1. Home
  2. Docs
  3. Flashstart
  4. Router Guides
  5. Bintec Elmeg – Integration mit dem Cloud-Filter

Bintec Elmeg – Integration mit dem Cloud-Filter

Konfigurieren Sie den Filter an einem Bintec Router

Einleitung
Der bintec elmeg Webfilter-Server bietet folgende Möglichkeiten der Filterung an:

– Sperrlisten (Blacklists): vordefinierte Kategorien bzw. private Kategorie für selbst erstellte
Sperrlisten
– Integration von Google SafeSearch: Beschränkung der Google-Suchergebnisse
– Geolocation: Datenverkehr anhand geographischer Standorte erlauben oder blockieren
– Reporting: Echtzeitberichte und Auswertung der aufgerufenen Webseiten-Kategorien
– Benachrichtigungen bei Client-Anfragen zur Freigabe einer Webseite
– Zeitplaner: Aktiviert bzw. deaktiviert Sperrlisten zu bestimmten Zeiten

Hinweis: Bevor Sie den Filter konfigurieren, empfehlen wir, die Firmware Ihres Routers zu aktualisieren, um eine bessere Leistung zu erzielen.

Allgemeine Funktionsweise des Webfilters
Die grundsätzliche Funktionsweise der Lösung ist wie folgt:
Die be.IP weist einem anfragenden DHCP-Client neben der IP-Adresse und dem Gateway auch die eigene Adresse als DNS-Server zu.
Alle DNS-Anfragen werden von der be.IP an einen der bintec elmeg Webfilter-DNS-Server weitergeleitet (185.236.104.104 bzw. 185.236.105.105). Sobald der Client eine Internetseite in seinem Browser aufruft, geschieht Folgendes:
1) Die DNS-Anfrage des Clients wird an den Webfilter-DNS-Server gesendet.
2) Der DNS-Server identifiziert das eingerichtete Profil auf der bintec elmeg Webfilter-Plattform anhand der Quell-IP-Adresse der DNS-Anfrage. Dies ist die öffentliche IP- Adresse Ihres Internetzugangs.
3) Der DNS-Server prüft anhand der von Ihnen eingerichteten Richtlinien, ob die angefragte URL aufgelöst werden darf oder nicht.

– Darf die URL aufgelöst werden, teilt der DNS-Server die IP-Adresse per DNS-Antwort mit.
– Darf die URL nicht aufgelöst werden, teilt der DNS-Server die IP-Adresse der bintec elmeg Webfilter-Plattform mit. Der Client ruft somit per HTTP(S) die bintec elmeg Webfilter-Webseite auf, die ihm mitteilt, dass der Aufruf der gewünschten Seite nicht erlaubt ist.

Hinweise zur Konfigurationsanleitung
– Die LAN-Schnittstelle in dieser Konfigurationsanleitung ist br0, die Schnittstelle für den Internetzugang heißt “WAN – Internet”.
– Die Firewall ist aktiv. Die LAN-Schnittstelle ist der vertrauenswürdigen Zone und die WAN-Schnittstelle der nicht vertrauenswürdigen Zone zugeordnet.
– Für das interne Netzwerk ist eine DHCP-Server-Konfiguration erforderlich.
– In Abhängigkeit von der Art der IP-Adresszuweisung an der Internet-Schnittstelle (statisch oder dynamisch) sind unterschiedliche Konfigurationen des Filters notwendig.
– Beachten Sie, dass die DNS-Auflösung für Clients im LAN ab dem Zeitpunkt des Einrichtens des DNS-Servers fehlschlagen kann, wenn der bintec elmeg Webfilter-Server noch nicht konfiguriert ist.
– Die be.IP wird über den Assistenten so konfiguriert, dass Anfragen an andere DNS- Server nicht zugelassen sind.

Konfiguration auf dem Router
Mit dem Webfilter-Assistenten können Sie DNS-Server und Firewall sowie DynDNS- Einstellungen in einem einzigen Menü konfigurieren.
1) Gehen Sie dazu in das Menü Assistenten->Webfilter.
2) Aktivieren Sie die Funktion Webfilter aktivieren , um den Webfilter zu konfigurieren.


