[SOLVED] Transparent Proxy - Windows Update

lfirewall1243 · March 06, 2019, 01:31:07 PM

Hi :) ,

ich habe mich jetzt doch dazu entschieden einen Transparenten HTTP und HTTPS Proxy zu verwenden.
Dieser funktioniert auch gut, bis auf das keine Windows Updates mehr möglich sind.

Ich habe bereits flgende Domains so in die "Nicht abzufangende SSL-Seiten" eingetragen:

windowsupdate.microsoft.com
.windowsupdate.microsoft.com
.windowsupdate.microsoft.com
.update.microsoft.com
.update.microsoft.com
.windowsupdate.com
download.windowsupdate.com
download.microsoft.com
.download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com

Leider ohne Erfolg. Beim Update kommt weiterhin der Fehler "(0x801901f7)".

Hat jemand eine Idee?

Danke euch :)

[UPDATE]

Im Cache Protokoll vom Proxy kommt beim Update Versuch folgende Meldung öfters.

Code Select

2019/03/06 13:32:11 	kid1| Error negotiating SSL on FD 15: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)

Reiter der OPNsense · March 06, 2019, 04:45:21 PM

Als ich noch den Proxy im Einsatz hatte, habe ich das nur mit einer No-redirect-NAT-Regel "No RDR (NOT)" hinbekommen.
So wie in diesem Thread beschrieben: https://forum.opnsense.org/index.php?topic=6093.0
Allerdings meint dort Fabian, dass dies zwar funktioniere, aber nicht der empfohlene Weg sei.

Folgende URLs hatte ich in der No-redirect-Regel:

windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.windowsupdate.com
download.microsoft.com
sls.update.microsoft.com
fe2.update.microsoft.com
outlook.com
eas.outlook.com
login.live.com
mobile.pipe.aria.microsoft.com
www.spotify.com

lfirewall1243 · March 06, 2019, 06:10:51 PM

Danke dir :)

Werde das heute Abend oder in den nächsten Tagen ausprobieren.

lfirewall1243 · March 07, 2019, 09:31:27 AM

Hi,

ich habs gerade ausprobiert, scheint aber nicht so zu laufen.

Hier mal meine Einstellungen, vielleicht habe ich ja gerade auch ein Brett vorm Kopf :)

[UPDATE]

Im Grunde scheint die NAT-RDR Regel zu greifen, allerdings nicht wenn ich den Alias mit den Domains verwende :(

Reiter der OPNsense · March 07, 2019, 10:12:23 AM

Nimm beim Alias "Hosts" statt "URL (IPs)".

lfirewall1243 · March 07, 2019, 10:14:43 AM

Quote from: Reiter der OPNsense on March 07, 2019, 10:12:23 AM
Nimm beim Alias "Hosts" statt "URL (IPs)".

Dann kommt folgender Fehler

Bsp.
Eintrag ".windowsupdate.microsoft.com" ist kein(e) gültige(r) Hostname oder IP-Adresse.

Und wenn man die Domains erst als URL (IP) einträgt, speichert und danach auf Hosts umstellt, greift es wieder nicht.

Reiter der OPNsense · March 07, 2019, 10:18:53 AM

Lass die Punkte vorne dran weg. Übernimm mal meine Liste 1:1 exkl. www.spotify.com.

lfirewall1243 · March 07, 2019, 10:22:27 AM

Quote from: Reiter der OPNsense on March 07, 2019, 10:18:53 AM
Lass die Punkte vorne dran weg. Übernimm mal meine Liste 1:1 exkl. www.spotify.com.

Geht trotzdem nicht .... :(

wenn ich allerdings über "GeoIP" die Deutschen IPs blockiere, funktioniert die Regel und ich komme auf keine Deutsche Seite mehr

lfirewall1243 · March 07, 2019, 10:27:12 AM

LÄUFT!

Habe vergessen unter NAT nach jeder Alias Änderung erneut zu bestätigen. ;)

Zumindest bei getesteten Domains z.B google.com klappt es. Windows Updates werde ich jetzt mal testen

Danke euch !!!

[UPDATE]

Windows Updates gehen nach wie vor nicht. Die Regel schein aber zu greifen :o

monstermania · March 07, 2019, 10:45:21 AM

@lfirewall1243
Ich nutze zu Hause auch den transp. Proxy und die Windows Updates funktionieren problemlos.
Ich meine mich aber zu erinnern, dass ich Anfangs auch Schwierigkeiten hatte. Das Problem waren m.E. nach nicht die eigentlichen Windows-Updates, sondern der Windows-Defender, der noch ein paar weitere Proxy-Ausnahmen brauchte.
Ich versuche mal heute Abend mal meine Ausnahmeliste zu posten!

Gruß
Dirk

lfirewall1243 · March 07, 2019, 12:02:22 PM

Es scheint nun ab und zu funktionieren. (Denke je nach dem welche Domain er gerade zum checken nimmt)

Habe jetzt folgende Domains eingetragen:

update.microsoft.com
windowsupdate.com
download.windowsupdate.com
download.microsoft.com
sls.update.microsoft.com
fe2.update.microsoft.com
outlook.com
eas.outlook.com
login.live.com
mobile.pipe.aria.microsoft.com
ntservicepack.microsoft.com
test.stats.update.microsoft.com
c.microsoft.com
windowsupdate.microsoft.de
microsoft.com
update.microsoft.com.akadns.net
update.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
images.metaservices.microsoft.com
www.download.windowsupdate.com
wustat.windows.com
crl.microsoft.com
sls.microsoft.com
productactivation.one.microsoft.com

Quote from: monstermania on March 07, 2019, 10:45:21 AM
@lfirewall1243
Ich nutze zu Hause auch den transp. Proxy und die Windows Updates funktionieren problemlos.
Ich meine mich aber zu erinnern, dass ich Anfangs auch Schwierigkeiten hatte. Das Problem waren m.E. nach nicht die eigentlichen Windows-Updates, sondern der Windows-Defender, der noch ein paar weitere Proxy-Ausnahmen brauchte.
Ich versuche mal heute Abend mal meine Ausnahmeliste zu posten!

