Installation und Konfiguration Schulfilter Plus als virtuelle Maschine
Inhaltsverzeichnis
1. Einleitung
Der Schulfilter Plus im Lösungspaket Mobiles Lernen wird Ihnen als virtuelle Maschine bereit gestellt. Hierdurch haben Sie einen Standard für alle Schulnetzwerke. Mit einer OVF-Datei haben Sie die Möglichkeit den Hypervisor Ihrer Wahl zu nutzen. Bitte beachten Sie, dass Sie die virtuelle Maschine mit der richtigen Rechenleistung ausstatten. Grundsätzlich gilt: Die Größe der Hardware richtet sich nach der Anzahl der gleichzeitigen Endgeräte, Höhe der Bandbreite sowie dem Umfang der Internetnutzung. Sie können jederzeit die virtuelle Maschine mit der passenden Hardwaregröße dynamsich ausstatten. So haben Sie immer die richtige Performance für Lehrer und Schüler.
Adressat dieser Anleitung
IT-Administration die für die Installation und Konfiguration der VM Schulrouter Plus mit den Lösungspaketen Netzwerksicherheit und Mobiles Lernen zuständig ist. Bei Fragen wenden Sie sich bitte an unseren Service und Support.
2. Schuleigene Endgeräte zuhause und unterwegs
Wenn Sie schuleigene Endgeräte zuhause und unterwegs einsetzen, bietet Ihnen das Lösungspaket Corona Hilfe ll den Schulfilter Plus aus der Cloud. Sobald das Endgerät das WLAN der Schule betritt wirkt automatisch, ohne Einstellungen der Administration, der Schulfilter Plus im Schulnetzwerk. Schülerinnen und Schüler können so durch die Schule und den Schulträger immer vor verbotenen Inhalten geschützt werden. Lehrkräfte können Schülerinnen und Schülern immer ein Bildungsinternet bieten.
3. Schaubild

4. Produktbeschreibung
Das Lösungspaket "Mobiles Lernen" auf einer virtuellen Maschine enthält unterschiedliche Anwendungen ist im Schaubild (Punkt 3) dargestellt.
5. Systemvoraussetzungen
Prozessor
Multicore CPU (mindestens 4 Kerne)
Hardwarevirtualisierung (Intel VT-x oder AMD RVI)
mindestens 2GHz
Benchmark-Wert von mindestens 4000
Arbeitsspeicher
mindestens 8 GB
Festplattenspeicher
mindestens 50 GB
Netzwerk
mindestens eine physische Netzwerkarte mit 1 Gbit/s
Internet
ein verfügbarer und durch die VM erreichbarer Internetanschluss
Virtualisierungssoftware
VMware
KVM
Virtual PC
Xen
Hyper-V
VirtualBox
6. VM erstellen
Download
Downloaden Sie zuerst die VM von folgender Adresse: http://repository.time-for-kids.de/dxvm/ovf/
Speichern Sie alle im genannten Link enthaltenen Dateien. Die ovf-Datei ist die Steuerungsdatei der virtuellen Maschine und die vmdk-Datei enthält die Dateien der virtuellen Festplatte. Zu beiden Dateien gibt es Prüfsummen-Dateien (*.md5), die Sie ebenfalls herunterladen.
Checksummenprüfung
Prüfen Sie die Checksumme der ovf und vmdk Datei.
Nach dem Download der Dateien können Sie nun Prüfsummentools verwenden und die Prüfsummen der heruntergeladenen Dateien mit den Prüfsummen aus den md5-Dateien vergleichen. Nur wenn die Prüfsummen identisch sind, war der Download fehlerfrei.
Auf Linux-Betriebssystemen steht in der Regel md5sum hierfür zur Verfügung und für Windows gibt es kostenfreie Programme wie WinMD5Free oder MD5 File Hasher.
VM-Import
Importieren Sie nun die VM aus dem Image in Ihren Hypervisor.
Ihr Hypervisor unterstützt keine OVF-Dateien?
Es gibt Hypervisoren, die das Standardformat OVF nicht unterstützen. In diesen Fällen besteht aber in der Regel die Möglichkeit die vmdk-Datei umzuwandeln.
Zur Umwandlung (Konvertierung) in die Formate VHD, VHDX (beides HyperV) oder QCOW2 (KVM) bietet beispielsweise StarWind ein Konvertierungstool an.
