Allgemeine Einstellungen
Neben den Konfigurationsoptionen, die jede Komponente hat, enthält der Schulrouter Plus auch eine Menge allgemeiner Einstellungen, die Sie anpassen können. Auf dieser Seite finden Sie eine Übersicht über diese.
Verwaltung
Die Einstellungen auf dieser Seite betreffen die Anmeldung am Schulrouter Plus. Die „Secure Shell“-Einstellungen sind unter Benutzer & Gruppen anlegen beschrieben.
Einstellung | Erläuterung |
|---|---|
Web-GUI | |
Protokoll | Es wird dringend empfohlen, dies auf „HTTPS“ zu belassen |
SSL Zertifikat | Standardmäßig wird ein selbstsigniertes Zertifikat verwendet. Zertifikate können über System ‣ Sicherheit ‣ Zertifikate hinzugefügt werden. |
SSL-Verschlüsselungsalgorithmen | Kann verwendet werden, um die Auswahl der SSL-Chiffre einzuschränken, falls die Systemvorgaben unerwünscht sind. Beachten Sie, dass eine restriktive Verwendung zu einer unzugänglichen Web-GUI führen kann. |
Aktivieren der HTTP Strict Transport Security | Erzwingt das Laden der Web-GUI über HTTPS, auch wenn die Verbindung gekapert wird (Man-in-the-Middle-Angriff), und erlaubt dem Benutzer nicht, einem ungültigen Zertifikat für die Web-GUI zu vertrauen. |
TCP Port | Kann sinnvoll sein, wenn es andere Dienste gibt, die z. B. über Port 80/443 der externen IP erreichbar sind. |
Deaktiviere die Umleitungsregel für die Weboberfläche | Wenn Sie den Port ändern, wird eine Umleitungsregel von Port 80/443 erstellt. Aktivieren Sie dies, um die Erstellung dieser Regel zu deaktivieren. |
Deaktiviere die Protokollierung von erfolgreichen Anmeldungen an der Weboberfläche | |
Sitzungs-Zeitlimit | Zeit in Minuten, um inaktive Management-Sitzungen ablaufen zu lassen. |
Deaktiviere DNS-Rebinding-Prüfungen | Schulrouter Plus enthält einen Schutz gegen DNS-Rebinding, indem DNS-Antworten mit lokalen IPs herausgefiltert werden. Aktivieren Sie dieses Kontrollkästchen, um diesen Schutz zu deaktivieren, wenn er den Zugriff auf die Web-GUI oder die Namensauflösung in Ihrer Umgebung beeinträchtigt. |
Alternative Hostnamen | Alternative, gültige Hostnamen (zur Vermeidung von Fehlalarmen beim Referrer/DNS-Rebinding-Schutz). |
HTTP-Komprimierung | Verringert die Größe der Übertragung, auf Kosten einer etwas höheren CPU-Auslastung. |
Aktiviere Zugangsprotokoll | Alle Zugriffe auf die Web-GUI protokollieren (für Debugging/Analyse) |
Schnittstellen abhören | Kann verwendet werden, um Schnittstellen einzuschränken, über die auf die Web-GUI zugegriffen werden kann. Dadurch kann die Schnittstelle für andere Dienste, wie z. B. HAProxy, freigegeben werden. |
HTTP_REFERER Prüfung deaktivieren | Die Herkunft von Anfragen wird überprüft, um einen gewissen Schutz gegen CSRF zu bieten. Sie können dies deaktivieren, wenn es externe Skripte stört, die mit der Web-GUI interagieren. |
Konsole | |
Verwende den virtuellen Terminal-Treiber (vt) | Wenn diese Option nicht aktiviert ist, verwendet der Schulrouter Plus den älteren sc-Treiber. |
Primäre Konsole | Die primäre Konsole zeigt die Ausgabe des Boot-Skripts an. Alle Konsolen zeigen Betriebssystem-Boot-Meldungen, Konsolenmeldungen und das Konsolenmenü an. |
Sekundäre Konsole | Siehe oben. |
Serielle Geschwindigkeit | Ermöglicht die Einstellung der Baudrate. 115200 ist die häufigste. |
Verwendung von USB-basierten seriellen Schnittstellen | Hören Sie auf |
Das Konsolenmenü mit einem Passwort schützen | Kann deaktiviert werden, um physischen Konsolenzugriff ohne Passwort zu erlauben. Dadurch kann eine Sperre vermieden werden, allerdings um den Preis, dass Angreifer alles tun können, wenn sie physischen Zugriff auf Ihr System erhalten. |
