Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)? (Read 4971 times)
monstermania
Hero Member
Posts: 524
Karma: 47
Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?
«
on:
March 01, 2017, 08:07:33 am »
Moin,
seit einigen Tagen habe ich ein Windows 10 Pro (Stand 1607) in meinem Heimnetz.
Reproduzierbar habe ich seither ein Problem mit den Signaturupdates für den Windows bordeigenen Windows Defender (Virenschutz) per OPNsense 16.7.14.
Offenbar sind auch nur die Defender-Updates betroffen. Sonstige Windows Updates haben bisher immer funktioniert (auch mit Windows 10).
Es läuft der WebProxy (Transparent) mit einigen Kategoriesperren ohne SSL-Interception. Beim Suchen von Updates findet Windows 10 ein Signaturupdate für Windows 10, der Download schlägt jedoch jedes mal fehl.
Aufgrund der Fehlermeldung bin ich auf folgende Seite im MS TechNet gestossen:
https://technet.microsoft.com/de-de/itpro/windows/keep-secure/configure-proxy-internet-windows-defender-advanced-threat-protection
Im Technet-Beitrag werden einige URL's genannt, die für das Update genutzt werden.
- *.blob.core.windows.net
- crl.microsoft.com
- eu.vortex-win.data.microsoft.com
- winatp-gw-neu.microsoft.com
- winatp-gw-weu.microsoft.com
Die URL's habe ich in der Proxykonfiguration auch schon in die Whitelist eingetragen. -> keine Änderung
Wie kann ich diese URL's in der OPNsense so freischalten, dass Windows 10 per http (Port 80) am transparenten Proxy vorbei direkt zugreifen kann!?
Ein direkter Versuch per Firewall-Regel hat nicht funktioniert. Nach etwas nachdenken, was auch klar warum. Mit der NAT-Regel wird ja der gesamte Traffic für Port 80 auf den Webproxy umgeleitet.
Wie muss eine NAT-Regel aussehen, damit die obigen URL nicht über den Proxy laufen?
Und ja, es liegt definitiv am Webproxy. Wenn ich das Laptop in mein Gäste-Netz hänge funktionieren die Signaturupdates für den Defender problemos (ohne Webproxy).
Gruß
Dirk
«
Last Edit: March 01, 2017, 02:14:49 pm by monstermania
»
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: Transp. Proxy und Defender Signaturupdates (Windows 10) funktionieren nicht.
«
Reply #1 on:
March 01, 2017, 08:27:51 am »
Der Play store hat bei mir auch derartige Probleme - Aus logcat geht hervor, dass ein 503er zurück kommt (mit HTTPS Interception). Selbst wenn ich alle Domains von Google in die Whitelist aufnehme geht es immer noch nicht. Was man vermutlich machen könnte, ist die Domains einfach als Alias hinterlegen und nicht mit NAT bearbeiten (no-rdr).
Das hilft aber leider genau gar nicht, das eigentliche Problem zu lösen (Squid hat scheinbar Probleme mit manchen Servern).
MfG
Fabian
Logged
monstermania
Hero Member
Posts: 524
Karma: 47
Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupda
«
Reply #2 on:
March 01, 2017, 08:34:52 am »
Hallo Fabian,
ob es generell an Squid liegt kann ich nicht beurteilen. Unsere (kommerzielle) Unternehmensfirewall hat jedenfalls keine solchen Probleme, obwohl dort auch ein Squid als Proxy läuft.
Wie müsste denn eine solche NAT-Regel aussehen?
Gruß
Dirk
«
Last Edit: March 01, 2017, 04:10:08 pm by monstermania
»
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?
«
Reply #3 on:
March 01, 2017, 06:14:23 pm »
Einfach gleich mit no rdr gesetzt sollte gehen (natürlich mit den richtigen Servern als Ziel).
Logged
monstermania
Hero Member
Posts: 524
Karma: 47
Re: Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?
«
Reply #4 on:
March 02, 2017, 07:38:24 am »
Quote from: fabian on March 01, 2017, 06:14:23 pm
Einfach gleich mit no rdr gesetzt sollte gehen (natürlich mit den richtigen Servern als Ziel).
Ok, den Haken in den NAT-Rules hatte ich übersehen!
Ich werde das mal austesten.
Vielen Dank
Gruß
Dirk
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Bypass transp. HTTP-Proxy für bestimmte URL's (Win. 10 Defender Signaturupdate)?