7. Konfiguration der VM
Nachdem die VM erfolgreich importiert wurde, konfigurieren Sie diese entsprechend folgender Informationen:
Eigenschaft | Einrichtung |
CPU | mind. 4 Kerne |
RAM | mind. 8 GB |
Netzwerkkarten | Es werden 2 Karten für die Kommunikation nach Außen (extern) und eine Karte für eine rein interne Kommunikation benötigt. |
Konfiguration VirtualBox unter Windows
Konfigurieren Sie die 3 Netzwerkadapter auf den Typ "Netzwerkbrücke".
Aktivieren Sie in den Einstellungen der VM unter "System" die Option "Hardware-Uhr in UTC"
8. Netzwerk-Konfiguration für transparente Filterung
Mit dem Lösungspaket mobiles Lernen bietet TIME for kids den Schulen die Möglichkeit, ohne Einstellungen am Endgerät das WLAN mit einem gefilterten Bildungsinternet zu nutzen. Alle Endgeräte unter Windows, Android und iOS können gefiltert werden. Das nachstehende Schaubild und der darunterliegende Text beschreibt, welche Konfigurationen wo vorgenommen werden müssen.
Geben Sie uns ein Feedback, ob die Darstellung für Sie ausreichend ist oder für Administratoren an Schulen umfangreicher erklärt werden muss.

Anzahl der Netzwerkschnittstellen
Die Schnittstelle eth0 ist für die interne Kommunikation vorgesehen und ist nicht zu konfigurieren.
Die Virtuelle Maschine kann weiterhin mit einer oder zwei Schnittstellen in Ihre Netzwerkumgebung integriert werden.
Typische Anwendungsfälle für die Nutzung nur einer Schnittstelle sind beispielsweise:
die Anbindung der Endgeräte über einen festen Proxy
Routing der HTTP und HTTPS Anfragen durch eine Firewall
Typische Anwendungsfälle für die Nutzung von zwei Schnittstelle sind beispielsweise:
wenn Ihre Firewall für das Routing zwei Schnittstellen benötigt
wenn die Virtuelle Maschine zwischen (z.B.) einer FritzBox und dem pädagogisches Netz hängt
Mit der aktuellen VM-Vorlage können Sie mit nur einer Netzwerkschnittstelle arbeiten. Konfigurieren Sie hierfür im unten beschriebenen Schritt “Netzwerkkonfiguration” nur die Schnittstelle eth1. Geben Sie keine IP für Schnittstelle eth2 an!
Im Weiteren folgen Informationen zum Standardprozess für einen Server mit 2 Netzwerkschnittstellen.
Für die transparente Filterung von HTTP und HTTPS, ist dieser Datenverkehr vom Kunden über die SFP-VM zu leiten.
Folgende Schnittstellen werden verwendet:
eth0 ist für die interne Kommunikation vorgesehen und ist nicht zu konfigurieren
eth1 ist für die Kommunikation Richtung pädagogisches Netz vorgesehen
eth2 ist für die Kommunikation Richtung Internet vorgesehen
Routing
Der Schulfilter Plus erhält durch Routing alle Internetanfragen die gefiltert werden sollen. Diese Einstellungen müssen zum Beispiel in der zum Einsatz kommenden Firewall vorgenommen werden. Datenverkehr der nicht gefiltert werden soll, darf nicht über den Schulfilter Plus geroutet werden.
Policy based Routing in der Firewall:
Regel: Traffic der gefiltert werden soll vom Typ HTTP und HTTPS vom pädagogischen Netzwerk Schnittstelle A mit dem Ziel Internet über Gateway Tfk VM (eth1)
Firewall-Freigaben für LAN und WLAN
Freigaben aus dem pädagogischen Netz in Richtung TIME for kids Schulfilter Plus-VM
Anwendung | Portnummer |
Proxy | 3128 |
HTTP | 80 |
HTTPS | 443 |
Sichere Suche | 1910-1917, 50344 |
Blockpage | 83 |
Freigaben aus der TIME for kids Schulfilter Plus VM in Richtung dem Pädagogisches Netz
Anwendung | Portnummer |
Domain Controller - LDAPS | 636 |
Domain Controller - LDAP | 389 |
Domain Controller - Kerberos | 88, 464 |
Domain Controller - DNS | 53 |
Domain Controller - SMB | 445 |
Domain Controller - Remote Procedure Call | 135 |
Domain Controller - Netbios Session Service | 139 |
9. DNS-Konfiguration
Die VM des Lösungspaketes “Mobiles Lernen” enthält einen DNS-Server, welcher alle für das Produkt notwendigen Domain-Name-Einträge bereithält.
