OPNsense Forum

International Forums => German - Deutsch => Topic started by: monstermania on March 01, 2017, 08:07:33 am

Title: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?
Post by: monstermania on March 01, 2017, 08:07:33 am

Moin,
seit einigen Tagen habe ich ein Windows 10 Pro (Stand 1607) in meinem Heimnetz.
Reproduzierbar habe ich seither ein Problem mit den Signaturupdates für den Windows bordeigenen Windows Defender (Virenschutz) per OPNsense 16.7.14.
Offenbar sind auch nur die Defender-Updates betroffen. Sonstige Windows Updates haben bisher immer funktioniert (auch mit Windows 10).
Es läuft der WebProxy (Transparent) mit einigen Kategoriesperren ohne SSL-Interception. Beim Suchen von  Updates findet Windows 10 ein Signaturupdate für Windows 10, der Download schlägt jedoch jedes mal fehl.
Aufgrund der Fehlermeldung bin ich auf folgende Seite im MS TechNet gestossen: https://technet.microsoft.com/de-de/itpro/windows/keep-secure/configure-proxy-internet-windows-defender-advanced-threat-protection

Im Technet-Beitrag werden einige URL's genannt, die für das Update genutzt werden.
- *.blob.core.windows.net
- crl.microsoft.com
- eu.vortex-win.data.microsoft.com
- winatp-gw-neu.microsoft.com
- winatp-gw-weu.microsoft.com

Die URL's habe ich in der Proxykonfiguration auch schon in die Whitelist eingetragen. -> keine Änderung
Wie kann ich diese URL's in der OPNsense so freischalten, dass Windows 10 per http (Port 80) am transparenten Proxy vorbei direkt zugreifen kann!?
Ein direkter Versuch per Firewall-Regel hat nicht funktioniert. Nach etwas nachdenken, was auch klar warum. Mit der NAT-Regel wird ja der gesamte Traffic für Port 80 auf den Webproxy umgeleitet.
Wie muss eine NAT-Regel aussehen, damit die obigen URL nicht über den Proxy laufen?

Und ja, es liegt definitiv am Webproxy. Wenn ich das Laptop in mein Gäste-Netz hänge funktionieren die Signaturupdates für den Defender problemos (ohne Webproxy).

Gruß
Dirk

Title: Re: Transp. Proxy und Defender Signaturupdates (Windows 10) funktionieren nicht.
Post by: fabian on March 01, 2017, 08:27:51 am

Der Play store hat bei mir auch derartige Probleme - Aus logcat geht hervor, dass ein 503er zurück kommt (mit HTTPS Interception). Selbst wenn ich alle Domains von Google in die Whitelist aufnehme geht es immer noch nicht. Was man vermutlich machen könnte, ist die Domains einfach als Alias hinterlegen und nicht mit NAT bearbeiten (no-rdr).

Das hilft aber leider genau gar nicht, das eigentliche Problem zu lösen (Squid hat scheinbar Probleme mit manchen Servern).

MfG

Fabian

Title: Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupda
Post by: monstermania on March 01, 2017, 08:34:52 am

Hallo Fabian,
ob es generell an Squid liegt kann ich nicht beurteilen. Unsere (kommerzielle) Unternehmensfirewall hat jedenfalls keine solchen Probleme, obwohl dort auch ein Squid als Proxy läuft.
Wie müsste denn eine solche NAT-Regel aussehen?

Gruß
Dirk

Title: Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?
Post by: fabian on March 01, 2017, 06:14:23 pm

Einfach gleich mit no rdr gesetzt sollte gehen (natürlich mit den richtigen Servern als Ziel).

Title: Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?
Post by: monstermania on March 02, 2017, 07:38:24 am

Quote from: fabian on March 01, 2017, 06:14:23 pm

Einfach gleich mit no rdr gesetzt sollte gehen (natürlich mit den richtigen Servern als Ziel).

Ok, den Haken in den NAT-Rules hatte ich übersehen!
Ich werde das mal austesten.
Vielen Dank

Gruß
Dirk