherweise die Verbindung
zu Ihrem Provider). Der Schulrouter Plus untersttzt die folgenden Verbindungs-Typen:
Ethernet statisch
Sie mchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen. Dies ist blicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten Router vebunden ist.
Ethernet DHCP
Sie mchten, dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem vorgelagerten
Gert bezieht. Dies ist blicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten
Router verbunden ist, der DHCP liefert. Zu empfehlen ist aber dabei eher die Einstellung Ethernet
statisch.
PPPoE (DSL-Direkteinwahl)
Diese Option ist zu whlen, wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist und die
Einwahl vom Schulrouter Plus bernommen werden soll.

35

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Schritt 2 Netzwerkzonen auswhlen


An diesem Punkt hat Schulrouter Plus bereits zwei Schnittstellen definiert:
GRN
Das grne Netzwerk reprsentiert das erste interne Netzwerk, in dem sich typischerweise die
Schler-Endgerte befinden.
ROT
Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. ber das angeschlossene
DSL-Modem oder einem weiteren vorgelagerten Router. Fr Schulen mit zwei Internetzugngen kann auch
ein zweites rotes Netzwerk definiert werden. Hierdurch ist eine Erhhung der Internetbandbreite z.B.
ber eine zweite DSL-Leitung mglich.
Dieser Schritt ermglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfgbare Schnittstellen sind:
BLAU
Das blaue Netzwerk reprsentiert ein zweites internes Netzwerk, welches z.B. fr die Schulverwaltungs-Endgerte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist physikalisch vom Schulnetzwerk getrennt. Es kann aber bei Bedarf eine gesicherte Verbindung zwischen den Netzwerken zur Datenbertragung eingerichtet werden.
ORANGE
Das orangene Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden
z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch eine
hhere Absicherung vor unberechtigten Zugriffen bentigen. Das orangene Netzwerk kann aber auch als
normales drittes Netzwerk verwendet werden.

Schritt 3 Netzwerkeinstellungen
In diesem Abschnitt werden die Einstellungen fr die internen Schnittstellen definiert (Grn, Blau, Orange).
Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt:
IP-Adresse
Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll (z.B. 192.168.0.1). Achten Sie
darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach dem ndern
der IP-Adressen mssen evtl. noch weitere Dienste angepasst werden (z.B. DHCP-Server oder erlaubte
Subnetze im Proxy).
Netzwerkmaske
Legen Sie die Netzwerkmaske fr die Schnittstelle fest. Es ist wichtig, dass alle Komponenten im
Subnetz dieselbe Netzwerkmaske verwenden.
Weitere Adressen
Sie knnen hier weitere IP-Adressen aus anderen Subnetzen fr die Schnittstelle festlegen.

36

TIME for kids Schulrouter Plus

Schnittstellen
Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei mindestens
einer Schnittstelle zugeordnet sein. Eine Schnittstelle lt sich nur einer Zone zuordnen. Ordnen
Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnittstellen so, als wren sie Teil eines
Switches. Ein Symbol zeigt den aktuelle Status ,der Schnittstelle: ein grner Hacken zeigt, dass
der Link aktiv ist. Ein rotes Kreu zeigt, dass kein Link vorhanden ist.
Zustzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.

Sie mssen fr jede Zone eine IP-Adresse und eine Netzwerkmaske whlen, die sich nicht

mit anderen Schnittstellen berschneidet. Zum Beispiel:

IP = 192.168.0.1, Netzwerkmaske = /24 255.255.255.0 fr

GRN

IP = 192.168.1.1, Netzwerkmaske = /24 255.255.255.0 fr

ORANGE

IP = 192.168.2.1, Netzwerkmaske = /24 255.255.255.0 fr

BLAU

Es wird empfohlen, den Standards des

RFC1918

zu folgen und nur IP-Adressen zu nutzen, die fr den

privaten Bereich reserviert sind:


10.0.0.0 10.255.255.255 (10.0.0.0/8), 16.777.216 Ad resse n
172.16.0.0 172. 31.255.255 (172.16.0.0/12), 1.048.576 Ad resse n
192.168.0.0 192.168.255.255 ( 192.168.0.0/16), 65.536 Ad resse n
Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die Broadcastadresse und drfen nicht vergeben werden.

Schritt 4 Internetverbindungseinstellungen
Dieser Schritt erlauben die Konfiguration der roten Schnittstelle und somit die Konfiguration des
Internetzugangs. Sie finden auf dieser Seite unterschiedliche Konfigurationsmglichkeiten, je nachdem
welche Option Sie im ersten Schritt ausgewhlt haben, knnen diese unterschiedliche Folgeeinstellungen
nachsich ziehen.
Hier werden die Konfigurationen fr jeden Typ erklrt:
Fr Alle
Optional knnen Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit der sich
der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmeldediensten ntig).
Ethernet statisch
Sie mssen die IP Adresse fr die rote Schnittstelle sowie die Netzwerkmaske eingeben. Weiterhin
mssen Sie die IP-Adresse des Standardgateways festlegen.

37

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Ethernet DHCP
Hier knnen Sie festlegen, ob der DNS-Server fr die Internetverbindung auch per DHCP empfangen
werden soll oder ob dieser von Ihnen festgelegt wird.
PPPoE
Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an. Fr die
Authentifizierungsmethode kann standardmig PAP oder CHAP verwendet werden. Sie knnen
auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische von Ihrem Provider bergeben wird (Standard-Einstellung) oder manuell eingegeben werden muss.
PPPoE-Verbindungen werden vom Schulrouter Plus automatisch in der Nacht zwischen 0 Uhr und
4 Uhr getrennt und erneut verbunden. Dies ist notwendig, da der Provider PPPoE-Verbindungen
nach 24 Stunden automatisch trennt und somit sichergestellt ist, dass dies nicht whrend der
Unterrichtszeit geschieht.

Schritt 5 DNS-Server konfigurieren


Hier definieren Sie bis zu zwei DNS-Server, wenn sie nicht automatisch zugewiesen werden. Soll nur ein
Nameserver verwendet werden, muss die IP-Adresse doppelt eingetragen werden. Die IP-Adresse muss fr
den Schulrouter Plus erreichbar sein.

Schritt 6 Konfiguration anwenden


Mit dem letzten Schritt besttigen Sie die neuen Einstellungen.
Klicken Sie

OK, Konfiguration bernehmen

um die Konfiguration abzuschlieen. Das bernehmen der

Einstellungen kann bis zu einer Minute dauern. Whrend dieser Zeit ist das Cockpit nicht erreichbar und eine
Verbindungen zu und durch den Schulrouter Plus ist nicht mglich. Das Cockpit aktualisiert sich nach den
nderungen automatisch. Wenn Sie die IP-Adresse von GRN gendert haben, werden Sie automatisch an
die richtige IP-Adresse weitergeleitet. In diesem Fall, oder wenn sie den Hostnamen gendert haben, wird ein
neues SSL-Zertifikat generiert und es kann evtl. ein Warnhinweis vom Browser erscheinen.

38

TIME for kids Schulrouter Plus

4.2

Host bearbeiten

Der im Schulrouter Plus integrierte DNS-Proxy ermglicht, neben der Zwischenspeicherung von DNS-Informationen aus dem Internet, auch die manuelle Eingabe von Hostcomputern, deren Adressinformationen
lokal verwaltet werden sollen. Bei diesen Hostcomputern kann es sich beispielsweise um lokale Computer
oder Computer im Internet handeln, deren Adressinformationen berschrieben werden sollen.
Aktuelle Hosts
In diesem Bereich werden die aktuell konfigurierten lokalen DNS-Eintrge angezeigt. Sie knnen die Liste
sortieren, indem Sie auf eine der drei unterstrichenen Spaltenberschriften klicken. Ein weiterer Klick dreht
die Sortierreihenfolge um. Zum Bearbeiten eines Eintrags klicken Sie auf das zugehrige

Stift-Symbol

. Die

Daten des Eintrags werden in dem Formular darber angezeigt. Nehmen Sie die gewnschten nderungen
vor und klicken Sie dann im Formular auf die Schaltflche
Zum Lschen eines Eintrags klicken Sie auf das zugehrige

Aktualisieren

Lschen-Symbol.

ber

Host hinzufgen

knnen

Sie einen manuellen Host anlegen.


Folgende Daten mssen eingegeben werden:
IP-Adresse
Geben Sie in dieses Feld die IP-Adresse ein.
Hostname
Geben Sie in dieses Feld den Hostnamen ein.
Domainname
Geben Sie in dieses Feld den Domnennamen ein, falls sich der Hostcomputer in einer anderen
Domne befindet.

39

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

4.3 Routing

Statisches Routing
Aktuelle Routing-Eintrge
Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen ber bestimmte Gateways zu senden. Wird an
dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet, muss hier fr jedes VLAN ein
Eintrag mit der IP des Switch als Gateway gesetzt werden.
Klicken Sie auf eine neue

Route hinzufgen

um eine neue Route mit folgenden Feldern

anzulegen:
Quell-Netz
Quell-Netz in CIDR-Schreibweise (Bsp.: 192.168.10.0/24)
Ziel-Netz
Ziel-Netz in CIDR-Schreibweise (Bsp.: 192.168.20.0/24)
Route ber
Geben Sie die IP-Adresse eines Gateways an oder whlen Sie eine WAN-Verbindung aus, ber die
geroutet werden soll.

40

TIME for kids Schulrouter Plus

Aktiviert
Markieren zum Aktivieren (Standard).
Anmerkung
Geben Sie der Regel eine Anmerkung.

Klicken Sie auf

Route hinzufgen

um die Regel zu besttigen. Sie knnen die Route mit den entsprechenden

Icons aktivieren bzw. deaktivieren.


Dynamisches Routing
Durch Aktivieren der Funktion

Dynamisches Routing

wird sichergestellt, dass bei nicht verfgbaren sta-

tischen Routen, diese vorbergehend deaktiviert werden und automatisch andere verfgbare Routen
gewhlt werden.

4.4 Internet-Verbindungen

WAN-Verbindung erstellen
Whlen Sie den Typ der WAN-Verbindung und fllen Sie dann das entsprechende Formular aus. Die
Felder sind weitestgehend identisch mit dem Netzwerkassistenten.
Folgende Felder unterscheiden sich zum Netzwerkassistenten:

WAN-Verbindung beim Starten aktivieren
Diese Einstellung legt fest, ob diese WAN-Verbindung beim Starten des Schulrouter Plus automatisch
verbunden werden soll.
Wenn diese WAN-Verbindung fehlschlgt aktiviere
Hier knnen Sie festlegen, ob eine andere WAN-Verbindung gewhlt werden soll, falls diese WAN-Verbindung ausfllt.

41

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Wiederverbindungs-Timeout
Hier knnen Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird, wenn die
Verbindung ausfllt. Bleibt das Feld leer, wird sofort die Wiederverbindung versucht.

4.4.1 Internet-Verbindungen

VLAN ermglicht eine Unterteilung des Lokalen-Netzwerkes. Traditionell separiert man sein Lokales-Netzwerk, indem man mehrere Netzwerkkarten fr die verschiedenen Teilnetze verwendet. Dies ist ab einer
gewissen Gre aber nicht mehr praktikabel. VLAN ermglicht es mehrere unabhngige Netzwerke zu
konfigurieren, die ber eine einzelne Netzwerkkarte geroutet werden.
Der SRP verfgt ber 4 Netzwerkzonen (Grn, Blau, Orange, Rot) diese Zonen haben unterschiedliche
Bedeutungen im Sicherheitskonzept des SRP (auf welche hier nicht eingegangen wird). Diesen Zonen kann
man in der Netzwerkkonfiguration jeweils beliebig viele vorhandene Netzwerkkarten zuweisen, deren Traffic
dann unter den jeweiligen Sicherheitsaspekten geroutet wird.
Weist man einer Netzwerkkarte VLAN-Netze zu, so ist diese nicht mehr fr Zonen auswhlbar. An ihre Stelle
treten die konfigurierten VLAN-Netze deren Traffic dann ber die Netzwerkkarte geroutet werden. Dies
ermglicht es insbesondere mehrere Sicherheitszonen einer Netzwerkkarte zuzuweisen. Zu beachten ist
hierbei, dass das VLAN-Interface einen eigenen IP-Adressraum bentigt, welcher unabhngig vom Adressraum des Anschlusses ist, zu dem das VLAN gehrt.
Zur Einrichtung eines oder mehrerer VLAN-Netze bentigt man einen VLAN-Fhigen Switch. Die VLAN-IDs
des Switch konfiguriert man entsprechend den VLAN-Einstellungen des Schulrouter Plus.

4.5 Lastverteilung
Hier kann man die Prozentuale Verteilung des Datenverkehrs auf die einzelnen Uplink-Verbindungen konfigurieren.

42

TIME for kids Schulrouter Plus

Hauptmen Dienste

5.1

DHCP Server

38

5.2

Dynamischer DNS

42

5.3 Antivirus

44

5.4 Zeitserver

46

5.5 Trafficshaping

47

5.6

48

Spam Training

5.7 Einbruchdetektierung

43

50

5.8 Datenverkehrsberwachung

51

6.1

52

Portweiterleitung / NAT

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Hauptmen Dienste

5.1

DHCP Server

DHCP (Dynamic Host Configuration Protocol) ermglicht eine Steuerung der Netzwerkkonfiguration aller
Computer ber den Schulrouter Plus. Computer, die eine Verbindung zum Netzwerk herstellen, wird eine gltige IP-Adresse zugewiesen und ihre DNS-Konfiguration wird vom Schulrouter Plus festgelegt. Um diese
Funktion verwenden zu knnen, mssen die Computer im Netzwerk so konfiguriert sein, dass sie ihre Netzwerkkonfiguration automatisch erhalten.
Sie knnen auswhlen, welchem internen Netzwerk der DHCP Dienst zur Verfgung gestellt werden soll.
Aktivieren Sie einfach die entsprechenden Kontrollkstchen. Aktivieren Sie einfach die entsprechenden
Kontrollkstchen.
DHCP-Server Parameter
Aktiviert
Markieren Sie dieses Feld, um den DHCP-Server fr dieses Netzwerk zu aktivieren.
Anfangsadresse und Endadresse
Sie knnen die unterste und die oberste Adresse angeben, die der Server fr andere Computer bereitstellt. Wenn sich in Ihrem Netzwerk Computer befinden, die DHCP nicht verwenden, deren IP-Adressen also manuell festgelegt werden, sollten Sie die Anfangs- und Endadresse so whlen, dass
der DHCP-Server keine dieser manuell zugewiesenen IP-Adressen vergibt.

44

TIME for kids Schulrouter Plus

Standard Lease Zeit (Min)


Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert zu verwenden. Die Haltezeit-Voreinstellung ist die Zeitdauer in Minuten, die fr IP-Adress-Leases reserviert werden. Vor dem Ablauf des Lease (der Zeitpunkt, zu dem die zugewiesene IP-Adresse verfllt) fordern die Clientcomputer, unter Angabe ihrer aktuell gltigen IP-Adresse eine Erneuerung
der Lease an. Bei einer Anforderung auf eine Erneuerung der Lease werden ggf. durchgefhrte
nderungen an DHCP-Parametern bercksichtigt und die Clientkonfiguration wird entsprechend
aktualisiert. Im Allgemeinen werden IP-Adresszuordnungen vom Server erneuert.
Maximale Lease-Zeit (Min)
Verwenden Sie den Vorgabewert, wenn Sie keinen triftigen Grund haben, einen anderen Wert zu verwenden. Die maximale Vorhaltezeit ist das Zeitintervall (in Minuten), in dem der DHCP-Server Clientanfragen auf Erneuerung der Lease fr die aktuell gltige IP-Adresse immer zustimmt. Nach Ablauf der
maximalen Vorhaltezeit kann die IP-Adresse des Clients vom Server gendert werden. Wenn der Bereich des Pools fr die Vergabe von IP-Adressen (der dynamische IP-Adressbereich) zwischenzeitlich
gendert wurde, erhlt der Client eine neue IP-Adresse aus dem neuen dynamischen IP-Adressbereich.
Domain-Name-Suffix
Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf, dass das Format keinen fhrenden
Punkt vorsieht. Hier wird der Domnenname festgelegt, den der DHCP-Server fr seine Clients verwendet. Wenn ein Hostname nicht aufgelst werden kann, versucht der Client erneut, den ursprnglichen Namen mit dem als Namen angegeben Suffix aufzulsen.
Die DHCP-Server von vielen Internetdienstanbietern sind so konfiguriert, dass als Standard
domnenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf, beim Internetzugriff www als Standard-Homepage in ihrem Browser festzulegen.
www ist jedoch kein voll qualifizierter Domnen-Name (FQDN). Der voll qualifizierte Domnenname des Webservers wird jedoch automatisch clientseitig ber die Software Ihres Computers
erstellt, indem das Suffix des Domnennamens, wie von dem DHCP-Server des Internetdienstanbieters vorgegeben, angehngt wird. Legen Sie das Domnen-Name-Suffix entsprechend der Vorgabe des DHCP-Servers Ihres Internetdienstan bieters fest, damit die Benutzer in Ihrem Intranet
die Teiladresse www weiterhin nicht eingeben mssen.
Primrer DNS
Legt fr die Clients des DHCP-Servers fest, welcher Server als primrer DNS-Server verwendet
werden soll. Da der Schulrouter Plus auch einen DNS-Proxy enthlt, wird in der Regel empfohlen, den
Standardwert zu verwenden. In diesem Fall wird fr den primren DNS-Server die IP-Adresse des
Schulrouter Plus verwendet. Wenn Sie einen eigenen separaten DNS-Server verwenden, geben
Sie dessen IP-Adresse in das Feld ein.
Sekundrer DNS
Sie knnen auch einen sekundren DNS-Server angeben, der verwendet wird, falls der primre DNSServer nicht verfgbar sein sollte. Dieser DNS-Server knnte beispielsweise ein weiterer DNS-Server in
Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein.

