[SOLVED] Transparent Proxy - Windows Update

lfirewall1243 · March 08, 2019, 09:04:59 AM

Hallo,

habe die Listen ergänzt aber funktioniert dennoch nicht.

Als Whitelist Eintrag bei den Proxy Einstellungen geht es garnicht.
Als Alias bei den NAT-Regeln funkioniert das checken nach Updates nur manchmal :(

Reiter der OPNsense · March 08, 2019, 10:52:42 AM

Hm. Ich frage mich, wieso es dann bei Dirk ohne "no redirect" geht.

Aktiviere mal das Logging des Proxys, falls noch nicht geschehen und schau ob beim Abrufen von Windows Updates irgendwelche IP-Adressen die nicht aufgelöst werden können erscheinen. Wenn ja, füge diese auch noch in die No-redirect-Liste hinzu.

lfirewall1243 · March 08, 2019, 12:01:44 PM

Hi,

Dort sind einige unaufgelöste IP Addressen, die werde ich mal hinzfügen.

Was mich wundert ist, dort werden auch ein paar Domains angezeigt, die bereits in meine Alias Liste hinterlegt sind. ???

opnsenseuser · March 08, 2019, 09:35:17 PM

Ich kann nur aus eigener Erfahrung sagen, dass es ohne Redirect nicht funktioniert.
Bei mir sind es ungefähr 20 Domains die ich als no Redirect verwenden musste damit wirklich alles ohne Probleme funktioniert. Damit meine ich Windows und App Store Updates.

fightingmasta · March 08, 2019, 09:53:15 PM

@opnsenseuser: Könntest du diese Domains posten, die du dafür eintragen musstest?

opnsenseuser · March 08, 2019, 10:35:48 PM

Code Select

tlu.dl.delivery.mp.microsoft.com
2.tlu.dl.delivery.mp.microsoft.com
activity.windows.com
au.download.windowsupdate.com
bg.v4.pr.dl.ws.microsoft.com
crl.microsoft.com
delivery.mp.microsoft.com
dl.delivery.mp.microsoft.com
download.microsoft.com
download.windowsupdate.com
fe2.update.microsoft.com
fe3.delivery.mp.microsoft.com
microsoft.com
mp.microsoft.com
msedge.net
msft.net
settings-win.data.microsoft.com
sls.update.microsoft.com
telemetry.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
update.microsoft.com
update.microsoft.com.akadns.net
update.microsoft.com.nsatc.net
v20.vortex-win.data.microsoft.com
watson.telemetry.microsoft.com

ich habe zusätzlich noch die hauptdomains in der ssl no bump liste hinzugefügt und in der whitelist im proxy.

opnsenseuser · March 08, 2019, 10:49:57 PM

ich glaube das du die regeln nicht richtig eingestellt hast. aber ich bin auch nicht der überprofi

1.zuerst habe ich die proxy nat regel für squid modifiziert. die sieht so aus. (siehe screenshot "nat")
2. dann habe ich zuerst alles auf port 80 und 443 blockiert außer der domains die ich für windows und andere benötige und die nicht durch den proxy durchgehen sollen.
3. habe ich explizit alles was an die domains gehen darf erlaubt (siehe screenshot "rules")

lfirewall1243 · March 09, 2019, 10:08:31 AM

Hi,

die Regel bei müssten doch richtig sein, da diese ja greifen (z.B. wenn ich google.de eintrage, geht dies zu 100% nicht über den Proxy)

Ich werde deine Domains nochmal ergänzen und dann Testen :)

Danke dir.

lfirewall1243 · March 09, 2019, 10:28:13 AM

Quote from: opnsenseuser on March 08, 2019, 10:49:57 PM
ich glaube das du die regeln nicht richtig eingestellt hast. aber ich bin auch nicht der überprofi

1.zuerst habe ich die proxy nat regel für squid modifiziert. die sieht so aus. (siehe screenshot "nat")
2. dann habe ich zuerst alles auf port 80 und 443 blockiert außer der domains die ich für windows und andere benötige und die nicht durch den proxy durchgehen sollen.
3. habe ich explizit alles was an die domains gehen darf erlaubt (siehe screenshot "rules")

1. Bedeutet doch, dass genau die Domains, welche ich nicht über den Proxy geleitet haben möchte, dann über den Proxy laufen.

