Handbuch
Version: 1.0.1
Stand: November 2009
Die in dieser Dokumentation enthaltenen Angaben und Daten können ohne vorherige Ankündigung
geändert werden. Die in den Beispielen verwendeten Namen und Daten sind frei erfunden.
TIME for kids Schulrouter Plus und TIME for kids Schulfilter Plus sind Markenzeichen der
TIME for kids Informationstechnologien GmbH.
Teile des TIME for kids Schulrouter Plus werden unter den Vertragsbedingungen der GNU General
Public License (http://www.gnu.org/licenses/gpl.html) distributiert.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU
Free Documentation License, Version 1.2 or any later version published by the Free Software Founda-
tion; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.
A copy of the license is included in the section entitled >GNU Free Documentation License<.
www.time-for-kids.de
T I M E for kids Handbuch Schulrouter Plus
Inhaltsverzeichnis
1 Einleitung 7
1.1 Das Schulrouter Plus Konzept 7
1.2 Das Handbuch 7
1.3 Effektive Nutzung des Handbuches 8
1.3.1 Szenario 1 – Vorkonfigurierter Schulrouter Plus 8
2 Hauptmenü System 17
2.1 Startseite 17
2.2 Updates 19
2.3 Passwörter 20
2.4 Fernwartung / Support 21
2.5 Benutzeroberfläche 22
2.6 Datensicherung 23
2.7 Herunterfahren 25
3 Hauptmenü Status 26
3.1 System-Status 26
3.2 Netzwerkstatus 27
3.3 Systemdiagramm 28
T I M E for kids Handbuch Schulrouter Plus
3.4 Netzwerkdiagramme 29
3.5 Proxydiagramme 30
3.6 Verbindungen 31
3.7 OpenVPN Verbindungen 31
3.8 SMTP Mailstatistik 31
3.9 Email-Warteschlange 31
4 Hauptmenü Netzwerk 32
4.1 Netzwerkkonfiguration 32
4.2 Host bearbeiten 37
4.3 Routing 38
4.4 Internet/WAN 39
5 Hauptmenü Dienste 40
5.1 DHCP Server 40
5.2 Dynamischer DNS 45
5.3 Antivirus 47
5.4 Zeitserver 49
5.5 Trafficshaping 50
5.6 Spam Training 52
5.7 Einbruchdetektierung 54
5.8 Datenverkehrsüberwachung 55
6 Hauptmenü Firewall 56
6.1 Portweiterleitung / NAT 56
6.1.1 Portweiterleitung 56
6.1.2 SourceNAT 58
6.2 Ausgehender Datenverkehr 60
6.3 Interner Datenverkehr 63
6.4 Systemzugriffe 64
7 Hauptmenü Proxy 66
7.1 HTTP 66
7.1.1 Konfiguration 66
7.1.1.1 Erlaubte Ports und SSl Ports 68
7.1.1.2 Log-Einstellungen 68
7.1.1.3 Erlaubte Subnetze pro Zone 69
7.1.1.4 Interner Datenverkehr 69
T I M E for kids Handbuch Schulrouter Plus
7.1.5 Gruppenregeln 81
7.2 POP3 82
7.3 FTP 84
7.4 SMTP 85
7.4.1 Hauptseite 85
7.4.2 Antivirus 87
7.4.3 Spam 88
7.4.4 Dateierweiterungen 90
7.4.5 Blacklist-Whitelist 91
7.4.6 Domains 93
7.4.7 Mailrouting 94
7.4.8 Erweitert 95
7.5 DNS 98
1 Einleitung
1.1 Das Schulrouter Plus Konzept
Der Schulrouter Plus mit integriertem Schulfilter Plus und Antivirus Plus ist die Basis für alle Schul-
netzwerke. Er ist sowohl für kleine, mittlere und große Schulen mit ihren unterschiedlichen Anforder-
ungen geeignet. Die Schulrouter Plus Serie bietet hierfür mit den Modellen Mini, Classic und BIG eine
skalierbare Hardwarebasis. Die Software-Basis und die Bedieneroberflächen sind bei allen Schulrouter
Plus Modellen gleich. Die Konfiguration des Schulrouter Plus erfolgt über das so genannte Cockpit,
eine webbasierte Bedieneroberfläche. Diese bietet hauptsächlich Rechte und Funktionen für den
Administrator.
Der Schulrouter Plus beinhaltet zahlreiche Netzwerkfunktionen und –dienste. Bitte prüfen Sie vor der
Einrichtung, ob diese Dienste in Ihrem Netzwerk bereits auf anderen Servern vorhanden sind und
ggf. durch den Schulrouter Plus ersetzt werden können. Dies kann zu einer Optimierung und einer
Kostenreduktion in der Schule führen.
Im Schulrouter Plus sind der Schulfilter Plus und der Antivirus Plus integriert und können sofort verwendet
werden. Für Hilfe bei der Bedienung dieser Produkte lesen Sie bitte die entsprechenden Handbücher oder
wenden sie sich an das TIME for kids Service-Center für Schulen.
Die TIME for kids Produkte Schulrouter Plus, Schulfilter Plus und Antivirus Plus passen sich hervorra-
gend in jedes Betriebs- und Servicekonzept ein. Der Administrator der Schule kann ganz oder teilweise
Aufgaben auf andere Service Partner delegieren.
Das webbasierte TIME for kids Service-Center bietet Servicepartnern wie Schulträgern, Medienzentren,
Kommunalen-Rechenzentren und IT-Dienstleistern vor Ort für die Betreuung einerVielzahl von Schulen mit
dem Schulrouter Plus eine Managementoberfläche für das Monitoring und die Fernwartung. Alle Akteure
können entsprechend ihrem Service-Level-Auftrag Rechte erhalten.
Sprechen Sie mit TIME for kids über die Optimierung Ihres Betriebs- und Servicekonzeptes.
1.2 Das Handbuch
Das vorliegende Handbuch soll Ihnen helfen die Funktionen des Schulrouter Plus für Ihre Bedürfnisse zu
konfigurieren. Folgende Darstellungskonventionen wurden vorgenommen, um Ihnen dies zu erleich-
tern. Wenn Sie einmal nicht weiter wissen, können Sie gern unser Service-Center für Schulen kontak-
tieren. http://support.time-for-kids.de
Textmarkierungen: Symbole:
Verweis auf externe Quelle
>Verweis auf anderen Bereich im Handbuch< i Wichtige Information
Befehlseingabe
Webseite / Link
AUFFORDERUNG ZUM TASTENDRUCK
ê
! Warnhinweis
7
Konfiguration Schulrouter Plus
TIME for kids stellt für Sie einen besonderen Service bereit. Ihr Schulrouter Plus kann für Ihre Netz-
werksituation vorkonfiguriert werden. Der besondere Vorteil besteht darin, dass Sie den Schulrouter
Plus nach der Lieferung nur noch mit dem Strom- und Schulnetz sowie dem DSL-Modem verbinden
müssen um eine Arbeitsfähigkeit herzustellen.
In diesem Handbuch sind nach einer Vorkonfiguration für Sie nur noch die kurzen Kapitel 1.4, 1.5 und
1.6 relevant (Umfang: ca. 4 Seiten). Das Lesen der restlichen Kapitel des Handbuches ist für Sie nur
notwendig, wenn Sie weitere tiefergehende Einstellungen vornehmen möchten.
Um einen Vorkonfigurierten Schulrouter Plus zu erhalten gehen Sie wie folgt vor:
Sollten Sie den Vorkonfigurationsservice von TIME for kids nicht in Anspruch nehmen wollen sind
für die Grundkonfiguration des Schulrouter Plus in diesem Handbuch die Kapitel 1,4, und 7.1 relevant
(Umfang ca. 31 Seiten).
Um den Schulrouter Plus zu erhalten und zu konfigurieren gehen sie wie folgt vor:
8
Konfiguration Schulrouter Plus
Der Schulrouter Plus verfügt über zahlreiche Zusatzeinstellungen für die einfache und sichere
Nut-zung des Internets in Ihrer Schule.
Sollten Sie den Wunsch haben im Schulrouter Plus weitergehende Einstellungen vorzunehmen
empfehlen wir das Studium der Kapitel 2-9 in diesem Handbuch (Umfang ca. 100 Seiten). Gern können
Sie auch die Hilfe unseres Service-Center für Schulen in Anspruch nehmen.
9
Konfiguration Schulrouter Plus
1.4 Orientierungshilfe
1.4.1 Was macht ein Router?
Ein Router ist ein Gerät, das mehrere Netzwerke koppelt. Das bedeutet, bei ihm eintreffende Netzwerk-
Pakete eines Protokolls werden analysiert und zum vorgesehenen Zielnetz weitergeleitet (geroutet),
also bspw. von einem internen Schulnetz ins Internet. Der TIME for kids Schulrouter Plus übernimmt
zusätzlich zu dieser Funktion zahlreiche weitere Netzwerkdienste, siehe Punkt 1.5.3.
Das DSL-Modem, im Fachjargon „NTBBA“ ist ein Modem zur Übertragung von Daten über eine
DSL-Leitung. Das DSL-Modem bildet den Netzabschluss für die DSL-Leitung. DSL-Modems können
direkt an einen PC (z.B. per USB), oder an ein Netzwerk (mit einem Router) angeschlossen werden.
Heutzutage werden auch oft Router mit integriertem DSL-Modem und WLAN (Funknetzwerk) verkauft.
Im Nachfolgenden einige optische Beispiele.
DSL-Modem
Router
10
Konfiguration Schulrouter Plus
Zur Installation eines Schulrouter Plus benötigen Sie entweder einen vorkonfigurierten Schulrouter
Plus oder folgende Daten und Kenntnisse Ihres Netzwerks:
Internet-Zugangsdaten
Wie sind die Client-PCs konfiguriert? Ist eventuell schon ein Proxy eingestellt?
1.5.2
Grundszenario
Der ideale Standort für den Schulrouter Plus ist direkt an Ihrem DSL-Modem, er übernimmt dann auch
die Einwahl. Haben Sie bereits einen Router in Betrieb, können Sie den Schulrouter Plus auch an Ihren
Router anschließen und die Einwahl Ihrem Router überlassen. In den meisten Fällen kann auf den
vorhandenen Router verzichtet werden.
Der Schulrouter Plus unterstützt eine Unterteilung in bis zu vier physikalisch getrennte Netzwerke:
Über die rote Schnittstelle wird nach außen der Gefahrenbereich, also das Internet, eingebun
den. Wenn Sie mehrere Internetzugänge im Schulrouter Plus zusammenführen wollen, muss
eine freie Schnittstelle entsprechend um konfiguriert werden. Lesen Sie hierzu bitte das
Kapitel 4.4
Das grüne Netz repräsentiert Ihr erstes Netzwerk, das im Normalfall die Schüler-PCs bein-haltet.
Mit dem blauen Netz können Sie bspw. Ihre Verwaltung (und somit kritische Daten) von dem
Schüler-Netz trennen.
Das orange Netz steht zur freien Verfügung, z.B. für eine DMZ oder ein weiteres Netz.
Alle Netze sind komplett voneinander getrennt und können sich nicht sehen. Daher müssen
auch alle Netze unterschiedliche IP-Adress-Bereiche besitzen!
11
Konfiguration Schulrouter Plus
1.5.3 Netzwerksegmentierung
Wie in Punkt 1.5.1 beschrieben können PCs in unterschiedlichen Netzen nicht aufeinander zugreifen,
somit muss auch das Netzwerk darauf abgestimmt sein, dass PCs nicht auf Server in einem anderen
Netzwerk zugreifen können.
Beispielsweise können sich Verwaltungsangestellte nicht über einen Verzeichnisdienst anmelden, der
sich im Schüler-Netz befindet.
In solchen Fälle ist zu überlegen, ob diese Konstellation erhalten bleiben muss. Die Firewall des
Schulrouter Plus kann so konfiguriert werden, dass ein eingeschränkter Zugriff auf spezifische
Ressourcen zwischen den Netzen möglich wird.
12
Konfiguration Schulrouter Plus
Der Schulrouter Plus stellt unter Anderem folgende Serverdienste zur Verfügung:
Proxy
DHCP
DNS
VPN
Firewall
AntiSpam
Solche bestehenden Serverdienste im Netzwerk können in aller Regel durch den Schulrouter Plus
ersetzt werden.
Weiterhin ist darauf zu achten, dass andere Server nicht die Arbeit des Schulrouter Plus beeinträchti-
gen, z.B. ein zweiter DHCP-Server mit anderen Einstellungen.
Vor dem ersten Hochfahren Ihres Schulrouter Plus sollten Sie mindestens Ihr DSL-Modem bzw. Ihren
vorgelagerten Router mit der roten Schnittstelle, sowie einen PC (oder Ihr Netzwerk) mit der grünen
Schnittstelle verbunden haben (siehe Markierungen auf der Rückseite des Gerätes).
Bei Ihren, an den Schulrouter Plus angeschlossenen, Client-PCs müssen Sie darauf achten, dass
folgende Einstellungen getätigt werden:
Im Internet Explorer kontrollieren Sie die Proxy-Einstellung unter Extras Internetoptionen Reiter
„Verbindungen“ Button „LAN-Einstellungen“ die Elemente unter Proxyserver sind ausgegraut
Die entsprechende IP des Schulrouter Plus (im grünen Netz, die der Schnittstelle Grün) ist als
Stan-dardgateway und DNS-Server gesetzt (wenn Ihre Vorkonfiguration das vorsieht) oder auf
“IP-Adresse automatisch beziehen” gesetzt.
13
Konfiguration Schulrouter Plus
http://RouterIP:83
Das Handbuch zum Schulfilter Plus finden Sie separat auf unserer Support-Seite
http://support.time-for-kids.de
14
Konfiguration Schulrouter Plus
Der angeschlossene PC muss so konfiguriert sein, dass er seine IP-Adresse per DHCP
ê
! automatisch empfängt oder sich im gleichen Netzwerksegment des Grünen Netzwerkes
befindet. Die Grundkonfiguration entnehmen Sie bitte dem Beipackzettel im Karton
Jetzt können Sie das Cockpit über die Eingabe h tt p : // R outer I P : 8 1 in einem Internetbrowser
auf Ihrem PC erreichen. Wobei RouterIP für die IP-Adresse der GRÜNEN LAN-Schnittstelle steht. Ihr
Internet-Browser wird Sie über unsignierte Sicherheitszertifikate informieren und zur Bestätigung
auffordern. Dies können Sie ohne Bedenken bestätigen.
Sie werden nun aufgefordert sich mit einem Benutzeraccount und einem Passwort anzumelden.
Verwenden Sie hierfür „tfkadmin“ als Benutzername und Passwort. Nach dem erfolgreichen Login
sollten Sie das Passwort sofort ändern (>siehe Kapitel 2.3 Passwörter<).
1. Hauptmenü
2. Untermenü zum jeweiligen Hauptmenü
3. Konfigurationsseiten
15
Konfiguration Schulrouter Plus
Generell sollten Sie bei größeren Veränderungen der Konfiguration immer eine Datensicherung
vornehmen, um die Möglichkeit zu besitzen den Schulrouter Plus ggf. wieder auf einen vorherigen
Konfigurationsstand zu bringen.
Bei einigen Konfigurationen wird nach der Speicherung der Einstellungen ein Neustart der entsprechenden
Dienste durchgeführt. Bitte achten Sie dabei immer auf die Anzeigen und Hinweise im Cockpit.
Die Konfigurationsseiten des Cockpits enthalten folgende Standardelemente, welche Sie für die
Bedienung benötigen:
16
Konfiguration Schulrouter Plus
2 Hauptmenü System
2.1 Startseite
Diese Seite zeigt eine Übersicht über alle WAN-Verbindungen des Schulrouter Plus (Rotes Netzwerk).