45

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Erster NTP-Server
Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen NTP-Servers
an Gerte in Ihrem Netzwerk weiterleiten wollen, knnen Sie die IP-Adresse des NTP-Servers in dieses
Feld eingeben. Der DHCP-Server gibt diese Adresse bei der bergabe der Netzwerkparameter an alle
Clients weiter.
Zweiter NTP-Server
Wenn Sie eine zweite NTP-Server-Adresse haben, geben Sie diese hier ein. Der DHCP-Server gibt diese
Adresse bei der bergabe der Netzwerkparameter an alle Clients weiter.
Erste zweite WINS-Server Adresse
Wenn Ihr Netzwerk auch ein Windows-Netzwerk umfasst und Sie einen WINS-Server (Windows Internet Naming Service-Server) verwenden, knnen Sie in diese Felder den primren und falls vorhanden sekundren WINS-Server eintragen. Der DHCP-Server gibt diese Adresse bei der
bergabe der Netzwerkparameter an die Hostcomputer weiter.

Fr erfahrene Benutzer ist es mglich, weitere angepasste DHCP-Regeln zu der Konfigu-

ration hinzufgen. Diese knnen in dem Textfeld Benutzerdefinierte Konfigurationszei-

len eingetragen werden. Beachten Sie, dass hier keine Prfung der Syntax durch den

Schulrouter Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers

verhindern knnen.

Aktuelle feste Zuordnungen


Wenn sich in Ihrem Netzwerk Computer befinden, deren IP-Adressen zentral verwaltet werden sollen, fr die
es jedoch darber hinaus auch erforderlich ist, dass sie stets dieselbe IP-Adresse erhalten, knnen Sie ber
den DHCP-Server festlegen, dass diesen Computern auf Grundlage der MAC-Adresse der in dem Computer
installierten Netzwerkkarte eine feste IP-Adresse zugewiesen wird. Diese Art der Konfiguration unterscheidet sich wesentlich von der manuellen Adresszuweisung, da auch diese Computer weiterhin ihre IP-Adressen
von dem DHCP-Server beziehen. Die Adressen werden also nicht manuell auf dem Computer selbst, sondern
zentral ber den DCHP-Server vergeben.
Fr feste Zuordnungen knnen die folgenden Parameter festgelegt werden:
MAC-Adresse
Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers, fr den die
feste Zuordnung gelten soll.
Das Format der MAC-Adresse lautet xx:xx:xx:xx:xx:xx, und nicht xx-xx-xx-xx-xx-xx, wie es auf
einigen Computern angezeigt wird (Beispiel: 00:e5:b0:00:02:d2).
IP-Adresse
Dies ist die festzugeordnete IP-Adresse, die der DHCP-Servertets fr die angegebene MAC-Adresse
vergeben soll. Stellen Sie sicher, dass Sie keine IP-Adresse aus dem dynamischen Adressbereich des
DHCP-Servers vergeben.

46

TIME for kids Schulrouter Plus

Beschreibung
Hier knnen Sie einen beschreibenden Text fr die feste Zuordnung eintragen.
Nchste Adresse
Mglicherweise befinden sich in Ihrem Netzwerk Computer, die eine Startdatei von einem Server im
Netzwerk erhalten mssen (sog. Thin Clients). Bei Bedarf knnen Sie in diesem Feld die Serveradresse
angeben.
Dateiname
Geben Sie den Namen der Startdatei fr diesen Computer an.
Rootpfad
Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befindet, knnen Sie in diesem Feld
den Pfad zu der Startdatei angeben.
Aktiviert
Aktivieren Sie dieses Kontrollkstchen, um den DHCP-Server anzuweisen, die angegebene feste Zuordnung bereitzustellen. Ist das Kontrollkstchen nicht aktiviert, wird der entsprechende Datensatz
zwar in den Dateien des Schulrouter Plus gespeichert, der DHCP-Server gibt die Zuordnung jedoch
nicht aus.
Liste der festen Zuordnung
In diesem Bereich werden die aktuellen festen Zuordnungen angezeigt und knnen bearbeitet oder gelscht werden. Sie knnen die Liste sortieren, indem Sie auf die unterstrichenen Spaltenberschriften
MAC-Adresse

oder

IP-Adresse

klicken. Ein weiterer Klick dreht die Sortierreihenfolge um. Zum Bearbei-

ten einer bestehenden festen Zuordnung klicken Sie auf das zugehrige

Stift

-Symbol. Die Werte fr

die feste Zuordnung werden im Ausschnitt Fixe Lease hinzufgen weiter oben angezeigt. Nehmen
Sie die gewnschten nderungen vor und klicken Sie dann auf
henden festen Zuordnung klicken Sie auf das zugehrige

Speichern

Papierkorb

. Zum Lschen einer beste-

-Symbol.

Aktuelle Dynamische Zuordnungen


An dieser Stelle werden die aktuellen dynamischen Zuordnungen angezeigt.
Hinzufgen
Die markierten Dynamischen Verbindungen knnen der Liste der festen Zuordnungen hinzugefgt
werden.

47

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

5.2

Dynamischer DNS

Mit Hilfe dynamischer DNS-Dienste (dynDNS) knnen Sie einen Server im Internet verfgbar machen, auch
wenn dieser ber keine statische ffentliche IP-Adresse verfgt. Um dynDNS verwenden zu knnen, mssen
Sie zunchst bei einem dynDNS-Anbieter eine Unterdomne registrieren.
Anschlieend muss Ihr Server jedes Mal, wenn eine Verbindung zum Internet hergestellt und ihm von Ihrem
Internetdienstanbieter eine IP-Adresse zugewiesen wird, dem dynDNS-Server diese IP-Adresse mitteilen.
Hostcomputer, die eine Verbindung zu Ihrem Server herstellen mchten, lsen die Adresse ber den
dynDNS-Server auf, der die aktuellste gltige IP-Adresse bereitstellt. Ist diese IP-Adresse
aktuell, kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt, die festgelegten
Firewall Regeln lassen dies zu).
Der Schulrouter Plus untersttzt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die automatische Aktualisierung bei zahlreichen dynDNS-Anbietern.
Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen, bekommt er in aller Regel von Ihrem
Provider eine externe IP zugeordnet, mit der Sie auch von auen auf den Schulrouter Plus
zugreifen knnen. Diese Adresse sehen Sie auf der Startseite. Wird dort eine externe IP angezeigt, whlen
Sie hier den ersten Auswahlpunkt.
Wird dort eine IP-Adresse angezeigt, die in Ihrem internen Netzwerk liegt wenn Sie also bspw. einen vorgelagerten Router verwenden whlen Sie die zweite Variante, die versucht, die externe IP ber eine Webseite
zu bekommen.
Aktuelle Hosts
ber das Cockpit knnen die folgenden dynDNS-Parameter festgelegt werden.
Dienst
Whlen Sie einen dynDNS-Anbieter aus der Dropdownliste aus. Sie sollten bei dem aus gewhlten
Anbieter bereits registriert sein.

48

TIME for kids Schulrouter Plus

Hinter einem Proxy


Aktivieren Sie dieses Kontrollkstchen nur dann, wenn Sie als Anbieter www.no-ip.com gewhlt
haben und der Schulrouter Plus sich hinter einem Proxyserver befindet.

Dieses Kontrollkstchen wird bei Auswahl eines anderen Anbieters nicht bercksichtigt.

Platzhalter erlauben
Wenn Sie Platzhalterzeichen zulassen, ermglichen Sie, dass alle Unterdomnen Ihres dynamischen
DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. Ist das Kontrollkstchen
aktiviert, erhlt beispielsweise die Unterdomne www.srp.dyndns.org dieselbe IP-Adresse wie die
bergeordnete Domne www.timeforkids.dyndns.org. Wenn Sie als Anbieter www.no-ip.com
gewhlt haben, wird das Kontrollkstchen nicht bercksichtigt, da dieser Anbieter die Einstellung
dieser Option ausschlielich ber seine Website ermglicht.
Hostname
Geben Sie den Hostnamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Domne
Geben Sie den Domnennamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Benutzername
Geben Sie den Benutzernamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Passwort
Geben Sie das Kennwort fr den Benutzernamen ein.
Aktiviert
Aktivieren Sie dieses Kontrollkstchen, damit der Schulrouter Plus die auf dem dynDNS-Server
hinterlegten Daten aktualisiert. Die Daten werden auch auf dem Schulrouter Plus gespeichert, wenn
das Kontrollkstchen deaktiviert ist. Auf diese Weise knnen Sie die dynDNS-Aktualisierung zu einem
spteren Zeitpunkt wieder aktivieren, ohne die Daten erneut eingeben zu mssen.
Hinter einem Router (NAT)
Whlen Sie dies aus, wenn der Schulrouter Plus ber einen vorgelagerten Router ins Internet geht.
In diesem Fall wird der Dienst von www.checkip.dyndns.org verwendet um die externe IP herauszufinden.

49

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

5.3 Antivirus

Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von ClamAV. In
diesem Bereich knnen Sie einstellen, wie ClamAV mit Archiv-Bomben umgeht und wie oft Virenupdates
heruntergeladen werden.
Antivirus Konfiguration
Um diese Arten von Angriffen zu unterbinden, ist der Antivirus-Dienst so vorkonfiguriert, dass Archive mit
bestimmten Eigenschaften nicht gescannt werden:
Max. Gre des Archives
Archive, die grer als die angegebene MB-Zahl sind.
Max. Archive in Archiven
Archive, die wiederum andere Archive beinhalten, wenn die Anzahl der eingebetteten Archive diese
Zahl bersteigt.
Max. Anzahl von Dateien in Archiven
Archive, die mehr als die hier angegebene Anzahl von Dateien enthalten.

50

TIME for kids Schulrouter Plus

Max. Kompressionsverhltnis
Archive, deren unkomprimierte Gre die komprimierte Gre um mehr als den hier angegebenen
x-fachen Wert bersteigen. Der Standardwert ist 1000. Normalerweise bersteigt der Faktor der
Komprimierung selten 10.
Umgang mit gefhrlichen Archiven
Was soll mit den Archiven passieren, die in dieses Raster fallen? Es ist mglich zwischen Nicht scannen aber durchlassen und als Virus blockieren zu whlen.
Verschlsselte Archive blockieren
Seitdem es technisch unmglich ist, verschlsselte (passwortgeschtzte) Archive zu scannen, stellen
diese ein Sicherheitsrisiko dar. Sie knnen hier auswhlen, ob verschlsselte Archive standardmig
blockiert werden sollen.
Aktualisierungszeitplan der Antivirus Signaturen
Ein anderer, sehr wichtiger Aspekt bei einem Antivirus-Scanner sind die Signatur-Updates: Informationen ber neue Viren mssen regelmig von einem ClamAV-Server geladen werden. Rechts
knnen Sie auswhlen, wie oft diese Aktualisierungen herunter geladen werden. Der voreinstellte
Standard ist stndlich.
Antivirus Viren Signaturen
Dieser Bereich zeigt an, wann das letzte Update geladen wurde und welches die letzte geladene
Signatur-Version ist. Klicken Sie auf Signaturen jetzt aktualisieren, um das Update sofort auszufhren beachten Sie, dass dies einige Zeit in Anspruch nimmt. Falls Sie nach Informationen ber einen
bestimmten Virus suchen mchten, gelangen Sie mit dem angezeigten Link direkt zur ClamAV OnlineVirus-Datenbank.

51

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

5.4 Zeitserver

Der Schulrouter Plus kann so konfiguriert werden, dass die Uhrzeit mit einem Zeitserver im Internet abgeglichen wird.
Eine Anzahl von Zeitservern ist bereits voreingestellt. Mit Aktivieren von Standard NTP Server berschreiben knnen Sie eigene NTP-Server eintragen. Hier muss jeder NTP-Server in eine eigene Zeile
geschrieben werden.
Darunter knnen Sie auch die Zeitzone festlegen.
Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.

52

TIME for kids Schulrouter Plus

5.5 Trafficshaping

Trafficshaping, also die Optimierung der Datenbertragung, ermglicht die Festlegung von Vorrangregeln
fr die verschiedenen Datenstrme, die durch die Firewall geleitet werden.
Mit dem Schulrouter Plus erhalten Sie eine Mglichkeit, die bertragungsverfahren des Datenaufkommens
selbst Ihren Bedrfnissen entsprechend zu optimieren. Die Steuerung erfolgt durch die Einstufung des
Datenaufkommens in Priorittsstufen Hoch, Mittel und Niedrig.
Die Ping-bertragung erhlt stets die hchste Prioritt, damit Sie auch dann die Geschwindigkeit Ihrer
Verbindung genau berprfen knnen, whrend umfangreiche Downloads aus dem Internet
durchgefhrt werden.

So verwenden Sie die Trafficshaping-Funktionalitt im Schulrouter Plus:


1. Verwenden Sie einen DSL Speedtest im Internet, um die maximalen Upload- und Download

geschwindigkeiten zu ermitteln. Geben Sie die so ermittelten Geschwindigkeiten in die entspre-

chenden Felder im Bereich Einstellungen der Webseite ein.

2. Aktivieren Sie die bertragungsoptimierung, indem Sie die WAN-Verbindung bearbeiten und die

maximal zu verwendende Geschwindigkeit eingeben.

3. Ermitteln Sie, welche Dienste in Ihrem Netzwerk verwendet werden, bei denen Datenbertragun

53

gen ber die Firewall vom bzw. ins Internet erfolgen.

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

4. Weisen Sie diesen die gewnschte Prioritt zu. Beispiel:


a. Interaktivem Datenaufkommen wie SSH (Port 22) und VoIP wird die Priorittsstufe Hoch

zugeordnet.

b. Standarddatenaufkommen wie surfen (Port 80) und Kommunikation (bspw. E-Mail- Verkehr

ber Port 25 bzw. 110) s owie Audio- und Videostreaming wird die Priorittsstufe Mittel

zugeordnet.

c. Dauerdatenbertragungen wie beispielsweise P2P-Dateifreigaben erhalten die


Prioittsstufe Niedrig.

5. Erstellen Sie durch den Klick auf Einen Dienst erstellen eine Liste mit Diensten und den jeweils

zugeordneten Priorittsstufen.

Die oben genannten Dienste sind lediglich Beispiele fr mgliche Konfigurationen zur Optimierung der
bertragung des Datenaufkommens. Sie sollten die Einstufung in die drei Priorittskategorien entsprechend
den Anforderungen in Ihrem Netzwerk anpassen.

5.6

Spam Training

Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfiguriert werden, um automatisch zu
lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermglichen, bentigt der Dienst einen
ber IMAP erreichbaren Mailserver, damit dort voreingestellte Ordner berprft werden.
Die Standardkonfiguration wird noch nicht fr das Training verwendet.
Sie bietet lediglich die Mglichkeit Voreinstellung fr die Trainingsquellen zu liefern, die darunter konfiguriert wird. Durch Klick auf

Standardkonfiguration

bearbeiten ffnet sich darunter ein neuer Bereich, in dem

die Standardeinstellungen gesetzt werden knnen:

54

TIME for kids Schulrouter Plus

Standard IMAP Host


Der IMAP-Mailserver, der die Trainingsordner beinhaltet.
Standard-Benutzername
Der Anmeldename fr den IMAP-Mailserver.
Standard-Passwort
Das zugehrige Passwort.
Standard-Hamordner
Der Name des Ordners, der nur HAM-Mails beinhaltet. Dieser Ordner beinhaltet Mails, die nicht als
Spam zu klassifizieren sind.
Standard-Spamordner
Der Name des Ordners, der nur Spam-Mails beinhaltet.
Fr automatisches Spamfilter-Training vormerken
Das Intervall zwischen den Prfungen. Das regelmige Training kann entweder deaktiviert werden,
so dass es nur manuell durchgefhrt werden kann (z.B. nach einer berprfung der entsprechenden
Ordner auf Richtigkeit) oder in regelmigen Abstnden automatisch ausgefhrt werden.
In dem Bereich darunter knnen die entsprechenden Trainingsserver konfiguriert werden. Durch einen
Klick auf

IMAP Spam Trainingsquelle hinzufgen

ffnet sich ein neuer Bereich.

Die Einstellungen fr weitere Trainingsserver entspricht den Standardeinstellungen. Es fehlt nur die
Einstellung der Regelmigkeit. Diese wird immer von den Standardeinstellungen bernommen.
Drei weitere Optionen sind verfgbar:
Aktiviert
Erst wenn hier eine Markierung gesetzt ist, wird diese Quelle fr das Training verwendet.
Anmerkung
In diesem Feld knnen Sie eine Anmerkung einfgen.
Bearbeitete Mails lschen
Nach dem Training werden die verwendeten E-Mails gelscht.
Die anderen Optionen knnen genauso wie in der Standardkonfiguration vorgenommen werden. Wenn Sie
hier gesetzt werden berschreiben Sie die Standardeinstellung. Eine Quelle wird mit dem entsprechenden
Button getestet, aktiviert, bearbeitet oder gelscht.
Es ist auch mglich die Verbindung zu allen Quellen zu testen, indem Sie oben auf den Button
Alle Verbindungen testen

klicken. Wenn mehrere Quellen definiert sind, kann dies einige Zeit

in Anspruch nehmen, abhngig von der Geschwindigkeit der Mailserver und der Anzahl der definierten
Quellen.

