Eine Frage in die Runde:
hat jemand Erfahrung mit einem transparenten Proxy incl. ssl und Windows 10-Updates.
Alles funktioniert soweit, der transp. Proxy läuft auf 3128 bzw 3129...nur Windows updates gehen nicht durch.
Wenn ich SNI nur protokolliere, dann gehen auch die updates, aber diese Einstellung ist nicht gewollt.
Hallo,
Soweit ich weiß, verwendet Microsoft hier certificate pinning bei Windows Update. https://de.m.wikipedia.org/wiki/HTTP_Public_Key_Pinning
Hast Du Mal probiert eine Ausnahme für windowsupdate zu konfigurieren?
Gesendet von meinem IN2023 mit Tapatalk
Bei mir ähnlich,
leider ohne Erfolg die Domainnamen in die Ausnahme oder Whitelist einzutragen.
Win Updates ist das einzige, was nicht geht.
Ihr könnt eine Bypass Regel erstellen, so daß windowsupdate am Proxy vorbeigeschickt wird.
Gesendet von meinem IN2023 mit Tapatalk
Mit welchen Zielen?
Wenn es nur über die Quelle geht, kann man es auch gleich ausstellen
Windowsupdate.microsoft.com, update.microsoft.com
Gesendet von meinem IN2023 mit Tapatalk
schon mal Danke für die vielen Infos.
Habe die Umleitung mal eingestellt aber irgendwie will das nicht. Hat jemand das auch mal probiert ?
Hallo,
zuerst entschuldige bitte meine kurzen Antworten, ich habe das am Telefon getippt.
Nur um das richtig zu verstehem, reden wir darüber, daß Windowsupdates überhaupt nicht funktionieren, oder möchtest Du die Option zum Cachen im Squid nutzen?
Bei zweiterem ist die Frage ob das überhaupt sinnvol ist, da W10 ja sowieso delivery optimization:
https://docs.microsoft.com/en-us/windows/deployment/update/waas-delivery-optimization
Hier steht auch
QuoteWhat hostnames should I allow through my firewall to support Delivery Optimization?:
For communication between clients and the Delivery Optimization cloud service: *.do.dsp.mp.microsoft.com.
For Delivery Optimization metadata:
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
For the payloads (optional):
*.download.windowsupdate.com
*.windowsupdate.com
Ersteres funktioniert bei mir, ich habe aber nicht SSL inspection aktiv sondern nur "Log SNI Information only" und noch .windowsupdate.com und .microsoft.com in den SSL no bump Sites drinnen.
Habt Ihr die oben angeführten domains in die SSL no Bump Sites honzugefügt?
LG
amichel
Hallo und Danke für die schnelle Antwort. Ja, die Tipperei auf dem Handy ist schon was für sich.
Zum Thema:
ich möchte im Hinblick auf Windows-Update den Proxy NICHT als Cache nutzen. Da stimmt soweit.
Die Updates gehen überhaupt nicht, sofern ich ssl auch über den Proxy laufen lasse. Richtig ist, das bei eingeschaltetem "nur SNI protokolieren" die Updates laufen.
Ich müßte also alles was mit dem Update an anfragen aufkommt, am Proxy vorbei leiten.
Aber das funktioniert nicht bei mir. Daher die Frage, ob jemand diese Konfiguration schon am Laufen hat.
Quote from: hpl on May 25, 2020, 06:28:14 PM
Hallo und Danke für die schnelle Antwort. Ja, die Tipperei auf dem Handy ist schon was für sich.
Zum Thema:
ich möchte im Hinblick auf Windows-Update den Proxy NICHT als Cache nutzen. Da stimmt soweit.
Die Updates gehen überhaupt nicht, sofern ich ssl auch über den Proxy laufen lasse. Richtig ist, das bei eingeschaltetem "nur SNI protokolieren" die Updates laufen.
Ich müßte also alles was mit dem Update an anfragen aufkommt, am Proxy vorbei leiten.
Aber das funktioniert nicht bei mir. Daher die Frage, ob jemand diese Konfiguration schon am Laufen hat.
Hast Du schon die erwähnten Sites in die ssl no bump config aufgenommen?
Gesendet von meinem IN2023 mit Tapatalk
jawoll, habe ich aufgenommen, bringt aber leider nix..... >:( >:( >:(
Ich habe da noch etwas gefunden:
https://wiki.squid-cache.org/SquidFaq/WindowsUpdate#Squid_with_SSL-Bump_and_Windows_Updates
So sollte das eigentlich gehen.
LG
amichel
hab ich mir auch schon mal durchgelesen. Es ist nur die Frage, wie man das bei opnsense umsetzt...
ich denke, ich muß einen anderen Weg zuerstl umsetzen, sodaß ich einen Windows-Client generell am Proxy vorbei leite. Wenn das funktioniert, kann ich das auf die Windows-Updates beschränken.
Schau Dir mal diesen Thread an https://forum.opnsense.org/index.php?topic=11922.15 (https://forum.opnsense.org/index.php?topic=11922.15)