Es wird eine Tabelle mit den Details und dem Verbindungsstatus jeder einzelnen WAN-Verbindung
angezeigt. Standardmäßig sehen Sie nur eine WAN-Verbindung mit dem Namen
„Primäre WAN-Verbin-dung“.
“Angehalten”
Es besteht keine Onlineverbindung.
“Verbunden”
Die Verbindung ist erfolgreich aufgebaut.
“Beende Verbindung...”
Die Verbindung wird getrennt.
“Fehler”
Es gibt einen Fehler beim Verbindungsaufbau.
System 17
Konfiguration Schulrouter Plus
“Wiederverbindungs Timeout”
Es gab einen Fehler beim Wiederherstellen der Verbindung. Es wird weiter versucht.
“Verbindung unterbrochen”
Die Verbindung ist zwar hergestellt, aber der Host, der zur Überprüfung definiert ist, ist nicht
erreichbar. Das heißt normalerweise, dass die Verbindung nicht zu nutzen ist.
Jede WAN-Verbindung kann entweder im Modus „Verwaltet“ oder manuell laufen. Im Modus
“Verwaltet” überwacht der Schulrouter Plus die Verbindung und stellt gegebenenfalls die Verbind-
ung automatisch wieder her. Wird der Modus “Verwaltet” deaktiviert, kann die Verbindung manuell
her-gestellt oder getrennt werden. Es wird kein automatischer Wiederaufbau der Verbindung
eingeleitet, wenn die Verbindung getrennt wird.
System 18
Konfiguration Schulrouter Plus
2.2 Updates
Nur offizielle Schulrouter-Updates werden auf dem Schulrouter Plus installiert. Einige
i
Updates führen einen automatischen Neustart des Schulrouter aus. Lesen Sie
deshalb bitte alle Update-Informationen, bevor Sie ein Update installieren und lassen Sie die
Updates nur in Zeiten ausführen, in denen es zu keiner Betriebsstörung kommen kann.
System 19
Konfiguration Schulrouter Plus
2.3 Passwörter
Passwörter ändern
Sie können hier jedes Passwort für sich ändern. Geben Sie jedes neue Passwort zweimal ein und
drücken auf Passwort ändern. Die Passwörter folgender Benutzer können verändert werden:
admin
Der Benutzer, der auf das Schulrouter Plus Cockpit zugreifen darf.
root
Der Benutzer, der sich auf der Linux-Konsole anmelden kann.
System 20
Konfiguration Schulrouter Plus
Zugangseinstellung
Auf der Seite Fernwartung/ Support können Sie festlegen, ob ein gesicherter Fernzugriff für den
Schulrouter Plus möglich sein soll oder nicht. Außerdem können Sie hier weitere Parameter für den
Fernzugriff-Prozess konfigurieren.
Fernwartung/ Support
Das Einschalten aktiviert den SSH-Zugriff. Wenn der externe Systemzugriff
(siehe Kapitel >6.4 Systemzugriffe<) nicht aktiviert ist, ist SSH nur über das grüne Netzwerk
erreichbar. Mit aktiviertem SSH-Zugriff kann sich jeder, der das root-Passwort kennt, auf der
Kommandozeile anmelden.
System 21
Konfiguration Schulrouter Plus
2.5 Benutzeroberfläche
Einstellungen
Auf dieser Seite können Sie die Sprache des Schulrouter Plus Cockpits einstellen.
System 22
Konfiguration Schulrouter Plus
2.6 Datensicherung
In diesem Abschnitt können Sie Datensicherungen anlegen und zu einer vorher erstellten
Datensicherung zurückspringen. Datensicherungen werden lokal auf dem Schulrouter Plus gespeichert
und können auf Ihren Computer heruntergeladen werden. Es ist auch möglich, die Konfiguration auf
einen Wiederherstellungspunkt zurück zu setzen und regelmäßig automatisierte Datensicherungen
durchzuführen.
Datensicherungssätze
Beim Klicken auf Neue Datensicherung durchführen öffnet sich ein Dialog zur Konfiguration
der geplanten Datensicherung:
Konfiguration einschließen
Schließt alle Einstellungen mit ein.
System 23
Konfiguration Schulrouter Plus
Logs aufnehmen
Schließt die aktuellen Protokolle mit ein.
Anmerkung
Hier kann ein zusätzlicher Kommentar hinterlassen werden.
Klicken Sie auf Backup erzeugen um die Datensicherung mit den oben gemachten Einstellungen zu
erzeugen.
In der Liste der vorhandenen Datensicherungen können Sie, durch einen Klick auf das entsprechende
Icon auf der rechten Seite, ausgewählte Datensicherungen herunterladen, löschen oder wieder-
herstellen. Jede Datensicherung ist mit einer Markierung versehen:
Datensicherungsarchiv importieren
Sie können einen vorher heruntergeladenen Sicherungssatz wieder auf den Schulrouter Plus
importieren. Wählen Sie die Datei des Sicherungssatzes auf Ihrem lokalen PC aus. Mit der Angabe
einer Anmerkung und dem Klicken auf Importieren laden Sie den Sicherungssatz hoch.
Der Sicherungssatz erscheint dann in der oberen Liste und kann dort wiederhergestellt werden.
System 24
Konfiguration Schulrouter Plus
2.7 Herunterfahren
Über diese Seite können Sie Ihren Schulrouter Plus entweder herunterfahren oder neu starten.
Sie können einfach einen der entsprechenden Buttons anklicken, um die Aktion sofort auszuführen.
System 25
Konfiguration Schulrouter Plus
3 Hauptmenü Status
3.1 System-Status
Dienste
Zeigt alle Dienste und deren aktuellen Status an.
Speicher
Zeigt die Auslastung von Arbeitsspeicher und Swapdatei.
Festplattenbelegung
Zeigt den verfügbaren und belegten Festplattenplatz
Status 26
Konfiguration Schulrouter Plus
3.2 Netzwerkstatus
Schnittstellen
Dieser Abschnitt zeigt alle für die Netzwerk-Fehleranalyse notwendigen Angaben auf. Dies beinhaltet
u.a. Informationen aller Netzwerk-Schnittstellen inkl. PPP, IPSec, Loopback, etc..
Netzwerkkarten
Zeigt bestimmte Eigenschaften der Netzwerkkarten, wie z.B. ob ein Link augebaut ist, oder welche
Geschwindigkeit ausgehandelt wurde.
Routingtabelleneinträge
Zeigt die Einträge der Routingtabelle an.
ARP Tabelleneinträge
Zeigt die Einträge der ARP-Tabelle an.
Status 27
Konfiguration Schulrouter Plus
3.3 Systemdiagramm
Diese Seite zeigt Ihnen für den aktuellen Tag bzw. für die aktuelle Woche, Monat und Jahr, folgende
Diagramme:
• CPU-Nutzung
• Speichernutzung
• Nutzung von Auslagerungsspeicher (Swap)
• Festplattenzugriff
Durch einen Klick auf eines der Diagramme kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.
Status 28
Konfiguration Schulrouter Plus
3.4 Netzwerkdiagramme
Diese Seite zeigt Ihnen für den aktuellen Tag die Diagramme des Datenverkehrs auf den einzelnen
Netzwerk-Schnittstellen an.
Durch einen Klick auf eines der Diagramme kann die Darstellung zwischen Tag, Woche, Monat und
Jahr gewechselt werden.
Status 29
Konfiguration Schulrouter Plus
3.5 Proxydiagramme
Diese Seite zeigt die Diagramme der Zugriffsstatistiken des HTTP-Proxy der letzten 24 Stunden an.
Die Daten können nur ausgewertet und dargestellt werden, wenn die >Proxyprotokolle< aktiviert sind.
Zugriffe
Zeigt die Anzahl der Zugriffe auf den Proxy an.
Übertragungen
Zeigt die Größe der Daten-Übertragungen über den Proxy an.
Durchschnittliche TCP-Übertragungsdauer
Zeigt die Dauer der Übertragungen an.
Status 30
Konfiguration Schulrouter Plus
3.6 Verbindungen
Diese Seite zeigt in Echtzeit die momentan aufgebauten Verbindungen zum oder durch den
Schulrouter Plus. Die Quelle und das Ziel sind in der entsprechenden Farbe der Schnittstelle
gekennzeichnet. Zusätzlich zu den vier Schnittstellen (GRÜN, BLAU, ORANGE, ROT) werden zwei
weitere Farben benutzt: Schwarz für Verbindungen zum bzw. vom Schulrouter Plus; Lila für Verbin-
dungen über ein VPN.
3.9 Email-Warteschlange
Diese Seite zeigt die aktuelle E-Mail-Warteschlange. Diese Information steht nur zur Verfügung, wenn
der SMTP-Proxy verwendet wird. Es ist auch möglich, die Warteschlange zu leeren.
Status 31
Konfiguration Schulrouter Plus
4 Hauptmenü Netzwerk
4.1 Netzwerkkonfiguration
Die Konfiguration der Netzwerkschnittstellen kann schnell und einfach mit dem Netzwerksetup-
Assistenten geändert werden. Der Assistent ist in mehrere Schritte unterteilt. Sie können mit <<< und
>>> vor und zurück navigieren und die Änderungen mit Abbrechen verwerfen. Sie werden erst im
letzten Schritt gefragt, ob die Einstellungen übernommen werden sollen.
Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Während dessen ist die
Konfigurationsoberfläche nicht erreichbar.
Ethernet statisch
Sie möchten der roten Schnittstelle manuell eine IP-Adresse und Netzmaske zuweisen.
Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem vorgelagerten Router
vebunden ist.
Ethernet DHCP
Sie möchten, dass sich die rote Schnittstelle automatisch eine IP-Adresse von einem
vorgelagerten Gerät holt. Dies ist üblicherweise der Fall, wenn der Schulrouter Plus mit einem
vorgelagerten Router verbunden ist, der DHCP liefert. Zu empfehlen ist aber dabei eher die
Einstellung “Ethernet statisch”.
PPPoE (DSL-Direkteinwahl)
Diese Option ist zu wählen, wenn ein DSL-Modem an den Schulrouter Plus angeschlossen ist
und die Einwahl vom Schulrouter Plus gemacht werden soll.
Netzwerk 32
Konfiguration Schulrouter Plus
GRÜN
Das grüne Netzwerk repräsentiert das erste interne Netzwerk, in dem sich typischerweise die
Schüler-Endgeräte befinden.
ROT
Das rote Netzwerk dient der Verbindung der Schule mit dem Internet, z.B. über das angeschlossene
DSL-Modem oder einem weiteren vorgelagerten Router. Für Schulen mit zwei Internetzugängen kann
auch ein zweites rotes Netzwerk definiert werden. Hierdurch ist eine Erhöhung der Internetbandbreite
z.B. über eine zweite DSL-Leitung möglich.
Dieser Schritt ermöglicht es Ihnen weitere Schnittstellen zu aktivieren. Verfügbare Schnittstellen sind:
BLAU
Das blaue Netzwerk repräsentiert ein zweites internes Netzwerk, welches z.B. für die Schulver-
waltungs-Endgeräte der Schule verwendet werden kann. Das Schulverwaltungsnetzwerk ist
physikalischvomSchulnetzwerkgetrennt.EskannaberbeiBedarfeinegesicherteVerbindungzwischenden
Netzwerken zur Datenübertragung eingerichtet werden.
ORANGE
Das orange Netzwerk dient zur Erstellung einer sogenannten DMZ (Demilitarisierte Zone). Hier werden
z.B. typischerweise Webserver untergebracht, die aus dem Internet erreichbar sein sollen und dadurch
eine höhere Absicherung vor unberechtigten Zugriffen benötigen. Das orange Netzwerk kann aber
auch als „normales“ drittes Netzwerk verwendet werden.
Netzwerk 33
Konfiguration Schulrouter Plus
Schritt 3 - Netzwerkeinstellungen
In diesem Abschnitt werden die Einstellungen für die internen Schnittstellen definiert (Grün, Blau,
Orange). Jede Schnittstelle wird in einem eigenen Abschnitt auf der Seite behandelt:
IP Adresse
Legen Sie fest, welche IP-Adresse jede Schnittstelle bekommen soll. (z.B. 1 9 2 . 1 6 8 . 0 . 1 ). Achten
Sie darauf, IP-Adressen zu verwenden, die nicht bereits im Netzwerk benutzt werden. Nach
dem Ändern der IP-Adressen müssen evtl. noch weitere Dienste angepasst werden
(z.B. DHCP-Server oder erlaubte Subnetze im Proxy).
Netzwerkmaske
Legen Sie die Netzwerkmaske für die Schnittstelle fest. Es ist wichtig, dass alle Komponenten
im Subnetz dieselbe Netzwerkmaske verwenden.
Weitere Adressen
Sie können hier weitere IP-Adressen aus anderen Subnetzen für die Schnittstelle festlegen.
Schnittstellen
Ordnen Sie den Zonen die entsprechenden Schnittstellen zu. Jeder Zone muss dabei
mindestens einer Schnittstelle zugeordnet sein. Eine Schnittstelle kann man allerdings nur
einer Zone zuordnen. Ordnen Sie einer Zone mehrere Schnittstellen zu, agieren diese Schnitt-
stellen so, als wären sie Teil eines Switches. Ein Symbol zeigt den aktuelle Status der Schnitt
stelle: ein grüner Hacken zeigt, dass der Link aktiv ist. Ein rotes Kreuz zeigt, dass kein Link
vorhanden ist.
Zusätzlich kann der Host- und Domainname am Ende der Seite gesetzt werden.
ê
!
Sie müssen für jede Zone eine IP-Adresse und eine Netzwerkmaske wählen, die sich
nicht mit anderen Schnittstellen überschneidet. Zum Beispiel:
IP = 1 9 2 . 1 6 8 . 0 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für GRÜN
IP = 1 9 2 . 1 6 8 . 1 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für ORANGE
IP = 1 9 2 . 1 6 8 . 2 . 1 , Netzwerkmaske = / 2 4 - 2 5 5 . 2 5 5 . 2 5 5 . 0 für BLAU
Netzwerk 34
Konfiguration Schulrouter Plus
Es wird empfohlen, den Standards des RFC1918 zu folgen und nur IP-Adressen zu nutzen, die für den
privaten Bereich reserviert sind:
1 0 . 0 . 0 . 0 - 1 0 . 2 5 5 . 2 5 5 . 2 5 5 ( 1 0 . 0 . 0 . 0 / 8 ) , 1 6 . 7 7 7 . 2 1 6 Adressen
1 7 2 . 1 6 . 0 . 0 - 1 7 2 . 3 1 . 2 5 5 . 2 5 5 ( 1 7 2 . 1 6 . 0 . 0 / 1 2 ) , 1 . 0 4 8 . 5 7 6 Adressen
1 9 2 . 1 6 8 . 0 . 0 - 1 9 2 . 1 6 8 . 2 5 5 . 2 5 5 ( 1 9 2 . 1 6 8 . 0 . 0 / 1 6 ) , 6 5 . 5 3 6 Adressen
Die erste und die letzte IP-Adresse eines Netzwerksegments (Subnetz) sind die Netzwerk- und die
Broadcastadresse und dürfen nicht vergeben werden.
Schritt 4 - Internetverbindungseinstellungen
Diese Schritte erlauben die Konfiguration der roten Schnittstelle und somit die Konfiguration des
Internetzugangs.
Sie finden auf dieser Seite unterschiedliche Konfigurationsmöglichkeiten, je nachdem welche Option
Sie im ersten Schritt ausgewählt haben, können diese unterschiedliche Folgeeinstellungen nachsich
ziehen.
