Inhaltsverzeichnis

1 Einleitung

Das Lösungspaket "Mobiles Lernen" gibt es in zwei Varianten. Die Variante 1.B und die Variante 2.B. Im nachfolgenden wird die Variante 1.B dargestellt. Informationen die nur für die Variante 2.B gelten werden extra gekennzeichnet. Die Variante 1.B enthält alle Anwendungen des Lösungspaketes "Mobiles Lernen" auf einer virtuellen Maschine, während in der Variante 2.B jede Anwendung auf einer eigenen virtuellen Maschine geliefert wird. 

Adressat dieser Anleitung

IT-Administration die für die Installation und Konfiguration der VM Schulrouter Plus mit den Lösungspaketen Netzwerksicherheit und Mobiles Lernen zuständig ist. Bei Fragen wenden Sie sich bitte unseren Service und Support.

2 Schaubild

3 Produktbeschreibung

Das Lösungspaket "Mobiles Lernen" auf einer virtuellen Maschine enthält unterschiedliche Anwendungen ist im Schuabild (Punkt 2) dargestellt. 

4 Systemvoraussetzungen

  • Prozessor

    • Multicore CPU (mindestens 4 Kerne)

      • Hardwarevirtualisierung (Intel VT-x oder AMD RVI)

      • mindestens 2GHz

      • Benchmark-Wert von mindestens 4000

  • Arbeitsspeicher

    • mindestens 8 GB

  • Festplattenspeicher

    • mindestens 50 GB

  • Netzwerk

    •  mindestens eine physische Netzwerkarte mit 1 Gbit/s

  • Internet

    • ein verfügbarer und durch die VM erreichbarer Internetanschluss

  • Virtualisierungssoftware

    • VMware

    • KVM

    • Virtual PC

    • Xen

    • Hyper-V

    • VirtualBox

5 VM erstellen

  • Downloaden Sie zuerst die VM von folgender Adresse: http://repository.time-for-kids.de/dxvm/ovf/

  • Speichern Sie sowohl die ovf-Datei als auch die vmdk-Datei.

  • Importieren Sie anschließend die VM aus dem Image in Ihren Hypervisor.

6 Konfiguration der VM

Nachdem die VM erfolgreich importiert wurde, konfigurieren Sie diese entsprechend folgender Informationen:

Eigenschaft

Einrichtung

CPU

mind. 4 Kerne

RAM

mind. 8 GB

Netzwerkkarten

Es werden 2 Karten für die Kommunikation nach Außen (extern) und eine Karte für eine rein interne Kommunikation benötigt.

Konfiguration VirtualBox unter Windows

  1. Konfigurieren Sie die 3 Netzwerkadapter auf den Typ "Netzwerkbrücke".

  2. Aktivieren Sie in den Einstellungen der VM unter "System" die Option "Hardware-Uhr in UTC"

7 Netzwerk-Konfiguration für transparente Filterung

Mit dem Lösungspaket mobiles Lernen bietet TIME for kids den Schulen die Möglichkeit, ohne Einstellungen am Endgerät das WLAN mit einem gefilterten Bildungsinternet zu nutzen. Alle Endgeräte unter Windows, Android und iOS können gefiltert werden. Das nachstehende Schaubild und der darunterliegende Text beschreibt, welche Konfigurationen wo vorgenommen werden müssen.
Geben Sie uns ein Feedback, ob die Darstellung für Sie ausreichend ist oder für Administratoren an Schulen umfangreicher erklärt werden muss.

Für die transparente Filterung von HTTP und HTTPS, ist dieser Datenverkehr vom Kunden über die SFP-VM zu leiten.

Folgende Schnittstellen werden verwendet:

  • eth0 ist für die interne Kommunikation vorgesehen

  • eth1 ist für die Kommunikation Richtung Schulnetzwerk vorgesehen

  • eth2 ist für die Kommunikation Richtung Internet vorgesehen

Routing

Der Schulfilter Plus erhält durch Routing alle Internetanfragen die gefiltert werden sollen.  Diese Einstellungen müssen zum Beispiel in der zum Einsatz kommenden Firewall vorgenommen werden. Datenverkehr der nicht gefiltert werden soll, darf nicht über den Schulfilter Plus geroutet werden.

