OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • [SOLVED] Transparent Proxy - Windows Update
« previous next »
  • Print
Pages: [1] 2 3

Author Topic: [SOLVED] Transparent Proxy - Windows Update  (Read 13524 times)

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
[SOLVED] Transparent Proxy - Windows Update
« on: March 06, 2019, 01:31:07 pm »
Hi :) ,

ich habe mich jetzt doch dazu entschieden einen Transparenten HTTP und HTTPS Proxy zu verwenden.
Dieser funktioniert auch gut, bis auf das keine Windows Updates mehr möglich sind.

Ich habe bereits flgende Domains so in die "Nicht abzufangende SSL-Seiten" eingetragen:

    windowsupdate.microsoft.com
    .windowsupdate.microsoft.com
    .windowsupdate.microsoft.com
    .update.microsoft.com
    .update.microsoft.com
    .windowsupdate.com
    download.windowsupdate.com
    download.microsoft.com
    .download.windowsupdate.com
    test.stats.update.microsoft.com
    ntservicepack.microsoft.com

Leider ohne Erfolg. Beim Update kommt weiterhin der Fehler  "(0x801901f7)".

Hat jemand eine Idee?

Danke euch :)


[UPDATE]

Im Cache Protokoll vom Proxy kommt beim Update Versuch folgende Meldung öfters.

Code: [Select]
2019/03/06 13:32:11 kid1| Error negotiating SSL on FD 15: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)
« Last Edit: March 12, 2019, 10:09:52 am by lfirewall1243 »
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Reiter der OPNsense

  • Full Member
  • ***
  • Posts: 111
  • Karma: 11
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #1 on: March 06, 2019, 04:45:21 pm »
Als ich noch den Proxy im Einsatz hatte, habe ich das nur mit einer No-redirect-NAT-Regel "No RDR (NOT)" hinbekommen.
So wie in diesem Thread beschrieben: https://forum.opnsense.org/index.php?topic=6093.0
Allerdings meint dort Fabian, dass dies zwar funktioniere, aber nicht der empfohlene Weg sei.

Folgende URLs hatte ich in der No-redirect-Regel:

windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.windowsupdate.com
download.microsoft.com
sls.update.microsoft.com
fe2.update.microsoft.com
outlook.com
eas.outlook.com
login.live.com
mobile.pipe.aria.microsoft.com
www.spotify.com
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #2 on: March 06, 2019, 06:10:51 pm »
Danke dir :)

Werde das heute Abend oder in den nächsten Tagen ausprobieren.
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #3 on: March 07, 2019, 09:31:27 am »
Hi,

ich habs gerade ausprobiert, scheint aber nicht so zu laufen.

Hier mal meine Einstellungen, vielleicht habe ich ja gerade auch ein Brett vorm Kopf  :)

[UPDATE]

Im Grunde scheint die NAT-RDR Regel zu greifen, allerdings nicht wenn ich den Alias mit den Domains verwende :(

« Last Edit: March 07, 2019, 10:12:48 am by lfirewall1243 »
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Reiter der OPNsense

  • Full Member
  • ***
  • Posts: 111
  • Karma: 11
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #4 on: March 07, 2019, 10:12:23 am »
Nimm beim Alias "Hosts" statt "URL (IPs)".
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #5 on: March 07, 2019, 10:14:43 am »
Quote from: Reiter der OPNsense on March 07, 2019, 10:12:23 am
Nimm beim Alias "Hosts" statt "URL (IPs)".

Dann kommt folgender Fehler

Bsp.
Eintrag ".windowsupdate.microsoft.com" ist kein(e) gültige(r) Hostname oder IP-Adresse.

Und wenn man die Domains erst als URL (IP) einträgt, speichert und danach auf Hosts umstellt, greift es wieder nicht.
« Last Edit: March 07, 2019, 10:16:49 am by lfirewall1243 »
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Reiter der OPNsense

  • Full Member
  • ***
  • Posts: 111
  • Karma: 11
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #6 on: March 07, 2019, 10:18:53 am »
Lass die Punkte vorne dran weg. Übernimm mal meine Liste 1:1 exkl. www.spotify.com.
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #7 on: March 07, 2019, 10:22:27 am »
Quote from: Reiter der OPNsense on March 07, 2019, 10:18:53 am
Lass die Punkte vorne dran weg. Übernimm mal meine Liste 1:1 exkl. www.spotify.com.