Für Alle
Optional können Sie auch die MTU (maximum transmission unit) und die MAC Adresse, mit
der sich der Schulrouter Plus melden soll, festlegen (dies ist normalerweise nur bei Anmelde-
diensten nötig).
Ethernet statisch
Sie müssen die IP Adresse für die rote Schnittstelle sowie die Netzwerkmaske eingeben.
Weiterhin müssen Sie die IP-Adresse des Standardgateways festlegen.
Ethernet DHCP
Hier können Sie festlegen, ob der DNS-Server für die Internetverbindung auch per DHCP
empfangen werden soll oder ob dieser von Ihnen festgelegt wird.
PPPoE
Sie geben hier den Benutzername und das Passwort zur Anmeldung bei Ihrem Provider an.
Für die Authentifizierungsmethode kann standardmäßig „PAP“ oder „CHAP“ verwendet
werden. Sie können auch selber festlegen, ob die IP-Adresse des DNS-Servers automatische
von Ihrem Provider übergeben wird (Standard-Einstellung) oder manuell eingegeben werden
muss.
Netzwerk 35
Konfiguration Schulrouter Plus
Netzwerk 36
Konfiguration Schulrouter Plus
Der im Schulrouter Plus integrierte DNS-Proxy ermöglicht, neben der Zwischenspeicherung von
DNS-Informationen aus dem Internet, auch die manuelle Eingabe von Hostcomputern, deren
Adressinformationen lokal verwaltet werden sollen. Bei diesen Hostcomputern kann es sich
beispielsweise um lokale Computer oder Computer im Internet handeln, deren Adressinformationen
überschrieben werden sollen.
Aktuelle Hosts
In diesem Bereich werden die aktuell konfigurierten lokalen DNS-Einträge angezeigt. Sie können
die Liste sortieren, indem Sie auf eine der drei unterstrichenen Spaltenüberschriften klicken.
Ein weiterer Klick dreht die Sortierreihenfolge um. Zum Bearbeiten eines Eintrags klicken Sie auf
das zugehörige Stift-Symbol. Die Daten des Eintrags werden in dem Formular darüber angezeigt.
Nehmen Sie die gewünschten Änderungen vor und klicken Sie dann im Formular auf die Schaltfläche
Aktualisieren.
Zum Löschen eines Eintrags klicken Sie auf das zugehörige Löschen-Symbol.
Hostname
Geben Sie in dieses Feld den Hostnamen ein.
Domainname
Geben Sie in dieses Feld den Domänennamen ein, falls sich der Hostcomputer in einer
anderen Domäne befindet.
Netzwerk 37
Konfiguration Schulrouter Plus
4.3 Routing
Statisches Routing
Aktuelle Routing-Einträge
Diese Funktion erlaubt es bestimmte lokale Netzwerkadressen über bestimmte Gateways zu senden.
Wird an dem Schulrouter Plus ein Switch mit aktivierten Layer-3-VLANs verwendet, muss hier für jedes
VLAN ein Eintrag mit der IP des Switch als Gateway gesetzt werden.
Klicken Sie auf Eine neue Route hinzufügen um eine neue Route mit folgenden Feldern
anzulegen:
Quell-Netz
Quell-Netz in CIDR-Schreibweise (Bsp.: 1 9 2 . 1 6 8 . 1 0 . 0 / 2 4 )
Ziel-Netz
Ziel-Netz in CIDR-Schreibweise (Bsp.: 1 9 2 . 1 6 8 . 2 0 . 0 / 2 4 )
Route über
Geben Sie die IP-Adresse eines Gateways an oder wählen Sie eine WAN-Verbindung aus.
Netzwerk 38
Konfiguration Schulrouter Plus
Aktiviert
Markieren zum Aktivieren (Standard).
Anmerkung
Geben Sie der Regel eine Anmerkung.
Klicken Sie auf Route hinzufügen um die Regel zu bestätigen. Sie können die Route mit den
entsprechenden Icons aktivieren bzw. deaktivieren.
4.4 Internet/WAN
Hier können mit einem Klick auf WAN-Verbindung erstellen weitere WAN-Verbindungen
definiert werden. Wählen Sie den Typ der WAN-Verbindung und füllen Sie dann das entsprechende
Formular aus. Die Felder sind weitestgehend identisch mit dem Netzwerkassistenten. Folgende Felder
unterscheiden sich zum Netzwerkassistenten:
WAN-Verbindung beim Starten aktivieren
Diese Einstellung legt fest, ob diese WAN-Verbindung beim Starten des Schulrouter Plus
automatisch verbunden werden soll.
Wiederverbindungs- Timeout
Hier können Sie festlegen nach wie viel Sekunden eine Wiederverbindung versucht wird,
wenn die Verbindung ausfällt. Bleibt das Feld leer, wird sofort die Wiederverbindung versucht.
Netzwerk 39
Konfiguration Schulrouter Plus
5 Hauptmenü Dienste
5.1 DHCP Server
DHCP (Dynamic Host Configuration Protocol) ermöglicht eine Steuerung der Netzwerk-
konfiguration aller Computer über den Schulrouter Plus. Computer, die eine Verbindung zum
Netzwerk herstellen, wird eine gültige IP-Adresse zugewiesen und ihre DNS-Konfiguration wird vom
Schulrouter Plus festgelegt. Um diese Funktion verwenden zu können, müssen die Computer im
Netzwerk so konfiguriert sein, dass sie ihre Netzwerkkonfiguration automatisch erhalten.
Sie können auswählen, welchem internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden
soll. Aktivieren Sie einfach die entsprechenden Kontrollkästchen. Sie können auswählen, welchem
internen Netzwerk der DHCP Dienst zur Verfügung gestellt werden soll. Aktivieren Sie einfach die
entsprechenden Kontrollkästchen.
DHCP-Server Parameter
Aktiviert:
Markieren Sie dieses Feld, um den DHCP-Server für dieses Netzwerk zu aktivieren.
Dienste 40
Konfiguration Schulrouter Plus
Domain-Name-Suffix:
Achten Sie bei der Eingabe eines Wertes in dieses Textfeld darauf, dass das Format keinen
führenden “Punkt” vorsieht. Hier wird der Domänenname festgelegt, den der DHCP-Server
für seine Clients verwendet. Wenn ein Hostname nicht aufgelöst werden kann, versucht der
Client erneut, den ursprünglichen Namen mit dem als Namen angegeben Suffix aufzulösen.
Die DHCP-Server von vielen Internetdienstanbietern sind so konfiguriert, dass als Standard
domänenname deren Netzwerk verwendet wird und sie fordern ihre Kunden auf, beim
Internetzugriff “www” als Standard-Homepage in ihrem Browser festzulegen.
“www” ist jedoch kein voll qualifizierter Domänen-Name (FQDN). Der voll qualifizierte
Domänenname des Webservers wird jedoch automatisch clientseitig über die Software Ihres
Computers erstellt, indem das Suffix des Domänennamens, wie von dem DHCP-Server des
Internetdienstanbieters vorgegeben, angehängt wird. Legen Sie das Domänen-Name-Suffix
entsprechend der Vorgabe des DHCP-Servers Ihres Internetdienstan bieters fest, damit die
Benutzer in Ihrem Intranet die Teiladresse “www” weiterhin nicht eingeben müssen.
Dienste 41
Konfiguration Schulrouter Plus
Primärer DNS:
Legt für die Clients des DHCP-Servers fest, welcher Server als primärer DNS-Server verwendet
werden soll. Da der Schulrouter Plus auch einen DNS-Proxy enthält, wird in der Regel
empfohlen, den Standardwert zu verwenden. In diesem Fall wird für den primären DNS-Server
die IP-Adresse des Schulrouter Plus verwendet. Wenn Sie einen eigenen separaten DNS-Server
verwenden, geben Sie dessen IP-Adresse in das Feld ein.
Sekundärer DNS:
Sie können auch einen sekundären DNS-Server angeben, der verwendet wird, falls der primäre
DNS-Server nicht verfügbar sein sollte. Dieser DNS-Server könnte beispielsweise ein weiterer
DNS-Server in Ihrem Netzwerk oder der DNS-Server Ihres Internetdienstanbieters sein.
Erster NTP-Server:
Wenn Sie den Schulrouter Plus als NTP-Server einsetzen oder die Adresse eines anderen
NTP-Servers an Geräte in Ihrem Netzwerk weiterleiten wollen, können Sie die IP-Adresse des
NTP-Servers in dieses Feld eingeben. Der DHCP-Server gibt diese Adresse bei der Übergabe der
Netzwerkparameter an alle Clients weiter.
Zweiter NTP-Server:
Wenn Sie eine zweite NTP-Server-Adresse haben, geben Sie diese hier ein. Der DHCP-Server
gibt diese Adresse bei der Übergabe der Netzwerkparameter an alle Clients weiter.
Für erfahrene Benutzer ist es möglich, weitere angepasste DHCP-Regeln zu der Konfigura-
i
tion hinzufügen. Diese können in dem Textfeld „Benutzerdefinierte Konfigurationszeilen“
eingetragen werden. Beachten Sie, dass hier keine Prüfung der Syntax durch den Schulrouter
Plus vorgenommen wird und Syntax-Fehler den Start des DHCP Servers verhindern können.
Dienste 42
Konfiguration Schulrouter Plus
MAC-Adresse:
Dies ist die sechs Oktett/Byte lange MAC-Adresse (in Doppelpunktnotation) des Computers,
für den die feste Zuordnung gelten soll.
Das Format der MAC-Adresse lautet x x : x x : x x : x x : x x : x x , und nicht x x - x x - x x - x x - x x - x x ,
wie es auf einigen Computern angezeigt wird (Beispiel: 0 0 : e 5 : b 0 : 0 0 : 0 2 : d 2 ).
IP-Adresse:
Dies ist die fest zugeordnete IP-Adresse, die der DHCP-Server stets für die angegebene
MAC-Adresse vergeben soll. Stellen Sie sicher, dass Sie keine IP-Adresse aus dem dynamischen
Adressbereich des DHCP-Servers vergeben.
Beschreibung:
Hier können Sie einen beschreibenden Text für die feste Zuordnung eintragen.
Nächste Adresse:
Möglicherweise befinden sich in Ihrem Netzwerk Computer, die eine Startdatei von einem
Server im Netzwerk erhalten müssen (sog. Thin Clients). Bei Bedarf können Sie in diesem Feld
die Serveradresse angeben.
Dienste 43
Konfiguration Schulrouter Plus
Dateiname
Geben Sie den Namen der Startdatei für diesen Computer an.
Rootpfad
Wenn sich die Startdatei nicht im Stammverzeichnis des Servers befindet, können Sie in
diesem Feld den Pfad zu der Startdatei angeben.
Aktiviert
Aktivieren Sie dieses Kontrollkästchen, um den DHCP-Server anzuweisen, die angegebene
feste Zuordnung bereitzustellen. Ist das Kontrollkästchen nicht aktiviert, wird der
entsprechende Datensatz zwar in den Dateien des Schulrouter Plus gespeichert, der
DHCP-Server gibt die Zuordnung jedoch nicht aus.
Dienste 44
Konfiguration Schulrouter Plus
Mit Hilfe dynamischer DNS-Dienste (dynDNS) können Sie einen Server im Internet verfügbar machen,
auch wenn dieser über keine statische öffentliche IP-Adresse verfügt. Um dynDNS verwenden zu
können, müssen Sie zunächst bei einem dynDNS-Anbieter eine Unterdomäne registrieren.
Anschließend muss Ihr Server jedes Mal, wenn eine Verbindung zum Internet hergestellt und ihm von
Ihrem Internetdienstanbieter eine IP-Adresse zugewiesen wird, dem dynDNS-Server diese IP-Adresse
mitteilen. Hostcomputer, die eine Verbindung zu Ihrem Server herstellen möchten, lösen die Adresse
über den dynDNS-Server auf, der die aktuellste gültige IP-Adresse bereitstellt. Ist diese IP-Adresse
aktuell, kann der Hostcomputer eine Verbindung zu Ihrem Server herstellen (vorausgesetzt, die
festgelegten >Firewall-Regeln< lassen dies zu).
Der Schulrouter Plus unterstützt die fortlaufende Aktualisierung Ihrer dynDNS-Adresse durch die
automatische Aktualisierung bei zahlreichen dynDNS-Anbietern.
Ist Ihr Schulrouter Plus direkt an ein DSL-Modem angeschlossen, bekommt er in aller Regel von
Ihrem Provider eine externe IP zugeordnet, mit der Sie auch von außen auf den Schulrouter Plus
zugreifen können. Diese Adresse sehen Sie auf der Startseite. Wird dort eine externe IP angezeigt,
wählen Sie hier den ersten Auswahlpunkt.
Wird dort eine IP-Adresse angezeigt, die in Ihrem internen Netzwerk liegt - wenn Sie also bspw. einen
vorgelagerten Router verwenden - wählen Sie die zweite Variante, die versucht, die externe IP über
eine Webseite zu bekommen.
Dienste 45
Konfiguration Schulrouter Plus
Aktuelle Hosts
Über das Cockpit können die folgenden dynDNS-Parameter festgelegt werden:
Dienst
Wählen Sie einen dynDNS-Anbieter aus der Dropdownliste aus. Sie sollten bei dem aus
gewählten Anbieter bereits registriert sein.
Platzhalter erlauben
Wenn Sie Platzhalterzeichen zulassen, ermöglichen Sie, dass alle Unterdomänen Ihres dyna-
mischen DNS-Hostnamens auf dieselbe IP-Adresse wie Ihr Hostname selbst verweisen. Ist das
Kontrollkästchen aktiviert, erhält beispielsweise die Unterdomäne www.srp.dyndns.org
dieselbe IP-Adresse wie die übergeordnete Domäne timeforkids.dyndns.org.
Wenn Sie als Anbieter “no-ip.com” gewählt haben, wird das Kontrollkästchen nicht
berücksichtigt, da dieser Anbieter die Einstellung dieser Option ausschließlich über seine
Website ermöglicht.
Hostname
Geben Sie den Hostnamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Domäne
Geben Sie den Domänennamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Benutzername
Geben Sie den Benutzernamen ein, den Sie bei Ihrem dynDNS-Anbieter registriert haben.
Passwort
Geben Sie das Kennwort für den Benutzernamen ein.
Aktiviert
Aktivieren Sie dieses Kontrollkästchen, damit der Schulrouter Plus die auf dem dynDNS-
Server hinterlegten Daten aktualisiert. Die Daten werden auch auf dem Schulrouter Plus ge-
speichert, wenn das Kontrollkästchen deaktiviert ist. Auf diese Weise können Sie die
dynDNS-Aktualisierung zu einem späteren Zeitpunkt wieder aktivieren, ohne die Daten
erneut eingeben zu müssen.
Dienste 46
Konfiguration Schulrouter Plus
5.3 Antivirus
Der E-Mail-Proxy (POP und SMTP) des Schulrouter Plus benutzen den Antivirus-Dienst von
ClamAV. In diesem Bereich können Sie einstellen, wie ClamAV mit Archiv-Bomben umgeht und wie oft
Virenupdates heruntergeladen werden.
Antivirus Konfiguration
Um diese Arten von Angriffen zu unterbinden, ist der Antivirus-Dienst so vorkonfiguriert, dass Archive
mit bestimmten Eigenschaften nicht gescannt werden:
Max. Kompressionsverhältnis
Archive, deren unkomprimierte Größe die komprimierte Größe um mehr als den hier angege-
benen x-fachen Wert übersteigen. Der Standardwert ist 1000. Normalerweise übersteigt der
Faktor der Komprimierung selten 10.