Wenn Sie einen eigenen bzw. lokalen DNS-Server für die Endgeräte nutzen, muss für diesen lediglich die VM als Upstream-DNS-Server konfiguriert werden. Ihren bisherigen Upstream-DNS-Server können Sie auf der VM eintragen (siehe Netzwerkkonfiguration).
Wenn Sie keinen anderen DNS-Server einsetzen, geben Sie bei den Endgeräten als DNS-Server die IP der VM an.
Wenn Sie die VM in einer AD-Domäne einsetzen (siehe Domain-Join), wird der Domänenserver auch als Nameserver genutzt.
Führen Sie keine weitere Änderung an der DNS-Konfiguration der VM durch.
Konfigurieren Sie die Endgeräte so, dass diese die VM als DNS-Server nutzen.
Konfigurieren Sie den Domänenserver so, dass DNS-Anfragen an einen weiteren internen- oder öffentlichen DNS-Server weitergeleitet werden.
10. Ersteinrichtung der VM
Starten Sie nun die VM.
In der Konsole der VM sehen Sie nach dem Hochfahren die Willkommensmeldung mit dem Hinweis auf das Login:

Nach Login mit den angegebenen Zugangsdaten werden Sie einmalig zum Ändern des Standardpasswortes aufgefordert und befinden sich anschließend in der Ersteinrichtung, in welcher Sie grundlegende Systemkonfigurationen vornehmen können.
Netzwerkkonfiguration
Richten Sie mit netconf die IPs für eth1 und eth2 entsprechend Ihrer Netzwerkumgebung ein.
Wenn ihr Host-System nur über eine Schnittstelle verfügt, beachten Sie das obere Kapitel “Anzahl der Netzwerkschnittstellen” !
Falls gewünscht, können Sie mit dns den Nameserver ändern.
Wenn Sie die VM in einer AD-Domäne einsetzen, darf der Nameserver hier nicht geändert werden.
Netzwerk-Konfiguration im Hypervisor
Weisen Sie dem Netzwerkadapter für eth0 ein eigenes internes Netzwerk zu.
Weisen Sie weiterhin den Netzwerkadaptern für eth1 und eth2 jeweils ein eigenes Netzwerk für die Kommunikation mit der Firewall zu.
Für die Zuweisung von Hypervisor-Netzwerken zu den Netzwerkadaptern,
beachten Sie, welcher Adapter im Hypervisor zu welcher Schnittstelle der
VM (Linux) zugeordnet wurde. Richten Sie sich nach der Mac-Adresse, welche Sie mit dem Befehl ip address ermitteln können.Geben Sie für eth2 ein Gateway an, um die Kommunikation mit dem Internet zu ermöglichen.
Führen Sie in der VM einen Test durch, ob die Namensauflösung und der Internetzugang funktionieren. Beispielsweise mittels:
CODEping heise.de
Systemupdate
Sobald die Netzwerkanbindung konfiguriert wurde, führen Sie mit dem Befehl systemupdate die Paketinstallation und -aktualisierung durch!
Domain-Join (optional)
Um den Beitritt in eine Active Directory Domain zu konfigurieren, können Sie den Befehl domainjoin nutzen. Folgende Informationen werden dann abgefragt:
FQDN der Domain
IP der Domain
Hostname des AD-Servers
Userdomain, der beigetreten werden soll
Realm des AD-Servers
Nutzername
Passwort
Übersicht aller Befehle
Bevor Sie das Tool per exit beenden, können Sie sich mit dem Befehl help weitere zur Verfügung stehende Befehle anzeigen lassen.
