OPNsense Forum
International Forums => German - Deutsch => Topic started by: W0nderW0lf on March 03, 2023, 09:31:58 am
-
Hallo alle zusammen,
ich habe schon seit bestimmt einem Jahr das Problem, dass meine Windows Maschinen kein Update mehr innerhalb des LAN's bekommen. (LAN) Darf bei mir überall hin.
Ich nutze Suricata, Zenarmor und Adguard gebündelt auf der Firewall.
Zur Fehleranalyse habe ich jeden Dienst händisch gestoppt und auf meiner Maschine nach Updates gesucht. Leider kein Erfolg, egal welchen Dienst ich abschalte.
Im Firewall Live-Log habe ich keine blocks erkennen können. In Surricata selber werden nur ICMP echo's gemeldet. Zenarmor hat lediglich www.bing.com geblockt. Adguard wiederum hat recht viel geblockt, was aber letzten endes nur telemetrie und ad-server von Microsoft sind.. however.. ich habe mal alle Filter zum Testen entsperrt, aber da scheint nix zu passieren. Selbst wenn ich adguard deaktiviere bringt das keine Änderung.
Wenn ich über die Firewall das LAN interface sniffe und den Moment aufzeichne, wo ich in Windows nach Updates suche, wird leider keine Anfrage verschickt.
Sobald ich meinen Windows Rechner an meine Fritzbox ohne Firewall hänge, geht alles ohne probleme... Es liegt nur an der Firewall und ich bin nicht im Stande genau zu lokalisieren was und wo geblockt wird.
Ich habe sogar ein Alias mit allen offiziell bekannten Windows Update Servern gemacht, aber das scheint auch nicht zu helfen.
Im Anhang seht ihr meine "Fließende" Regel für Windows Updates
Habt ihr eine Idee?
LG
W0nderW0lf
-
Scheinbar wurde mein 2. Anhang nicht hochgeladen.. hier mein ALIAS:
-
"http://xyz.abc.com" ist kein DNS Name. Alles ohne URI und Wildcards funktionieren hier auch nicht. Was soll er da denn auflösen?
Ein Alias löst lediglich Namen via DNS in IP Adressen auf, das ist kein Proxy oder URL White-/Blacklisting.
Entweder du kennst alle DNS Namen oder alle IP Adressen oder sehr weitgefächert alle Netze.
https://www.microsoft.com/en-us/download/details.aspx?id=53602
-
"http://xyz.abc.com" ist kein DNS Name.
https://www.microsoft.com/en-us/download/details.aspx?id=53602
Hast du Recht, aber ich bin davon ausgegangen, dass das auch möglich war. Bei gewissen Aliassen geht's ja auch, aber da tut er nur IP Listen fetchen..
Aus Datenschutzgründen macht es für mich keinen Sinn alle Microsoft IP Netze zu whitelisten. Updates könnten dann vielleicht gehen, aber gleichzeitig gestatte ich somit alles weitere an Telemetrie und sonstiges...
Ich hatte gehofft, dass jemand hier ähnliche Probleme hatte.
Ich bin zufällig über squid gestolpert und gucke ob ich einfach das ganze mit dem proxy abfrühstücke. Dann muss ich wenigstens nicht mehr mit Firewallregeln arbeiten und kann mit WPAD die proxy settings an die clients verteilen. Könnte also damit gehen.
Alles sehr unschön
-
Bei gewissen Aliassen geht's ja auch, aber da tut er nur IP Listen fetchen..
Nein geht nicht, die Alias holen eine Liste mit IP-Adressen oder DNS Namen ab.
Mit Squid gehts ohne Probleme, solange du keine SSL Inspection verwendest, dann müsstest du noch anpassen, das für bestimmte URLs Ausnahmen existieren, da Microsoft SSL Pinning macht.
-
Aus Datenschutzgründen macht es für mich keinen Sinn alle Microsoft IP Netze zu whitelisten. Updates könnten dann vielleicht gehen, aber gleichzeitig gestatte ich somit alles weitere an Telemetrie und sonstiges...
Update und Telemetrie sind andere Netzsegmente.