Gehen Sie folgendermaßen vor:
LAN-Schnittstelle:
Wählen Sie aus, für welche der vorhandenen Ethernet- bzw. WLAN-Schnittstellen die Webfilterung aktiviert werden soll. Sie können hier lediglich eine Schnittstelle auswählen. Wählen Sie daher die Schnittstelle, in deren Netz sich die Clients befinden, deren Webanfragen gefiltert werden sollen, z.B. die Schnittstelle Ihres Gäste- WLANs.
IP-Adressbereich der gefilterten Clients:
Wenn Sie eine Schnittstelle ausgewählt haben, für die noch kein DHCP-Server eingerichtet ist, können Sie den zu filternden Bereich an IP-Adressen hier selbst eingeben.
Benutzername:
Geben Sie den Benutzernamen ein, unter dem Sie sich beim bintec elmeg Webfilter registriert haben.
Passwort:
Geben Sie das entsprechende Passwort ein.
Filtermodus:
Wählen Sie den Filtermodus aus.
Standard: In dieser Betriebsart sendet Ihr Gerät Anfragen über die (statische oder dynamische) öffentliche IP-Adresse Ihres Routers an den Webfilter.
L2TP: Diese Betriebsart ermöglicht es, den Webfilter auch dann zu betreiben, wenn Ihr Router über keine eigene öffentliche Adresse verfügt, also z. B. wenn Ihr Internetanbieter sogenanntes Carrier Grade NAT durchführt, bei dem sich mehrere Router im Netz des Anbieters eine öffentliche Netzadresse teilen. In diesem Fall wird eine sog. Tunnelverbindung von Ihrem Gateway zum DNS-Server des Webfilters einge- richtet. Auch die dazu erforderlichen Einstellungen werden automatisch vorgenommen, hier aber nicht weiter abgebildet, da sie erweiterte Kenntnisse der Netzwerk- konfiguration erfordern.

Sobald Sie die Einstellungen mit OK bestätigen, wird die Filterung aktiv.

Konfigurationsübersicht

Der Webfilter-Assistent nimmt Einstellungen in unterschiedlichen Menüs vor. Wenn Sie die Einstellungen überprüfen wollen, finden Sie diese in den folgenden Menüs:
Im Menü Lokale Dienste ->DHCP-Server ->IP-Pool-Konfiguration wird der vom Webfilter abgedeckte IP-Pool angezeigt:


Im Menü Lokale Dienste ->DNS->Domänenweiterleitung ist die Weiterleitung aller DNS- Anfragen an die DNS-Server des Webfilters angelegt:


Die Übersicht der Firewall-Richtlinien im Menü Firewall->Richtlinien->IPv4-Filterregeln enthält die Einträge, die Anfragen an andere DNS-Server unterbinden. Beachten Sie die Reihenfolge:


Im Menü Lokale Dienste ->DynDNS-Client ->DynDNS-Aktualisierung wird in der Liste die DynDNS-Registrierung angezeigt. Diese ist notwendig, wenn dem Webfilter eine dynamisch vergebene öffentlichen IP-Adresse als Adresse Ihres Netzwerks mitzuteilen ist.


Einrichtung des Webfilters
Die Konfiguration der Filterung selbst erfolgt in einer Web-Applikation. Benutzername und Passwort erhalten Sie bei der Registrierung.
Öffnen Sie einen Browser und geben Sie http://webfilter.bintec-elmeg.com ein. Registrieren Sie sich über den Button Nicht registriert?. Geben Sie die erforderlichen Daten ein. Nach erfolgter Registrierung erhalten Sie eine E-Mail mit Ihren Anmeldedaten.

Einrichtung des Webfilters mit dynamischer WAN IP-Adresse
In den meisten Fällen vergeben Internet Service Provider an sich einwählende Router dynamische öffentliche IP-Adressen. Da die Verknüpfung Ihres Anschlusses mit dem DNS- Server des bintec elmeg Webfilters über diese öffentliche IP-Adresse hergestellt wird, muss diese im DNS-Server hinterlegt werden.
Das Problem hierbei ist, dass sich diese öffentliche IP-Adresse u. a. bei Zwangstrennungen, Neustart des Routers oder administrativer Neueinwahl ändern kann. Um dem bintec elmeg Webfilter-Server die aktuell verwendete IP-Adresse bekannt zu geben, wird ein DynDNS-Client verwendet.
1) Nachdem Sie sich am Portal angemeldet haben, gehen Sie in das Menü Netzwerk Neues Netzwerk hinzufügen.


2) Wählen Sie im ersten Schritt die Option Standard Setup
3) Klicken Sie auf Can not find your device? Switch to manual configuration.
4) Markieren Sie die Option I have a Dynamic IP.
5) Im darauffolgenden Fenster können Sie eingeben welches Gerät Sie verwenden.
6) Die Einrichtung des Webfilters mit dynamischer WAN-IP-Adresse ist damit abgeschlossen.
Klicken Sie auf Device connection test um den Geräteverbindungstest zu starten.