55

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Um das Training sofort zu starten, klicken Sie auf

Training jetzt starten.

Abhngig von der Anzahl der Quellen,

der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails, die fr das Training zur Verfgung stehen, kann das Training einige Zeit in Anspruch nehmen.
Sie knnen das Anti-Spam-Training auch manuell durchfhren, wenn der SMTP Proxy angeschaltet ist.
Dies knnen Sie durch das Weiterleiten der entsprechenden E-Mails an spam@spam.spam fr
Spamnachrichten und an ham@ham.ham fr Hamnachrichten machen.
Dafr ist notwendig, dass die Domnen spam.spam und ham.ham aufgelst werden knnen indem Sie
unter >4.2 Netzwerk - Hosts bearbeiten< auf den Schulrouter Plus zeigen.

5.7 Einbruchdetektierung

Der Schulrouter Plus enthlt ein hochleistungsfhiges System zur Einbruchserkennung, das die von der
Firewall empfangenen IP-Pakete analysiert und nach bekannten Signaturen fr schdliche
Aktivitten durchsucht.
Der Schulrouter Plus kann IP-Pakete berwachen, die ber jedes genutzte Netzwerk bertragen werden.
Aktivieren Sie einfach die gewnschten Kontrollkstchen. Die Regeln zur Einbruchdetektierung werden von
snort.org gepflegt.
Mit dem Haken Einbruchdetektierung automatisch herunterladen und dem darunter liegenden Updateintervall knnen sie die Einbruchdetektierung vom Schulrouter Plus automatisch aktuell halten.
Fr erfahrene Benutzer besteht die Mglichkeit, eigenen Regeln auf dem Schulrouter Plus einzusetzen. Die
im Feld Benutzerdefinierte Einbruchdetektierungsregeln einzufgende Regeln mssen entweder direkt
.rules- oder gepackte .tar-, .gz- oder .zip-Dateien sein.

56

TIME for kids Schulrouter Plus

5.8 Datenverkehrsberwachung

Die Datenverkehrsberwachung wird durch den Dienst ntop realisiert und kann durch den Button

oben

aktiviert oder deaktiviert werden. Wenn die Datenverkehrsberwachung aktiviert ist, erscheint darunter ein
Link, der zur gesonderten Seite fr die Ansicht und Administration der Datenverkehrsberwachung weiterleitet. Diese Administrationsoberflche wird ebenfalls von ntop geliefert und enthlt detaillierte
Statistiken ber den Datenverkehr.
Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben, wobei der
Verkehr nach Host, Protokoll, Schnittstellen und weiteren Parametern gefiltert werden kann.
Fr detaillierte Informationen ber die ntop-Administrationsoberflche besuchen Sie die ntop
Dokumentation unter: http://www.ntop.org/documentation.html

57

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Hauptmen Firewall

6.1.2 SourceNAT

54

6.2

Ausgehender Datenverkehr

56

6.3

Interner Datenverkehr

58

6.4 Systemzugriffe

59

58

TIME for kids Schulrouter Plus

Hauptmen Firewall

6.1 Portweiterleitung / NAT


6.1.1 Portweiterleitung

Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschtzte Netz. Manchmal kann diese
Einstellung zu restriktiv sein. Wenn Sie z.B. einen Webserver betreiben, wrden alle von
auerhalb des geschtzten Netzwerks kommenden Benutzeranfragen standardmig blockiert. Dies wrde
bedeuten, dass der Webserver nur aus dem internen Netz zu nutzen wre. Dies ist natrlich nicht die Normalsituation fr einen Webserver. In den meisten Fllen sollen Auenstehende den
Zugriff auf Ihren Webserver erhalten. Fr diese Flle gibt es Port-Weiterleitungen. Wenn Sie diese Ports
kennen, knnen Sie die Port-Weiterleitung im Schulrouter Plus konfigurieren.
Klicken Sie auf

Eine neue Portweiterleitung hinzufgen,

um eine Portweiterleitung zu erstellen.

Sie knnen individuell definieren, welche Anfragen von welcher Schnittstelle ber welchen Port zu welchem
Client geleitet werden. Folgende Parameter mssen dabei festgelegt werden:
Protokoll
TCP, UDP, GRE (generic routing encapsulation) wird von Tunneln verwendet, z.B. PPTP-VPN) oder
Alle Protokolle.
Eingehende IP
Die externe Schnittstelle. Hier kann eine der verwendeten roten Schnittstellen, alle roten Schnittstellen oder VPN-Verbindungen gewhlt werden.
Eingehender Port
Auf welchem Port (1 - 65535) soll der Schulrouter Plus an den roten Schnittstellen auf
Anfragen warten.
Ziel-IP-Adresse
Die IP-Adresse des internen Clients, an den die Anfrage von extern geleitet werden soll.

59

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Ziel-Port
Der Port am Client intern an, den die externe Anfrage geleitet werden soll.
Anmerkung
Eine eigene Anmerkung, um spter die Regel schnell wiederzufinden.
Aktiviert
Diese Regel aktivieren
SNAT eingehende Verbindungen
Legen Sie fest, ob eingehende Verbindungen beim Client mit der IP des Schulrouter Plus (aktiviert)
oder mit der externen IP des Anfragenden ankommen.
Enable log
Alle Pakete ber diese Regel protokollieren.
Klicken Sie auf

Hinzufgen

um die Regel zu besttigen. Sie knnen die Regel in der Zeile mit den

entsprechenden Symbolen bearbeiten, de-/aktivieren oder sie lschen.


Vergessen Sie nicht nach dem ndern bzw. Hinzufgen der Regeln oben auf

bernehmen

zu klicken!

Wenn eine Regel definiert ist, knnen Sie den Zugriff von auen beschrnken. Mit dem Klick auf das
Plus-Symbol

der entsprechenden Regel ffnet sich darber eine Maske, in der Sie die IP-Adresse oder das

Netz derjenigen eintragen knnen, die nur die Weiterleitung nutzen drfen. Das setzt voraus, dass diese eine
feste externe IP haben. Um weitere Quellen zu definieren wiederholen Sie den Schritt.

6.1.2 SourceNAT

In diesem Unterabschnitt knnen Sie definieren, fr welche ausgehende Verbindungen Source Network
Adress Translation (SourceNAT) genutzt werden sollen. SourceNAT kann ntzlich sein, wenn ein Server im
internen Netz eine eigene externe IP bekommen und fr den Datenverkehr des Servers ins Internet nicht die
externe IP-Adresse der roten Schnittstelle verwendet werden soll.

60

TIME for kids Schulrouter Plus

Das Hinzufgen von SourceNAT-Regeln ist identisch zu der Bearbeitung von Portweiterleitungen. Die
folgenden Einstellungen knnen gesetzt werden:
Quelle
Legen Sie fest, fr welche Quellen SourceNAT verwendet werden sollen. Sie knnen zwischen bestimmten IP-Adressen, Netzwerke oder Benutzern whlen.
Ziel
Hier knnen Sie, genau wie bei der Quelle, ein Ziel definieren, bei dem die Regel aktiv ist (also das Ziel,
dass der Client anfragt). Zustzlich knnen Sie auch Zonen und WAN-Verbindungen nutzen.
Dienst/Port
Hier knnen Sie den Dienst/Port, der beeinflusst werden soll, auswhlen.
NAT
Hier whlen Sie aus, ob Sie SourceNAT nutzen mchten oder nicht. Wenn Sie sich fr NAT entscheiden, knnen Sie die IP-Adresse whlen, die nach auen fr diese Regel sichtbar sein soll. In der Vorauswahl erscheint automatisch die entsprechend zugehrige IP-Adresse.
Aktivieren
Hier aktivieren Sie die Regel.
Anmerkung
Hier knnen Sie eine kurze Anmerkung eintragen.
Position
Hier knnen Sie festlegen, an welcher Stelle die Regel eingefgt werden soll.

Zum Speichern der Regel klicken Sie auf

Regel erstellen.

Beispiel:
Konfigurieren eines SMTP-Mailservers auf der IP 123.123.123.123 (davon ausgehend, dass 123.123.123.123
eine weitere IP des roten Schnittstelle ist) in der DMZ mit SourceNAT:
Konfigurieren Sie die orange Schnittstelle so, damit der Server ins Internet kommt.
Konfigurieren Sie den Mailserver so, damit er auf Port 25 mit seiner internen IP der Orangenen
Zone reagiert.
Fgen Sie eine WAN-Verbindung mit der IP 123.123.123.123 (Ethernet statisch) im Abschnitt
>4.4 Internet/WAN< hinzu.
Fgen Sie eine SourceNAT-Regel hinzu und definieren Sie als Quelle die interne (orange) IP.

61

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

6.2

Ausgehender Datenverkehr

Die ausgehende Verbindungsfirewall regelt den Datenverkehr von den internen Netzen nach auen. Die
Standardeinstellungen reichen aus, um im Internet surfen und E-Mails abholen zu knnen. Sie knnen diese
Regeln nach Ihren Bedrfnissen erweitern, um bspw. Lernsoftware die Verbindung ins Internet ber
bentigte Ports zu gewhren.
Mit dem Schalter Ausgehende Firewall deaktivieren/aktivieren knnen Sie die ausgehende Verbindungsfirewall komplett deaktivieren, so dass jeglicher Datenverkehr von innen nach auen gelangt.
Mit der Einstellung Alle akzeptierten ausgehenden Verbindungen protokollieren protokolliert der Schulrouter Plus alle akzeptierten Pakete im >Firewalllog<. Dies schliet nicht die abgewiesenen Pakete ein.

62

TIME for kids Schulrouter Plus

Diese Funktion bentigt viel Rechenleistung auf dem Schulrouter Plus und kann das

System verlangsamen.

Im Abschnitt Aktuelle Regeln sind alle bereits definierten aktivierten Firewall-Regeln aufgelistet. Diese
sind nach ihrer Prioritt absteigend sortiert: Ist bspw. als erstes der Port 80 freigegeben und darunter eine
Regel, die die Ports 50 bis 100 sperrt, wird dennoch Port 80 freigegeben. In dieser Ansicht knnen Sie auch
die Prioritt der Regeln ndern, indem Sie die Pfeile in der entsprechenden Zeile benutzen. Auerdem
knnen Sie die Regeln de-/aktivieren, bearbeiten und lschen.
Am Ende der Seite werden die Systemregeln angezeigt. Diese Regeln werden automatisch vom Schulrouter
Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Sie knnen nicht verndert oder
gelscht werden.
Wenn Sie eine neue Firewallregel anlegen mchten, klicken Sie auf
Bearbeiten klicken Sie auf das entsprechende

Stift-Symbol

Eine neue Firewallregel hinzufgen.

Zum

in der Zeile der Regel, die Sie bearbeiten mch-

ten. Es ffnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Um die Regel zu de-/aktivieren,
setzen Sie entsprechend den Haken in den Punkt Aktiviert: und drcken den Button

Speichern,

nach-

dem alle Einstellungen fr diese Regel gettigt sind.


Folgende Einstellungen knnen gesetzt werden:
Quelle
Fr welche Quelle soll diese Regel gelten. Sie knnen entweder Netzwerkschnittstellen, Zonen, IP-Adressen/IP-Bereiche oder MAC-Adressen verwenden. Es knnen mehrere Quellen gleichen Typs verwendet werden.
Ziel IP Adresse
Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet verwendet
werden. Sie knnen hier entweder WAN-Verbindungen oder IP-Adressen/ IP-Bereiche whlen.
Es knnen mehrere Quellen gleichen Typs verwendet werden.
Dienst/Port
Weiterhin knnen Sie auch festlegen, auf welchen Ziel-Port und ber welches Protokoll diese Regel
angewendet wird. Hier knnen Sie entweder einen Dienst aus der Vorauswahl whlen, so dass Port
und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen.
Aktionen
Legen Sie fest, ob der Vorgang gestattet oder abgelehnt werden soll.
Anmerkung
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.

63

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Position:
Wie bereits erwhnt, ist die Prioritt der Firewallregel durch ihre Position in der Liste aktueller Regeln
festgelegt. Hier knnen Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Alle akzeptierten Pakete loggen
Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog< aufgefhrt.

!

6.3

Nachdem Regeln erstellt oder bearbeitet wurden, muss die nderung immer noch ber
nommen werden. Es erscheint eine Meldung mit dem entsprechenden Hinweis!

Interner Datenverkehr

Hier legen Sie fest, ob Datenverkehr zwischen den einzelnen internen (alle auer ROT) Netzwerksegmenten
gesendet werden darf. Der Schulrouter Plus ist standardmig so eingestellt, dass der Datenverkehr nur im
jeweiligen Netzwerksegment bleiben darf. Ein Senden in eine andere Zone ist nicht erlaubt. Dies ist notwendig, um bspw. das pdagogische Netz und die Verwaltung zu trennen.
Dies betrifft aber nur den Datenverkehr, der auch ber den Schulrouter Plus bertragen wird. Sprich, nur die
Pakete, die von einer zu einer anderen Schnittstelle bertragen werden. Der Datenverkehr, der im internen
Netzwerk geschieht und ber den dort stehenden Switch luft, ist davon nicht betroffen. Analog zu Ausge-

64

TIME for kids Schulrouter Plus

hender Datenverkehr knnen Sie diese Einstellungen ein-/ausschalten, Regeln bearbeiten, lschen
und hinzufgen.

Wird der interne Datenverkehr deaktiviert, werden alle Verbindungen untereinander er-

laubt (Datenverkehr zu ROT ausgeschlossen). Dies ist nicht zu empfehlen! Durch Klick

auf

stellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.

Nachdem Regeln erstellt oder bearbeitet wurden, muss die nderung immer noch

bernommen werden. Ist dies ntig, erscheint oben auf der Seite eine Meldung mit dem

Eine neue Interne Firewallregel hinzufgen

knnen Sie eine neue Regel hinzufgen. Die Ein-

entsprechenden Schalter!

6.4 Systemzugriffe

Hier knnen Sie den Zugriff direkt auf den Schulrouter Plus regeln. Es gibt eine Liste vorkonfigurierter
Regeln, die fr den Betrieb der einzelnen Dienste und fr den Zugriff auf die Konfigurationsoberflchen
notwendig sind. Klicken Sie auf Eine neue

Systemzugangsregel

hinzufgen um eine neue Regel fr den

Systemzugriff zu erstellen.
Diese Einstellungen knnen gemacht werden:
Quelladresse
Legen Sie eine oder mehrere IP-Adressen, Netzwerke oder MAC-Adressen fest, deren Zugriff mit dieser Regel festgelegt werden soll. Diese Einstellung ist optional, wenn Sie den kompletten Zugriff aus
bestimmten Zonen (Quellschnittstellen) gewhren wollen.

65

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Quellschnittstelle
Legen Sie fest, aus welcher Zone oder ber welche Schnittstelle dieser Zugriff geregelt werden soll.
Dienst/Port
Weiterhin knnen Sie auch festlegen, auf welchen Ziel-Port und ber welches Protokoll diese Regel
angewendet wird. Hier knnen Sie entweder einen Dienst aus der Vorauswahl whlen, so dass Port
und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Protokoll selber festlegen.
Aktion
Stellen Sie ein, ob der Zugriff gewhrt, abgelehnt (ohne Rckmeldung) oder abgewiesen (Meldung an
den Sender) werden.
Anmerkung
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.
Position
Auch hier ist die Prioritt der Firewallregel durch ihre Position in der Liste aktueller Regeln festgelegt.
Hier knnen Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Aktiviert
Anhaken zum Aktivieren der Regel (Standard).
Alle akzeptierten Pakete loggen
Ist dieser Haken aktiviert, werden die auftretenden Verbindungen im >Firewalllog< aufgefhrt.
Klicken Sie auf

Regel hinzufgen

um die Regel zu besttigen.

Durch den Klick auf das entsprechende Symbol rechts in der Zeile der erstellten Regel, knnen Sie die
entsprechenden Regeln de-/aktivieren, bearbeiten oder lschen.

Nachdem Regeln erstellt oder bearbeitet wurden, muss die nderung immer noch ber-

nommen werden. Ist dies ntig, erscheint oben auf der Seite eine Meldung mit dem

entsprechenden Schalter!