Authentifizierung | |
Server | Wählen Sie einen oder mehrere Authentifizierungsserver aus, um die Benutzeranmeldeinformationen zu überprüfen. Mehrere Server können bei Remote-Authentifizierungsmethoden sinnvoll sein, um bei Verbindungsproblemen einen Fallback zu bieten. Wenn nichts angegeben wird, wird der Standardwert „Lokale Datenbank“ verwendet. |
Deaktiviere integrierte Authentifizierung | Wenn diese Option gesetzt ist, können Konsolenanmeldung, SSH und andere Systemdienste nur die Standard-UNIX-Kontoauthentifizierung verwenden. |
Sudo | Erlauben Sie die Verwendung von sudo für Administratoren mit Shell-Zugriff. |
Benutzer-OTP-Seed | Wählen Sie auf der Kennwortseite Gruppen aus, die ihre eigenen OTP-Seed generieren dürfen. |
Cron
Cron ist ein Dienst, der zur periodischen Ausführung von Jobs verwendet wird. Cron-Jobs können durch Navigieren zu System ‣ Einstellungen ‣ Cron angezeigt werden. Neue Jobs können durch Klicken auf die Schaltfläche + in der unteren rechten Ecke hinzugefügt werden.
Beim Hinzufügen eines neuen Jobs oder beim Ändern eines bestehenden Jobs werden Ihnen Felder angezeigt, die direkt die Syntax der Cron-Datei widerspiegeln und die größtenteils für sich selbst sprechen. Ein Job benötigt einen Namen, einen Befehl, Befehlsparameter (falls zutreffend), eine Beschreibung (optional, aber empfehlenswert) und vor allem einen Zeitplan. Alle zeitbezogenen Felder teilen sich die gleiche Syntax:
Ein Sternchen (*) kann für „beliebig“ verwendet werden
Die Angabe mehrerer Werte ist mit dem Komma möglich:
1,4,9Bereiche können mit einem Bindestrich angegeben werden:
4-9
Allgemein
Die allgemeinen Einstellungen betreffen hauptsächlich netzwerkbezogene Einstellungen wie den Hostnamen. Die allgemeinen Einstellungen können unter System ‣ Einstellungen ‣ Allgemein eingestellt werden. Die folgenden Einstellungen sind verfügbar:
Einstellung | Erläuterung |
|---|---|
System | |
Hostname | Hostname ohne Domain, z.B.: |
Domain | Die Domäne, z. B. |
Zeitzone | |
Sprache | Standardsprache. Kann von Benutzern überschrieben werden. |
Design | Weitere Themes können über Plug-Ins installiert werden. |
Netzwerke | |
Bevorzuge die Verwendung von IPv4 auch wenn IPv6 verfügbar ist | |
DNS-Server | Eine Liste von DNS-Servern, optional mit einem Gateway. Diese DNS-Server werden auch für den DHCP-Dienst, DNS-Dienste und für PPTP-VPN-Clients verwendet. Bei Verwendung mehrerer WAN-Verbindungen sollte es mindestens einen eindeutigen DNS-Server pro Gateway geben. |
Erlaube das Überschreiben der DNS Serverliste durch DHCP/PPP auf WAN | Wenn diese Option gesetzt ist, werden DNS-Server, die von einem DHCP/PPP-Server im WAN zugewiesen wurden, für ihre eigenen Zwecke (einschließlich der DNS-Dienste) verwendet. Sie werden jedoch nicht an DHCP- und PPTP-VPN-Clients zugewiesen. |
Verwenden Sie nicht den lokalen DNS-Dienst als Nameserver für dieses System | Wenn Sie lokale DNS-Dienste wie Dnsmasq und Unbound aktivieren, verwendet der Schulrouter Plus diese als Nameserver. Aktivieren Sie diese Option, um dies zu verhindern. |
Erlaube die Änderung des Standardgateways | Wenn die Verbindung zum (aktiven) default Gateway unterbrochen wird, so soll der nächstverfügbare Gateway als default Gateway verwendet werden. |
Optimierungen
Tunables sind die Einstellungen, die in der Datei sysctl.conf vorgenommen werden, die eine Anpassung der Systemeinstellungen auf niedriger Ebene ermöglicht. Sie können gesetzt werden, indem Sie zu System ‣ Einstellungen ‣ Tunables.