Dienste 47
Konfiguration Schulrouter Plus
Dienste 48
Konfiguration Schulrouter Plus
5.4 Zeitserver
Der Schulrouter Plus kann so konfiguriert werden, dass die Uhrzeit mit einem Zeitserver im Internet
abgeglichen wird.
Der letzte Abschnitt dieser Seite erlaubt es Uhrzeit und Datum manuell zu setzen.
Dienste 49
Konfiguration Schulrouter Plus
5.5 Trafficshaping
Trafficshaping, also die Optimierung der Datenübertragung, ermöglicht die Festlegung von Vorrang-
regeln für die verschiedenen Datenströme, die durch die Firewall geleitet werden.
Mit dem Schulrouter Plus erhalten Sie eine Möglichkeit, die Übertragungsverfahren des
Datenaufkommens selbst Ihren Bedürfnissen entsprechend zu optimieren. Die Steuerung erfolgt
durch die Einstufung des Datenaufkommens in Prioritätsstufen “Hoch”, “Mittel” und “Niedrig”.
Die Ping-Übertragung erhält stets die höchste Priorität, damit Sie auch dann die Geschwindigkeit
Ihrer Verbindung genau überprüfen können, während umfangreiche Downloads aus dem Internet
durchgeführt werden.
1. Verwenden Sie einen DSL Speedtest im Internet, um die maximalen Upload- und Download-
geschwindigkeiten zu ermitteln. Geben Sie die so ermittelten Geschwindigkeiten in die
entsprechenden Felder im Bereich Einstellungen der Webseite ein.
3. Ermitteln Sie, welche Dienste in Ihrem Netzwerk verwendet werden, bei denen Daten-
übertragungen über die Firewall vom bzw. ins Internet erfolgen.
Dienste 50
Konfiguration Schulrouter Plus
5. Erstellen Sie durch den Klick auf Einen Dienst erstellen eine Liste mit Diensten und den
jeweils zugeordneten Prioritätsstufen.
Die oben genannten Dienste sind lediglich Beispiele für mögliche Konfigurationen zur Optimierung
der Übertragung des Datenaufkommens. Sie sollten die Einstufung in die drei Prioritätskategorien
entsprechend den Anforderungen in Ihrem Netzwerk anpassen.
Dienste 51
Konfiguration Schulrouter Plus
Der in den Schulrouter Plus integrierte Antispam-Dienst kann konfiguriert werden, um automatisch
zu lernen welche E-Mails Spam beinhalten und welche nicht. Um dies zu ermöglichen, benötigt der
Dienst einen über IMAP erreichbaren Mailserver, damit dort voreingestellte Ordner überprüft werden.
Die Standardkonfiguration wird noch nicht für das Training verwendet.
Sie bietet lediglich die Möglichkeit Voreinstellung für die Trainingsquellen zu liefern, die darunter
konfiguriert wird. Durch Klick auf Standardkonfiguration bearbeiten öffnet sich darunter ein
neuer Bereich, in dem die Stand-ardeinstellungen gesetzt werden können:
Standard-Benutzername
Der Anmeldename für den IMAP-Mailserver.
Standard-Passwort
Das zugehörige Passwort.
Standard-Hamordner
Der Name des Ordners, der nur HAM-Mails beinhaltet. Dieser Ordner beinhaltet Mails, die
nicht als Spam zu klassifizieren sind.
Standard-Spamordner
Der Name des Ordners, der nur Spam-Mails beinhaltet.
Dienste 52
Konfiguration Schulrouter Plus
In dem Bereich darunter können die entsprechenden “Trainingsserver” konfiguriert werden. Durch
einen Klick auf IMAP Spam Trainingsquelle hinzufügen öffnet sich ein neuer Bereich.
Die Einstellungen für weitere “Trainingsserver” entspricht den Standardeinstellungen. Es fehlt nur die
Einstellung der Regelmäßigkeit. Diese wird immer von den Standardeinstellungen übernommen.
Aktiviert
Erst wenn hier eine Markierung gesetzt ist, wird diese Quelle für das Training verwendet.
Anmerkung
In diesem Feld können Sie eine Anmerkung einfügen.
Die anderen Optionen können genauso wie in der Standardkonfiguration vorgenommen werden.
Wenn Sie hier gesetzt werden überschreiben Sie die Standardeinstellung. Eine Quelle wird mit dem
entsprechenden Button getestet, aktiviert, bearbeitet oder gelöscht.
Es ist auch möglich die Verbindung zu allen Quellen zu testen, indem Sie oben auf den Button Alle
Verbindungen testen klicken. Wenn mehrere Quellen definiert sind, kann dies einige Zeit in
Anspruch nehmen, abhängig von der Geschwindigkeit der Mailserver und der Anzahl der definierten
Quellen.
Um das Training sofort zu starten, klicken Sie auf Training jetzt starten. Abhängig von der Anzahl
der Quellen, der Verbindungsgeschwindigkeit zu den Mailservern und vor allem der Anzahl an E-Mails,
die für das Training zur Verfügung stehen, kann das Training einige Zeit in Anspruch nehmen.
Sie können das Anti-Spam-Training auch manuell durchführen, wenn der SMTP Proxy angeschaltet ist.
Dies können Sie durch das Weiterleiten der entsprechenden E-Mails an spam@spam.spam für
Spamnachrichten und an ham@ham.ham für Hamnachrichten machen.
Dafür ist notwendig, dass die Domänen “spam.spam” und “ham.ham” aufgelöst werden können
indem Sie unter >4.2 Netzwerk - Hosts bearbeiten< auf den Schulrouter Plus zeigen.
Dienste 53
Konfiguration Schulrouter Plus
5.7 Einbruchdetektierung
Der Schulrouter Plus enthält ein hochleistungsfähiges System zur Einbruchserkennung, das die von
der Firewall empfangenen IP-Pakete analysiert und nach bekannten Signaturen für schädliche
Aktivitäten durchsucht.
Der Schulrouter Plus kann IP-Pakete überwachen, die über jedes genutzte Netzwerk übertragen
werden. Aktivieren Sie einfach die gewünschten Kontrollkästchen.
Die Regeln zur Einbruchdetektierung werden von snort.org gepflegt.
Für erfahrene Benutzer besteht die Möglichkeit, eigenen Regeln auf dem Schulrouter Plus einzusetzen.
Die im Feld Benutzerdefinierte Einbruchdetektierungsregeln einzufügende Regeln müssen
entweder direkt “.rules- oder gepackte .tar-”, “.gz- oder .zip-Dateien” sein.
Dienste 54
Konfiguration Schulrouter Plus
5.8 Datenverkehrsüberwachung
Die Datenverkehrsüberwachung wird durch den Dienst „ntop“ realisiert und kann durch den Button
oben aktiviert oder deaktiviert werden. Wenn die Datenverkehrsüberwachung aktiviert ist, erscheint
darunter ein Link, der zur gesonderten Seite für die Ansicht und Administration der Datenverkehrs-
überwachung weiterleitet. Diese Administrationsoberfläche wird ebenfalls von „ntop“ geliefert und
enthält detaillierte Statistiken über den Datenverkehr.
Es werden dort sowohl Zusammenfassung als auch detaillierte Informationen ausgegeben, wobei
der Verkehr nach Host, Protokoll, Schnittstellen und weiteren Parametern gefiltert werden kann.
Für detaillierte Informationen über die ntop-Administrationsoberfläche besuchen Sie die „ntop“
Dokumentation unter: >http://www.ntop.org/documentation.html<
Dienste 55
Konfiguration Schulrouter Plus
6 Hauptmenü Firewall
6.1 Portweiterleitung / NAT
6.1.1 Portweiterleitung
Der Schulrouter Plus blockiert von extern gestellte Anfragen an das geschützte Netz. Manchmal
kann diese Einstellung zu restriktiv sein. Wenn Sie z.B. einen Webserver betreiben, würden alle von
außerhalb des geschützten Netzwerks kommenden Benutzeranfragen standardmäßig blockiert. Dies
würde bedeuten, dass der Webserver nur aus dem internen Netz zu nutzen wäre. Dies ist natürlich
nicht die Normalsituation für einen Webserver. In den meisten Fällen sollen Außenstehende den
Zugriff auf Ihren Webserver erhalten. Für diese Fälle gibt es Port-Weiterleitungen. Wenn Sie diese Ports
kennen, können Sie die Port-Weiterleitung im Schulrouter Plus konfigurieren.
Sie können individuell definieren, welche Anfragen von welcher Schnittstelle über welchen Port zu
welchem Client geleitet werden. Folgende Parameter müssen dabei festgelegt werden:
Protokoll: TCP, UDP, GRE (generic routing encapsulation) wird von Tunneln verwendet, z.B.
PPTP-VPN) oder Alle Protokolle.
Eingehende IP
Die externe Schnittstelle. Hier kann eine der verwendeten roten Schnittstellen, alle roten
Schnittstellen oder VPN-Verbindungen gewählt werden.
Eingehender Port
Auf welchem Port (1 - 65535) soll der Schulrouter Plus an den roten Schnittstellen auf Anfragen
warten.
Firewall 56
Konfiguration Schulrouter Plus
Ziel-IP-Adresse
Die IP-Adresse des internen Clients, an den die Anfrage von extern geleitet werden soll.
Ziel-Port
Der Port am Client intern an, den die externe Anfrage geleitet werden soll.
Anmerkung
Eine eigene Anmerkung, um später die Regel schnell wiederzufinden.
Aktiviert
Diese Regel aktivieren
Enable log
Alle Pakete über diese Regel protokollieren.
Klicken Sie auf Hinzufügen um die Regel zu bestätigen. Sie können die Regel in der Zeile mit
den entsprechenden Symbolen bearbeiten, de-/aktivieren oder sie löschen.
Vergessen Sie nicht nach dem Ändern bzw. Hinzufügen der Regeln oben auf Übernehmen zu klicken!
Wenn eine Regel definiert ist, können Sie den Zugriff von außen beschränken. Mit dem Klick auf das
Plus-Symbol der entsprechenden Regel öffnet sich darüber eine Maske, in der Sie die IP-Adresse oder
das Netz derjenigen eintragen können, die nur die Weiterleitung nutzen dürfen. Das setzt voraus, dass
diese eine feste externe IP haben. Um weitere Quellen zu definieren wiederholen Sie den Schritt.
Firewall 57
Konfiguration Schulrouter Plus
6.1.2 SourceNAT
Quelle
Legen Sie fest, für welche Quellen SourceNAT verwendet werden sollen. Sie können zwischen
bestimmten IP-Adressen, Netzwerke oder Benutzern wählen.
Ziel
Hier können Sie, genau wie bei der Quelle, ein Ziel definieren, bei dem die Regel aktiv ist (also
das Ziel, dass der Client anfragt). Zusätzlich können Sie auch Zonen und WAN-Verbindungen
nutzen.
Dienst/Port
Hier können Sie den Dienst/Port, der beeinflusst werden soll, auswählen.
NAT
Hier wählen Sie aus, ob Sie SourceNAT nutzen möchten oder nicht. Wenn Sie sich für NAT
entscheiden, können Sie die IP-Adresse wählen, die nach außen für diese Regel sichtbar
sein soll. In der Vorauswahl erscheint automatisch die entsprechend zugehörige IP-Adresse.
Aktivieren
Hier aktivieren Sie die Regel.
Firewall 58
Konfiguration Schulrouter Plus
Anmerkung
Hier können Sie eine kurze Anmerkung eintragen.
Position
Hier können Sie festlegen, an welcher Stelle die Regel eingefügt werden soll.
Beispiel:
Konfigurieren eines SMTP-Mailservers auf der IP 1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 (davon ausgehend, dass
1 2 3 . 1 2 3 . 1 2 3 . 1 2 3 eine weitere IP des roten Schnittstelle ist) in der DMZ mit SourceNAT:
1. Konfigurieren Sie die orange Schnittstelle so, damit der Server ins Internet kommt.
2. Konfigurieren Sie den Mailserver so, damit er auf Port 25 mit seiner internen IP der
Orangenen Zone reagiert.
4. Fügen Sie eine SourceNAT-Regel hinzu und definieren Sie als Quelle die interne (orange) IP.
Firewall 59
Konfiguration Schulrouter Plus
Die ausgehende Verbindungsfirewall regelt den Datenverkehr von den internen Netzen nach außen.
Die Standardeinstellungen reichen aus, um im Internet surfen und E-Mails abholen zu können. Sie
können diese Regeln nach Ihren Bedürfnissen erweitern, um bspw. Lernsoftware die Verbindung ins
Internet über benötigte Ports zu gewähren.
Mit dem Schalter Ausgehende Firewall deaktivieren/aktivieren können Sie die aus
gehende Verbindungsfirewall komplett deaktivieren, so dass jeglicher Datenverkehr von innen
nach außen gelangt.
ê
!
Diese Funktion benötigt viel Rechenleistung auf dem Schulrouter Plus und kann das
System verlangsamen.
Firewall 60
Konfiguration Schulrouter Plus
Im Abschnitt “Aktuelle Regeln” sind alle bereits definierten aktivierten Firewall-Regeln aufgelistet.
Diese sind nach ihrer Priorität absteigend sortiert: Ist bspw. als erstes der Port 80 freigegeben und
darunter eine Regel, die die Ports 50 bis 100 sperrt, wird dennoch Port 80 freigegeben. In dieser
Ansicht können Sie auch die Priorität der Regeln ändern, indem Sie die Pfeile in der entsprechenden
Zeile benutzen. Außerdem können Sie die Regeln de-/aktivieren, bearbeiten und löschen.
Am Ende der Seite werden die Systemregeln angezeigt. Diese Regeln werden automatisch vom
Schulrouter Plus generiert und dienen zum reibungslosen Ablauf der Grundfunktionen. Sie können
nicht verändert oder gelöscht werden.
Wenn Sie eine neue Firewallregel anlegen möchten, klicken Sie auf „Eine neue Firewallregel
hinzufügen. Zum Bearbeiten klicken Sie auf das entsprechende Stift-Symbol in der Zeile der Regel,
die Sie bearbeiten möchten. Es öffnet sich dasselbe Formular wie zum Anlegen einer neuen Regel. Um
die Regel zu de-/aktivieren, setzen Sie entsprechend den Haken in den Punkt “Aktiviert:” und drücken
den Button Speichern, nachdem alle Einstellungen für diese Regel getätigt sind.
Ziel IP Adresse:
Soll nur die Verbindung zu einer bestimmten IP oder allgemein die Verbindung ins Internet
verwendet werden. Sie können hier entweder WAN-Verbindungen oder
IP-Adressen/IP-Bereiche wählen. Es können mehrere Quellen gleichen Typs verwendet werden.
Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und Pro
tokoll selber festlegen.
Aktionen:
Legen Sie fest, ob der Vorgang gestattet oder abgelehnt werden soll.
Anmerkung:
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.
Firewall 61
Konfiguration Schulrouter Plus
Position:
Wie bereits erwähnt, ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller
Regeln festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
ê
!
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Es erscheint eine Meldung mit dem entsprechenden Hinweis!
Firewall 62
Konfiguration Schulrouter Plus
Hier legen Sie fest, ob Datenverkehr zwischen den einzelnen internen (alle außer ROT)
Netzwerksegmenten gesendet werden darf.
Der Schulrouter Plus ist standardmäßig so eingestellt, dass der Datenverkehr nur im jeweiligen
Netzwerksegment bleiben darf. Ein Senden in eine andere Zone ist nicht erlaubt. Dies ist notwendig,
um bspw. das pädagogische Netz und die Verwaltung zu trennen.