66

TIME for kids Schulrouter Plus

Hauptmen Proxy

7.1 HTTP

61

7.1.1 Konfiguration

61

7.1.1.1

62

Erlaubte Ports und SSl Ports

7.1.1.2 Log-Einstellungen

63

7.1.1.3 Erlaubte Subnetze pro Zone

63

7.1.1.4 Interner Datenverkehr

64

7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele

64

7.1.1.6 Cache Verwaltung

65

7.1.1.7 Vorgelagerter Proxy

65

7.1.2 Authentifizierung

66

7.1.2.1 Lokale Authentifizierung

67

7.1.2.1.1 Benutzerverwaltung

68

7.1.2.2 LDAP

68

7.1.2.3 Windows

69

7.1.2.4 Radius

70

7.1.4 Antivirus

72

7.1.5 Gruppenregeln

73

7.2

POP3

74

7.2.1

Globale Einstellungen

74

7.2.2

Spam Filter

75

7.3 FTP

76

7.4 SMTP

77

7.4.1 Hauptseite

77

7.4.2 Antivirus

78

7.4.3 Spam

79

7.4.4 Dateierweiterungen

82

7.4.5

Blacklist-Whitelist

84

7.4.7 Mailrouting

85

7.4.8 Erweitert

86

7.5 DNS

88

7.5.1

DNS Proxy

88

7.5.2

Benutzerdefinierter Nameserver

89

7.5.3 Anti-Spyware

67

83

7.4.6 Domains

90

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Hauptmen Proxy

7.1 HTTP
7.1.1 Konfiguration

Der integrierte HTTP-Proxy ist ein vollwertiger Proxy, der als Vermittler der Daten zwischen Netzwerkverkehr und dem integrierten Schulfilter Plus agiert und auch Webobjekte zwischenspeichern kann. Auerdem
bietet der integrierte Proxy weitere grundstzliche Einstellungsmglichkeiten zur Filterung des Datenverkehrs und zur Authentifizierung.
Um den Datenverkehr ber den Schulfilter Plus zu leiten, muss der Proxy fr die entsprechende Schnittstelle aktiviert sein. Sie knnen in dieser bersicht den Proxy fr jede Schnittstelle aktivieren oder deaktivieren.
So knnen Sie beispielsweise Ihr Schler-Netz (z.B. im Grnen Netz) ber den Schulfilter Plus filtern lassen
und fr Ihr Verwaltungsnetz separat den Proxy deaktivieren, so dass die Verwaltungsrechner (z.B.
Ist an einem Client noch ein Proxy eingestellt, so gibt der Browser eine Fehlermeldung zurckischen:
Deaktiviert
Der Proxy ist auf dieser Schnittstelle deaktiviert. Es wird ein reines Routing gemacht.

Ist an einem Client noch ein Proxy eingestellt, so gibt der Browser eine Fehler-

!
meldung
zurck

68

TIME for kids Schulrouter Plus

Keine Authentifizierung
Der Proxy ist aktiviert. Um den Proxy zu nutzen, muss am Client die Einstellung zur Nutzung eines
Proxys gesetzt werden.
Authentifizierung bentigt
Der Proxy ist aktiviert. Um den Proxy zu nutzen muss am Client die Einstellung zur Nutzung eines
Proxys gesetzt werden. Weiterhin ist die Anbindung des Proxy an einen Verzeichnisdienst notwendig, so dass die Anmeldedaten des Clients abgefragt werden und auch an den Schulfilter Plus
weitergegeben werden knnen.
Transparent
Der Proxy ist aktiviert und fngt selbstndig alle http-Anfragen (ber Port 80) ein. Es muss am Client
fr den http-Verkehr kein Proxy eingetragen werden. In diesem Fall ist aber keine Authentifizierung
gegen einen Verzeichnisdienst mglich.
Proxy Port
Wenn Sie den Proxy nicht transparent einsetzen wollen, mssen Sie einen Port whlen, der bei den
Clients eingestellt wird. Standardmig ist der Port 800 eingestellt, da dabei die Gefahr einer Mehrfachnutzung durch andere Programme relativ klein ist.
Achten Sie beim Einstellen des Ports darauf, dass keine anderen Programme auf Ihren Clients
diesen Port beanspruchen.
Sichtbarer Hostname
Zeigt in Fehlermeldungen des Schulrouter Plus nicht den Hostnamen, sondern den hier eingetragenen Namen an.
Cache Administrator E-Mail
Diese E-mail-Adresse wird in Fehlermeldungen des Schulrouter Plus als Kontakt angezeigt.
Sprache der Fehlermeldungen
Whlen Sie die Sprache, in der Fehlermeldungen angezeigt werden sollen.
Max. Gre von Uploads (KB)
Limit fr http-Dateiuploads (so wie z.B. Anhnge in Formularen) in KB (0 bedeutet unbegrenzt)
Virenprfung des HTTP-Verkehrs
Der HTTP-Verkehr wird transparent auf Viren berprft

7.1.1.1 Erlaubte Ports und SSl Ports


Hier werden die zulssigen Ziel-Ports gefhrt, ber die HTTP(S)-Anfragen an den Schulrouter Plus
gesendet werden drfen, um weitergeleitet zu werden.

69

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.1.1.2 Log-Einstellungen
Log aktiviert
Aktivieren Sie hier die Protokollierung aller Aktivitten ber den http-Proxy. Sie knnen das Protokoll
in den >Proxy-Logdateien< einsehen. Diese Daten zu sammeln kann Datenschutzrichtlinien und die
Privatsphre der Benutzer verletzen. Bitte prfen Sie die Datenschutzrichtlinien Ihres Bundeslandes.
Diese Einstellung ist unabhngig von der Protokollierung des Schulfilter Plus, kann also fr eine
reine Protokollierung der Filterereignisse ausgeschaltet bleiben.
Protokolliere Query Terms
Standardmig werden dynamische Abfragen bei der Protokollierung abgeschnitten. Ist dieser Punkt
aktiviert, werden auch diese protokolliert.
Z.B.: http://www.time-for-kids.de/index.php?user=hallo&passwort=welt

dynamische Abfragen
Protokolliere User Agents
So werden auch die verwendeten User-Agents, bspw. wenn der Browser mit dem die Internetseite
angesehen wird, protokolliert. Dieser Punkt sollte nur zur Fehlersuche aktiviert werden. Die UserAgents sind nicht in der Weboberflche zu sehen, sondern nur in der Datei /var/log/squid/useragent.log
Firewall protokolliert ausgehende Verbindungen
Alle Proxy-Anfragen werden auch im Firewalllog protokolliert (nur bei transparentem Proxy).

7.1.1.3 Erlaubte Subnetze pro Zone


Hier werden die Zugriffsrechte auf den Webzugriff ber den Proxy geregelt. Nur Anfragen aus diesen
Subnetzen wird der Webzugriff ber den HTTP-Proxy genehmigt, alle anderen bekommen eine Fehlermeldung. Standardmig werden hier automatisch die Subnetze von den Schnittstellen Grn, Blau und Orange
eingetragen. Sie knnen diese manuell editieren, um bspw. nur einem kleineren IP-Bereich den Internetzugriff zu gewhren.

Wenn Sie die IP-Adressen und dementsprechend auch den Adressbereich ndern

Alternativ knnen Sie das komplette Feld leeren und Speichern klicken. Dann holt sich

der Proxy automatisch die richtigen Einstellungen.

(also bspw. 192.168.0.1 192.168.100.1), mssen Sie den Bereich auch hier manuell ndern!

70

TIME for kids Schulrouter Plus

7.1.1.4 Interner Datenverkehr


Verweigere Zugang von GRN auf BLAU / ORANGE
Diese Einstellung verhindert direkte HTTP-Zugriffe auf lokale Web-Server in den anderen internen
Zonen durch den http-Proxy hindurch.
Beispiel:
Solange der Proxy-Zugriff untereinander deaktiviert ist, werden Anfragen gewhnlich nach ROT weiter
geleitet. Wenn aber ein Client von Blau auf einen Web-Server in Grn zugreifen mchte, dann nimmt der
Proxy-Server eine interne Abkrzung zwischen den Schnittstellen Grn und Blau, unabhngig von jeglichen
Firewall-Regeln.

Um die Server zu schtzen, wird empfohlen diese Option zu aktivieren und falls notwen-

dig den Zugriff ber den internen Datenverkehr zu regeln.

7.1.1.5 Umgehung / Ausgeschlossene Quellen und Ziele


Hier knnen Sie festlegen, ob bestimmten PCs nicht den HTTP-Proxy nutzen mssen.
Umgehe den transparenten Proxy von folgenden Quellen/fr folgende Ziele
Diese Quellen oder Ziele werden nicht ber den Proxy geleitet, selbst wenn er im Modus
Transparent luft.
Den Proxy von folgenden Quell-IPs/Quell-MAC-Adressen umgehen
Fr die in diesen Feldern eingetragenen IP- bzw. MAC-Adressen gelten die >Einstellungen der
Standardrichtlinie< nicht. MAC-Adressen mssen im Format 00-00-00-00-00-00 oder
00:00:00:00:00:00 eingegeben werden.
Gesperrte IP-Adressen/MAC-Adresse
Alle in diesen Feldern angegebenen IP- bzw. MAC-Adressen bekommen beim Versuch ber den httpProxy ins Internet zu gelangen die Fehlermeldung Zugriff verweigert. MAC-Adressen mssen im
Format 00-00-00-00-00-00 oder 00:00:00:00:00:00 eingegeben werden.

7.1.1.6 Cache Verwaltung


Der http-Proxy des Schulrouter Plus verfgt auch ber einen Zwischenspeicher (Cache), um den
Internetdatenverkehr zu minimieren und die Seitenaufrufe bei den Clients mglichst schnell zu halten.
Sie knnen hier die Gre des Cache im Arbeitsspeicher (RAM) und auf der Festplatte definieren. Der
Cache im RAM ist viel schneller und Strom sparender als auf der Festplatte. Er sollte aber nicht zu
gro gewhlt werden, da sonst andere Dienste beeintrchtigt werden knnten.

71

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Weiterhin knnen Sie auch festlegen, welche Gre die zwischengespeicherten Objekte mindestens
und maximal haben drfen.
Mit der Option Aktiviere Offline-Modus werden die zwischengespeicherten Objekte nicht auf dem
Server auf Aktualitt berprft und es wird beim Abrufen auch auf evtl. veraltete Objekte zugegriffen.
Im Eingabefeld Diese Domains nicht zwischenspeichern knnen Sie eine Liste von Domains fhren,
von denen keine Objekte zwischengespeichert werden sollen. Objekte dieser Domains werden also
immer direkt vom Server geholt.
Die Eintrge mssen immer mit einem Punkt beginnen und es muss fr jede Domain eine neue Zeile
verwendet werden.
Beispiel:
.time-for-kids.de
.schulrouterplus.de

7.1.1.7 Vorgelagerter Proxy


Gibt es einen weiteren Proxy in Ihrem Netzwerk, ber den der Schulrouter Plus ins Internet gehen soll,
mssen Sie hier die passenden Daten eintragen:
Geben Sie zuerst den Hostnamen mit dem Proxyport in dem Format Hostname:Port an. Verlangt der
vorgelagerte Proxy, dass Sie sich authentifizieren, geben Sie darunter Benutzername und Passwort ein.
Auf der rechten Seite knnen Sie festlegen, welche Daten mit an den Proxy bergeben werden. So
kann die IP-Adresse und der Benutzername des Clients weitergegeben werden.

72

TIME for kids Schulrouter Plus

7.1.2 Authentifizierung

Der HTTP-Proxy des Schulrouter Plus untersttzt vier Authentifizierungsmethoden:


Lokal, LDAP, Windows, Radius. Jede dieser Methoden bentigt unterschiedliche Einstellungen, die weiter
unten beschrieben werden.
Die globalen Einstellungen fr alle Authentifizierungsmethoden sind:
Anzahl der Authentifizierungsprozesse
Gibt an, wie viele Prozesse auf Authentifizierungsanfragen warten. Der Wert sollte erhht werden,
wenn die Anmeldung zu lange dauert.
Authentifizierungscache TTL
Gibt in Minuten an, wie lange die Session der Anmeldung bestehen bleibt. Nach Ablauf der Zeit muss
sich der Benutzer neu anmelden. Schickt der angemeldete Benutzer whrend dieser Zeit eine Anfrage
ab (ruft bspw. eine Internetseite auf), beginnt die Zeit von neuem.
Begrenzung von IP-Adressen pro Benutzer
Gibt an, von wie vielen unterschiedlichen IP-Adressen aus sich ein Benutzer gleichzeitig anmelden
darf. Wenn das Feld leer bleibt, besteht keine Beschrnkung.
Benutzer/IP-Cache TTL
Gibt an, fr welche Dauer die Beziehung von IP-Adresse zu Anmeldename gespeichert wird. Diese
Einstellung macht nur Sinn, wenn die Begrenzung von IP-Adressen pro Benutzer genutzt wird. Meldet
sich ein Benutzer an einem Client-PC an und wird die Begrenzung der IP-Adressen bspw. auf eins ge-

73

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

stellt, kann er sich erst wieder an einem anderen Client-PC anmelden, sobald die hier eingegebene Zeit
abgelaufen ist. Ist der Wert auf 0 gesetzt, besteht keine Beschrnkung.
Authentifizierungs-Realm Anzeige
Die hier eingegebene Bezeichnung wird auf der Anmeldmaske als Name des Proxy angezeigt. Fr
die Anbindung eines Active Diretories ber die Authentifizierungsmethode Windows muss hier der
FQDN-Domnenname stehen.
Authentifizierung fr uneingeschrnkte Quelladressen erforderlich
Aktivieren Sie diese Option, wenn Sie mchten, dass eine Anmeldung auch von IP-Adressen geschehen soll, die unter Konfiguration im Feld >Den Proxy von folgenden Quell-IPs umgehen< oder
>Den Proxy von folgenden Quell-MAC-Adressen umgehen< stehen.
Domains ohne Authentifizierung
Hier knnen Sie eine Liste mit Internetseiten pflegen, fr die keine Anmeldung erforderlich ist.
Zum Beispiel fr Windows- und AntiVirus-Update.
Alle angegebenen Domains mssen mit einem Punkt beginnen.
Beispiel fr Windows-Update:
.windowsupdate.com

.microsoft.com

Quellsubnetze/IP/MAC ohne Authentifizierung


Hier knnen Sie eine Liste mit Hosts (IP-Adressen/Netz/MAC-Adressen) pflegen, von denen keine
Anmeldung abgefragt wird.

7.1.2.1 Lokale Authentifizierung


Bei der lokalen Benutzerauthentifizierung werden die Benutzer direkt auf dem Schulrouter Plus
gepflegt, ohne dass ein Authentifizierungsserver angebunden sein muss.
ber den Button

Benutzerverwaltung

knnen Sie die Benutzer anlegen und bearbeiten.

Min. Passwordlnge
Geben Sie an, wie lang ein Passwort mindestens sein darf.

74

TIME for kids Schulrouter Plus

7.1.2.1.1 Benutzerverwaltung
Dies ist die Oberflche, auf der die gesamte Benutzerverwaltung vorgenommen werden kann. Im oberen
Bereich sind die Eingabefelder, mit denen Sie neue Benutzer anlegen, bzw. Benutzer bearbeiten
knnen, im unteren Bereich die bersicht der vorhandenen Benutzer. In der bersichtstabelle werden die
angelegten Benutzer nach Benutzernamen sortiert.
Gruppen
Hier knnen Sie den Benutzer einer bestimmten Gruppe zuordnen. Diese muss vorher bei den
>Gruppenregeln< erstellt worden sein.
Benutzer anlegen
Um einen neuen Benutzer anzulegen, geben Sie die entsprechenden Benutzerdaten in die Eingabefelder ein und whlen Sie eine entsprechende Gruppe. Nachdem Sie auf den Button

Benutzer

erstellen

klicken, erscheint der neue Benutzer in der Liste darunter.


Benutzer bearbeiten
Um vorhandene Benutzer zu bearbeiten, klicken Sie auf das

Stift-Symbol

in der Zeile desentsprechen-

den Benutzers. Daraufhin erscheinen die Daten in der Eingabemaske oben.


Sie knnen bei dem zu bearbeitenden Benutzer nur Passwort und Gruppe ndern, nicht den
Benutzernamen. Wenn Sie die Einstellungen vorgenommen haben, klicken Sie auf den Button
Benutzer aktualisieren.

Benutzer lschen
Um einzelne Benutzer zu lschen, klicken Sie auf das

Papierkorp

Symbol am Ende der Zeile.

7.1.2.2 LDAP
Diese Einstellung wird verwendet, um ein LDAP-Server anzubinden.
Folgende Einstellungen mssen gesetzt werden:
Base DN
Der base distinguished name, ist der Startpunkt der LDAP-Suche. Standardmig kann hier der
Domnenname verwendet werden.
Beispiel fr die Domne schule.local: dc=schule,dc=local
LDAP Server
Die IP-Adresse Ihres LDAP-Servers
LDAP-Typ
Hier knnen Sie whlen ob Sie ein Active Directory, Novell eDirectory, LDAP Server Version 2 oder
einen LDAP Server Version 3 verwenden.

75

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 389.
Bind DN Benutzername/Passwort
Der vollstndige Benutzername und das Passwort eines Benutzers, der die Berechtigung besitzt Benutzerattribute auszulesen.
Beispiel fr den Benutzer Administrator eines Active Directory mit der Domne schule.local:
cn=administrator,cn=users,dc=schule,dc=local

7.1.2.3 Windows
Diese Einstellung wird verwendet, um ein Active Directory anzubinden.
Folgende Einstellungen mssen gesetzt werden:
Domne
Geben Sie hier Ihren Domnenamen ein. Nutzen Sie die kurze Variante (NETBIOS), z.B.: schule
PDC Hostname

Der Hostname des primren Active Directory-Servers. Der hier angegebene Hostname muss vom

Schulrouter Plus aufgelst werden knnen. Z.B.: ber >Hosts bearbeiten<

BDC Hostname
Der Hostname des sekundren Active Directory-Servers. Der hier angegebene Hostname muss vom
Schulrouter Plus aufgelst werden knnen. Z.B.: ber >Hosts bearbeiten< Benutzername/Passwort
Benutzername und Passwort
Der Benutzername und das Passwort des Benutzers mit dem der Schulrouter Plus der Domne beitreten kann. Dies muss ein Benutzer mit administrativen Rechten sein (z.B. der Domnenadministrator).
Zugangsbeschrnkungen
Hier knnen Sie in den sich darunter ffnenden Eingabefeldern Benutzern das Surfen ber den httpProxy erlauben oder verbieten.