Policy based Routing in der Firewall:

  1. Regel: Traffic der gefiltert werden soll vom Typ HTTP und HTTPS vom internen Netzwerk Schnittstelle A mit dem Ziel Internet über Gateway Tfk VM

  2. Regel: Traffic der gefiltert werden soll vom Typ HTTP und HTTPS vom Internet Schnittstelle WAN mit dem Ziel internes Netzwerk über Gateway Tfk VM

Firewall-Freigaben für LAN und WLAN

Freigaben aus dem pädagogischen Netz in Richtung TIME for kids Schulfilter Plus-VM

Anwendung

Portnummer

Proxy

3128

HTTP

80

HTTPS

443

Sichere Suche 

1910-1917, 50344

Blockpage

83

Freigaben aus der TIME for kids Schulfilter Plus VM in Richtung dem Pädagogisches Netz

Anwendung

Portnummer

Domain Controller - LDAPS

636

Domain Controller - LDAP

389

Domain Controller - Kerberos

88, 464

Domain Controller - DNS

53

Domain Controller - SMB

445

Domain Controller  - Remote Procedure Call 

135 

Domain Controller - Netbios Session Service 

139 

8 DNS-Konfiguration

Web-Manager

Um einer Lerngruppe ad-hoc beizutreten, kann von einem Endgerät aus die Adresse http://login.tfk augerufen werden. Damit dieser Aufruf auch bei der transparenten Filterung funktioniert, ist in Ihrem DNS ein Eintrag für "login.tfk" auf die IP der VM.

GoGoNow

Um die lokale Suchfunktion von GoGoNow zu ermöglichen, fügen Sie in ihrem DNS eine Konfiguration auf die IP der VM für folgende Domains ein:

Sichere Suche

Browser setzen vermehrt auf den standardmäßigen Aufruf von Suchseiten via HTTPS. In diesen Fällen unterbinden Browser die Umleitung von Suchmaschinenseiten auf die Sichere-Suche-GoGoNow.

Daher ist es empfehlenswert, die Sichere Suche von Google und Bing über eine Konfiguration des lokalen DNS zu ermöglichen.
Die Konfiguration der Sicheren Suche im Schulfilter Plus ändert sich dadurch nicht. Lediglich die Umleitung auf die interne Sichere-Suche-Seite GoGoNow bei HTTPS-Aufrufen der Suchmaschinen wird dadurch vermieden, ohne auf die Safesearch-Funktion der Suchanbieter zu verzichten. 

Fügen Sie die nachfolgende Konfiguration ihrem DNS hinzu:

9 Ersteinrichtung der VM

Starten Sie nun die VM.

In der Konsole der VM sehen Sie nach dem Hochfahren die Willkommensmeldung mit dem Hinweis auf das Login:

Nach Login mit den angegebenen Zugangsdaten werden Sie einmalig zum Ändern des Standardpasswortes aufgefordert und befinden sich anschließend in der Ersteinrichtung, in welcher Sie grundlegende Systemkonfigurationen vornehmen können.

Netzwerkkonfiguration

  1. Richten Sie mit netconf  die IPs für eth1 und eth2 entsprechend Ihrer Netzwerkumgebung ein.

  2. Falls gewünscht, können Sie mit dns den Nameserver ändern.

  3. Netzwerk-Konfiguration im Hypervisor

    1. Weisen Sie dem Netzwerkadapter für eth0 ein eigenes internes Netzwerk zu. 

    2. Weisen Sie weiterhin den Netzwerkadaptern für eth1 und eth2 ein gemeinsames Netzwerk zu, so dass die Firewall mit der VM kommunizieren kann.

    3. (Warnung) Für die Zuweisung von Hypervisor-Netzwerken zu den Netzwerkadaptern,
      beachten Sie, welcher Adapter im Hypervisor zu welcher Schnittstelle der
      VM (Linux) zugeordnet wurde. Richten Sie sich nach der Mac-Adresse, welche Sie mit dem Befehl ip address  ermitteln können.

    4. Geben Sie für eth2 ein Gateway an, um die Kommunikation mit dem Internet zu ermöglichen.

  4. Führen Sie in der VM einen Test durch, ob die Namensauflösung und der Internetzugang funktionieren. Beispielsweise mittels:

    ping test.de
    CODE

Systemupdate

  1. Sobald die Netzwerkanbindung konfiguriert wurde, führen Sie mit dem Befehl systemupdate  die Paketinstallation und -aktualisierung durch!

Domain-Join (optional)

  1. Um den Beitritt in eine Active Directory Domain zu konfigurieren, können Sie den Befehl domainjoin nutzen. Folgende Informationen werden dann abgefragt:

    1. FQDN der Domain

    2. IP der Domain

    3. Hostname des AD-Servers

    4. Userdomain, der beigetreten werden soll

    5. Realm des AD-Servers

    6. Nutzername

Übersicht aller Befehle

Bevor Sie das Tool per exit  beenden, können Sie sich mit dem Befehl help  weitere zur Verfügung stehende Befehle anzeigen lassen.