Dies betrifft aber nur den Datenverkehr, der auch über den Schulrouter Plus übertragen wird. Sprich,
nur die Pakete, die von einer zu einer anderen Schnittstelle übertragen werden. Der Datenverkehr, der
im internen Netzwerk geschieht und über den dort stehenden Switch läuft, ist davon nicht betroffen.
Analog zu “Ausgehender Datenverkehr” können Sie diese Einstellungen ein-/ausschalten, Regeln
bearbeiten, löschen und hinzufügen.
ê
!
Wird der interne Datenverkehr deaktiviert, werden alle Verbindungen untereinander erlaubt
(Datenverkehr zu ROT ausgeschlossen). Dies ist nicht zu empfehlen! Durch Klick auf
Eine neue Interne Firewallregel hinzufügen können Sie eine neue Regel hinzufügen.
Die Einstellungen sind analog zum ausgehenden Datenverkehr (L) zu machen.
ê !
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!
Firewall 63
Konfiguration Schulrouter Plus
6.4 Systemzugriffe
Hier können Sie den Zugriff direkt auf den Schulrouter Plus regeln. Es gibt eine Liste vorkonfigurierter
Regeln, die für den Betrieb der einzelnen Dienste und für den Zugriff auf die Konfigurationsober-
flächen notwendig sind. Klicken Sie auf Eine neue Systemzugangsregel hinzufügen um eine
neue Regel für den Systemzugriff zu erstellen.
Quellschnittstelle
Legen Sie fest, aus welcher Zone oder über welche Schnittstelle dieser Zugriff geregelt werden
soll.
Dienst/Port:
Weiterhin können Sie auch festlegen, auf welchen Ziel-Port und über welches Protokoll diese
Regel angewendet wird. Hier können Sie entweder einen Dienst aus der Vorauswahl wählen,
so dass Port und Protokoll bereits voreingestellt werden oder benutzerdefiniert Port und
Protokoll selber festlegen.
Aktion
Stellen Sie ein, ob der Zugriff gewährt, abgelehnt (ohne Rückmeldung) oder abgewiesen
(Meldung an den Sender) werden.
Anmerkung
Geben Sie hier der Regel eine Beschreibung, um sie einfacher wieder aufzufinden.
Firewall 64
Konfiguration Schulrouter Plus
Position
Auch hier ist die Priorität der Firewallregel durch ihre Position in der Liste aktueller Regeln
festgelegt. Hier können Sie die Position der neuen bzw. bearbeiteten Regel festlegen.
Aktiviert
Anhaken zum Aktivieren der Regel (Standard).
ê
!
Nachdem Regeln erstellt oder bearbeitet wurden, muss die Änderung immer noch übernommen
werden. Ist dies nötig, erscheint oben auf der Seite eine Meldung mit dem entsprechenden Schalter!
Firewall 65
Konfiguration Schulrouter Plus
7 Hauptmenü Proxy
7.1 HTTP
7.1.1 Konfiguration
Der integrierte HTTP-Proxy ist ein vollwertiger Proxy, der als Vermittler der Daten zwischen Netz-
werkverkehr und dem integrierten Schulfilter Plus agiert und auch Webobjekte zwischenspeichern
kann. Außerdem bietet der integrierte Proxy weitere grundsätzliche Einstellungsmöglichkeiten zur
Filterung des Datenverkehrs und zur Authentifizierung.
Um den Datenverkehr über den Schulfilter Plus zu leiten, muss der Proxy für die entsprechende
Schnittstelle aktiviert sein. Sie können in dieser Übersicht den Proxy für jede Schnittstelle aktivieren
oder deaktivieren.
So können Sie beispielsweise Ihr Schüler-Netz (z.B. im Grünen Netz) über den Schulfilter Plus filtern
lassen und für Ihr Verwaltungsnetz separat den Proxy deaktivieren, so dass die Verwaltungsrechner
(z.B. im Blauen Netz) ohne Filterung und ohne weitere Einstellungen am Filter vorbei gehen können.
ê
! Ist an einem Client noch ein Proxy eingestellt, so gibt der Browser eine Fehlermeldung zurück.
Proxy 66
Konfiguration Schulrouter Plus
Keine Authentifizierung
Der Proxy ist aktiviert. Um den Proxy zu nutzen, muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden.
Authentifizierung benötigt
Der Proxy ist aktiviert. Um den Proxy zu nutzen muss am Client die Einstellung zur Nutzung
eines Proxys gesetzt werden. Weiterhin ist die Anbindung des Proxy an einen Verzeichnisdienst
notwendig, so dass die Anmeldedaten des Clients abgefragt werden und auch an den Schul-
filter Plus weitergegeben werden können.
Transparent
Der Proxy ist aktiviert und fängt selbständig alle http-Anfragen (über Port 80) ein. Es muss
am Client für den http-Verkehr kein Proxy eingetragen werden. In diesem Fall ist aber keine
Authentifizierung gegen einen Verzeichnisdienst möglich.
Proxy Port
Wenn Sie den Proxy nicht transparent einsetzen wollen, müssen Sie einen Port wählen, der
bei den Clients eingestellt wird. Standardmäßig ist der Port 800 eingestellt, da dabei die
Gefahr einer Mehrfachnutzung durch andere Programme relativ klein ist.
Achten Sie beim Einstellen des Ports darauf, dass keine anderen Programme auf Ihren Clients
diesen Port beanspruchen.
Sichtbarer Hostname
Zeigt in Fehlermeldungen des Schulrouter Plus nicht den Hostnamen, sondern den hier
eingetragenen Namen an.
Proxy 67
Konfiguration Schulrouter Plus
Hier werden die zulässigen Ziel-Ports geführt, über die HTTP(S)-Anfragen an den Schulrouter Plus
gesendet werden dürfen, um weitergeleitet zu werden.
7.1.1.2 Log-Einstellungen
Log aktiviert
Aktivieren Sie hier die Protokollierung aller Aktivitäten über den http-Proxy. Sie können das
Protokoll in den >Proxy-Logdateien< einsehen. Diese Daten zu sammeln kann Datenschutz-
richtlinien und die Privatsphäre der Benutzer verletzen. Bitte prüfen Sie die Datenschutzricht-
linien Ihres Bundeslandes.
Diese Einstellung ist unabhängig von der Protokollierung des Schulfilter Plus, kann also für
eine reine Protokollierung der Filterereignisse ausgeschaltet bleiben.
Proxy 68
Konfiguration Schulrouter Plus
ê
!
Wenn Sie die IP-Adressen und dementsprechend auch den Adressbereich ändern
(also bspw. 1 9 2 . 1 6 8 . 0 . 1 ü 1 9 2 . 1 6 8 . 1 0 0 . 1 ), müssen Sie den Bereich auch hier manuell
ändern! Alternativ können Sie das komplette Feld leeren und Speichern klicken. Dann holt sich der Proxy
automatisch die richtigen Einstellungen.
Beispiel:
Solange der Proxy-Zugriff untereinander deaktiviert ist, werden Anfragen gewöhnlich nach ROT weiter
geleitet. Wenn aber ein Client von Blau auf einen Web-Server in Grün zugreifen möchte, dann nimmt
der Proxy-Server eine interne Abkürzung zwischen den Schnittstellen Grün und Blau, unabhängig von
jeglichen Firewall-Regeln.
ê
!
Um die Server zu schützen, wird empfohlen diese Option zu aktivieren und falls notwendig den
Zugriff über den internen Datenverkehr zu regeln.
Proxy 69
Konfiguration Schulrouter Plus
Gesperrte IP-Adressen/MAC-Adresse
Alle in diesen Feldern angegebenen IP- bzw. MAC-Adressen bekommen beim Versuch über
den http-Proxy ins Internet zu gelangen die Fehlermeldung “Zugriff verweigert”.
MAC-Adressen müssen im Format 0 0 - 0 0 - 0 0 - 0 0 - 0 0 - 0 0 oder 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
eingegeben werden.
Sie können hier die Größe des Cache im Arbeitsspeicher (RAM) und auf der Festplatte definie-
ren. Der Cache im RAM ist viel schneller und Strom sparender als auf der Festplatte. Er sollte
aber nicht zu groß gewählt werden, da sonst andere Dienste beeinträchtigt werden könnten.
Weiterhin können Sie auch festlegen, welche Größe die zwischengespeicherten Objekte
mindestens und maximal haben dürfen.
Mit der Option „Aktiviere Offline-Modus“ werden die zwischengespeicherten Objekte nicht
auf dem Server auf Aktualität überprüft und es wird beim Abrufen auch auf evtl. veraltete
Objekte zugegriffen.
Im Eingabefeld „Diese Domains nicht zwischenspeichern“ können Sie eine Liste von Domains
führen, von denen keine Objekte zwischengespeichert werden sollen. Objekte dieser Domains
werden also immer direkt vom Server geholt.
Die Einträge müssen immer mit einem Punkt beginnen und es muss für jede Domain eine neue Zeile
verwendet werden.
Proxy 70
Konfiguration Schulrouter Plus
Geben Sie zuerst den Hostnamen mit dem Proxyport in dem Format Hostname:Port an.
Verlangt der vorgelagerte Proxy, dass Sie sich authentifizieren, geben Sie darunter
Benutzername und Passwort ein.
Auf der rechten Seite können Sie festlegen, welche Daten mit an den Proxy übergeben
werden. So kann die IP-Adresse und der Benutzername des Clients weitergegeben werden.
Proxy 71
Konfiguration Schulrouter Plus
7.1.2 Authentifizierung
Authentifizierungscache TTL
Gibt in Minuten an, wie lange die Session der Anmeldung bestehen bleibt. Nach Ablauf der
Zeit muss sich der Benutzer neu anmelden. Schickt der angemeldete Benutzer während dieser
Zeit eine Anfrage ab (ruft bspw. eine Internetseite auf), beginnt die Zeit von neuem.
Proxy 72
Konfiguration Schulrouter Plus
Benutzer/IP-Cache TTL
Gibt an, für welche Dauer die Beziehung von IP-Adresse zu Anmeldename gespeichert wird.
Diese Einstellung macht nur Sinn, wenn die Begrenzung von IP-Adressen pro Benutzer
genutzt wird. Meldet sich ein Benutzer an einem Client-PC an und wird die Begrenzung der
IP-Adressen bspw. auf eins gestellt, kann er sich erst wieder an einem anderen Client-PC
anmelden, sobald die hier eingegebene Zeit abgelaufen ist. Ist der Wert auf 0 gesetzt, besteht
keine Beschränkung.
Authentifizierungs-Realm Anzeige
Die hier eingegebene Bezeichnung wird auf der Anmeldmaske als Name des Proxy angezeigt.
Für die Anbindung eines Active Diretories über die Authentifizierungsmethode „Windows“
muss hier der FQDN-Domänenname stehen.
Proxy 73
Konfiguration Schulrouter Plus
Über den Button Benutzerverwaltung können Sie die Benutzer anlegen und bearbeiten.
Min. Passwordlänge
Geben Sie an, wie lang ein Passwort mindestens sein darf.
7.1.2.1.1 Benutzerverwaltung
Dies ist die Oberfläche, auf der die gesamte Benutzerverwaltung vorgenommen werden kann. Im
oberen Bereich sind die Eingabefelder, mit denen Sie neue Benutzer anlegen, bzw. Benutzer bearbeiten
können, im unteren Bereich die Übersicht der vorhandenen Benutzer. In der Übersichts-tabelle werden
die angelegten Benutzer nach Benutzernamen sortiert.
Gruppen
Hier können Sie den Benutzer einer bestimmten Gruppe zuordnen. Diese muss vorher bei den
>Gruppenregeln< erstellt worden sein.
Benutzer anlegen
Um einen neuen Benutzer anzulegen, geben Sie die entsprechenden Benutzerdaten in die
Eingabefelder ein und wählen Sie eine entsprechende Gruppe. Nachdem Sie auf den Button
Benutzer erstellen klicken, erscheint der neue Benutzer in der Liste darunter.
Benutzer bearbeiten
Um vorhandene Benutzer zu bearbeiten, klicken Sie auf das Stift-Symbol in der Zeile des
entsprechenden Benutzers. Daraufhin erscheinen die Daten in der Eingabemaske oben.
Sie können bei dem zu bearbeitenden Benutzer nur Passwort und Gruppe ändern, nicht den
Benutzernamen. Wenn Sie die Einstellungen vorgenommen haben, klicken Sie auf den Button
Benutzer aktualisieren.
Benutzer löschen
Um einzelne Benutzer zu löschen, klicken Sie auf das Papierkorp-Symbol am Ende der Zeile.
Proxy 74
Konfiguration Schulrouter Plus
7.1.2.2 LDAP
Diese Einstellung wird verwendet, um ein LDAP-Server anzubinden.
Base DN
Der „base distinguished name“, ist der Startpunkt der LDAP-Suche. Standardmäßig kann hier
der Domänenname verwendet werden.
LDAP Server
Die IP-Adresse Ihres LDAP-Servers
LDAP-Typ
Hier können Sie wählen ob Sie ein Active Directory, Novell eDirectory, LDAP Server Version 2
oder einen LDAP Server Version 3 verwenden.
Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 389.
Bind DN Benutzername/Passwort
Der vollständige Benutzername und das Passwort eines Benutzers, der die Berechtigung
besitzt Benutzerattribute auszulesen.
Beispiel für den Benutzer Administrator eines Active Directory mit der Domäne schule.local:
cn=administrator,cn=users,dc=schule,dc=local
Proxy 75
Konfiguration Schulrouter Plus
7.1.2.3 Windows
Diese Einstellung wird verwendet, um ein Active Directory anzubinden.
Domäne
Geben Sie hier Ihren Domänenamen ein. Nutzen Sie die kurze Variante (NETBIOS), z.B.: schule
PDC Hostname
Der Hostname des primären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<
BDC Hostname
Der Hostname des sekundären Active Directory-Servers. Der hier angegebene Hostname muss
vom Schulrouter Plus aufgelöst werden können. Z.B.: über >Hosts bearbeiten<
Benutzername/Passwort
Zugangsbeschränkungen
Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.
ê !
Mit dem Klick auf Domäne beitreten wird der Schulrouter Plus nur als Computer in der
Domäne angelegt und erst mit Speichern wird die Einstellung auch gespeichert übernommen.
Proxy 76
Konfiguration Schulrouter Plus
7.1.2.4 Radius
Diese Einstellung wird verwendet, um einen Radius-Server anzubinden.
RADIUS Server
Die IP-Adresse Ihres LDAP-Servers
Port
Der Port auf dem der LDAP-Server die Anfrage erwartet. Der Standardport ist 1645.
Kennung
Eine zusätzliche Kennung (Identifier) des Radius-Servers.
Shared secret
Das Kennwort für die Signierung der Kommunikation.
Zugangsbeschränkungen
Hier können Sie in den sich darunter öffnenden Eingabefeldern Benutzern das Surfen über
den http-Proxy erlauben oder verbieten.
Proxy 77
Konfiguration Schulrouter Plus
7.1.3 Standardrichtlinie
Die Standardrichtlinie gilt für alle Hosts, die über den HTTP-Proxy surfen.
Sie können hier einschränken welche Browser verwendet werden dürfen, welche Dateitypen
aufgerufen werden dürfen und die maximale Größe von Downloads festlegen.
Aktivieren Sie zunächst die Funktion „Zulässige Clients für Webzugriffe beschränken„ und
wählen Sie dann unten die Programme aus, mit denen der Internetzugriff gewährt werden soll.
ê
! Beachten Sie, dass dadurch eventuell AntiVirus-Updates oder andere Programme blockiert werden.
