[SOLVED] Transparent Proxy - Windows Update

[lfirewall1243]

Hi ,

ich habe mich jetzt doch dazu entschieden einen Transparenten HTTP und HTTPS Proxy zu verwenden.
Dieser funktioniert auch gut, bis auf das keine Windows Updates mehr möglich sind.

Ich habe bereits flgende Domains so in die "Nicht abzufangende SSL-Seiten" eingetragen:

    windowsupdate.microsoft.com
    .windowsupdate.microsoft.com
    .windowsupdate.microsoft.com
    .update.microsoft.com
    .update.microsoft.com
    .windowsupdate.com
    download.windowsupdate.com
    download.microsoft.com
    .download.windowsupdate.com
    test.stats.update.microsoft.com
    ntservicepack.microsoft.com

Leider ohne Erfolg. Beim Update kommt weiterhin der Fehler  "(0x801901f7)".

Hat jemand eine Idee?

Danke euch


[UPDATE]

Im Cache Protokoll vom Proxy kommt beim Update Versuch folgende Meldung öfters.

Code: [Select]

2019/03/06 13:32:11 kid1| Error negotiating SSL on FD 15: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)

[Reiter der OPNsense]

Als ich noch den Proxy im Einsatz hatte, habe ich das nur mit einer No-redirect-NAT-Regel "No RDR (NOT)" hinbekommen.
So wie in diesem Thread beschrieben: https://forum.opnsense.org/index.php?topic=6093.0
Allerdings meint dort Fabian, dass dies zwar funktioniere, aber nicht der empfohlene Weg sei.

Folgende URLs hatte ich in der No-redirect-Regel:

windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.windowsupdate.com
download.microsoft.com
sls.update.microsoft.com
fe2.update.microsoft.com
outlook.com
eas.outlook.com
login.live.com
mobile.pipe.aria.microsoft.com
www.spotify.com

[lfirewall1243]

Danke dir

Werde das heute Abend oder in den nächsten Tagen ausprobieren.

[lfirewall1243]

Hi,

ich habs gerade ausprobiert, scheint aber nicht so zu laufen.

Hier mal meine Einstellungen, vielleicht habe ich ja gerade auch ein Brett vorm Kopf 

[UPDATE]

Im Grunde scheint die NAT-RDR Regel zu greifen, allerdings nicht wenn ich den Alias mit den Domains verwende

[Reiter der OPNsense]

Nimm beim Alias "Hosts" statt "URL (IPs)".

[lfirewall1243]

Nimm beim Alias "Hosts" statt "URL (IPs)".

Dann kommt folgender Fehler

Bsp.
Eintrag ".windowsupdate.microsoft.com" ist kein(e) gültige(r) Hostname oder IP-Adresse.

Und wenn man die Domains erst als URL (IP) einträgt, speichert und danach auf Hosts umstellt, greift es wieder nicht.

[Reiter der OPNsense]

Lass die Punkte vorne dran weg. Übernimm mal meine Liste 1:1 exkl. www.spotify.com.

[lfirewall1243]

Lass die Punkte vorne dran weg. Übernimm mal meine Liste 1:1 exkl. www.spotify.com.

Geht trotzdem nicht ....

wenn ich allerdings über "GeoIP" die Deutschen IPs blockiere, funktioniert die Regel und ich komme auf keine Deutsche Seite mehr

[lfirewall1243]

LÄUFT!

Habe vergessen unter NAT nach jeder Alias Änderung erneut zu bestätigen. 

Zumindest bei getesteten Domains z.B google.com klappt es. Windows Updates werde ich jetzt mal testen

Danke euch !!!


[UPDATE]

Windows Updates gehen nach wie vor nicht. Die Regel schein aber zu greifen 

[monstermania]

@lfirewall1243
Ich nutze zu Hause auch den transp. Proxy und die Windows Updates funktionieren problemlos.
Ich meine mich aber zu erinnern, dass ich Anfangs auch Schwierigkeiten hatte. Das Problem waren m.E. nach nicht die eigentlichen Windows-Updates, sondern der Windows-Defender, der noch ein paar weitere Proxy-Ausnahmen brauchte.
Ich versuche mal heute Abend mal meine Ausnahmeliste zu posten!