Mit dem Klick auf Domne beitreten wird der Schulrouter Plus nur als Computer in der

Domne angelegt und erst mit Speichern wird die Einstellung auch gespeichert

bernommen.

76

TIME for kids Schulrouter Plus

Single Sign-On gegen ein Active Directory. Um das Single Sing-On gegen ein Active

Directory nutzen zu knnen, mssen einige Voraussetzungen geschaffen werden:


Der Schulrouter Plus muss der >Domne beigetreten< sein.
Die Uhrzeit des Schulrouter Plus und des Domnencontrollers mssen
synchron laufen.
Im >DNS-Proxy< muss der Domnencontroller als Nameserver fr die interne
Domne festgelegt werden.
Der Schulrouter Plus muss in der Lage sein, den Hostnamen des Domnencontrollers aufzulsen (z.B. durch Bekanntmachung ber >Hosts bearbeiten<)
Die Authentifizierungs-Realm Anzeige muss der FQDN sein.
Der >PDC Hostname< muss der Netbios-Computername des Domnencontrollers sein.

7.1.2.4 Radius
Diese Einstellung wird verwendet, um einen Radius-Server anzubinden.
Folgende Einstellungen mssen gesetzt werden:
RADIUS Server
Die IP-Adresse Ihres LDAP-Servers
Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 1645.
Kennung
Eine zustzliche Kennung (Identifier) des Radius-Servers.
Shared secret
Das Kennwort fr die Signierung der Kommunikation.
Zugangsbeschrnkungen
Hier knnen Sie in den sich darunter ffnenden Eingabefeldern Benutzern das Surfen berden
http-Proxy erlauben oder verbieten.

77

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.1.3 Standardrichtlinie

Die Standardrichtlinie gilt fr alle Hosts, die ber den HTTP-Proxy surfen.
Sie knnen hier einschrnken welche Browser verwendet werden drfen, welche Dateitypen
aufgerufen werden drfen und die maximale Gre von Downloads festlegen.
Zulssige Clients fr Webzugriffe beschrnken
Mit dieser Funktion knnen Sie die Client-PCs auf bestimmte Browser einschrnken, so dass Schler
bspw. nur noch den Microsft Internet Explorer nutzen knnen und nicht mehr ihren mitgebrachten
Portable Firefox. Die Browser/Programme werden ber ihre mit gesendete Kennung (Useragent)
identifiziert und knnen so ziemlich sicher ausgefiltert werden.
Aktivieren Sie zunchst die Funktion Zulssige Clients fr Webzugriffe beschrnken und whlen Sie
dann unten die Programme aus, mit denen der Internetzugriff gewhrt werden soll.

Beachten Sie, dass dadurch eventuell AntiVirus-Updates oder andere Programme

angesehen werden knnen, muss zustzlich zu dem Browser auch der Windows Media

Player aktiviert werden. Alle hier nicht aufgefhrten Programme werden dann blockiert.

blockiert werden. Mchten Sie es bspw. erlauben, dass auch mit einem Browser Videos

Dateitypen blockieren
Um den Zugriff auf bestimmte Dateitypen zu verhindern, knnen Sie die zu blockierenden Dateitypen
in Form von MIME-Types hier angeben.
Beispiele:
application/octet-stream

fr ausfhrbare Dateien (*.bin *.exe *.com *.dll)

text/javascript

fr JavaScript (*.js)

78

TIME for kids Schulrouter Plus

Eine bersicht der gngigen MIME-Types bekommen Sie bspw. bei >SelfHTML<

Sie knnen auch Teilausdrcke nutzen, so dass mit dem Eintrag javascript sowohl
application/x-javascript als auch text/javascript unterbinden.

Max. Gre von Downloads


Legen sie hier fest, ob die maximale Gre von Downloads beschrnkt werden soll. 0 bedeutet
keine Beschrnkung.

7.1.4 Antivirus

Hier knnen Sie die Virus-Scan-Engine, die vom HTTP-Proxy verwendet wird, konfigurieren.
Max. zu scannende Dateigre
Definieren Sie die maximale Gre von Dateien, die gescannt werden sollen.
Folgende URLs nicht durchsuchen
Eine Liste von Internetadressen, die nicht gescannt werden sollen.

Die Aktualitt des Virenscanners kann bei >Abschnitt 7.1.4 Antivirus<

berprft werden.

79

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.1.5 Gruppenregeln

Hier knnen Sie bei Nutzung der Authentifizierungsmethoden Lokal oder Windows Gruppen erstellen
oder hinzufgen.
Bei der Nutzung der Authentifizierungsmethode Windows importieren Sie hier nach dem erfolgreichen
Anbinden des Schulrouter Plus an die Domne die Gruppen, denen der Zugriff ber den http-Proxy gewhrt
werden soll.

Gruppen, die standardmig alle Benutzer abdecken, sind Domnenmitglieder und

!
Domnenadmins.

Bei Nutzung der Authentifizierungsmethode Lokal erstellen und bearbeiten Sie hier die Gruppen, denen die
Benutzer in der Benutzerverwaltung (L) zugeordnet sein mssen.
Das Richtlinien-Profil definiert die Einschrnkungen bei der Nutzung des http-Proxys. Benutzergruppen mit
dem Profil Standardeinstellungen nutzen den http-Proxy mit allen eingestellten Einschrnkungen der
>Standardrichtlinie<.
Benutzergruppen mit dem Profil Uneingeschrnkt umgehen diese Einstellungen.

7.2 POP3
In diesem Abschnitt knnen Sie den POP3-Proxy fr eingehende E-Mails konfigurieren.

80

TIME for kids Schulrouter Plus

7.2.1 Globale Einstellungen

Hier knnen Sie den POP3-Proxy fr jedes einzelne Netzsegment aktivieren. Es ist weiterhin mglich,
den Virusscanner und Spamfilter fr eingehende E-Mails zu aktivieren.
Um jede ausgehende POP3-Verbindung im Firewalllog zu protokollieren, aktivieren Sie den Haken
Firewall protokolliert ausgehende Verbindungen.

81

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.2.2 Spam Filter

Hier definieren Sie, wie sich der POP3-Proxy mit aktiviertem Spamfilter verhlt, wenn er eine
Spam-Nachricht entdeckt.
Spam Betreffzeile
Dieser Eintrag wird vor den Betreff der Originalnachricht geschrieben.
bentigte Punktezahl
Diese Einstellung legt fest, bei welcher Punktzahl eine E-Mail als Spam definiert wird. Die Anzahl der
vergebenen Punkte wird durch die einzelnen Prfalgorithmen des Spamfilters festgelegt und
addiert.
Hash Spamprfung aktivieren
Diese Option aktiviert die Spamerkennung ber Prfsummen. Hierbei wird die Prfsumme einer als Spam
erkannten E-Mail an eine zentrale Datenbank gemeldet. Auf auf dem Schulrouter Plus werden von allen
eingehenden E-Mails die Prfsumme generiert und mit dieser Datenbank verglichen.

82

TIME for kids Schulrouter Plus

Dies wird zu einer eheblichen Auslastung des Schulrouter Plus fhren.

Whitelist/Blacklist
Hier knnen Absenderadressen definieren, die nie bzw. immer als Spam erkannt werden sollen. Sie
knnen hierbei auch Platzhalter verwenden (z.B. *@example.com)

7.3 FTP

Der FTP-Proxy ist nur als transparenter Proxy einsetzbar. Dies erlaubt das Scannen von Viren bei
FTP-Downloads.

Die Transparenz greift nur auf den Standardport 21 zu. Das heit: Wenn Sie Ihre
Clients einstellen, und Sie den http-Proxy fr alle Ports verwenden, wird der FTP-Proxy

umgangen.

Sie knnen hier den FTP-Proxy fr die einzelnen Netzsegmente aktivieren und folgende
Einstellungen vornehmen:
Firewall protokolliert ausgehende Verbindungen
Hiermit werden alle ausgehenden FTP-Verbindungen im Firewalllog protokolliert.
Umgehe den transparenten Proxy von folgenden Quellen/fr folgende Ziele
Sie knnen festlegen, dass bestimmte Hosts den FTP-Proxy umgehen bzw. fr bestimmte Ziele der
FTP-Proxy nicht verwendet wird.

83

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.4 SMTP
Der SMTP-Proxy kann ausgehender E-Mails weiterleiten und filtern.
Der Einsatzbereich des SMTP-Proxys ist, den SMTP-E-Mail-Verkehr zu steuern, zu optimieren und Ihr Netzwerk vor Angriffen ber das SMTP-Protokoll zu schtzen.

7.4.1 Hauptseite
Die Konfiguration ist in mehrere Abschnitte unterteilt:

Dies ist der Hauptschnitt zur generellen Konfiguration des SMTP-Proxys. Er beinhaltet folgende
Einstellungsmglichkeiten:
Aktiviert
Dies aktiviert den SMTP-Proxy, so dass er SMTP-Anfragen auf Port 25 annimmt.
Transparent
Wenn die Transparenz aktiviert ist, werden alle Anfragen an den Zielport 25 abgefangen und an den
SMTP-Proxy weitergegeben, ohne dass bei dem Client ein Proxy eingestellt sein muss.
Virusprfung aktiviert
Aktivieren Sie die Antivirenprfung der ausgehenden E-Mail. Die Konfiguration kann im Abschnitt
>Antivirus< vorgenommen werden.
Spamprfung aktiviert
Aktivieren Sie diese Option, um ausgehende E-Mails auf Spamnachrichten zu prfen. Die Konfiguration
kann im Abschnitt >7.4.3 Spam< vorgenommen werden.

84

TIME for kids Schulrouter Plus

Blockiere Dateiendungen
Aktivieren Sie diese Option, um E-Mails mit bestimmten Dateianhngen zu blockieren. Die Konfiguration kann im Abschnitt >7.4.4 Dateierweiterungen< vorgenommen werden.
Eingehende Mail aktiviert
Wenn Sie in Ihrem Netzwerk einen internen E-Mail-Server betreiben, knnen Sie diese Option aktivieren um eingehende an den internen Mailserver weiterzuleiten.

Firewall protokolliert ausgehende Verbindungen
Aktivieren Sie diese Option, um alle ausgehenden SMTP-Verbindungen im >Firewalllog< zu protokollieren. Beachten Sie dabei die Datenschutzbestimmungen.

Sie mssen weiterhin die E-Mail-Domains definieren fr die der SMTP-Server

verantwortlich sein soll. Sie knnen diese im Abschnitt Domains (L) definieren.

Um die Einstellungen zu bernehmen, klicken Sie unten auf

Speichern

und

Neustart.

7.4.2 Antivirus

Die Antivirenprfung ist eine der Hauptaufgaben des SMTP-Proxys. Drei Reaktionen knnen festgelegt
werden, wenn einen virenbefallene E-Mail versendet wird. Es ist auch mglich eine E-Mail -Adresse fr
Benachrichtigungen festzulegen:
Standardeinstellung
Sie knnen zwischen drei Reaktionen auf infizierte E-Mails whlen:
1. Verwerfen: Die infizierte E-Mail wird sofort gelscht.
2. Zurckschicken: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
3. Annehmen: Die E-Mail wird normal zugestellt.

85

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Mailadresse zur Virus Benachrichtigung (Virus Admin)


Hier knnen Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung ber den Fund infizierter
E-Mails geschickt werden soll.
Virus Quarantne
Hier knnen Sie festlegen, welche Art von Quarantne verwendet werden soll.
Gltige Werte sind:
1. Feld leer lassen Die Quarantne wird deaktiviert
2. Virus-quarantine Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im

Verzeichnis /var/amavis/virusmails ab

3. E-Mail-Adresse Wenn Sie eine gltige E-Mail-Adresse angeben, werden infizierte E-Mails

dort hin weitergeleitet

Um die Einstellungen zu bernehmen klicken Sie unten auf

Speichern

und

Neustart.

86

TIME for kids Schulrouter Plus

7.4.3 Spam

Der Antispamschutz des Schulrouter Plus kennt verschiedene Wege, um Sie vor Spammails zu schtzen:
Regelbasierter Spamfilter und Greylisting. Wobei beim Greylisting wird die Nachrichten von unbekannten
(noch nie zugestellt) Absendern zuerst abgewiesen und erst nach einer gewissen Zeit angenommen.
Whrend die meisten einfachen Spamnachrichten von bekannten Mailservern versendet und vom Spamfilter
geblockt werden, verndern Spammer stndig beim Versenden ihre Nachrichten. Dafr ist es absolut
notwendig, den Spam-Filter zu trainieren, um einen fr Sie wirkenden Spamschutz zu bekommen.

87

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Folgende Einstellungen betreffen die regelbasierte Spamfilterung:


Spam Ziel
Was soll mit erkannten Spamnachrichten geschehen. Verwerfen: Die Nachricht wird sofort gelscht und nicht zugestellt. Zurckschicken: Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung. Annehmen: Die E-Mail wird normal zugestellt.
E-mail zur Benachrichtigung bei Spam Alarm (Spam Admin)
Hier knnen Sie eine E-Mail -Adresse angeben, an die eine Benachrichtigung ber den Fund von Spammails geschickt werden soll.
Spam Quarantne
Hier knnen Sie festlegen, welche Art von Quarantne verwendet werden soll. Gltige Werte sind:
1. Feld leer lassen Die Quarantne wird deaktiviert.
2. Spam-quarantine Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im

Verzeichnis /var/amavis/virusmails ab.

3. E-Mail-Adresse wenn Sie eine gltige E-Mail-Adresse angeben, werden infizierte


E-Mails dorthin weitergeleitet.

Spam Kennzeichnungsstufe
Wenn die angegebene Summe der addierten zutreffenden Regeln berschritten wird, wird dem Header
der Nachricht die Tags X-Spam-Status und X-Spam-Level hinzugefgt. Diese beschreiben welche
Regeln mit welchem Punkten gegriffen hat.
Spam Markierungsstufe
Wenn die angegebene Summe der addierten zutreffenden Regeln berschritten wird, wird die Nachricht als Spam eingestuft und wie in Spam Subjekt angegeben die Kopfzeile erweitert.
Spam Quarantne Level
Wenn die angegebene Summe der addierten zutreffenden Regeln berschritten wird, wird die Nachricht als Spam eingestuft und in die Quarantne verschoben.
Maximale SPAM Punktezahl fr Senderbenachrichtigung
Senden nur eine Benachrichtigung an den oben angegebenen Spam-Admin, wenn diese Zahl unterschritten bleibt.
Spam Subjekt
Hier knnen Sie festlegen, welche Nachricht in die Kopfzeile der zugestellten Nachricht
geschrieben wird.

88

TIME for kids Schulrouter Plus

Der zweite Abschnitt dieser Seite enthlt die Einstellungen fr das Greylisting:
Greylisting aktiviert
Aktiviert die Spamprfung mittels Greylisting.
Verzgerung
Hier knen Sie die Zeit einstellen wie lange eine Nachricht abgewiesen wird, bis sie zugestellt wird.
Dies kann ein Wert zwischen 30 und 3600 Sekunden sein.
Whitelist Empfnger
Sie knnen hier E-Mail-Adressen oder ganze Domains freigeben, die nicht durch Greylisting
geprft werden.
Whitelist Client
Sie knnen hier Mailserver freigeben, die nicht durch Greylisting geprft werden. Das heit, dass
E-Mails, die von diesem Server eintreffen, nicht geprft werden.
Um die Einstellungen zu bernehmen, klicken Sie unten auf

Speichern

und

Neustart.

7.4.4 Dateierweiterungen

Sie knnen hier bestimmte Dateianhnge sperren:

89

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Blockierte Dateierweiterungen
Hier knnen Sie eine oder mehrere Dateitypen whlen, die gesperrt werden.
Aktion bei gesperrten Dateiendungen
Was soll mit blockierten Nachrichten geschehen?
Verwerfen
Die Nachricht wird sofort gelscht und nicht zugestellt.
Zurckschicken
Die Nachricht wird nicht zugestellt und der Absender bekommt eine Benachrichtigung.
Annehmen
Die E-Mail wird normal zugestellt.
Quarantne fr verbotene Dateien
Hier knnen Sie festlegen, welche Art von Quarantne verwendet werden soll.
Gltige Werte sind:
1. Feld leer lassen Die Quarantne wird deaktiviert.
2. Banned-quarantine Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im

Verzeichnis /var/amavis/virusmails ab.

3. E-Mail-Adresse wenn Sie eine gltige E-Mail-Adresse angeben, werden infizierte E-Mails dorthin
weitergeleitet.
E-Mail fr Warnmeldungen bei blockierten Dateien (Admin)
Hier knnen Sie eine E-Mail-Adresse angeben, an die eine Benachrichtigung ber den Fund von E-Mails
mit geblockten Dateien geschickt werden soll.
Doppelte Dateiendungen verbieten
Wenn Sie diese Option aktivieren, werden Dateien mit doppelten Anhngen blockiert. Doppelte Dateiendungen sind Endungen mit irgendeiner Dateiendung gefolgt von .exe, .com, .vbs, .pif, .scr, .bat,
.cmd oder .dll
Um die Einstellungen zu bernehmen, klicken Sie unten auf

Speichern

und

Neustart.

90

TIME for kids Schulrouter Plus

7.4.5 Blacklist-Whitelist

Eine oft genutzte Methode, um Spamnachrichten zu blockieren, sind so genannte real-time Blacklists (RBL).
Diese Listen werden von unterschiedlichen Organisationen gepflegt.
Wenn eine Domne oder IP-Adresse in einer der aktivierten Liste aufgefhrt ist, wird sie ohne Rckmeldung
abgelehnt. Dies spart Ressourcen im Vergleich zum Antispam, da hier keine E-Mail angenommen und analysiert werden mssen.
Es gibt hier auch die Mglichkeit bestimmte Absender, Empfnger, IP-Adressen oder Netzwerke zu sperren
oder freizugeben.