Befehl

Kurzbeschreibung

atop

Linux atop Kommando, Analyse der Systemlast/Auslastung der CPU

date

Anzeige und Setzen der Systemzeit

df

Linux df Kommando, zeigt den freien Festplattenspeicher an

dns

Setzen des DNS-Servers

domainjoin

Mit diesem Befehl könnten Sie mit der VM einer Domäne beitreten.
Geben Sie dazu alle von diesem Befehl abgefragten Daten an.

firewall

Aktive Firewall-Regeln anzeigen, mit -c werden auch Zählerstände (Pakete, Bytes) ausgegeben

free

Linux free Kommando, zeigt den freien Arbeitsspeicher an

help

Anzeige der zur Verfügung stehenden Befehle und Hilfe zu diesen Befehlen (help befehl)

hostname

Setzen Sie den gewünschten Hostname der VM.

htop

Linux htop Kommando zur Analyse der Systemlast/Auslastung der CPU

ip

Entsprechend des Linux Tools "ip"
Nutzen Sie beispielsweise "ip a" um die Aufstellung der Netzwerkschnittstellen,
deren MAC, IP und weiteren Informationen zu erhalten.

iptablessave

Linux iptables-save Kommando zur Einsicht der Firewallregeln (alt, ersetzt durch: firewall)

netconf

Einrichtung der Schnittstellen eth1, eth2

Geben Sie dazu alle von diesem Befehl abgefragten Daten an.

netstat

zum Prüfen auf welche Ports das System hört (z.B. zum Prüfen auf welchen Port der Squid hört)

passwd

Setzt das Passwort für den Einrichtungsassistenten

ping

zum Prüfen von Erreichbarkeiten

poweroff

Fährt das System herunter

ps

Linux ps Kommando

pstree

Linux pstree Kommando, zeigt die Prozesse des Systems in einer Baumstruktur an

reboot

Startet das System neu

ss

Linux ss Kommando

sytemupdate

Mit diesem Kommando können Sie - sobald die Netzwerkkonfiguration erfolgte - die Paket-Installation und -Aktualisierung starten.

tcpdump

Linux tcpdump Kommando zum Prüfen des Netzwerkverkehrs

top

Linux top Kommando zur Analyse der Systemlast/Auslastung der CPU

traceroute

Linux traceroute Kommando. Ermittelt, über welche Knoten IP-Datenpakete bis zum angegebenen Ziel gelangen.

versions

Zeigt die Versionsnummern der installierten TIME for kids Software-Komponenten

wbinfo

Mit diesem Systembefehl können Sie den erfolgreichen Domänenbeitritt prüfen.
Folgende Parameter stehen zur Verfügung:

  • -t

  • -u

  • -g

10 Funktions-Test der erfolgreichen Einrichtung

Prüfen Sie nun die Erreichbarkeit des System und die Filterung.

Produkt aufrufen und lizenzieren

Rufen Sie im Browser eines im Netzwerk befindlichen Endgerätes die von Ihnen festgelegte IP der VM auf.

Anschließend öffnet sich ein Loginfenster.

  1. Loggen Sie sich initial mit dem Benutzernamen "tfkadmin" und dem Passwort "tfkadmin" an.

  2. Sie werden zum Ändern des Passwortes aufgefordert.

  3. Anschließend sehen Sie die Kachelansicht mit allen zur Verfügung stehenden Produkten.

  4. Wechseln Sie nun zum Schulfilter Plus über die entsprechende Kachel.

  5. Geben Sie unter "Lizenzierung" Ihre Schulfilter Plus Lizenz an und betätigen Sie "Speichern"

Filter-Test

Filterung mit Proxy

Konfigurieren Sie hierfür den Browser und setzen Sie den Proxy auf die von Ihnen festgelegte IP der VM mit dem Port 3128. Vergewissern Sie sich, dass der Proxy für alle Protokolle (HTTP, HTTPS) angegeben wurde.

Rufen Sie nun im Browser Testseiten auf:

  1. http://casino.de

    1. diese Seite wird mit einer Blockseite des Schulfilter Plus gesperrt, da sie zu einem standardmäßig gesperrten Themenfeld (Glücksspiel) gehört.

  2. http://time-for-kids.de

    1. diese Seite ist freigegeben und aufrufbar

Transparente Filterung

Konfigurieren Sie hierfür den Browser und deaktivieren Sie dessen Proxy (kein Proxy). Stellen Sie sicher, dass der Datenverkehr der Endgeräte über die VM geleitet wird!

Rufen Sie nun im Browser Testseiten auf:

  1. http://casino.de

    1. diese Seite wird mit einer Blockseite des Schulfilter Plus gesperrt, da diese zu einem standardmäßig gesperrten Themenfeld (Glücksspiel) gehört.

  2. https://casino.com

    1. Die Seite kann nicht aufgerufen werden, da diese zu einem standardmäßig gesperrten Themenfeld (Glücksspiel) gehört.

    2. Aufgrund des Aufrufes über HTTPS, wird die Verbindung unterbrochen. Es kann nicht auf eine Blockseite umgeleitet werden.

  3. http://time-for-kids.de

    1. diese Seite ist freigegeben und aufrufbar