Befehl | Kurzbeschreibung |
| Linux |
| Anzeige und Setzen der Systemzeit |
| Linux |
| Setzen des DNS-Servers. Wenn Sie die VM in einer AD-Domäne einsetzen, darf der Nameserver nach dem Domainjoin nicht geändert werden. |
| Aktiviert bzw. deaktiviert die DNS-Filterung TIME for kids spricht sich wegen der Risiken gegen eine DNS-Filterung aus. (weitere Informationen) TIME for kids empfiehlt die transparente Filterung ohne Risiken des Schulfilter Plus. (siehe Kapitel 8) |
| Mit diesem Befehl könnten Sie mit der VM einer Domäne beitreten. |
| Aktive Firewall-Regeln anzeigen, mit -c werden auch Zählerstände (Pakete, Bytes) ausgegeben |
| Linux |
| Anzeige der zur Verfügung stehenden Befehle und Hilfe zu diesen Befehlen (help befehl) |
| Setzen Sie den gewünschten Hostname der VM. |
| Linux |
| Entsprechend des Linux Tools |
| Linux |
| Einrichtung der Schnittstellen eth1, eth2 Geben Sie dazu alle von diesem Befehl abgefragten Daten an. |
| zum Prüfen auf welche Ports das System hört (z.B. zum Prüfen auf welchen Port der Squid hört) |
| Setzt das Passwort für den Einrichtungsassistenten |
| zum Prüfen von Erreichbarkeiten |
| Fährt das System herunter |
| Linux |
| Linux |
| Startet das System neu |
| Linux |
| Diesen Befehl nutzen Sie bei der Erstinstallation. In der Betriebsphase arbeiten Sie ausschließlich mit automatischen Updates, damit es keine technischen Störungen durch manuelle Updates in Ihrem Netzwerk gibt. Mit dem Kommando |
| Linux |
| Linux |
| Linux |
| Zeigt die Versionsnummern der installierten TIME for kids Software-Komponenten |
| Mit diesem Systembefehl können Sie den erfolgreichen Domänenbeitritt prüfen.
|
11. Funktions-Test der erfolgreichen Einrichtung
Prüfen Sie nun die Erreichbarkeit des System und die Filterung.
Produkt aufrufen und lizenzieren
Rufen Sie im Browser eines im Netzwerk befindlichen Endgerätes die Adresse msd.tfk/
oder die von Ihnen festgelegte IP der VM auf.
Anschließend öffnet sich ein Loginfenster.
Loggen Sie sich initial mit dem Benutzernamen "tfkadmin" und dem Passwort "tfkadmin" an.
Sie werden zum Ändern des Passwortes aufgefordert.
Anschließend sehen Sie die Kachelansicht mit allen zur Verfügung stehenden Produkten.
Wechseln Sie nun zum Schulfilter Plus über die entsprechende Kachel.
Geben Sie unter "Lizenzierung" Ihre Schulfilter Plus Lizenz an und betätigen Sie "Speichern"
Filter-Test
Filterung mit Proxy
Konfigurieren Sie hierfür den Browser und setzen Sie den Proxy auf die von Ihnen festgelegte IP der VM mit dem Port 3128. Vergewissern Sie sich, dass der Proxy für alle Protokolle (HTTP, HTTPS) angegeben wurde.
Rufen Sie nun im Browser Testseiten auf:
http://casino.net
diese Seite wird mit einer Blockseite des Schulfilter Plus gesperrt, da sie zu einem standardmäßig gesperrten Themenfeld (Glücksspiel) gehört.
http://time-for-kids.de
diese Seite ist freigegeben und aufrufbar
Transparente Filterung
Konfigurieren Sie hierfür den Browser und deaktivieren Sie dessen Proxy (kein Proxy). Stellen Sie sicher, dass der Datenverkehr der Endgeräte über die VM geleitet wird!
Rufen Sie nun im Browser Testseiten auf:
http://casino.net
diese Seite wird mit einer Blockseite des Schulfilter Plus gesperrt, da diese zu einem standardmäßig gesperrten Themenfeld (Glücksspiel) gehört.
https://casino.com
Die Seite kann nicht aufgerufen werden, da diese zu einem standardmäßig gesperrten Themenfeld (Glücksspiel) gehört.
Aufgrund des Aufrufes über HTTPS, wird die Verbindung unterbrochen. Es kann nicht auf eine Blockseite umgeleitet werden.
http://time-for-kids.de
diese Seite ist freigegeben und aufrufbar