91

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Folgende Listen knnen verwendet werden:


bl.spamcop.net
zen.spamhaus.org
cbl.abuseat.org
dul.dnsbl.sorbs.net
list.dsbl.org
dsn.rfc-ignorant.org
ix.dnsbl.manitu.net
Um die Einstellungen zu bernehmen, klicken Sie unten auf

Speichern

und

Neustart.

7.4.6 Domains

Wenn Sie auf der Hauptseite Eingehende Mail aktiviert haben und Nachrichten zu einem internen Mailserver weiterleiten wollen, mssen Sie die Domnen definieren, die vom SMTP-Proxy akzeptiert werden sollen
und welcher Ihrer Mailserver diese Nachrichten empfangen soll.
Es ist mglich mehrere Mailserver fr unterschiedliche Domnen zu verwenden. Geben Sie hier
einfach die Domne und den internen Mailserver an. Fgen Sie alle notwendigen Mailserver der Liste hinzu.
Um die Einstellungen zu bernehmen, klicken Sie unten auf

Speichern

und

Neustart.

92

TIME for kids Schulrouter Plus

7.4.7 Mailrouting

Diese Einstellung erlaubt es Ihnen eine blind carbon copy (BCC) an eine spezielle E-Mail-Adresse zu senden.
Diese Kopie wir gesendet, sobald eine E-Mail zu einem bestimmten Empfnger oder von
einem bestimmten Absender gesendet wird.
Richtung
Legen Sie fest, ob die Kopie erstellt werden soll, wenn die Nachricht zu einem bestimmte Empfnger
oder von einem bestimmten Absender gesendet wird.
Mailadresse
Hier geben Sie die entsprechend zu prfenden Empfnger- oder Absenderadresse an.
BCC Adresse
Dies ist die E-Mail-Adresse an die die Kopie geschickt werden soll.
Durch Klick auf

Mailroute hinzufgen

wird die Regel hinzugefgt und durch Klick auf

Speichern

und

Neustart

bernommen.

Weder Empfnger noch Absender werden informiert. Dies kann den Datenschutz-

richtlinien widersprechen!

93

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.4.8 Erweitert

Hier knnen Sie erweiterte Einstellungen fr den SMTP-Proxy vornehmen.


Im Abschnitt Smarthost knnen folgende Einstellungen vorgenommen werden:
Zustellung ber externen Mailserver (Smarthost)
Aktivieren Sie diese Einstellung wenn Sie einen Smarthost oder Relay-Server verwenden wollen. Ein
Smarthost ist ein Mailserver, der von einem Sender E-Mails annimmt und an beliebige Dritte
weiterleitet.

94

TIME for kids Schulrouter Plus

Adresse des Smarthostes


Geben Sie die Adresse des Smarthosts an.
Smarthost bentigt Authentifizierung
Aktivieren Sie dieses Feld, wenn der Smarthost eine Anmeldung bentigt und geben sie darunter die
entsprechenden Anmeldedaten an.
Authentifizierungsmethode
Hier knnen Sie die Authentifizierungsmethoden festlegen, die Ihr Smarthost untersttzt.
Um die Einstellungen zu bernehmen, klicken Sie unten auf

Speichern

und

Neustart

Wenn der Schulrouter Plus eine dynamische IP-Adresse bekommt, weil der Provider

bei jeder Einwahl eine neue Ip-Adresse vergibt, kann es sein, dass Sie Probleme beim

Versenden von E-Mails ber den SMTP-Proxy bekommen. Immer mehr Mailserver ber-

prfen, ob ihre IP als dynamische IP-Adresse bekannt ist und verweigert ggf. die

Verbindung. Dafr kann es hilfreich sein, einen Smarthost zu verwenden. Normaler-

weise knnen Sie den Mailserver Ihres E-Mail-Providers verwenden.

Im Abschnitt IMAP Server fr die SMTP Authentifizierung knnen Sie festlegen welcher IMAP-Server fr
die Authentifizierung beim Versenden von E-Mails verwendet werden soll.
In den erweiterten Einstellungen knnen Sie noch folgende Einstellungen vornehmen:
smtpd HELO bentigt
Ist dies aktiviert, muss der Client ein HELO beim Aufbau der Verbindung senden
Ungltige Rechnernamen abweisen
Die Verbindung wird abgewiesen, wenn das HELO-Signal des Clients einen ungltigen

Hostnamen enthlt.

Unvollstndige Rechnernamen abweisen (FQDN)


Die Verbindung wird abgewiesen, wenn das HELO-Signal keinen voll qualifizierten Hostnamen
(FQDN) enthlt.
Unvollstndige Empfangsadresse abweisen (FQDN)
Die Verbindung wird abgewiesen, wenn die Empfngeradresse keinen voll qualifizierten Hostnamen
(FQDN) ist.
Unbekannte Sender Domain abweisen
Die Verbindung wird abgewiesen, wenn die Domne der Absender- E-Mail-Adresse keinen DNS A oder
MX-Eintrag hat.

95

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Unbekannte Empfnger abweisen


Die Verbindung wird abgewiesen, wenn die Domne der Empfnger- E-Mail-Adresse keinen DNS A oder
MX-Eintrag hat.
SMTP HELO Name
Dies ist der Hostname, der mit dem ausgehenden HELO-Signal gesendet wird. Standard ist die
IP-Adresse der roten Schnittstelle.
Immer an BCC Adresse
Optional knnen Sie hier eine E-Mail-Adresse angeben, die eine Kopie von jeder E-Mail erhlt, die ber
den SMTP-Proxy versandt wird.

Das Zusenden von solchen E-Mails kann Datenschutzrichtlinien und die Privatsphre der Benutzer verletzen.
Bitte prfen Sie die Datenschutzrichtlinien Ihres Bundeslandes.
SMTP Daemon Hard Error Limit
Dies ist die maximale Anzahl von Fehlern, welche beim Abschicken einer E-Mail von ein und demselben
SMTP Client auftreten drfen.
Der SMTP Proxy schliet die Verbindung wenn dieses Limit berschritten wird.
Sprache der Email-Vorlage
Die Sprache in der Fehlermeldungen des SMTP-Proxys angezeigt werden.
Maximal Email-Gre
Die maximale Gre, die eine einzelne E-Mail haben darf.
Um die Einstellungen zu bernehmen klicken Sie unten auf

Speichern

und

Neustart

96

TIME for kids Schulrouter Plus

7.5 DNS
7.5.1 DNS Proxy

Auf dieser Seite knnen Sie den transparenten DNS-Proxy aktivieren und konfigurieren. Sie knnen den
DNS-Proxy fr die einzelnen Schnittstellen aktivieren und auerdem festlegen bei welchen Quell- und
Zieladressen der DNS-Proxy umgangen werden soll.
Um die Einstellungen zu bernehmen, klicken Sie unten auf

Speichern

und

Neustart

7.5.2 Benutzerdefinierter Nameserver

Hier knnen Sie Nameserver fr bestimmte Domnen festlegen, wie z.B. den Domnencontroller Ihrer
internen Domne.
Geben Sie dazu einfach nach dem Klick auf

einen neuen benutzerdefinierten Nameserver fr eine Domain hinzufgen

die Domne und den dafr zustndigen Nameserver an.

97

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

7.5.3 Anti-Spyware

Hier knnen Sie festlegen wie der Schulrouter Plus reagieren soll, wenn der Domnenname fr bekannt ist
fr Spyware-Angriffe bekannt ist.
Folgende Einstellungen knnen Sie setzen:
Aktiviert
Wenn aktiviert, werden die Anfragen an localhost umgeleitet.
Anfragen an den Spyware Listening Port weiterleiten
Ist dies aktiviert, werden die Anfragen anstatt an localhost an das Spyware-Modul weitergegeben.
Erlaubte/Blacklist Domains
Hier eingegebene Domains werden entweder nicht oder immer als Spyware klassifiziert.
Spyware Domainlisten Updateintervall
Hier knnen Sie festlegen, wie oft die Spyware Domain Liste aktualisiert wird.

98

TIME for kids Schulrouter Plus

Hauptmen VPN

8.1

OpenVPN Server

8.1.1 Serverkonfiguration

93

8.1.2 Konten

94

8.1.3 Erweitert

96

8.2

OpenVPN Client (Gw2Gw)

8.3 IPSec

99

93

98
100

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Hauptmen VPN

Virtual Private Networks oder VPNs erlauben es zwei Netzwerken, sich direkt ber ein anderes Netzwerk,
z.B. das Internet, miteinander zu verbinden. Alle Daten werden sicher ber einen verschlsselten Tunnel
versendet, geschtzt vor neugierigen Blicken. Auf die gleiche Weise kann sich ein einzelner Computer mit
einem anderen Netzwerk verbinden.
Der Schulrouter Plus kann sehr einfach VPNs zwischen anderen Schulrouter Plus aufbauen. Im
Schulrouter Plus werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz definiert. Diese sind zu
100% optional; Sie sollten diesen Abschnitt sicherheitshalber ignorieren, wenn Sie diese Funktion nicht
benutzen wollen.
Die meisten aktuellen Betriebssysteme untersttzen IPSec. Das beinhaltet Windows, Macintosh OSX, Linux
und die meisten Unix-Varianten. Unglcklicherweise bieten diese Tools sehr unterschiedliche Untersttzungen und knnten daher schwierig einzustellen sein.
1. Verbindungsarten
Netz-zu-Netz
Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke ber das Internet miteinander, indem sie einen Tunnel aufbauen. In einem Netz-zu-Netz VPN muss mindestens eines der beteiligten
Netzwerke per Schulrouter Plus mit dem Internet verbunden sein. Das andere Netzwerk kann an einen
Schulrouter Plus angeschlossen sein, oder an einen an deren VPN-fhigen Router oder Firewall.
Diesen Routern/Firewalls wurde eine ffentliche IP von einem Provider zugewiesen und sie benutzen hchstwahrscheinlich NAT (Network Address Translation). Falls gewnscht, kann auch ein
VPN zwischen den Clients in den internen Netzen und dem Schulrouter Plus aufgebaut werden.
Das stellt sicher, dass der Datenverkehr im entsprechen den Netzwerk nicht mit Sniffern abgehorcht werden kann.
Host-zu-Netz
Eine Host-zu-Netz Verbindung besteht, wenn der Schulrouter Plus an dem einem Ende des VPN-Tunnels steht und ein Remote- oder Mobilbenutzer am anderen Ende. Der Mobilbenutzer ist hchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen, dynamischen ffentlichen IP.
Man nennt diese Konstellation daher Host-zu-Netz oder Roadwarrior.
Bevor Sie eine Roadwarrior oder Netz-zu-Netz VPN-Verbindung konfigurieren knnen, mssen
Sie sich fr eine der Authentifizierungsmethoden pre-shared key (PSK) bzw. Passwort-/Passphrase oder X.509-Zertifikat entscheiden. Mit der Authentifizierungsmethode identifiziert sich der
Benutzer fr den Zugang zum VPN.
2. Authentifizierungsmethoden
Pre-Shared Key
Die pre-shared key (PSK) Authentifizierungsmethode ist eine einfache Methode, die eine schnelle
Konfiguration von VPNs ermglicht.
Fr diese Methode geben Sie eine Authentifizierungsphrase ein. Dabei kann es sich um eine

100

TIME for kids Schulrouter Plus

beliebige Zeichenfolge handeln, vergleichbar zu einem Passwort. Diese Phrase muss fr die Authentifizierung beim Schulrouter Plus und dem VPN-Client verfgbar sein.
Die PSK-Methode bentigt weniger Schritte als bei einer Authentifizierung ber Zertifikate. Sie
kann verwendet werden, um Verbindungstests durchzufhren und Erfahrungen beim Aufbau
einer VPN-Verbindung zu sammeln.

Die System-Uhrzeiten an jedem Ende des VPN-Tunnels sollten aktuell sein, bevor

das VPN konfiguriert wird.

X.509 Zertifikate
X.509 Zertifikate stellen einen sehr sicheren Weg fr die Verbindung von VPN-Servern dar. Um X.509-Zertifikate zu implementieren, mssen Sie entweder die Zertifikate auf dem Schulrouter Plus erzeugen oder
durch eine andere Zertifizierungsstelle in Ihrem Netzwerk ausstellen lassen.
X.509 Begriffe
X.509 Zertifikate auf dem Schulrouter Plus und vielen anderen Implementierungen werden ber OpenSSL
verwaltet. SSL (Secure Socket Layer) hat seine eigenen Begriffsdefinitionen.
X.509 Zertifikate enthalten, abhngig vom Anwendungsfall, ffentliche und private Schlssel,
Passphrasen und Informationen ber die zugehrige Funktionseinheit. Diese Zertifikate dienen dazu, von
Zertifizierungsstellen (Certificate Authorities oder CA) validiert zu werden.
Webbrowser beinhalten die CAs von ffentlichen Zertifizierungsstellen. Ein Host-Zertifikat wird von der
dazugehrigen CA validiert. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer lokalen
Maschine liegen. Im Falle von Schulrouter Plus ist dies der Schulrouter Plus selbst.
Zertifizierungsanfragen sind Anfragen fr X.509 Zertifikate, die von CAs signiert (digital unterschrieben)
werden. Dabei entsteht aus der Anfrage das eigentliche Zertifikat, das dann zum Anforderer zurckgeschickt wird. Dieses Zertifikat ist dann der CA bekannt, da es durch sie ausgestellt wurde.
X.509 Zertifikate knnen in drei verschiedenen Formaten gespeichert werden, die Anhand der
Dateiendung erkannt werden knnen. PEM ist das Standard-Format fr OpenSSL. Es kann alle zum Zertifikat
gehrenden Informationen in lesbarer Form enthalten. Das DER-Format enthlt nur die Key-Informationen
und keine separaten X.509-Informationen. Dies ist das Standard-Format fr die meisten Browser.
Das PEM-Format ergnzt das DER-Format durch Kopf-Informationen. PKCS#12, PFK oder P12 Zertifikate
enthalten im Binrformat dieselben Informationen wie PEM-Dateien. Mit dem OpenSSL-Kommando knnen
die Formate untereinander konvertiert werden. Um ein Zertifikat benutzen zu knnen, muss es der Gegenstelle bekannt gemacht werden. Die IPSec-Implementierung vom Schulrouter Plus enthlt ihre eigene,
selbst erstellte CA.
CAs knnen auch auf Roadwarrior-Maschinen laufen. Wenn die IPSec-Implementierung auf den
Roadwarrior-Maschinen keine eigenen CA-Fhigkeiten besitzt, knnen Sie eine Zertifikatsanforderung
(Request) erstellen, die dann von der CA des Schulrouter Plus signiert wird. Das daraus resultierende
Zertifikat kann dann auf der Roadwarrior-Maschine importiert werden.

101

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

8.1 OpenVPN Server


8.1.1 Serverkonfiguration

Hier knnen Sie den OpenVPN Server aktivieren, um eine VPN-Verbindung zu diesem Schulrouter Plus von
einem einzelnen PC oder einem anderen Schulrouter Plus aufzubauen.
Weiterhin legen Sie fest, welcher IP-Bereich aus dem Grnen Netz fr die VPN-Clients zur Verfgung
gestellt wird.
Mit dem Button

Speichern

und

Neustart

bernehmen Sie die Einstellungen und starten den OpenVPN

Server. Im Abschnitt Verbindungsstatus und kontrolle werden die momentan aufgebauten


VPN-Verbindungen angezeigt.
Dort ist es mglich VPN-Verbindungen zu trennen (kill) oder die dazugehrigen Benutzer zu verbannen (ban). In beiden Fllen wird die VPN-Verbindung getrennt. Mit ban hat der verbannte Benutzer nicht
mehr die Mglichkeit sich wiederzuverbinden.

102

TIME for kids Schulrouter Plus

8.1.2 Konten

In diesem Abschnitt wird die OpenVPN-Konten fr PSK-Verbindungen verwaltet.


Mit dem Button

Account hinzufgen

erstellen Sie einen neuen OpenVPN-Zugang mit folgenden Einstellungen:

Account Information
Benutzername
Anmeldename des Benutzers
Passwort / Passwort besttigen
Das dazugehrige Passwort (doppelt)
Client Routing
Den gesamten Client Datenverkehr ber den VPN Server leiten. Wenn Sie dies auswhlen, wird smtlicher Datenverkehr des Clients (unabhngig von der Richtung) durch den Schulrouter Plus geleitet.
Ohne diese Funktion wird nur der Verkehr mit dem den internen Zonen des Schulrouter Plus als Ziel
ber den VPN-Tunnel gesendet und bspw. kein Internetverkehr.
Pushe keine Routen zu den Clients
(fortgeschritten) normalerweise wird, wenn sich ein Cleint verbindet, die Route zu den Zonen hinter
dem Schulrouter Plus automatisch am Client eingerichtet. Mchten Sie dies manuell tun, aktivieren Sie diese Funktion.
Netzwerke hinter dem Client
Diese Einstellung wird nur bei der Gw2Gw-Verbindung bentigt (Gateway zu Gateway), wenn Sie diesen
Schulrouter Plus als Client verwenden mchten. Geben Sie in diese Feld die Netzwerke hinter diesem
Schulrouter Plus an, die Sie an die Gegenstelle pushen mchten.
Pushe nur diese Netzwerke
Fgen Sie Ihre eigenen Routen hinzu, die zum Client gepusht werden sollen. Dies berschreibt die
automatisch gepushten Routen.