Windows Update Whitelist (ohne Gewähr - nicht vollständig, aber reicht):
update.microsoft.com
windowsupdate.microsoft.com
windowsupdate.com
download.windowsupdate.com
wustat.windows.com
ntservicepack.microsoft.com
stats.microsoft.com
134.170.165.253
134.170.165.249
157.56.77.139
157.56.96.58
4.14.40.138
157.56.77.140
134.170.165.251
65.55.163.222
66.119.144.158
134.170.58.125
fe2.update.microsoft.com
fe2.update.microsoft.com.nsatc.net
196.234.72.190
Und wenn du explizit die Telemetrie zunageln willst (ebenfalls nicht vollständig und ohne Gewähr):
v10.vortex-win.data.microsoft.com
settings-win.data.microsoft.com
watson.telemetry.microsoft.com
oca.telemetry.microsoft.com
vortex.data.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
eaus2watcab01.blob.core.windows.net
-
So.. ich musste ein bisschen Zeit finden und habe leider immer noch keine Lösung.
Es ist wirklich sehr merkwürdig.
Ich kann es einfach nicht nachvollziehen wo es hängt, außer an der Firewall selbst.
Ich habe mal nach meinem letzten Post den cache proxy samt WPAD eingerichtet. Leider brachte das auch rein gar nichts.
Heute habe ich nochmal meinen letzten Test gemacht und ich finde nach wie vor keinen einzigen Hinweis, warum ausgerechnet die Windows Updates nicht funzen...
Heute habe ich folgendes deaktiviert:
- Suricata
- Zenarmor
- Adguard Schutzmaßnahmen
- Crowdsec
- FireHOL Fließende regeln
Es hat wirklich rein gar nichts gebracht. Ich sehe weder in den Firewall logs etwas mit Bezug zu Microsoft, noch in Suricata oder anderen Diensten irgendein Indiz.
Ich meine Polen war wirklich offen. Alles stand auf allow und es hat rein gar nichts geklappt.
Getestet habe ich meinen Rechner im LAN + ein Notebook in einem seperaten WLAN Netz. Beide haben das gleiche Phänomen.
Wie kann das sein, dass wirklich rein gar nichts diesbezüglich geloggt wird?
Also in Adguard zumindest sehe ich alle möglichen Microsoft Bing + Telemetrie gedöns, aber der Schutz war ja komplett deaktiviert. Da darf dann IMO nichts geblockt werden. Sobald ich das OPNsense Netz verlasse geht es ja...
Aus Wireshark traces alleine werde ich leider nicht schlau, da ich TLS/SSL verschlüsselte kommunikation nicht entschlüsseln kann ohne zert und ich bin da ehrlich gesagt auch nicht so fit drin.
Hat sonst jemand eine idee?
Die allerletzte Option, wo ich aber nicht weiß ob das wirklich was bringen würde, wäre die Firewall komplett platt machen und mit einer standard installation neu aufsetzen ohne die config wiederherzustellen. Aber den Schritt möchte ich ehrlich gesagt vermeiden, weil ich echt schon ne ganze menge eingestellt habe und ich finde die Wiederherstellung von config Dateien schon sehr mühselig. Beim restore geht entweder alles, oder einzeln jeder einzelne Bereich...
-
Funktioniert IPv6 bei Dir? Kann es sein, dass Dein PC das versucht, aber nicht durchkommt, weil es nicht korrekt konfiguriert ist? Würde erklären, wieso Du beim Update an der OpnSense nichts siehst.
-
Hi, nein IPv6 habe ich schon vor langer zeit deaktiviert und bin ausschließlich bei ipv4.
Ich vermute auch, der Rechner müsste die schnellste Route finden, wenn eine IPv4 Verbindung besteht.
In den Windows Ereignis logs sehe ich leider auch nur, dass keine Windows Update Dienste erreicht werden können. Warum allerdings ist nicht nachzuvollziehen ohne die richtigen Windows insider kenntnisse..
-
Wird hier unbound als dns resolver verwendet? Sind unbound blocklists aktiviert?
Mit den listen WindowsSpyBlocker (update) und WindowsSpyBlocker (extra) werden windows updates und auch andere microsoft dienste geblockt.
-
HA! Tatsächlich. Es waren die von dir erwähnten Blocklisten!
An die hatte ich gar nicht mehr gedacht.
Danke und problem solved. :)
Hast dir nen like verdient