Gruß
Dirk

[lfirewall1243]

Es scheint nun ab und zu funktionieren. (Denke je nach dem welche Domain er gerade zum checken nimmt)

Habe jetzt folgende Domains eingetragen:

update.microsoft.com
windowsupdate.com
download.windowsupdate.com
download.microsoft.com
sls.update.microsoft.com
fe2.update.microsoft.com
outlook.com
eas.outlook.com
login.live.com
mobile.pipe.aria.microsoft.com
ntservicepack.microsoft.com
test.stats.update.microsoft.com
c.microsoft.com
windowsupdate.microsoft.de
microsoft.com
update.microsoft.com.akadns.net
update.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
images.metaservices.microsoft.com
www.download.windowsupdate.com
wustat.windows.com
crl.microsoft.com
sls.microsoft.com
productactivation.one.microsoft.com

@lfirewall1243
Ich nutze zu Hause auch den transp. Proxy und die Windows Updates funktionieren problemlos.
Ich meine mich aber zu erinnern, dass ich Anfangs auch Schwierigkeiten hatte. Das Problem waren m.E. nach nicht die eigentlichen Windows-Updates, sondern der Windows-Defender, der noch ein paar weitere Proxy-Ausnahmen brauchte.
Ich versuche mal heute Abend mal meine Ausnahmeliste zu posten!

Gruß
Dirk

Magst du mir trotzdem deine Liste schicken? Dann kann ich evtl. noch was ergänzen.

Eine Frage noch:
Kann man die Alias verknüpfen?

das heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?

[monstermania]

So,
hier meine Proxy-Whitelist.

Code: [Select]

crl.microsoft.com
eu.vortex-win.data.microsoft.com
winatp-gw-neu.microsoft.com
winatp-gw-weu.microsoft.com
blob.core.windows.net
windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.microsoft.com
download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com
Nochmal als Bild im Anhang.
Die Windows-Updates funktionieren bei mir so problemlos mit Windows 10.

Gruß
Dirk

[lfirewall1243]

So,
hier meine Proxy-Whitelist.

Code: [Select]

crl.microsoft.com
eu.vortex-win.data.microsoft.com
winatp-gw-neu.microsoft.com
winatp-gw-weu.microsoft.com
blob.core.windows.net
windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.microsoft.com
download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com
Nochmal als Bild im Anhang.
Die Windows-Updates funktionieren bei mir so problemlos mit Windows 10.

Gruß
Dirk

Danke dir

werde das gleich morgen mal Testen.
Sehe nur gerade,dass du die Addressen irgendwo bei "Whitelist" eingetragen hast. Im Web-Proxy Plugin? oder irgendwo bei den Alias oder NAT Einstellungen?

Schönen Abend noch

[Reiter der OPNsense]

Kann man die Alias verknüpfen?

Ja, man kann einem Alias Aliase hinzufügen.

das heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?

Uff, ich weiss nicht ob ich dein Ziel richtig verstanden habe (war ein langer Tag heute). 
Aber probiere doch einfach und sieh dir das Ergebnis an unter Firewall: Diagnostics: pfTables.

Ich war auch gerade am Schreiben, darum antworte ich jetzt mal für monstermania.
Bei ihm klappt es ohne No-redirect-NAT-Regel. Ich würde seine Liste mal 1:1 in die Whitelist des Proxys eintragen und schauen, ob es bei dir so auch geht.

[lfirewall1243]

Kann man die Alias verknüpfen?

Ja, man kann einem Alias Aliase hinzufügen.

das heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?

Uff, ich weiss nicht ob ich dein Ziel richtig verstanden habe (war ein langer Tag heute). 
Aber probiere doch einfach und sieh dir das Ergebnis an unter Firewall: Diagnostics: pfTables.

Ich war auch gerade am Schreiben, darum antworte ich jetzt mal für monstermania.
Bei ihm klappt es ohne No-redirect-NAT-Regel. Ich würde seine Liste mal 1:1 in die Whitelist des Proxys eintragen und schauen, ob es bei dir so auch geht.

Danke

Werde morgen einfach Mal etwas Testen und hoffe das Ihr mir alle helfen konntet.

Aber heute Abend fehlt doch die Motivation

Gesendet von meinem SM-G950F mit Tapatalk