103

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Individuelle Push Konfiguration


Statische IP Adresse
Normalerweise werden die IP-Adressen dynamisch den VPN-Clients zugewiesen (entsprechend Reiter
Serverkonfiguration). Diese Einstellung knnen Sie hier berschrieben und eine feste IP-Adresse
vergeben.
Diese Nameserver pushen
Pushen Sie einen weiteren internen Nameserver zum VPN-Client.
Domne pushen
Pushen Sie einen Domnennamen zum VPN-Client.
In all diesen Feldern mssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z.B.
192 .168.10.0/24) . Einen ntzlichen Netzwerkrechner dafr bietet heise.de an: http://www.heise.de/
netze/lib/netzwerk-rechner.shtml (L)
Klicken Sie auf

Speichern,

um das Konto anzulegen oder zu speichern.

Sie knnen jederzeit die angelegten Konten de-/aktivieren, bearbeiten oder lschen durch klick auf das
entsprechende Symbol.
Wenn Sie planen zwei oder mehr Netzwerke hinter einem Schulrouter Plus miteinander zu verbinden
(Gw2Gw), ist es zu empfehlen in diesen Netzwerken jeweils unterschiedliche Subnetze zu whlen. Zum
Beispiel hat eine Gegenstelle ein Grnes Netz mit 192.168.1.0/24 und die andere benutzt 192.168.2.0/24.
Nur auf diesem Weg funktionieren die automatisch generierten Routen.

104

TIME for kids Schulrouter Plus

8.1.3 Erweitert

Mit diesem Reiter knnen Sie die erweiterten Einstellungen bearbeiten. Neben anderen Einstellungen
knnen Sie hier auch festlegen, wie die Authentifizierung erfolgen soll (Benutzer/Passwort oder ber
Zertifikat).
Der erste Abschnitt Erweiterte Einstellungen beinhaltet allgemeine Einstellungen fr den
OpenVPN-Server:
Port / Protokoll
Port 1194 und Protokoll UDP sind die Standardeinstellungen. Es ist zu empfehlen diese zu belassen
wie sie sind.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk bekommen,
die mit Ihrem lokalen DHCP-Server in Konflikt geraten.
Datenverkehr zwischen Clients nicht blockieren
Standardmig werden die VPN-Clients voneinander getrennt. Aktivieren Sie diese Option, wenn Sie
Datenverkehr zwischen einzelnen VPN-Clients erlauben wollen.

105

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Im zweiten Abschnitt knnen Sie die globalen Pushoptionen festlegen:


Diese Netzwerke pushen
Wenn aktiviert, werden die festgelegten Routen zu den verbundenen VPN-Clients gepusht.
Diese Nameserver pushen
Wenn aktiviert, werden die festgelegten Nameserver zu den VPN-Clients gepusht.
Domne pushen
Wenn aktiviert, werden die festgelegten Domnennamen zu den VPN-Clients gepusht.
In all diesen Feldern mssen Adressen und Netzwerke in der CIDR-Notation angegeben werden
(z.B. 192 .168.1 0.0/24) . Einen ntzlichen Netzwerkrechner dafr bietet heise.de an:
http://www.heise.de/netze/lib/netzwerk-rechner.shtml
Im dritten Abschnitt bestimmen Sie die Authentifizierungsmethode:
Standardmig nutzt der Schulrouter Plus die Methode PSK (Benutzername/Passwort) zur Authentifizierung. Wenn Sie PSK weiterhin nutzen mchten, mssen Sie in diesem Abschnitt nichts verndern.
Der Link CA Zertifikat herunterladen stellt das CA-Zertifikat fr diesen OpenVPn-Server zur
Verfgung. Dieses Zertifikat bentigen Sie am Client zum Herstellen der VPN-Verbindung. Weiterhin knnen
Sie dieses Zertifikat im PKCS#12-Format mit dem Link Exportiere CA als PKCS#12 Datei herunterladen. Dies knnen Sie in den Fallback-Server importieren.
Letztendlich knnen Sie ein PKCS#12-Zertifikat hochladen, wenn dieser Schulrouter Plus ein Fallback-Server
sein soll.
Wenn Sie dennoch die Methode X.509 Zertifikat (entweder nur mit Zertifikat oder auch zusammen mit
PSK) verwenden mchten, wird die Einrichtung etwas komplizierter. Verwenden Sie dazu die separate
Anleitung zu diesem Thema.
Konfigurationsupload
Mglichkeit zum Importieren einer eigenen OpenVPN-Konfiguration. Die importierte Konfiguration
wird Ihnen anschlieend am Ende der Seite angezeigt. Eine hochgeladene Konfiguration kann jederzeit
deaktiviert werden, wodurch die vorher bestehende Systemkonfiguration verwendet wird. Bei einer
erneuten Aktivierung wird wieder die hochgeladene Konfiguration verwendet. Es ist auch mglich die
hochgeladene Konfiguration zu lschen, wonach ebenfalls die vorher bestehende Konfiguration des
Systems genutzt wird.
Achtung: Solange die hochgeladene Konfiguration aktiv ist, kann man keine nderungen in der
Konfiguration des VPN-Servers vornehmen.

106

TIME for kids Schulrouter Plus

8.2

OpenVPN Client (Gw2Gw)

In diesem Abschnitt knnen Sie die Client-Seite der Gw2Gw-Verbindung (Gateway zu Gateway) zwischen zwei
Schulrouter Plus einrichten.
Klicken Sie auf

Tunnelkonfiguration hinzufgen,

um die Informationen ber den oder die

entsprechenden OpenVPN-Server einzutragen:


Name fr die Verbindung
Nur eine Bezeichnung fr diese Verbindung.
Verbinden mit
Hier wird der externe Hostname eingetragen, ber den der OpenVPN-Server erreichbar ist. Die
Portangabe ist optional und nur ntig falls nicht der Standardport 1194 verwendet wird.
Zertifikat hochladen
Wenn der OpenVPN-Server auf dem Schulrouter Plus der Gegenstelle fr die Authentifizierungsmethode PSK konfiguriert ist, mssen Sie hier dessen Hostzertifikat (CA-Zertifikat) hochladen. Andernfalls, wenn auf Basis von Zertifikaten authentifiziert wird, mssen Sie das PKCS#12-Zertifikat angeben.
PKCS#12 Challange Passwort
Geben Sie das dazu gehrige Passwort an, wenn eins angegeben wurde.
Benutzername / Passwort
Wenn die Gegenstelle fr PSK-Authentifizierung (Benutzername und Passwort) oder Zertifikat + PSK
konfiguriert ist, geben Sie hier die entsprechenden Zugangsdaten ein.

107

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Anmerkung
Tragen Sie hier Ihren Kommentar zu der Verbindung ein.
Klicken Sie auf

Erweiterte Tunnelkonfiguration

um mehr Optionen einzurichten:

Fallback VPN Servers


Legen Sie fr diese Verbindung ein oder mehrere (einer pro Zeile) Fallback-Server im Format
srp.example.com:port fest. Der Port ist optional und standardmig 1194. Wenn die Verbindung zum
oben angegebenen Server fehlschlgt, wird der hier angegebene Fallbackserver verwendet.
Verbindungstyp
gerouted (Der Schulrouter Plus-Client agiert als Gateway fr das remote LAN) oder gebridget
(Als wre der Schulrouter Plus-Client Bestandteil des remote LAN). Standard ist geroutet.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie diese Option, wenn Sie DHCP-Antworten aus dem verbundenen Netzwerk bekommen,
die mit Ihrem lokalen DHCP-Server in Konflikt geraten.
NAT
Whlen Sie dies aus, wenn Anfragen von Clients hinter dem Schulrouter Plus-Client versteckt werden
sollen und nur die IP des Schulrouter Plus die Gegenstelle erreicht.
Protokoll
UDP (Standard) oder TCP, entsprechend der Einstellung der Gegenstelle.
HTTP Proxy
Wenn Ihr Schulrouter Plus das Internet nur ber einen externen HTTP-Proxy erreicht, knnen Sie hier
die Zugangsdaten des vorgelagerten Proxies eingeben.
Klicken Sie auf

Speichern

um das Konto anzulegen oder zu speichern. Sie knnen jederzeit die angelegten

Tunnel de-/aktivieren, Bearbeiten oder Lschen durch klick auf das entsprechende Symbol.

108

TIME for kids Schulrouter Plus

8.3 IPSec

Globale Einstellungen
Geben Sie die VPN-Server-Details ein, entweder den vollen Domainnamen oder die ffentliche
IP-Adresse von der ROT-Schnittstelle. Wenn Sie einen dynamischen DNS-Service benutzen, sollten Sie hier
den dynamischen DNS-Namen benutzen.
VPNs und dynamisches DNS
Falls Ihr Provider Ihre IP-Adresse gendert haben sollte (z.B. nach der Zwangstrennung), mssen sie
sich darber bewusst sein, dass Sie die Netz-zu-Netz VPNs mglicherweise an beiden
Enden des Tunnels neu starten mssen. Roadwarriors mssen in diesem Falle ebenfalls deren
Verbindungen neu herstellen.
Aktivieren Sie VPN auf dem Schulrouter Plus, indem Sie das Feld lokaler VPN Hostname/IP ausfllen, das Kstchen Aktivieren anhaken und dann auf den

Speichern-

Button drcken. Um ein VPN

mit einem internen Netz auer Grn herstellen zu knnen, mssen Sie das entsprechende Kstchen
VPN auf BLAU/ORANGE aktivieren.
Verbindungsstatus und kontrolle
Um eine VPN-Verbindung zu erzeugen, benutzen Sie den Button

Hinzufgen.

Daraufhin erscheint die

Seite fr den VPN Verbindungstyp.

109

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Zertifizierungsstellen
Erzeugen der Zertifikate fr den Schulrouter Plus
Um eine Schulrouter Plus Zertifikats-Authority oder CA zu erstellen, geben Sie einen Namen fr Ihre Organisation o.. in das entsprechende Textfeld ein. Der gewhlte Name sollte sich vom Hostnamen des Schulrouter Plus unterscheiden, um Missverstndnisse zu vermeiden. Zum Beispiel srpa fr Benutzer und srp fr
den Hostnamen.
Dann klicken Sie auf den Button

Erzeuge Root/Host Zerti-fikate.

Die Seite zur Erstellung von Root/Host

Zertifikaten erscheint. Fllen Sie das Formular aus und beide, ein X.509 Root und Host Zertifikat, werden
erzeugt.
Name der Organisation
Geben Sir hier den Namen der Organisation ein, den Sie im Zertifikat benutzen wollen. Wenn Ihr VPN
zum Beispiel einige Schulen in einem Schulbezirk zusammenschliet, knnten Sie beispielsweise
Schulbezirk Ost als Namen verwenden.
Hostname des Schulrouter Plus
Dies sollte der voll qualifizierte Domainname des Schulrouter Plus sein. Wenn Sie einen dynamischen
DNS nutzen, nehmen Sie diesen.
Ihre E-Mail Adresse
Geben Sie hier Ihre E-Mail-Adresse an, damit man mit Ihnen in Kontakt treten kann. Die nchsten drei
Angaben (Abteilung, Stadt und Staat/Bundesland) sind optional und knnen weggelassen werden.
Ihre Abteilung
Dies ist der Abteilungs- oder Unterabteilungsname. Um das Schulbeispiel weiterzufhren, knnten dies
die Offenburger Grund- und Hauptschulen sein.
Stadt
Die Stadt oder Postanschrift Ihrer Maschine.
Staat oder Bundesland
Der Staat bzw. das Bundesland der Postanschrift.
Land
Dieses Pull-Down-Men beinhaltet jeden bekannten ISO-Lndernamen. Benutzen Sie dieses zur Auswahl des Landes, das zum Zertifikat passt.
Subjekt Alternativer Name
Diese optionale Einstellung ermglicht es Ihnen, weitere Identifikationsmerkmale unterzubringen.
Nach dem vollstndigen Ausfllen des Formulars klicken Sie auf den Button Erzeuge Root/Host Zertifikate, um die Zertifikate zu erzeugen.

110

TIME for kids Schulrouter Plus

Verbindungstyp
Whlen Sie entweder Host-zu-Netz fr mobile Anwender, die Zugriff zum grnen Netzwerk
bentigen, oder Netz-zu-Netz, um Benutzern eines anderen Netzwerks Zugang zu Ihrem Grnen Netzwerk zu erlauben. Whlen Sie den Verbindungstyp, den Sie erstellen mchten und klicken Sie auf den
Button Hinzufgen.
Die nchste Seite die erscheint, beinhaltet zwei Bereiche. Der Verbindungs-Bereich kann je nach dem
hinzuzufgenden Verbindungstyp variieren. Der Authentifizierungs-Bereich bleibt gleich.

PC-zu-Netz Verbindung
Name
Whlen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen), um diese Verbindung zu
identifizieren.
Schnittstelle
Whlen Sie die Netzwerk-Schnittstelle, mit der sich der Roadwarrior verbinden soll. Die Auswahl einer
internen Schnittstelle erlaubt es dem Roadwarrior, sich ber ein lokales Netzsegment mit dem Grnen
Netzwerk zu verbinden.
Lokales Subnetz
Lokales Subnetz entspricht dem Grnen Netzwerk. Falls gewnscht, kann ein Subnetz des Grnen
Netzwerks definiert werden, um den Zugang zum Grnen Netz fr Roadwarrior einzuschrnken.
Anmerkung
Hier knnen Sie eine optionale Bemerkung eingeben, welche im VPN-Verbindungsfenster des Schulrouter Plus fr diese Verbindung erscheint.
Aktivieren
Klicken Sie das Kontrollkstchen an, wenn Sie diese Verbindung aktivieren wollen.
Erweiterte Einstellungen bearbeiten
Klicken Sie das Kontrollkstchen Erweiterte Einstellungen bearbeiten, wenn fertig an,
wenn Sie die Standardeinstellungen des Schulrouter Plus fr IPSec verndern wollen.
Netz-zu-Netz Verbindung
Name
Whlen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen) um diese Verbindung zu
identifizieren.

111

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Schulrouter Plus Seite


Whlen Sie eine Seite fr den Schulrouter Plus, Rechts oder Links, die in den IPSec Konfigurationsdateien verwendet wird, um die Seite der Verbindung dieses Schulrouter Plus auf dieser Maschine zu
identifizieren (siehe Hinweis).
Lokales Subnetz
Lokales Subnetz entspricht dem Grnen Netzwerk. Falls gewnscht, kann ein Subnetz des Grnen
Netzwerks definiert werden, um den Zugang zum Grnen Netz fr Roadwarrior einzuschrnken.
Gegenstelle/IP
Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. Sie knnen auch
den kompletten qualifizierten Domnennamen des entfernten Servers angeben. Wenn der entfernte
Server einen dynamischen DNS-Dienst benutzt, knnte es sein, dass Sie das VPN neu starten mssen,
falls sich die IP-Adresse ndert.
Subnetz der Gegenseite
Geben Sie die Netzwerk-Adresse und Subnetz-Maske des entfernten Netzwerks im selben Format wie
das lokale Subnetz-Feld an. Dieses Netzwerk muss sich vom lokalen Subnetz unterscheiden, weil IPSec
Routing-Tabellen-Eintrge erstellt, um IP-Pakete zum richtigen entfernten Netzwerk zu schicken.
Anmerkung
Hier knnen Sie optional eine Bemerkung eingeben, welche im VPN-Verbindungsfenster des Schulrouter Plus fr diese Verbindung erscheint.
Aktivieren
Klicken Sie das

Kontrollkstchen

an, wenn Sie diese Verbindung aktivieren wollen.

Erweiterte Einstellungen bearbeiten


Klicken Sie das Kontrollkstchen

Erweiterte Einstellungen bearbeiten,

wenn fertig an, wenn Sie die Stan-

dardeinstellungen des Schulrouter Plus fr IPSec verndern wollen.


Hinweise zur IPSec Terminologie IPSec benutzt die Begriffe Rechts und Links fr die

beiden Seiten einer Verbindung bzw. eines Tunnels. Diese Begriffe haben keine wirkliche

Bedeutung. Es ist am besten, wenn man sich das Ganze als Seite A und Seite B einer

IPSec orientiert sich anhand von Netzwerkadressen und Routen. Wenn es einmal

festgestellt hat, welche Netzwerkverbindung (Rechts oder Links) zu benutzen ist, um auf

die andere Seite der Verbindung zu gelangen, folgen alle anderen Rechts/Links

Parameter automatisch. Viele benutzen Links fr die lokale Seite einer Verbindung und

Rechts fr die entfernte Seite. Dies ist nicht notwendig.

112

TIME for kids Schulrouter Plus

Hauptmen Protokolle

9.1 Zusammenfassung

104

9.2 System

105

9.3 Dienst

106

9.4 Firewall

107

9.5 Proxy

107

9.5.1 http

107

9.5.2 SMTP

108

9.5.3 SIP

109

9.6 Einstellungen

113

10

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Hauptmen Protokolle

9.1 Zusammenfassung

Auf dieser Seite sehen Sie eine Zusammenfassung der Protokolle. Folgende Bedienungselemente
sind verfgbar:
Monat/Tag
Hier knnen Sie das Datum der Anzeige auswhlen.
<< / >>
Durch die Nutzung der Pfeile knnen Sie einen Tag vor und zurck springen.
Aktualisieren
Durch den Klick hierauf wird die Anzeige aktualisiert, z.B. beim ndern des Anzeigedatums.
Export
Hiermit knnen Sie die Anzeige in eine Textdatei exportieren.
Entsprechend dem Detaillierungsgrad unter Einstellungen knnen hier mehr oder weniger Informationen
angezeigt werden.

