Accesskeys

Support

Schema zu erlaubten Verbindungen im Bildungsnetz
PDF-Datei Erlaubte Verbindungen gemäss Technischer Richtlinien SAI (31 kB, PDF)   05.11.2007

Lösungsansätze bei Problemen

Performance Probleme: Lösungsansatz der Studerus AG

ZyWALL USG-Serie - Schulen ans Internet

 

Erstellt am 30.03.2012

Im Rahmen der des "Schulen ans Internet"-Programmes stellt Swisscom Schulen spezielle Internetzugänge zur Verfügung. Dieser beeinhaltet auch den Internet-Gateway, welcher ein ganzes C-Netz zur Verfügung stellt. Nach und nach wird/wurde ein Inhaltsfilter aufgeschaltet. Sobald dieser aktiv ist, lassen sich pro zur Verfügung gestellter IP nur noch eingeschränkt Sessions aufbauen.

Mit einer zusätzlichen USG-Firewall hinter dem vom Provider für den Dienst gestellten Gerät wird diese Schwelle rasch erreicht, da die Zugriffe des ganzen Schulnetzes über eine einzelne IP-Adresse abgewickelt werden. Das Netz wird spürbar ausgebremst, einzelne Rechner haben nur noch sporadisch Zugriff ins Internet.

Sobald die Zugriffe ins Internet auf der USG-Firewall über mehrere der zur Verfügung gestellten IP-Adressen verteilt werden, funktioniert der Zugang wieder schnell und problemlos.

 

Auf der USG-Serie lässt sich dies über ein Many 1:1 NAT einrichten:

WAN-Zugang einrichten (Bsp.: Swisscom Gateway x.x.x.1/24, WAN Interface x.x.x.2/24,

DNS-Eintrag nicht vergessen),

Internet-Zugang testen

LAN-Adress-Objekt erstellen (DHCP-Range der USG, z.B. 192.168.1.33 +200 Adressen)

WAN-Adress-Objekt erstellen (Range des IP-Pools, gleicher Umfang wie LAN-Range, z.B. x.x.x.33 + 200 Adressen)

Many 1:1 NAT einrichten (Orig. IP Range: WAN Adress-Objekt, Mapped IP Range: LAN Adress-Objekt)

 

www.studerus.ch

KB-3296

 

Content Filter

Wo kann eine fälschlicherweise gesperrte Seite entsperrt werden?

Die entsprechende URL kann auf der Webseite  von Trustedsource geprüft und eine neue Kategorisierung vorgeschlagen werden.

 

Werden alle Ports durch den Content Filter geleitet?

Es wird nur der Port 80 überwacht. Alle anderen Ports werden nicht durch den Content Filter geleitet.

Mailverkehr

Problem: Mails können nicht mehr versendet werden

 

Grund: Durch Viren befallene Computer von Schulen haben zeitweise in grosser Zahl SPAM-Mails versandt und so bis zu Ausfällen des Mailservers geführt. Deshalb wurde von Swisscom eine IP-Plus Domain Authorization notwendig. Über den SMTP-Server der Swisscom (mailout.ip-plus.net) können nur noch Mails mit authentizierten Absender-Domains versendet werden.

 

Lösungen:

a) Verwenden Sie für den Postausgangsserver die Angaben Ihres Providers.

b) Melden Sie Ihre Maildomain, von welcher Sie keine Mails mehr versenden können an die Supportstelle Bildungsnetz Tel. 058 229 37 16. Ihre Domain wird dann freigeschaltet.

WEB Site Pflege mit Microsoft Frontpage und NTLM Authentication

 

Problem: Ein Client benutzt Microsoft Frontpage zur Pflege eines gehosteten WEB-Auftritts. Gleichzeitig wird auf Providerseite ein Microsoft Internet Information Server (IIS) eingesetzt. In diesem Fall wird meist NTLM (Windows NT LAN Manager) als Authentisierungs-Methode verwendet. Ein Proxy-Server kann diese Methode nicht unterstützen.

 

Lösung: Es gibt drei mögliche Lösungen, dieses Problem zu umgehen. In allen Fällen muss der Provider für die Anpassung involviert werden:

  • Umstellen der Authentisierungs-Methode von NTLM auf "Basic Authentication". Dies ist die Methode, die von allen WEB-Servern inklusive IIS unterstützt wird.
  • Benutzen eines anderen Service-Ports: anstelle von http (Port 80) wird z.B. Port 81 verwendet. Dadurch wird der WCS-Server umgangen und hat keinen Einfluss auf diese Verbindung. Die Kantonale Koordinationsstelle muss überprüfen, ob auf der SecurePoP Firewall der entsprechende Port erlaubt ist.
  • Verwenden des Service-Ports https (Port 443) zusammen mit "Basic Authentication". Dies bedingt die Benutzung eines Server-Zertifikates, das allenfalls zuerst durch den Betreiber des Servers erstellt werden muss.

Weitere Fragen

Die Angaben stammen vom SecurePop Team der Swisscom.

Für technische Abklärungen und Auskünfte wenden Sie sich bitte an die Supportstelle des Kantons Tel. 058 229 37 16