Ein zusätzliches Filterprofil einrichten
Ein zusätzliches Filterprofil soll für eine weitere interne Schnittstelle mit individuellen Regeln verwendet werden.

Webfilter konfigurieren
Melden Sie sich mit Ihren Anmeldedaten am bintec elmeg Webfilter an (siehe Einrichtung des Webfilters auf Seite 6). Wählen Sie Profil->Neues Profil anlegen auf der Benutzeroberfläche des Webfilters aus.


Gehen Sie folgendermaßen vor:
1) Geben Sie einen Namen für das Profil ein, hier z. B. GastWLAN.
2) Wählen Sie alternative IP-Adressen für den DNS-Server aus, hier z. B.
185.236.104.114 – 185.236.105.115
3) Klicken Sie auf Einfügen.
4) Klicken Sie auf die Registerkarte Netzwerk.

In der Übersicht Liste der geschützten Netzwerke sind nun die beiden Profile an inviduelle DNS-Server gebunden.


Im nächsten Schritt legen Sie neue Regeln für die zusätzliche Client-Schnittstelle fest.

Router konfigurieren
Gehen Sie auf der Benutzeroberfläche der be.IP in das Menü Firewall->Richtlinien->IPv4-Filterregeln->Neu.


Gehen Sie folgendermaßen vor:
1) Wählen Sie als Quelle die interne Schnittstelle vss7-10 aus.
2) Als Ziel wählen Sie LAN_LOCAL aus.
3) Wählen Sie als Dienst dns.
4) Wählen Sie bei Aktion Zugriff.
5) Bestätigen Sie Ihre Einstellungen mit OK.

Konfigurieren Sie nun eine Regel, die Anfragen an andere DNS-Server abweist. Gehen Sie in das Menü Firewall->Richtlinien->IPv4-Filterregeln->Neu.
Gehen Sie folgendermaßen vor:
1) Wählen Sie bei Quelle die interne Schnittstelle vss7-10 aus.
2) Als Ziel wählen Sie eine Internetschnittstelle, z. B. WAN_GERMANY-TELEKOM ENTERTAIN aus.
3) Wählen Sie bei Dienst dns.
4) Wählen Sie bei Aktion Verweigern.
5) Bestätigen Sie Ihre Einstellungen mit OK.

Ergebnis:


Erstellen Sie weitere Firewallregeln, wenn IPv6 auf der zusätzlichen Schnittstelle aktiv ist. Gehen Sie in das Menü Firewall->Richtlinien->IPv6-Filterregeln->Neu.
Gehen Sie folgendermaßen vor:
1) Wählen Sie bei Quelle die interne Internetschnittstelle vss7-10 aus.
2) Als Ziel wählen Sie LAN_LOCAL aus.
3) Wählen Sie bei Dienst dns.
4) Wählen Sie bei Aktion Zugriff.
5) Bestätigen Sie Ihre Einstellungen mit OK.

Konfigurieren Sie nun eine Regel, die Anfragen an andere DNS-Server abweist. Gehen Sie in das Menü Firewall->Richtlinien->IPv6-Filterregeln->Neu.
Gehen Sie folgendermaßen vor:
1) Wählen Sie bei Quelle die interne Internetschnittstelle . vss7-10 aus.
2) Als Ziel wählen Sie eine Internetschnittstelle, z. B WAN_GERMANY-TELEKOM ENTERTAIN aus.
3) Wählen Sie bei Dienst dns.
4) Wählen Sie bei Aktion Verweigern.
5) Bestätigen Sie Ihre Einstellungen mit OK.

Im letzten Schritt legen Sie eine neue Domänenweiterleitung für die zusätzliche Client- Schnittstelle fest.
Gehen Sie dazu in das Menü Lokale Dienste->DNS->Domänenweiterleitung ->Neu.


Gehen Sie folgendermaßen vor:
1) Wählen Sie bei Weiterleiten Host aus.
2) Bei Host geben Sie * ein.
3) Wählen Sie bei Weiterleiten an DNS-Server aus.
4) Legen Sie die Quellschnittstelle der DNS-Anfragen fest, hier vss7-10.
5) Geben Sie die IPv4/IPv6-Adresse des primären DNS-Servers ein, hier 185.236.104.114.
6) Geben Sie die IPv4/IPv6-Adresse des sekundären DNS-Servers ein, hier 182.236.105.115.
7) Bestätigen Sie Ihre Einstellungen mit OK.

Ergebnis:


Damit ist die Konfiguration eines zusätzlichen Filterprofils abgeschlossen.

Was this article helpful to you? Yes No

How can we help?