114

TIME for kids Schulrouter Plus

9.2 System

Auf dieser Seite knnen Sie Sich verschiedene System-Protokolle ausgeben lassen. Sie knnen nach
Eintrgen suchen, indem Sie folgende Bedienungselemente verwenden:
Abschnitt
Hier whlen Sie das Protokoll aus, das Sie einsehen mchten.
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Gehe zum Datum
Whlen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Whlen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit knnen Sie die Anzeige in eine Textdatei exportieren.

Sie knnen ltere und neuere Eintrge mit den Buttons

115

lter

und

Neuer

aufrufen.

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

9.3 Dienst

In den Dienst-Protokollen knnen Sie die Protokolle der Dienste Einbruchsdetektierung, OpenVPN und
Antivirus in deren Abschnitte ansehen.
Sie knnen nach Eintrgen suchen indem Sie folgende Bedienungselemente verwenden:
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Gehe zum Datum
Whlen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Whlen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit knnen Sie die Anzeige in eine Textdatei exportieren.
Sie knnen ltere und neuere Eintrge mit den Buttons

lter

und

Neuer

aufrufen.

116

TIME for kids Schulrouter Plus

9.4 Firewall

Das Firewall-Protokoll zeigt Ihnen je nach Firewall-Log-Einstellung alle Pakete oder nur die blockierten
Pakete, die die Firewall passiert haben. Die Bedienung entspricht der der Dienst-Protokolle.

117

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

9.5 Proxy
9.5.1 http

Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Quell IP-Adresse
Anzeige auf bestimmte Quell-IP beschrnken.
Ignorieren-Filter
Zeilen, die dies beinhalten, werden nicht angezeigt. Die Standardeinstellung beinhaltet Bilder, Stylesheets und Javascript.
Ignorieren-Filter ein
Aktivieren Sie diese Einstellung, um den ignorieren-Filter zu nutzen.
Gehe zum Datum
Whlen Sie das Datum des gesuchten Eintrags aus.
Gehe zur Seite
Whlen Sie direkt die Seite aus, zu der Sie navigieren wollen.
Voreinstellung wiederherstellen
Dies stellt die Filter wieder her.

118

TIME for kids Schulrouter Plus

Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit knnen Sie die Anzeige in eine Textdatei exportieren.
Sie knnen ltere und neuere Eintrge mit den Buttons

lter

und

Neuer

aufrufen.

9.5.2 SMTP

Die Bedienung des SMTP-Protokolls entspricht die der Dienst-Protokolle.

9.5.3 SIP
Die Bedienung des SIP-Protokolls entspricht die der Dienst-Protokolle.

119

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

9.6 Einstellungen

Auf dieser Seite knnen Sie die globalen Einstellungen der Protokoll-Ansicht setzen. Folgende
Optionen knnen gesetzt werden:
Anzahl der anzuzeigenden Zeilen
Wie viele Zeilen sollen pro Seite angezeigt werden?
In umgekehrter chronologischer Reihenfolge sortieren
Hiermit werden die neuesten Eintrge an oberster Stelle angezeigt.
Zusammenfassungen aufheben fr __ Tage
Wie lange sollen die Protokolle gespeichert werden?
Detaillierungsgrad
Wie viele Details sollen in der Zusammenfassung ausgegeben werden?
Aktiviert (Remote logging)
Aktivieren Sie Remote logging, um die Protkolle zu einem anderen Syslog-Server zu senden.

120

TIME for kids Schulrouter Plus

Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die aktuellsten IETF Syslog Protocol Standards untersttzen.
Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die aktuellsten IETF Syslog Protocol Standards untersttzen.
Pakete mit verdchtigen TCP Flags protokollieren
Wenn aktiviert, werden im Firewall-Protokoll ungewhnliche TCP Flags protokolliert.
Neue Verbindungen ohne SYN Flag protokollieren
Wenn aktiviert, werden im Firewall-Protokoll neue TCP-Verbindungen ohne SYN Flag protokolliert.
Alle akzeptierten ausgehenden Verbindungen protokollieren
Wenn Sie auch alle Anfragen protokollieren wollen, die von der Firewall zugelassen wurden, aktivieren
Sie diese Option.
Abgewiesene Pakete protokollieren
Wenn Sie die Anfragen protokollieren wollen, die von der Firewall abgelehnt wurden, aktivieren Sie
diese Option.

121

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

haftungsausschluss und GNU

1. Inhalt des Handbuchs 123


2.

Verweise und Links 123

3.

Urheber- und Kennzeichenrecht 123

4.

Rechtswirksamkeit dieses Haftungsausschlusses 123

GNU Free Documentation License

Impressum

124
130

122

TIME for kids Schulrouter Plus

Haftungsausschluss
1. Inhalt des Handbuchs
Der Verfasser bernimmt keinerlei Gewhr fr die Aktualitt, Korrektheit, Vollstndigkeit oder Qualitt der
bereitgestellten Informationen. Haftungsansprche gegen den Verfasser, welche sich auf Schden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen
bzw. durch die Nutzung fehlerhafter und unvollstndiger Informationen verursacht wurden, sind grundstzlich ausgeschlossen, sofern seitens des Verfassers kein nachweislich vorstzliches oder grob fahrlssiges
Verschulden vorliegt. Der Verfasser behlt es sich ausdrcklich vor, Teile der Seiten oder das gesamte Werk
ohne gesonderte Ankndigung zu verndern, zu ergnzen oder die Verffentlichung zeitweise oder endgltig einzustellen.
2. Verweise und Links
Bei direkten oder indirekten Verweisen auf fremde Internetseiten (Links), die auerhalb des Verantwortungsbereiches des Verfassers liegen, wrde eine Haftungsverpflichtung ausschlielich in dem Fall in Kraft
treten, in dem der Verfasser von den Inhalten Kenntnis hat und es ihm technisch mglich und zumutbar
wre, die Nutzung im Falle rechtswidriger Inhalte zu verhindern.
Der Verfasser erklrt hiermit ausdrcklich, dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf
den zu verlinkenden Seiten erkennbar waren. Auf die aktuelle und zuknftige Gestaltung, die Inhalte oder
die Urheberschaft der gelinkten/verknpften Seiten hat der Verfasser keinerlei Einfluss. Deshalb distanziert
er sich hiermit ausdrcklich von allen Inhalten aller gelinkten/ verknpften Seiten, die nach der Linksetzung
verndert wurden.
Fr illegale, fehlerhafte oder unvollstndige Inhalte und insbesondere fr Schden, die aus der Nutzung
oder Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite,
auf welche verwiesen wurde, nicht derjenige, der ber Links auf die jeweilige Verffentlichung lediglich
verweist.
3. Urheber- und Kennzeichenrecht
Alle innerhalb des Dokumentes genannten und ggf. durch Dritte geschtzten Marken- und Warenzeichen
unterliegen uneingeschrnkt den Bestimmungen des jeweils gltigen Kennzeichenrechts und den Besitzrechten der jeweiligen eingetragenen Eigentmer. Allein aufgrund der bloen Nennung ist nicht der Schluss
zu ziehen, dass Markenzeichen nicht durch Rechte Dritter geschtzt sind!
Alle anderen Handels- und Produktnamen sind Gebrauchsnamen, Handelsnamen, Warenbezeichnungen der
entsprechenden Firmen. Das Copyright fr verffentlichte, vom Verfasser selbst erstellte Objekte bleibt
allein beim Verfasser der Seiten.
Eine Vervielfltigung oder Verwendung solcher Grafiken und Texte in anderen elektronischen oder gedruckten Publikationen ist ohne ausdrckliche Zustimmung des Verfassers nicht gestattet.
4. Rechtswirksamkeit dieses Haftungsausschlusses
Sofern Teile oder einzelne Formulierungen dieses Dokumentes der geltenden Rechtslage nicht, nicht mehr
oder nicht vollstndig entsprechen sollten, bleiben die brigen Teile des Dokumentes in ihrem Inhalt und
ihrer Gltigkeit davon unberhrt. Gerichtsstand ist Berlin.

123

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

GNU Free Documentation License


Version 1.2, November 2002
Copyright (C) 2000,2001,2002 Free Software Foundation, Inc.
51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document free
in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or
without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the
author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others.
This License is a kind of copyleft, which means that derivative works of the document must themselves be
free in the same sense. It complements the GNU General Public License, which is a copyleft license designed
for free software.
We have designed this License in order to use it for manuals for free software, because free software needs
free documentation: a free program should come with manuals providing the same freedoms that the
software does. But this License is not limited to software manuals; it can be used for any textual work,
regardless of subject matter or whether it is published as a printed book. We recommend this License
principally for works whose purpose is instruction or reference.
1. APPLICABILITY AND DEFINITIONS
This License applies to any manual or other work, in any medium, that contains a notice placed by the
copyright holder saying it can be distributed under the terms of this License. Such a notice grants a worldwide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The
Document, below, refers to any such manual or work. Any member of the public is a licensee, and is
addressed as you. You accept the license if you copy, modify or distribute the work in a way requiring
permission under copyright law.
A Modified Version of the Document means any work containing the Document or a portion of it, either
copied verbatim, or with modifications and/or translated into another language.
A Secondary Section is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Documents overall subject
(or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the
Document is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.)
The relationship could be a matter of historical connection with the subject or with related matters, or of
legal, commercial, philosophical, ethical or political position regarding them.
The Invariant Sections are certain Secondary Sections whose titles are designated, as being those of
Invariant Sections, in the notice that says that the Document is released under this License. If a section does

124

TIME for kids Schulrouter Plus

not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document
may contain zero Invariant Sections. If the Document does not identify any Invariant Sections then there
are none.
The Cover Texts are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover
Texts, in the notice that says that the Document is released under this License. A Front-Cover Text may be at
most 5 words, and a Back-Cover Text may be at most 25 words.
A Transparent copy of the Document means a machine-readable copy, represented in a format whose
specification is available to the general public, that is suitable for revising the document straightforwardly
with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some
widely available drawing editor, and that is suitable for input to text formatters or for automatic translation
to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file
format whose markup, or absence of markup, has been arranged to thwart or discourage subsequent
modification by readers is not Transparent. An image format is not Transparent if used for any substantial
amount of text. A copy that is not Transparent is called Opaque.
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input
format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple
HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include
PNG, XCF and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available,
and the machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.
The Title Page means, for a printed book, the title page itself, plus such following pages as are needed to
hold, legibly, the material this License requires to appear in the title page. For works in formats which do not
have any title page as such, Title Page means the text near the most prominent appearance of the works
title, preceding the beginning of the body of the text.
A section Entitled XYZ means a named subunit of the Document whose title either is precisely XYZ or
contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a
specific section name mentioned below, such as Acknowledgements, Dedications, Endorsements, or
History.) To Preserve the Title of such a section when you modify the Document means that it remains a
section Entitled XYZ according to this definition.
The Document may include Warranty Disclaimers next to the notice which states that this License applies to
the Document. These Warranty Disclaimers are considered to be included by reference in this License, but
only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is
void and has no effect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License.

125

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

You may not use technical measures to obstruct or control the reading or further copying of the copies you
make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large
enough number of copies you must also follow the conditions in section 3. You may also lend copies, under
the same conditions stated above, and you may publicly display copies.
3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the Document,
numbering more than 100, and the Documents license notice requires Cover Texts, you must enclose the
copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover,
and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the
publisher of these copies. The front cover must present the full title with all words of the title equally
prominent and visible. You may add other material on the covers in addition. Copying with changes limited
to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated
as verbatim copying in other respects.
If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as
many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either
include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque
copy a computer-network location from which the general network-using public has access to download
using public-standard network protocols a complete Transparent copy of the Document, free of added
material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution
of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated
location until at least one year after the last time you distribute an Opaque copy (directly or through your
agents or retailers) of that edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing
any large number of copies, to give them a chance to provide you with an updated version of the
Document.
4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3
above, provided that you release the Modified Version under precisely this License, with the Modified
Version filling the role of the Document, thus licensing distribution and modification of the Modified Version
to whoever possesses a copy of it. In addition, you must do these things in the Modified Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those
of previous versions (which should, if there were any, be listed in the History section of the Document). You
may use the same title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the
modifications in the Modified Version, together with at least five of the principal authors of the Document
(all of its principal authors, if it has fewer than five), unless they release you from this requirement.
C. State on the Title page the name of the publisher of the Modified Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the
Modified Version under the terms of this License, in the form shown in the Addendum below.

126

TIME for kids Schulrouter Plus

G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the
Documents license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled History, Preserve its Title, and add to it an item stating at least the title,
year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section
Entitled History in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous
sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of
the Document, and likewise the network locations given in the Document for previous versions it was based
on. These may be placed in the History section. You may omit a network location for a work that was
published at least four years before the Document itself, or if the original publisher of the version it refers
to gives permission.
K. For any section Entitled Acknowledgements or Dedications, Preserve the Title of the section, and
preserve in the section all the substance and tone of each of the contributor acknowledgements and/or
dedications given therein.
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section
numbers or the equivalent are not considered part of the section titles.
M. Delete any section Entitled Endorsements. Such a section may not be included in the Modified
Version.
N. Do not retitle any existing section to be Entitled Endorsements or to conflict in title with any
Invariant Section.
O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections
and contain no material copied from the Document, you may at your option designate some or all of these
sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Versions
license notice. These titles must be distinct from any other section titles.
You may add a section Entitled Endorsements, provided it contains nothing but endorsements of your
Modified Version by various parties--for example, statements of peer review or that the text has been
approved by an organization as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a
Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of FrontCover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity.
If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace
the old one, on explicit permission from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names
for publicity for or to assert or imply endorsement of any Modified Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms defined
in section 4 above for modified versions, provided that you include in the combination all of the Invariant
Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty Disclaimers.

127

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

The combined work need only contain one copy of this License, and multiple identical Invariant Sections
may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different
contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of
the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections Entitled History in the various original documents,
forming one section Entitled History; likewise combine any sections Entitled Acknowledgements, and
any sections Entitled Dedications. You must delete all sections Entitled Endorsements.
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License,
and replace the individual copies of this License in the various documents with a single copy that is included
in the collection, provided that you follow the rules of this License for verbatim copying of each of the
documents in all other respects.
You may extract a single document from such a collection, and distribute it individually under this License,
provided you insert a copy of this License into the extracted document, and follow this License in all other
respects regarding verbatim copying of that document.
7. AGGREGATION WITH INDEPENDENT WORKS
A compilation of the Document or its derivatives with other separate and independent documents or works,
in or on a volume of a storage or distribution medium, is called an aggregate if the copyright resulting
from the compilation is not used to limit the legal rights of the compilations users beyond what the individual works permit. When the Document is included in an aggregate, this License does not apply to the other
works in the aggregate which are not themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Documents Cover Texts may be placed on covers that
bracket the Document within the aggregate, or the electronic equivalent of covers if the Document is in
electronic form. Otherwise they must appear on printed covers that bracket the whole aggregate.
8. TRANSLATION
Translation is considered a kind of modification, so you may distribute translations of the Document under
the terms of section 4. Replacing Invariant Sections with translations requires special permission from their
copyright holders, but you may include translations of some or all Invariant Sections in addition to the
original versions of these Invariant Sections. You may include a translation of this License, and all the
license notices in the Document, and any Warranty Disclaimers, provided that you also include the original
English version of this License and the original versions of those notices and disclaimers. In case of a
disagreement between the translation and the original version of this License or a notice or disclaimer, the
original version will prevail.
If a section in the Document is Entitled Acknowledgements, Dedications, or History, the requirement
(section 4) to Preserve its Title (section 1) will typically require changing the actual title.
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under
this License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will

128

TIME for kids Schulrouter Plus

automatically terminate your rights under this License. However, parties who have received copies, or rights,
from you under this License will not have their licenses terminated so long as such parties remain in full
compliance.
10. FUTURE REVISIONS OF THIS LICENSE
The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License
from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail
to address new problems or concerns. See http://www.gnu.org/copyleft/.
Each version of the License is given a distinguishing version number. If the Document specifies that a
particular numbered version of this License or any later version applies to it, you have the option of
following the terms and conditions either of that specified version or of any later version that has been
published (not as a draft) by the Free Software Foundation. If the Document does not specify a version
number of this License, you may choose any version ever published (not as a draft) by the Free Software
Foundation.

129

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

Impressum
TIME for kids Informationstechnologien GmbH
Gubener Strae 47
10243 Berlin
+49 (0)30 293 698 90
+49 (0)30 293 698 919
kontakt@time-for-kids.de
www.time-for-kids.de
Vertretungsberechtigte Personen:
Marian Schroeder (Geschftsfhrer)
Jan Arne Schmock (Geschftsfhrer)
Verantwortlicher im Sinne von 10 Abs. 3
des Mediendienste - Staatsvertrages:
Marian Schroeder (Geschftsfhrer)
Jan Arne Schmock (Geschftsfhrer)
Registergericht:
Berlin-Charlottenburg
Registernummer:
HRB 82365
Umsatzsteuer-ID gem 27 a Umsatzsteuergesetz:
37/191/20440

130

TIME for kids Schulrouter Plus

131

einfach sicher pdagogisch

TIME for kids Schulrouter Plus

132