Hier können die aktuell aktiven Einstellungen eingesehen und neue angelegt werden. Alle gültigen sysctl.conf-Einstellungen können auf diese Weise hinzugefügt werden, falls gewünscht. Eine Liste der möglichen Werte erhalten Sie durch die Eingabe von sysctl -a auf einer Schulrouter Plus-Shell.
Verschiedenes
Wie der Name schon sagt, enthält dieser Bereich die Einstellungen, die nirgendwo anders hinpassen.
Einstellung | Erläuterung |
|---|---|
Kryptographie-Einstellungen | |
Diffie-Hellman-Parameter | Der Server und der Client müssen die gleichen Parameter verwenden, um eine Verbindung aufzubauen. Wie die Parameter aktualisiert werden, kann angepasst werden. Bitte belassen Sie es bei den Standardeinstellungen, es sei denn, Sie wissen, warum Sie sie ändern sollten. |
Hardware-Beschleunigung | Wählen Sie Ihre Methode der Hardwarebeschleunigung, falls vorhanden. Lesen Sie die vollständige Hilfe für hardwarespezifische Hinweise. |
Verwende /dev/crypto | Alte Hardware-Kryptotreiber legen die Schnittstelle /dev/crypto frei. Diese wird von neuerer Hardware oder Software nicht mehr verwendet. |
Thermische Sensoren | |
Hardware | Wählen Sie zwischen keinem/ACPI-Thermosensortreiber und prozessorspezifischen Treibern. |
Periodische Sicherungen | |
Periodische RRD-Sicherung | Sichern Sie die Round-Robin-Datenbank in regelmäßigen Abständen. |
Periodische DHCP-Leases-Sicherung | Sichern Sie regelmäßig DHCP-Leases. |
Periodische NetFlow-Sicherung | Sichern Sie periodisch den Netflow-Status. |
Periodische Captive-Portal-Sicherungen | Sichern Sie regelmäßig den Captive Portal-Status. |
Stromeinsparung | |
Benutze PowerD | PowerD ermöglicht die Optimierung der Stromsparfunktionen. Die Modi sind maximal (hohe Leistung), minimal (maximale Stromeinsparung), adaptiv (ausgeglichen), hiadaptiv (ausgeglichen, aber mit höherer Leistung). |
Im Netzspannungsmodus | |
Im Batterie-Modus | |
Im normalen Energiemodus | |
Festplatten-/Speichereinstellungen | |
Auslagerungsdatei | Legen Sie eine 2 GB große Auslagerungsdatei an. Dies kann die Leistung erhöhen, allerdings auf Kosten einer erhöhten Abnutzung des Speichers, insbesondere des Flash-Speichers. |
/var Arbeitsspeicherfestplatte | Dies kann nützlich sein, um die Abnutzung des Flash-Speichers zu vermeiden. Alles in /var, einschließlich der Protokolle, geht beim Neustart verloren. |
/tmp RAM-Disk | Siehe oben. |
Systemgeräusche | |
Deaktiviere den Piepton beim Starten/Herunterfahren | Signaltöne über den eingebauten Lautsprecher deaktivieren („PC-Lautsprecher“) |
Protokollierung
Die Log-Einstellungen finden Sie unter System ‣ Einstellungen ‣ Protokollierung.