Möchten Sie es bspw. erlauben, dass auch mit einem Browser Videos angesehen werden können,
muss zusätzlich zu dem Browser auch der Windows Media Player aktiviert werden.
Alle hier nicht aufgeführten Programme werden dann blockiert.
Proxy 78
Konfiguration Schulrouter Plus
Dateitypen blockieren
Um den Zugriff auf bestimmte Dateitypen zu verhindern, können Sie die zu blockierenden
Dateitypen in Form von MIME-Types hier angeben.
Beispiele:
application/octet-stream für ausführbare Dateien (*.bin *.exe *.com *.dll)
text/javascript für JavaScript (*.js)
Eine Übersicht der gängigen MIME-Types bekommen Sie bspw. bei >SelfHTML<
Sie können auch Teilausdrücke nutzen, so dass mit dem Eintrag javascript sowohl
i “application/x-javascript” als auch “text/javascript” unterbinden.
Proxy 79
Konfiguration Schulrouter Plus
7.1.4 Antivirus
Hier können Sie die Virus-Scan-Engine, die vom HTTP-Proxy verwendet wird, konfigurieren.
i Die Aktualität des Virenscanners kann bei >Abschnitt 7.1.4 Antivirus< überprüft werden.
Proxy 80
Konfiguration Schulrouter Plus
7.1.5 Gruppenregeln
Hier können Sie bei Nutzung der Authentifizierungsmethoden Lokal oder Windows Gruppen
erstellen oder hinzufügen.
Bei der Nutzung der Authentifizierungsmethode Windows importieren Sie hier nach dem erfolg-
reichen Anbinden des Schulrouter Plus an die Domäne die Gruppen, denen der Zugriff über den
http-Proxy gewährt werden soll.
Bei Nutzung der Authentifizierungsmethode Lokal erstellen und bearbeiten Sie hier die Gruppen,
denen die Benutzer in der Benutzerverwaltung (L) zugeordnet sein müssen.
Das Richtlinien-Profil definiert die Einschränkungen bei der Nutzung des http-Proxys. Benutzer-
gruppen mit dem Profil „Standardeinstellungen“ nutzen den http-Proxy mit allen eingestellten
Einschränkungen der >Standardrichtlinie<.
Benutzergruppen mit dem Profil „Uneingeschränkt“ umgehen diese Einstellungen.
Proxy 81
Konfiguration Schulrouter Plus
7.2 POP3
In diesem Abschnitt können Sie den POP3-Proxy für eingehende E-Mails konfigurieren.
Hier können Sie den POP3-Proxy für jedes einzelne Netzsegment aktivieren. Es ist weiterhin
möglich, den Virusscanner und Spamfilter für eingehende E-Mails zu aktivieren.
Proxy 82
Konfiguration Schulrouter Plus
Hier definieren Sie, wie sich der POP3-Proxy mit aktiviertem Spamfilter verhält, wenn er eine
Spam-Nachricht entdeckt.
Spam Betreffzeile
Dieser Eintrag wird vor den Betreff der Originalnachricht geschrieben.
benötigte Punktezahl
Diese Einstellung legt fest, bei welcher Punktzahl eine E-Mail als Spam definiert wird.
Die Anzahl der vergebenen Punkte wird durch die einzelnen Prüfalgorithmen des Spamfilters
festgelegt und addiert.
Proxy 83
Konfiguration Schulrouter Plus
ê
! Dies wird zu einer eheblichen Auslastung des Schulrouter Plus führen.
Whitelist/Blacklist
Hier können Absenderadressen definieren, die nie bzw. immer als Spam erkannt werden
sollen. Sie können hierbei auch Platzhalter verwenden (z.B. *@example.com)
7.3 FTP
Der FTP-Proxy ist nur als transparenter Proxy einsetzbar. Dies erlaubt das Scannen von Viren bei
FTP-Downloads.
ê
!
Die Transparenz greift nur auf den Standardport 21 zu. Das heißt: Wenn Sie Ihre Clients
einstellen, und Sie den http-Proxy für alle Ports verwenden, wird der FTP-Proxy umgangen.
Sie können hier den FTP-Proxy für die einzelnen Netzsegmente aktivieren und folgende Einstellungen
vornehmen:
Proxy 84
Konfiguration Schulrouter Plus
7.4 SMTP
Der SMTP-Proxy kann ausgehender E-Mails weiterleiten und filtern.
Der Einsatzbereich des SMTP-Proxys ist, den SMTP-E-Mail-Verkehr zu steuern, zu optimieren und Ihr
Netzwerk vor Angriffen über das SMTP-Protokoll zu schützen.
7.4.1 Hauptseite
Dies ist der Hauptschnitt zur generellen Konfiguration des SMTP-Proxys. Er beinhaltet folgende
Einstellungsmöglichkeiten:
Aktiviert
Dies aktiviert den SMTP-Proxy, so dass er SMTP-Anfragen auf Port 25 annimmt.
Transparent
Wenn die Transparenz aktiviert ist, werden alle Anfragen an den Zielport 25 abgefangen und
an den SMTP-Proxy weitergegeben, ohne dass bei dem Client ein Proxy eingestellt sein muss.
Virusprüfung aktiviert
Aktivieren Sie die Antivirenprüfung der ausgehenden E-Mail. Die Konfiguration kann im
Abschnitt >Antivirus< vorgenommen werden.
Spamprüfung aktiviert
Aktivieren Sie diese Option, um ausgehende E-Mails auf Spamnachrichten zu prüfen. Die
Konfiguration kann im Abschnitt >7.4.3 Spam< vorgenommen werden.
Proxy 85
Konfiguration Schulrouter Plus
Blockiere Dateiendungen
Aktivieren Sie diese Option, um E-Mails mit bestimmten Dateianhängen zu blockieren. Die
Konfiguration kann im Abschnitt >7.4.4 Dateierweiterungen< vorgenommen werden.
Sie müssen weiterhin die E-Mail-Domains definieren für die der SMTP-Server verantwortlich sein
i soll. Sie können diese im Abschnitt “Domains” (L) definieren.
Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.
Proxy 86
Konfiguration Schulrouter Plus
7.4.2 Antivirus
Die Antivirenprüfung ist eine der Hauptaufgaben des SMTP-Proxys. Drei Reaktionen können festgelegt
werden, wenn einen virenbefallene E-Mail versendet wird. Es ist auch möglich eine E-Mail -Adresse für
Benachrichtigungen festzulegen:
Standardeinstellung
Sie können zwischen drei Reaktionen auf infizierte E-Mails wählen:
“Verwerfen”: Die infizierte E-Mail wird sofort gelöscht.
“Zurückschicken”: Die Nachricht wird nicht zugestellt und der Absender bekommt eine
Benachrichtigung.
“Annehmen”: Die E-Mail wird normal zugestellt.
Virus Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert
· Virus-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab
· E-Mail-Adresse – Wenn Sie eine gültige E-Mail-Adresse angeben, werden infizierte
E-Mails dorthin weitergeleitet
Um die Einstellungen zu übernehmen klicken Sie unten auf Speichern und Neustart.
Proxy 87
Konfiguration Schulrouter Plus
7.4.3 Spam
Der Antispamschutz des Schulrouter Plus kennt verschiedene Wege, um Sie vor Spammails zu
schützen: Regelbasierter Spamfilter und Greylisting. Wobei beim Greylisting wird die Nachrichten von
unbekannten (noch nie zugestellt) Absendern zuerst abgewiesen und erst nach einer gewissen Zeit
angenommen.
Während die meisten einfachen Spamnachrichten von bekannten Mailservern versendet und vom
Spamfilter geblockt werden, verändern Spammer ständig beim Versenden ihre Nachrichten. Dafür
ist es absolut notwendig, den Spam-Filter zu trainieren, um einen für Sie wirkenden Spamschutz zu
bekommen.
Spam Quarantäne
Hier können Sie festlegen, welche Art von Quarantäne verwendet werden soll.
Gültige Werte sind:
· Feld leer lassen – Die Quarantäne wird deaktiviert.
· Spam-quarantine – Dies legt die E-Mails als Datei direkt auf dem Schulrouter Plus im
Verzeichnis /var/amavis/virusmails ab.
· E-Mail-Adresse – wenn Sie eine gültige E-Mail-Adresse angeben, werden infizierte E-Mails
dorthin weitergeleitet.
Proxy 88
Konfiguration Schulrouter Plus
Spam Kennzeichnungsstufe
Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird, wird
dem Header der Nachricht die Tags X-Spam-Status und X-Spam-Level hinzugefügt. Diese
beschreiben welche Regeln mit welchem Punkten gegriffen hat.
Spam Markierungsstufe
Wenn die angegebene Summe der addierten zutreffenden Regeln überschritten wird, wird die
Nachricht als Spam eingestuft und wie in “Spam Subjekt” angegeben die Kopfzeile erweitert.
Spam Subjekt
Hier können Sie festlegen, welche Nachricht in die Kopfzeile der zugestellten Nachricht
geschrieben wird.
Der zweite Abschnitt dieser Seite enthält die Einstellungen für das Greylisting:
Greylisting aktiviert
Aktiviert die Spamprüfung mittels Greylisting.
Verzögerung
Hier könen Sie die Zeit einstellen wie lange eine Nachricht abgewiesen wird, bis sie zugestellt
wird. Dies kann ein Wert zwischen 30 und 3600 Sekunden sein.
Whitelist Empfänger
Sie können hier E-Mail-Adressen oder ganze Domains freigeben, die nicht durch Greylisting
geprüft werden.
Whitelist Client
Sie können hier Mailserver freigeben, die nicht durch Greylisting geprüft werden. Das heißt,
dass E-Mails, die von diesem Server eintreffen, nicht geprüft werden.
Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.
Proxy 89
Konfiguration Schulrouter Plus
7.4.4 Dateierweiterungen
Blockierte Dateierweiterungen
Hier können Sie eine oder mehrere Dateitypen wählen, die gesperrt werden.
Proxy 90
Konfiguration Schulrouter Plus
Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.
7.4.5 Blacklist-Whitelist
Eine oft genutzte Methode, um Spamnachrichten zu blockieren, sind so genannte real-time Blacklists
(RBL). Diese Listen werden von unterschiedlichen Organisationen gepflegt.
Wenn eine Domäne oder IP-Adresse in einer der aktivierten Liste aufgeführt ist, wird sie ohne
Rückmeldung abgelehnt. Dies spart Ressourcen im Vergleich zum Antispam, da hier keine E-Mail
angenommen und analysiert werden müssen.
Es gibt hier auch die Möglichkeit bestimmte Absender, Empfänger, IP-Adressen oder Netzwerke zu
sperren oder freizugeben.
Proxy 91
Konfiguration Schulrouter Plus
“bl.spamcop.net “
“zen.spamhaus.org”
“cbl.abuseat.org”
“dul.dnsbl.sorbs.net”
“list.dsbl.org”
“dsn.rfc-ignorant.org”
“ix.dnsbl.manitu.net”
Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.
Proxy 92
Konfiguration Schulrouter Plus
7.4.6 Domains
Wenn Sie auf der Hauptseite „Eingehende Mail“ aktiviert haben und Nachrichten zu einem internen
Mailserver weiterleiten wollen, müssen Sie die Domänen definieren, die vom SMTP-Proxy akzeptiert
werden sollen und welcher Ihrer Mailserver diese Nachrichten empfangen soll.
Es ist möglich mehrere Mailserver für unterschiedliche Domänen zu verwenden. Geben Sie hier
einfach die Domäne und den internen Mailserver an. Fügen Sie alle notwendigen Mailserver der Liste
hinzu.
Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.
Proxy 93
Konfiguration Schulrouter Plus
7.4.7 Mailrouting
Diese Einstellung erlaubt es Ihnen eine blind carbon copy (BCC) an eine spezielle E-Mail-Adresse zu
senden. Diese Kopie wir gesendet, sobald eine E-Mail zu einem bestimmten Empfänger oder von
einem bestimmten Absender gesendet wird.
Richtung
Legen Sie fest, ob die Kopie erstellt werden soll, wenn die Nachricht zu einem bestimmte
Empfänger oder von einem bestimmten Absender gesendet wird.
Mailadresse
Hier geben Sie die entsprechend zu prüfenden Empfänger- oder Absenderadresse an.
BCC Adresse
Dies ist die E-Mail-Adresse an die die Kopie geschickt werden soll.
Durch Klick auf Mailroute hinzufügen wird die Regel hinzugefügt und durch Klick auf Speichern
und Neustart übernommen.
ê
!
Weder Empfänger noch Absender werden informiert. Dies kann den Datenschutzrichtlinien
widersprechen!
Proxy 94
Konfiguration Schulrouter Plus
7.4.8 Erweitert
Authentifizierungsmethode
Hier können Sie die Authentifizierungsmethoden festlegen, die Ihr Smarthost unterstützt.
Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.
Proxy 95
Konfiguration Schulrouter Plus
ê
!
Wenn der Schulrouter Plus eine dynamische IP-Adresse bekommt, weil der Provider bei jeder
Einwahl eine neue Ip-Adresse vergibt, kann es sein, dass Sie Probleme beim Versenden von E-Mails
über den SMTP-Proxy bekommen. Immer mehr Mailserver überprüfen, ob ihre IP als dynamische IP-Adresse
bekannt ist und verweigert ggf. die Verbindung. Dafür kann es hilfreich sein, einen Smarthost zu verwenden.
Normalerweise können Sie den Mailserver Ihres E-Mail-Providers verwenden.
Im Abschnitt „IMAP Server für die SMTP Authentifizierung“ können Sie festlegen welcher IMAP-Server
für die Authentifizierung beim Versenden von E-Mails verwendet werden soll.
Proxy 96
Konfiguration Schulrouter Plus
Maximal Email-Größe
Die maximale Größe, die eine einzelne E-Mail haben darf.
Um die Einstellungen zu übernehmen klicken Sie unten auf Speichern und Neustart.
Proxy 97
Konfiguration Schulrouter Plus
7.5 DNS
7.5.1 DNS Proxy
Auf dieser Seite können Sie den transparenten DNS-Proxy aktivieren und konfigurieren. Sie können
den DNS-Proxy für die einzelnen Schnittstellen aktivieren und außerdem festlegen bei welchen Quell-
und Zieladressen der DNS-Proxy umgangen werden soll.
Um die Einstellungen zu übernehmen, klicken Sie unten auf Speichern und Neustart.
Hier können Sie Nameserver für bestimmte Domänen festlegen, wie z.B. den Domänencontroller Ihrer
internen Domäne.
Geben Sie dazu einfach nach dem Klick auf einen neuen benutzerdefinierten Nameserver für
eine Domain hinzufügen die Domäne und den dafür zuständigen Nameserver an.
Proxy 98
Konfiguration Schulrouter Plus
7.5.3 Anti-Spyware
Hier können Sie festlegen wie der Schulrouter Plus reagieren soll, wenn der Domänenname für bekannt
ist für “Spyware-Angriffe” bekannt ist.
Aktiviert
Wenn aktiviert, werden die Anfragen an localhost umgeleitet.
Erlaubte/Blacklist Domains
Hier eingegebene Domains werden entweder nicht oder immer als Spyware klassifiziert.
Proxy 99
Konfiguration Schulrouter Plus
8 Hauptmenü VPN
Virtual Private Networks oder VPNs erlauben es zwei Netzwerken, sich direkt über ein anderes
Netzwerk, z.B. das Internet, miteinander zu verbinden. Alle Daten werden sicher über einen
verschlüsselten Tunnel versendet, geschützt vor neugierigen Blicken. Auf die gleiche Weise kann sich
ein einzelner Computer mit einem anderen Netzwerk verbinden.