2. 3. Ich habe mommentan noch eine "erlaube alle von LAN nach WAN" Regel drin (testweise Schalte ich eine Regel "deny Proxy bypass" ein, um zu schauen ob bei NAT alles richtig steht und bestimmte Domains nicht über den Proxy gehen --> somit dann kein Internet bei diesesn Domains)

opnsenseuser · March 09, 2019, 10:42:48 AM

Quote from: lfirewall1243 on March 09, 2019, 10:28:13 AM
Quote from: opnsenseuser on March 08, 2019, 10:49:57 PM
ich glaube das du die regeln nicht richtig eingestellt hast. aber ich bin auch nicht der überprofi

1.zuerst habe ich die proxy nat regel für squid modifiziert. die sieht so aus. (siehe screenshot "nat")
2. dann habe ich zuerst alles auf port 80 und 443 blockiert außer der domains die ich für windows und andere benötige und die nicht durch den proxy durchgehen sollen.
3. habe ich explizit alles was an die domains gehen darf erlaubt (siehe screenshot "rules")

1. Bedeutet doch, dass genau die Domains, welche ich nicht über den Proxy geleitet haben möchte, dann über den Proxy laufen.

2. 3. Ich habe mommentan noch eine "erlaube alle von LAN nach WAN" Regel drin (testweise Schalte ich eine Regel "deny Proxy bypass" ein, um zu schauen ob bei NAT alles richtig steht und bestimmte Domains nicht über den Proxy gehen --> somit dann kein Internet bei diesesn Domains)

1. (ZU MEINER NAT REGEL) >> bedeutet alles geht durch den proxy (redirect) außer (und deshalb das "!" / Destination / Invert ), die domains die ich nicht über den proxy laufen lassen möchte.

2.3. (MEINE RULES) >> funktioniert wie bereits oben beschrieben

Ob mein Weg der einzig richtige ist, kann ich nicht sagen. Einzig es funktioniert!

lfirewall1243 · March 09, 2019, 10:47:32 AM

Upps sorry ...
Habe das ! Bei Nat übersehen.

Werde es Montag Mal genau so einrichten.

Danke dir :)

Gesendet von meinem SM-G950F mit Tapatalk

opnsenseuser · March 09, 2019, 10:50:45 AM

ja, probier es mal aus. :-)
Eine Firewall ist laut meinen Erfahrungen ein Lernprozess.
Man probiert, schaut was passiert (LOGS) und versteht dadurch jedes Mal ein wenig mehr.
Bis ich 50% der Firewall und deren Aufbau und Regeln irgendwie verstanden habe sind jetzt schon ein paar Jahre vergangen. Und ich lerne jeden Tag dazu!

fightingmasta · March 09, 2019, 06:01:17 PM

Ich habe dies bei mir gelöst, in dem ich einen Alias vom Typ Network(s) gemacht habe und folgende Netze eingetragen habe:
13.64.0.0/11
13.96.0.0/13
13.104.0.0/14
20.33.0.0/16
20.34.0.0/15
20.36.0.0/14
20.40.0.0/13
20.48.0.0/12
20.64.0.0/10
20.128.0.0/16
20.180.0.0/14
20.184.0.0/13
40.74.0.0/15
40.76.0.0/14
40.80.0.0/12
40.96.0.0/12
40.112.0.0/13
40.120.0.0/14
40.124.0.0/16
40.125.0.0/17
52.96.0.0/12
52.112.0.0/14
52.132.0.0/14
52.136.0.0/13
65.52.0.0/14
134.170.0.0/16
191.232.0.0/14
204.79.195.0/24
204.79.196.0/23

opnsenseuser · March 09, 2019, 06:04:02 PM

die ip kann sich jederzeit ändern, der domainnamen aber eher selten.
Ich würde das eher nicht machen, aber wenn es funktioniert, passt es.

fightingmasta · March 09, 2019, 06:09:05 PM

Das ist klar, weshalb ich auch nicht einzelne IP-Adressen eingetragen habe, sondern die ganzen Bereiche. ;)

[SOLVED] Transparent Proxy - Windows Update

lfirewall1243

March 08, 2019, 09:04:59 AM #15 Last Edit: March 08, 2019, 09:07:53 AM by lfirewall1243

Reiter der OPNsense

March 08, 2019, 10:52:42 AM #16

lfirewall1243

March 08, 2019, 12:01:44 PM #17

opnsenseuser

March 08, 2019, 09:35:17 PM #18

fightingmasta

March 08, 2019, 09:53:15 PM #19

opnsenseuser

March 08, 2019, 10:35:48 PM #20 Last Edit: March 08, 2019, 10:40:12 PM by opnsenseuser

opnsenseuser

March 08, 2019, 10:49:57 PM #21

lfirewall1243

March 09, 2019, 10:08:31 AM #22

lfirewall1243

March 09, 2019, 10:28:13 AM #23

opnsenseuser

March 09, 2019, 10:42:48 AM #24 Last Edit: March 09, 2019, 10:54:24 AM by opnsenseuser

lfirewall1243

March 09, 2019, 10:47:32 AM #25

opnsenseuser

March 09, 2019, 10:50:45 AM #26 Last Edit: March 09, 2019, 10:53:59 AM by opnsenseuser

fightingmasta

March 09, 2019, 06:01:17 PM #27

opnsenseuser

March 09, 2019, 06:04:02 PM #28

fightingmasta

March 09, 2019, 06:09:05 PM #29