Eine Übersicht über die lokalen Einstellungen:
Einstellung | Erläuterung |
|---|---|
Umlaufende Protokolle deaktivieren | Deaktivieren der alten zirkulären Protokollierung und Umschalten auf reguläre Dateiprotokollierung |
Anzahl von Protokolleinträgen | Anzahl der Log-Einträge, die in der GUI angezeigt werden. |
Protokolldateigröße (Byte) | (zirkuläre Protokolle) Maximale Größe von zirkulären Protokollen (was die meisten Schulrouter Plus-Protokolldateien sind) |
Protokolle aufbewahren (Tage) | (wenn zirkuläre Protokolle deaktiviert sind) konfiguriert die Anzahl der Tage, an denen Protokolle aufbewahrt werden. |
Protokolliere Firewall Standardblockierungen | Wenn Sie diese deaktivieren, werden nur Treffer für Ihre benutzerdefinierten Regeln protokolliert. |
Webserver-Protokoll | Wenn diese Option aktiviert ist, werden lighttpd-Fehler im Hauptsystemprotokoll angezeigt. |
Deaktiviere das Schreiben von Protokolldateien auf die lokale Festplatte | Nützlich, um den Verschleiß des Flash-Speichers zu vermeiden (falls verwendet). Stattdessen kann die Fernprotokollierung verwendet werden, um die Protokolle zu speichern, falls gewünscht. |
Protokolle zurücksetzen | Löschen Sie alle Protokolle. Beachten Sie, dass dadurch auch der DHCP-Server neu gestartet wird, stellen Sie also sicher, dass alle DHCP-Einstellungen zuvor gespeichert wurden. |
Der Wechsel von den alten zirkulären Protokollen zu regulären Protokolldateien entfernt die gespeicherten Daten nicht, aber reguläre Dateien werden immer als aktueller angesehen. Wenn Sie aus irgendeinem Grund wieder zu Kreisprotokollen wechseln möchten, raten wir, alle Protokolle zu entfernen, um zu vermeiden, dass ältere Einträge über die Ansichten sortiert werden. Wenn möglich, empfehlen wir, die Logs nach jedem Wechsel zurückzusetzen.
Zirkuläre Protokolle
Die meisten Kernfunktionen unterstützen das Schreiben auf zirkuläre Protokolldateien, so dass sie nicht größer als eine vordefinierte Größe werden. Sie können diesen Wert über System ‣ Einstellungen ‣ Protokollierung einstellen. Dort können Sie auch das Schreiben von Protokollen auf die Festplatte deaktivieren oder sie alle zurücksetzen.
Sie können den Inhalt über CLI mit anzeigen:
clog /path/to/logoder folgen Sie den Inhalten über:
clog -f /path/to/logWenn Sie die Verwendung von zirkulären Protokollen vermeiden können, raten wir Ihnen dringend dazu. Der clog-Pfad ist länger als der direkte Dateipfad und daher teurer in Bezug auf die Rechenleistung. Langfristig wird die clog-Unterstützung wegfallen, da es sich nicht um eine native FreeBSD syslog-Funktion handelt (und eine Rückportierung erfordert).
Lokale (nicht kreisförmige) Protokolle
Schulrouter Plus 20.7 verwendet reguläre Dateien als Standardprotokollierungsmethode. Diese Dateien verwenden das folgende Muster auf der Festplatte /var/log/<application>/<application>_[YYYYMMDD].log (eine Datei pro Tag). Unsere Benutzeroberfläche bietet eine integrierte Ansicht, in der alle gesammelten Dateien zusammengefügt werden.
Plugin-Protokolle
Viele Plugins haben ihre eigenen Protokolle. In der Benutzeroberfläche sind sie mit den Einstellungen des jeweiligen Plugins gruppiert. Sie protokollieren meist nach /var/log/ im Textformat, so dass Sie sie mit tail ansehen oder verfolgen können.
Protokollierung / Ziele
Der Schulrouter Plus verwendet syslog-ng für die Fernprotokollierung. Wenn Sie die Fernprotokollierung verwenden möchten, gehen Sie zu System->Einstellungen->Logging / Ziele und Hinzufügen ein neues Ziel.
Einstellung | Erläuterung |
|---|---|
Aktiviert | Hauptschalter ein/aus. |
Transport | Protokoll, das für Syslog verwendet werden soll. |
Anwendungen | Wählen Sie eine Liste von Anwendungen, die an das entfernte Syslog gesendet werden sollen. Leer lassen für alle. |
Levels | Wählen Sie, welche Ebenen einbezogen werden sollen, lassen Sie sie aus, um alle auszuwählen. |
Einrichtungen | Wählen Sie, welche Einrichtungen einbezogen werden sollen, lassen Sie sie aus, um alle auszuwählen. |
Hostname | Hostname oder IP-Adresse, an die Protokolle gesendet werden sollen. |
Port | Zu verwendender Port, normalerweise 514. |
Beschreibung | Legen Sie eine Beschreibung für Ihre eigene Verwendung fest. |