Der Schulrouter Plus kann sehr einfach VPNs zwischen anderen Schulrouter Plus aufbauen. Im
Schulrouter Plus werden VPN-Verbindungen als Netz-zu-Netz oder Host-zu-Netz definiert. Diese sind
zu 100% optional; Sie sollten diesen Abschnitt sicherheitshalber ignorieren, wenn Sie diese Funktion
nicht benutzen wollen.
Die meisten aktuellen Betriebssysteme unterstützen IPSec. Das beinhaltet Windows, Macintosh OSX,
Linux und die meisten Unix-Varianten. Unglücklicherweise bieten diese Tools sehr unterschiedliche
Unterstützungen und könnten daher schwierig einzustellen sein.
1. Verbindgunsarten
Netz-zu-Netz
Netz-zu-Netz VPNs verbinden zwei oder mehr private Netzwerke über das Internet
miteinander, indem sie einen “Tunnel” aufbauen. In einem Netz-zu-Netz VPN muss
mindestens eines der beteiligten Netzwerke per Schulrouter Plus mit dem Internet
verbunden sein. Das andere Netzwerk kann an einen Schulrouter Plus angeschlossen sein,
oder an einen an deren VPN-fähigen Router oder Firewall.
Diesen Routern/Firewalls wurde eine öffentliche IP von einem Provider zugewiesen und
sie benutzen höchstwahrscheinlich NAT (Network Address Translation). Falls gewünscht,
kann auch ein VPN zwischen den Clients in den internen Netzen und dem Schulrouter Plus
aufgebaut werden. Das stellt sicher, dass der Datenverkehr im entsprechen den Netzwerk
nicht mit Sniffern abgehorcht werden kann.
Host-zu-Netz
Eine Host-zu-Netz Verbindung besteht, wenn der Schulrouter Plus an dem einem Ende des
VPN-Tunnels steht und ein Remote- oder Mobilbenutzer am anderen Ende. Der Mobilbenutzer
ist höchstwahrscheinlich ein Laptop-Benutzer mit einer vom Provider zugewiesenen,
dynamischen öffentlichen IP. Man nennt diese Konstellation daher Host-zu-Netz oder
Roadwarrior.
VPN 100
Konfiguration Schulrouter Plus
2. Authentifizierungsmethoden
Pre-Shared Key
Die pre-shared key (PSK) Authentifizierungsmethode ist eine einfache Methode, die eine
schnelle Konfiguration von VPNs ermöglicht.
Für diese Methode geben Sie eine Authentifizierungsphrase ein. Dabei kann es sich um eine
beliebige Zeichenfolge handeln, vergleichbar zu einem Passwort. Diese Phrase muss für die
Authentifizierung beim Schulrouter Plus und dem VPN-Client verfügbar sein.
Die PSK-Methode benötigt weniger Schritte als bei einer Authentifizierung über Zertifikate.
Sie kann verwendet werden, um Verbindungstests durchzuführen und Erfahrungen beim
Aufbau einer VPN-Verbindung zu sammeln.
Die System-Uhrzeiten an jedem Ende des VPN-Tunnels sollten aktuell sein, bevor das VPN
i konfiguriert wird.
VPN 101
Konfiguration Schulrouter Plus
X.509 Zertifikate
X.509 Zertifikate stellen einen sehr sicheren Weg für die Verbindung von VPN-Servern dar.
Um X.509-Zertifikate zu implementieren, müssen Sie entweder die Zertifikate auf dem Schulrouter
Plus erzeugen oder durch eine andere Zertifizierungsstelle in Ihrem Netzwerk ausstellen lassen.
X.509 Begriffe
X.509 Zertifikate auf dem Schulrouter Plus und vielen anderen Implementierungen werden über
OpenSSL verwaltet. SSL (Secure Socket Layer) hat seine eigenen Begriffsdefinitionen.
X.509 Zertifikate enthalten, abhängig vom Anwendungsfall, öffentliche und private Schlüssel,
Passphrasen und Informationen über die zugehörige Funktionseinheit. Diese Zertifikate dienen dazu,
von Zertifizierungsstellen (Certificate Authorities oder CA) validiert zu werden.
Webbrowser beinhalten die CAs von öffentlichen Zertifizierungsstellen. Ein Host-Zertifikat wird von
der dazugehörigen CA validiert. In privaten Netzwerken oder einzelnen Hosts kann die CA auf einer
lokalen Maschine liegen. Im Falle von Schulrouter Plus ist dies der Schulrouter Plus selbst.
Zertifizierungsanfragen sind Anfragen für X.509 Zertifikate, die von CAs signiert (digital unter-
schrieben) werden.
Dabei entsteht aus der Anfrage das eigentliche Zertifikat, das dann zum Anforderer zurückgeschickt
wird. Dieses Zertifikat ist dann der CA bekannt, da es durch sie ausgestellt wurde.
X.509 Zertifikate können in drei verschiedenen Formaten gespeichert werden, die Anhand der
Dateiendung erkannt werden können. PEM ist das Standard-Format für OpenSSL. Es kann alle zum
Zertifikat gehörenden Informationen in lesbarer Form enthalten. Das DER-Format enthält nur die
Key-Informationen und keine separaten X.509-Informationen. Dies ist das Standard-Format für die
meisten Browser.
Das PEM-Format ergänzt das DER-Format durch Kopf-Informationen. PKCS#12, PFK oder P12 Zertifikate
enthalten im Binärformat dieselben Informationen wie PEM-Dateien. Mit dem OpenSSL-Kommando
können die Formate untereinander konvertiert werden. Um ein Zertifikat benutzen zu können, muss
es der Gegenstelle bekannt gemacht werden. Die IPSec-Implementierung vom Schulrouter Plus
enthält ihre eigene, selbst erstellte CA.
CAs können auch auf Roadwarrior-Maschinen laufen. Wenn die IPSec-Implementierung auf den
Roadwarrior-Maschinen keine eigenen CA-Fähigkeiten besitzt, können Sie eine Zertifikatsanforderung
(Request) erstellen, die dann von der CA des Schulrouter Plus signiert wird. Das daraus resultierende
Zertifikat kann dann auf der Roadwarrior-Maschine importiert werden.
VPN 102
Konfiguration Schulrouter Plus
Hier können Sie den OpenVPN Server aktivieren, um eine VPN-Verbindung zu diesem Schulrouter Plus
von einem einzelnen PC oder einem anderen Schulrouter Plus aufzubauen.
Weiterhin legen Sie fest, welcher IP-Bereich aus dem Grünen Netz für die VPN-Clients zur Verfügung
gestellt wird.
Mit dem Button Speichern und Neustart übernehmen Sie die Einstellungen und starten den
OpenVPN Server.
Im Abschnitt Verbindungsstatus und –kontrolle werden die momentan aufgebauten
VPN-Verbindungen angezeigt.
Dort ist es möglich VPN-Verbindungen zu trennen (kill) oder die dazugehörigen Benutzer zu verban-
nen (ban). In beiden Fällen wird die VPN-Verbindung getrennt. Mit „ban“ hat der verbannte Benutzer
nicht mehr die Möglichkeit sich wiederzuverbinden.
VPN 103
Konfiguration Schulrouter Plus
8.1.2 Konten
Account Information
Benutzername
Anmeldename des Benutzers
Client Routing
Den gesamten Client Datenverkehr über den VPN Server leiten.
Wenn Sie dies auswählen, wird sämtlicher Datenverkehr des Clients (unabhängig von der
Richtung) durch den Schulrouter Plus geleitet. Ohne diese Funktion wird nur der Verkehr
mit dem den internen Zonen des Schulrouter Plus als Ziel über den VPN-Tunnel gesendet und
bspw. kein Internetverkehr.
VPN 104
Konfiguration Schulrouter Plus
Domäne pushen
Pushen Sie einen Domänennamen zum VPN-Client.
In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden (z.B.
1 9 2 . 1 6 8 . 1 0 . 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an: http://www.heise.
de/netze/lib/netzwerk-rechner.shtml (L)
Wenn Sie planen zwei oder mehr Netzwerke hinter einem Schulrouter Plus miteinander zu verbinden
(Gw2Gw), ist es zu empfehlen in diesen Netzwerken jeweils unterschiedliche Subnetze zu wählen.
Zum Beispiel hat eine Gegenstelle ein Grünes Netz mit 1 9 2 . 1 6 8 . 1 . 0 / 2 4 und die andere benutzt
1 9 2 . 1 6 8 . 2 . 0 / 2 4 . Nur auf diesem Weg funktionieren die automatisch generierten Routen.
VPN 105
Konfiguration Schulrouter Plus
8.1.3 Erweitert
Mit diesem Reiter können Sie die erweiterten Einstellungen bearbeiten. Neben anderen Einstellungen
können Sie hier auch festlegen, wie die Authentifizierung erfolgen soll (Benutzer/Passwort oder über
Zertifikat).
Der erste Abschnitt Erweiterte Einstellungen beinhaltet allgemeine Einstellungen für den
OpenVPN-Server:
Port / Protokoll
Port 1194 und Protokoll UDP sind die Standardeinstellungen. Es ist zu empfehlen diese zu
belassen wie sie sind.
VPN 106
Konfiguration Schulrouter Plus
Domäne pushen
Wenn aktiviert, werden die festgelegten Domänennamen zu den VPN-Clients gepusht.
In all diesen Feldern müssen Adressen und Netzwerke in der CIDR-Notation angegeben werden
(z.B. 1 9 2 . 1 6 8 . 1 0 . 0 / 2 4 ). Einen nützlichen Netzwerkrechner dafür bietet heise.de an:
http://www.heise.de/netze/lib/netzwerk-rechner.shtml
Standardmäßig nutzt der Schulrouter Plus die Methode PSK (Benutzername/Passwort) zur
Authentifizierung. Wenn Sie PSK weiterhin nutzen möchten, müssen Sie in diesem Abschnitt nichts
verändern.
Der Link „CA Zertifikat herunterladen“ stellt das CA-Zertifikat für diesen OpenVPn-Server zur
Verfügung. Dieses Zertifikat benötigen Sie am Client zum Herstellen der VPN-Verbindung. Weiterhin
können Sie dieses Zertifikat im PKCS#12-Format mit dem Link Exportiere CA als PKCS#12 Datei
herunterladen. Dies können Sie in den Fallback-Server importieren.
Letztendlich können Sie ein PKCS#12-Zertifikat hochladen, wenn dieser Schulrouter Plus ein Fallback-
Server sein soll.
Wenn Sie dennoch die Methode „X.509 Zertifikat“ (entweder nur mit Zertifikat oder auch zusammen
mit PSK) verwenden möchten, wird die Einrichtung etwas komplizierter. Verwenden Sie dazu die
separate Anleitung zu diesem Thema.
VPN 107
Konfiguration Schulrouter Plus
In diesem Abschnitt können Sie die Client-Seite der Gw2Gw-Verbindung (Gateway zu Gateway)
zwischen zwei Schulrouter Plus einrichten.
Klicken Sie auf Tunnelkonfiguration hinzufügen, um die Informationen über den oder die
entsprechenden OpenVPN-Server einzutragen:
Verbinden mit
Hier wird der externe Hostname eingetragen, über den der OpenVPN-Server erreichbar ist.
Die Portangabe ist optional und nur nötig falls nicht der Standardport 1194 verwendet wird.
Zertifikat hochladen
Wenn der OpenVPN-Server auf dem Schulrouter Plus der Gegenstelle für die Authentifi-
zierungsmethode PSK konfiguriert ist, müssen Sie hier dessen Hostzertifikat (CA-Zertifikat)
hochladen. Andernfalls, wenn auf Basis von Zertifikaten authentifiziert wird, müssen Sie das
PKCS#12-Zertifikat angeben.
VPN 108
Konfiguration Schulrouter Plus
Benutzername / Passwort
Wenn die Gegenstelle für PSK-Authentifizierung (Benutzername und Passwort) oder Zertifikat
+ PSK konfiguriert ist, geben Sie hier die entsprechenden Zugangsdaten ein.
Anmerkung
Tragen Sie hier Ihren Kommentar zu der Verbindung ein.
Verbindungstyp
“gerouted” (Der Schulrouter Plus-Client agiert als Gateway für das remote LAN) oder
“gebridget” (Als wäre der Schulrouter Plus-Client Bestandteil des remote LAN).
Standard ist „geroutet“.
NAT
Wählen Sie dies aus, wenn Anfragen von Clients hinter dem Schulrouter Plus-Client versteckt
werden sollen und nur die IP des Schulrouter Plus die Gegenstelle erreicht.
Protokoll
UDP (Standard) oder TCP, entsprechend der Einstellung der Gegenstelle.
HTTP Proxy
Wenn Ihr Schulrouter Plus das Internet nur über einen externen HTTP-Proxy erreicht, können
Sie hier die Zugangsdaten des vorgelagerten Proxies eingeben.
Klicken Sie auf Speichern um das Konto anzulegen oder zu speichern. Sie können jederzeit die an-
gelegten Tunnel de-/aktivieren, Bearbeiten oder Löschen durch klick auf das entsprechende Symbol.
VPN 109
Konfiguration Schulrouter Plus
8.3 IPSec
Globale Einstellungen
Geben Sie die VPN-Server-Details ein, entweder den vollen Domainnamen oder die öffentliche
IP-Adresse von der ROT-Schnittstelle. Wenn Sie einen dynamischen DNS-Service benutzen, sollten Sie
hier den dynamischen DNS-Namen benutzen.
Aktivieren Sie VPN auf dem Schulrouter Plus, indem Sie das Feld “lokaler VPN Hostname/IP”
ausfüllen, das Kästchen Aktivieren anhaken und dann auf den Speichern-Button drücken.
Um ein VPN mit einem internen Netz außer Grün herstellen zu können, müssen Sie das
entsprechende Kästchen VPN auf BLAU/ORANGE aktivieren.
Zertifizierungsstellen
Erzeugen der Zertifikate für den Schulrouter Plus
Um eine Schulrouter Plus Zertifikats-Authority oder CA zu erstellen, geben Sie einen Namen für Ihre
Organisation o.ä. in das entsprechende Textfeld ein. Der gewählte Name sollte sich vom Hostnamen
des Schulrouter Plus unterscheiden, um Missverständnisse zu vermeiden. Zum Beispiel “srpa” für
Benutzer und “srp” für den Hostnamen.
Dann klicken Sie auf den Button Erzeuge Root/Host Zerti-fikate. Die Seite zur Erstellung von
“Root/Host Zertifikaten” erscheint. Füllen Sie das Formular aus und beide, ein X.509 Root und Host
Zertifikat, werden erzeugt.
Ihre Abteilung
Dies ist der Abteilungs- oder Unterabteilungsname. Um das Schulbeispiel weiterzuführen,
könnten dies die Offenburger Grund- und Hauptschulen sein.
Stadt
Die Stadt oder Postanschrift Ihrer Maschine.
Land
Dieses Pull-Down-Menü beinhaltet jeden bekannten ISO-Ländernamen. Benutzen Sie dieses
zur Auswahl des Landes, das zum Zertifikat passt.
Nach dem vollständigen Ausfüllen des Formulars klicken Sie auf den Button Erzeuge Root/Host
Zertifikate, um die Zertifikate zu erzeugen.
VPN 111
Konfiguration Schulrouter Plus
Verbindungstyp
Wählen Sie entweder Host-zu-Netz für mobile Anwender, die Zugriff zum grünen Netzwerk
benötigen, oder Netz-zu-Netz, um Benutzern eines anderen Netzwerks Zugang zu Ihrem
Grünen Netzwerk zu erlauben.