Gruß
Dirk

Magst du mir trotzdem deine Liste schicken? Dann kann ich evtl. noch was ergänzen. :)

Eine Frage noch:
Kann man die Alias verknüpfen?

das heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?

monstermania · March 07, 2019, 05:58:03 PM

So,
hier meine Proxy-Whitelist.

Code Select

crl.microsoft.com
eu.vortex-win.data.microsoft.com
winatp-gw-neu.microsoft.com
winatp-gw-weu.microsoft.com
blob.core.windows.net
windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.microsoft.com
download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com

Nochmal als Bild im Anhang.
Die Windows-Updates funktionieren bei mir so problemlos mit Windows 10.

Gruß
Dirk

lfirewall1243 · March 07, 2019, 07:01:38 PM

Quote from: monstermania on March 07, 2019, 05:58:03 PM
So,
hier meine Proxy-Whitelist.
Code Select Expand
crl.microsoft.com eu.vortex-win.data.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com blob.core.windows.net windowsupdate.microsoft.com update.microsoft.com windowsupdate.com download.microsoft.com download.windowsupdate.com test.stats.update.microsoft.com ntservicepack.microsoft.com

Nochmal als Bild im Anhang.
Die Windows-Updates funktionieren bei mir so problemlos mit Windows 10.

Gruß
Dirk

Danke dir :)

werde das gleich morgen mal Testen.
Sehe nur gerade,dass du die Addressen irgendwo bei "Whitelist" eingetragen hast. Im Web-Proxy Plugin? oder irgendwo bei den Alias oder NAT Einstellungen?

Schönen Abend noch :)

Reiter der OPNsense · March 07, 2019, 07:09:58 PM

QuoteKann man die Alias verknüpfen?

Ja, man kann einem Alias Aliase hinzufügen.

Quotedas heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?

Uff, ich weiss nicht ob ich dein Ziel richtig verstanden habe (war ein langer Tag heute). :)
Aber probiere doch einfach und sieh dir das Ergebnis an unter Firewall: Diagnostics: pfTables.

Ich war auch gerade am Schreiben, darum antworte ich jetzt mal für monstermania. :)
Bei ihm klappt es ohne No-redirect-NAT-Regel. Ich würde seine Liste mal 1:1 in die Whitelist des Proxys eintragen und schauen, ob es bei dir so auch geht.

lfirewall1243 · March 07, 2019, 07:12:18 PM

Quote from: Reiter der OPNsense on March 07, 2019, 07:09:58 PM
QuoteKann man die Alias verknüpfen?
Ja, man kann einem Alias Aliase hinzufügen.

Quotedas heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?
Uff, ich weiss nicht ob ich dein Ziel richtig verstanden habe (war ein langer Tag heute). :)
Aber probiere doch einfach und sieh dir das Ergebnis an unter Firewall: Diagnostics: pfTables.

Ich war auch gerade am Schreiben, darum antworte ich jetzt mal für monstermania. :)
Bei ihm klappt es ohne No-redirect-NAT-Regel. Ich würde seine Liste mal 1:1 in die Whitelist des Proxys eintragen und schauen, ob es bei dir so auch geht.

Danke :)

Werde morgen einfach Mal etwas Testen und hoffe das Ihr mir alle helfen konntet.

Aber heute Abend fehlt doch die Motivation :)

Gesendet von meinem SM-G950F mit Tapatalk

[SOLVED] Transparent Proxy - Windows Update

lfirewall1243

March 06, 2019, 01:31:07 PM Last Edit: March 12, 2019, 10:09:52 AM by lfirewall1243

Reiter der OPNsense

March 06, 2019, 04:45:21 PM #1

lfirewall1243

March 06, 2019, 06:10:51 PM #2

lfirewall1243

March 07, 2019, 09:31:27 AM #3 Last Edit: March 07, 2019, 10:12:48 AM by lfirewall1243

Reiter der OPNsense

March 07, 2019, 10:12:23 AM #4

lfirewall1243

March 07, 2019, 10:14:43 AM #5 Last Edit: March 07, 2019, 10:16:49 AM by lfirewall1243

Reiter der OPNsense

March 07, 2019, 10:18:53 AM #6

lfirewall1243

March 07, 2019, 10:22:27 AM #7

lfirewall1243

March 07, 2019, 10:27:12 AM #8 Last Edit: March 07, 2019, 10:32:50 AM by lfirewall1243

monstermania

March 07, 2019, 10:45:21 AM #9

lfirewall1243

March 07, 2019, 12:02:22 PM #10 Last Edit: March 07, 2019, 02:01:30 PM by lfirewall1243

monstermania

March 07, 2019, 05:58:03 PM #11 Last Edit: March 07, 2019, 06:00:16 PM by monstermania

lfirewall1243

March 07, 2019, 07:01:38 PM #12

Reiter der OPNsense

March 07, 2019, 07:09:58 PM #13

lfirewall1243

March 07, 2019, 07:12:18 PM #14