Wählen Sie den Verbindungstyp, den Sie erstellen möchten und klicken Sie auf den Button
Hinzufügen.
Die nächste Seite die erscheint, beinhaltet zwei Bereiche. Der Verbindungs-Bereich kann je nach dem
hinzuzufügenden Verbindungstyp variieren. Der Authentifizierungs-Bereich bleibt gleich.
PC-zu-Netz Verbindung
Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen), um diese
Verbindung zu identifizieren.
Schnittstelle
Wählen Sie die Netzwerk-Schnittstelle, mit der sich der Roadwarrior verbinden soll.
Die Auswahl der roten Schnittstelle erlaubt es dem Roadwarrior, sich vom Internet aus zu
verbinden. Die Auswahl einer internen Schnittstelle erlaubt es dem Roadwarrior, sich über
ein lokales Netzsegment mit dem Grünen Netzwerk zu verbinden.
Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks definiert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.
Anmerkung
Hier können Sie eine optionale Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.
Aktivieren
Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.
Erweiterte Einstellungen bearbeiten
Klicken Sie das Kontrollkästchen Erweiterte Einstellungen bearbeiten, wenn fertig
an, wenn Sie die Standardeinstellungen des Schulrouter Plus für IPSec verändern wollen.
VPN 112
Konfiguration Schulrouter Plus
Netz-zu-Netz Verbindung
Name
Wählen Sie einen einfachen Namen (nur Kleinbuchstaben, ohne Leerzeichen) um diese
Verbindung zu identifizieren.
Lokales Subnetz
Lokales Subnetz entspricht dem Grünen Netzwerk. Falls gewünscht, kann ein Subnetz des
Grünen Netzwerks definiert werden, um den Zugang zum Grünen Netz für Roadwarrior
einzuschränken.
Gegenstelle/IP
Geben Sie hier die feste IP-Adresse des IPSec-Servers des entfernten Netzwerkes an. Sie
können auch den kompletten qualifizierten Domänennamen des entfernten Servers angeben.
Wenn der entfernte Server einen dynamischen DNS-Dienst benutzt, könnte es sein, dass Sie
das VPN neu starten müssen, falls sich die IP-Adresse ändert.
Anmerkung
Hier können Sie optional eine Bemerkung eingeben, welche im VPN-Verbindungsfenster des
Schulrouter Plus für diese Verbindung erscheint.
Aktivieren
Klicken Sie das Kontrollkästchen an, wenn Sie diese Verbindung aktivieren wollen.
VPN 113
Konfiguration Schulrouter Plus
Hinweise zur IPSec Terminologie IPSec benutzt die Begriffe Rechts und Links für die beiden Seiten
i einer Verbindung bzw. eines Tunnels. Diese Begriffe haben keine wirkliche Bedeutung.
Es ist am besten, wenn man sich das Ganze als „Seite A“ und „Seite B“ einer alten Langspielplatte vorstellt.
IPSec orientiert sich anhand von Netzwerkadressen und Routen. Wenn es einmal festgestellt hat, welche
Netzwerkverbindung (Rechts oder Links) zu benutzen ist, um auf die andere Seite der Verbindung zu
gelangen, folgen alle anderen Rechts/Links Parameter automatisch. Viele benutzen Links für die lokale
Seite einer Verbindung und Rechts für die entfernte Seite. Dies ist nicht notwendig.
VPN 114
Konfiguration Schulrouter Plus
9 Hauptmenü Protokolle
9.1 Zusammenfassung
Auf dieser Seite sehen Sie eine Zusammenfassung der Protokolle. Folgende Bedienungselemente sind
verfügbar:
Monat/Tag
Hier können Sie das Datum der Anzeige auswählen.
<< / >>
Durch die Nutzung der Pfeile können Sie einen Tag vor und zurück springen.
Aktualisieren
Durch den Klick hierauf wird die Anzeige aktualisiert, z.B. beim Ändern des Anzeigedatums.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Entsprechend dem Detaillierungsgrad unter Einstellungen können hier mehr oder weniger Informa-
tionen angezeigt werden.
Protokolle 115
Konfiguration Schulrouter Plus
9.2 System
Auf dieser Seite können Sie Sich verschiedene System-Protokolle ausgeben lassen. Sie können nach
Einträgen suchen, indem Sie folgende Bedienungselemente verwenden:
Abschnitt
Hier wählen Sie das Protokoll aus, das Sie einsehen möchten.
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Sie können ältere und neuere Einträge mit den Buttons Älter und Neuer aufrufen.
Protokolle 116
Konfiguration Schulrouter Plus
9.3 Dienst
In den Dienst-Protokollen können Sie die Protokolle der Dienste Einbruchsdetektierung, OpenVPN und
Antivirus in deren Abschnitte ansehen.
Sie können nach Einträgen suchen indem Sie folgende Bedienungselemente verwenden:
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Sie können ältere und neuere Einträge mit den Buttons Älter und Neuer aufrufen.
Protokolle 117
Konfiguration Schulrouter Plus
9.4 Firewall
Das Firewall-Protokoll zeigt Ihnen je nach Firewall-Log-Einstellung alle Pakete oder nur die blockierten
Pakete, die die Firewall passiert haben. Die Bedienung entspricht der der Dienst-Protokolle.
Protokolle 118
Konfiguration Schulrouter Plus
9.5 Proxy
9.5.1 http
Filter
Es werden nur Zeilen angezeigt, die das hier eingegebene enthalten.
Quell IP-Adresse
Anzeige auf bestimmte Quell-IP beschränken.
„Ignorieren“-Filter
Zeilen, die dies beinhalten, werden nicht angezeigt. Die Standardeinstellung beinhaltet Bilder,
Stylesheets und Javascript.
“Ignorieren”-Filter ein
Aktivieren Sie diese Einstellung, um den „ignorieren-Filter“ zu nutzen.
Voreinstellung wiederherstellen
Dies stellt die Filter wieder her.
Protokolle 119
Konfiguration Schulrouter Plus
Aktualisieren
Aktualisieren der Seite mit den eingestellten Werten.
Export
Hiermit können Sie die Anzeige in eine Textdatei exportieren.
Sie können ältere und neuere Einträge mit den Buttons Älter und Neuer aufrufen.
9.5.2 SMTP
9.5.3 SIP
Die Bedienung des SIP-Protokolls entspricht die der Dienst-Protokolle.
Protokolle 120
Konfiguration Schulrouter Plus
9.6 Einstellungen
Auf dieser Seite können Sie die globalen Einstellungen der Protokoll-Ansicht setzen. Folgende
Optionen können gesetzt werden:
Detaillierungsgrad
Wie viele Details sollen in der Zusammenfassung ausgegeben werden?
Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.
Protokolle 121
Konfiguration Schulrouter Plus
Syslog Server
Bestimmen Sie an welchen Server die Protkolle gesendet werden sollen. Der Server muss die
aktuellsten IETF Syslog Protocol Standards unterstützen.
Protokolle 122
Konfiguration Schulrouter Plus
11 Hauptmenü Logout
Hiermit melden Sie sich von der Schulrouter Plus-Konfigurationsoberfläche ab.
12 Anhang
12.1 Impressum
TIME for kids Informationstechnologien GmbH
Gubener Straße 47
10243 Berlin
Tel.: +49 (0)30 293 698 90
Fax: +49 (0)30 293 698 919
E-Mail: kontakt@time-for-kids.de
WWW: www.time-for-kids.de
Vertretungsberechtigte Personen:
Marian Schroeder (Geschäftsführer)
Jan Arne Schmock (Geschäftsführer)
Registergericht:
Berlin-Charlottenburg
Registernummer:
HRB 82365
Umsatzsteuer-ID gemäß § 27 a Umsatzsteuergesetz:
37/191/20440
123
Konfiguration Schulrouter Plus
12.2 Haftungsausschluss
1. Inhalt des Handbuchs
Der Verfasser übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der
bereitgestellten Informationen. Haftungsansprüche gegen den Verfasser, welche sich auf Schäden materieller
oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw.
durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich
ausgeschlossen, sofern seitens des Verfassers kein nachweislich vorsätzliches oder grob fahrlässiges
Verschulden vorliegt. Der Verfasser behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Werk
ohne gesonderte Ankündigung zu verändern, zu ergänzen oder die Veröffentlichung zeitweise oder endgültig
einzustellen.
124
Konfiguration Schulrouter Plus
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document “free” in
the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without
modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and
publisher a way to get credit for their work, while not being considered responsible for modifications made by
others.
This License is a kind of “copyleft”, which means that derivative works of the document must themselves be free
in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free
software.
We have designed this License in order to use it for manuals for free software, because free software needs free
documentation: a free program should come with manuals providing the same freedoms that the software
does. But this License is not limited to software manuals; it can be used for any textual work, regardless of
subject matter or whether it is published as a printed book. We recommend this License principally for works
whose purpose is instruction or reference.
A “Modified Version” of the Document means any work containing the Document or a portion of it, either
copied verbatim, or with modifications and/or translated into another language.
A “Secondary Section” is a named appendix or a front-matter section of the Document that deals exclusively
with the relationship of the publishers or authors of the Document to the Document’s overall subject (or to
related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document
is in part a textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship
could be a matter of historical connection with the subject or with related matters, or of legal, commercial,
philosophical, ethical or political position regarding them.
The “Invariant Sections” are certain Secondary Sections whose titles are designated, as being those of Invariant
Sections, in the notice that says that the Document is released under this License. If a section does not fit the
125
Konfiguration Schulrouter Plus
above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain
zero Invariant Sections. If the Document does not identify any Invariant Sections then there are none.
The “Cover Texts” are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts,
in the notice that says that the Document is released under this License. A Front-Cover Text may be at most 5
words, and a Back-Cover Text may be at most 25 words.
A “Transparent” copy of the Document means a machine-readable copy, represented in a format whose
specification is available to the general public, that is suitable for revising the document straightforwardly with
generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely
available drawing editor, and that is suitable for input to text formatters or for automatic translation to a
variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format
whose markup, or absence of markup, has been arranged to thwart or discourage subsequent modification by
readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy
that is not “Transparent” is called “Opaque”.
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input
format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML,
PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF
and JPG. Opaque formats include proprietary formats that can be read and edited only by proprietary word
processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the
machine-generated HTML, PostScript or PDF produced by some word processors for output purposes only.
The “Title Page” means, for a printed book, the title page itself, plus such following pages as are needed to hold,
legibly, the material this License requires to appear in the title page. For works in formats which do not have any
title page as such, “Title Page” means the text near the most prominent appearance of the work’s title,
preceding the beginning of the body of the text.
A section “Entitled XYZ” means a named subunit of the Document whose title either is precisely XYZ or
contains XYZ in parentheses following text that translates XYZ in another language. (Here XYZ stands for a specific
section name mentioned below, such as “Acknowledgements”, “Dedications”, “Endorsements”, or “History”.) To
“Preserve the Title” of such a section when you modify the Document means that it remains a section “Entitled
XYZ” according to this definition.
The Document may include Warranty Disclaimers next to the notice which states that this License applies to
the Document. These Warranty Disclaimers are considered to be included by reference in this License, but only
as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and
has no effect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided
that this License, the copyright notices, and the license notice saying this License applies to the Document are
reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may
not use technical measures to obstruct or control the reading or further copying of the copies you make or
distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough
number of copies you must also follow the conditions in section 3.
126
Konfiguration Schulrouter Plus
You may also lend copies, under the same conditions stated above, and you may publicly display copies.
3. COPYING IN QUANTITY
If you publish printed copies (or copies in media that commonly have printed covers) of the Document,
numbering more than 100, and the Document’s license notice requires Cover Texts, you must enclose the copies
in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover
Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies.
The front cover must present the full title with all words of the title equally prominent and visible. You may add
other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve
the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects.
If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as
many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either
include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque
copy a computer-network location from which the general network-using public has access to download using
public-standard network protocols a complete Transparent copy of the Document, free of added material. If you
use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies
in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least
one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that
edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing any
large number of copies, to give them a chance to provide you with an updated version of the Document.
4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3
above, provided that you release the Modified Version under precisely this License, with the Modified
Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to
whoever possesses a copy of it. In addition, you must do these things in the Modified Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of
previous versions (which should, if there were any, be listed in the History section of the Document). You may
use the same title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the
modifications in the Modified Version, together with at least five of the principal authors of the Document (all
of its principal authors, if it has fewer than five), unless they release you from this requirement.
C. State on the Title page the name of the publisher of the Modified Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the
Modified Version under the terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the
Document’s license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled “History”, Preserve its Title, and add to it an item stating at least the title, year,
new authors, and publisher of the Modified Version as given on the Title Page. If there is no section Entitled
127
Konfiguration Schulrouter Plus
“History” in the Document, create one stating the title, year, authors, and publisher of the Document as given
on its Title Page, then add an item describing the Modified Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Doc-
ument, and likewise the network locations given in the Document for previous versions it was based on. These
may be placed in the “History” section. You may omit a network location for a work that was published at least
four years before the Document itself, or if the original publisher of the version it refers to gives permission.
K. For any section Entitled “Acknowledgements” or “Dedications”, Preserve the Title of the section, and preserve
in the section all the substance and tone of each of the contributor acknowledgements and/or dedications
given therein.
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers
or the equivalent are not considered part of the section titles.
M. Delete any section Entitled “Endorsements”. Such a section may not be included in the Modified Version.
N. Do not retitle any existing section to be Entitled “Endorsements” or to conflict in title with any Invariant
Section.
O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections
and contain no material copied from the Document, you may at your option designate some or all of these
sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version’s license
notice. These titles must be distinct from any other section titles.
You may add a section Entitled “Endorsements”, provided it contains nothing but endorsements of your
Modified Version by various parties--for example, statements of peer review or that the text has been approved
by an organization as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover
Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one
of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already
includes a cover text for the same cover, previously added by you or by arrangement made by the same entity
you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission
from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for
publicity for or to assert or imply endorsement of any Modified Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms defined in
section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections
of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its
license notice, and that you preserve all their Warranty Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be
replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents,
make the title of each such section unique by adding at the end of it, in parentheses, the name of the original
author or publisher of that section if known, or else a unique number. Make the same adjustment to the section
titles in the list of Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections Entitled “History” in the various original documents,
forming one section Entitled “History”; likewise combine any sections Entitled “Acknowledgements”, and any
128
Konfiguration Schulrouter Plus
sections Entitled “Dedications”. You must delete all sections Entitled “Endorsements.”
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License, and
replace the individual copies of this License in the various documents with a single copy that is included in the
collection, provided that you follow the rules of this License for verbatim copying of each of the documents in
all other respects.
You may extract a single document from such a collection, and distribute it individually under this License,
provided you insert a copy of this License into the extracted document, and follow this License in all other
respects regarding verbatim copying of that document.
8. TRANSLATION
Translation is considered a kind of modification, so you may distribute translations of the Document under
the terms of section 4. Replacing Invariant Sections with translations requires special permission from their
copyright holders, but you may include translations of some or all Invariant Sections in addition to the original
versions of these Invariant Sections. You may include a translation of this License, and all the license notices
in the Document, and any Warranty Disclaimers, provided that you also include the original English version of
this License and the original versions of those notices and disclaimers. In case of a disagreement between the
translation and the original version of this License or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled “Acknowledgements”, “Dedications”, or “History”, the requirement
(section 4) to Preserve its Title (section 1) will typically require changing the actual title.
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this
License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will
automatically terminate your rights under this License. However, parties who have received copies, or rights,
from you under this License will not have their licenses terminated so long as such parties remain in full
compliance.
129
Konfiguration Schulrouter Plus
130