Geht trotzdem nicht .... :(

wenn ich allerdings über "GeoIP" die Deutschen IPs blockiere, funktioniert die Regel und ich komme auf keine Deutsche Seite mehr
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #8 on: March 07, 2019, 10:27:12 am »
LÄUFT!

Habe vergessen unter NAT nach jeder Alias Änderung erneut zu bestätigen.  ;)

Zumindest bei getesteten Domains z.B google.com klappt es. Windows Updates werde ich jetzt mal testen

Danke euch !!!


[UPDATE]

Windows Updates gehen nach wie vor nicht. Die Regel schein aber zu greifen  :o
« Last Edit: March 07, 2019, 10:32:50 am by lfirewall1243 »
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

monstermania

  • Hero Member
  • *****
  • Posts: 524
  • Karma: 47
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #9 on: March 07, 2019, 10:45:21 am »
@lfirewall1243
Ich nutze zu Hause auch den transp. Proxy und die Windows Updates funktionieren problemlos.
Ich meine mich aber zu erinnern, dass ich Anfangs auch Schwierigkeiten hatte. Das Problem waren m.E. nach nicht die eigentlichen Windows-Updates, sondern der Windows-Defender, der noch ein paar weitere Proxy-Ausnahmen brauchte.
Ich versuche mal heute Abend mal meine Ausnahmeliste zu posten!

Gruß
Dirk
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #10 on: March 07, 2019, 12:02:22 pm »
Es scheint nun ab und zu funktionieren. (Denke je nach dem welche Domain er gerade zum checken nimmt)

Habe jetzt folgende Domains eingetragen:

update.microsoft.com
windowsupdate.com
download.windowsupdate.com
download.microsoft.com
sls.update.microsoft.com
fe2.update.microsoft.com
outlook.com
eas.outlook.com
login.live.com
mobile.pipe.aria.microsoft.com
ntservicepack.microsoft.com
test.stats.update.microsoft.com
c.microsoft.com
windowsupdate.microsoft.de
microsoft.com
update.microsoft.com.akadns.net
update.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
images.metaservices.microsoft.com
www.download.windowsupdate.com
wustat.windows.com
crl.microsoft.com
sls.microsoft.com
productactivation.one.microsoft.com




Quote from: monstermania on March 07, 2019, 10:45:21 am
@lfirewall1243
Ich nutze zu Hause auch den transp. Proxy und die Windows Updates funktionieren problemlos.
Ich meine mich aber zu erinnern, dass ich Anfangs auch Schwierigkeiten hatte. Das Problem waren m.E. nach nicht die eigentlichen Windows-Updates, sondern der Windows-Defender, der noch ein paar weitere Proxy-Ausnahmen brauchte.
Ich versuche mal heute Abend mal meine Ausnahmeliste zu posten!

Gruß
Dirk
Magst du mir trotzdem deine Liste schicken? Dann kann ich evtl. noch was ergänzen. :)

Eine Frage noch:
Kann man die Alias verknüpfen?

das heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?
« Last Edit: March 07, 2019, 02:01:30 pm by lfirewall1243 »
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

monstermania

  • Hero Member
  • *****
  • Posts: 524
  • Karma: 47
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #11 on: March 07, 2019, 05:58:03 pm »
So,
hier meine Proxy-Whitelist.
Code: [Select]
crl.microsoft.com
eu.vortex-win.data.microsoft.com
winatp-gw-neu.microsoft.com
winatp-gw-weu.microsoft.com
blob.core.windows.net
windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.microsoft.com
download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com

Nochmal als Bild im Anhang.
Die Windows-Updates funktionieren bei mir so problemlos mit Windows 10.

Gruß
Dirk
« Last Edit: March 07, 2019, 06:00:16 pm by monstermania »
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #12 on: March 07, 2019, 07:01:38 pm »
Quote from: monstermania on March 07, 2019, 05:58:03 pm
So,
hier meine Proxy-Whitelist.
Code: [Select]
crl.microsoft.com
eu.vortex-win.data.microsoft.com
winatp-gw-neu.microsoft.com
winatp-gw-weu.microsoft.com
blob.core.windows.net
windowsupdate.microsoft.com
update.microsoft.com
windowsupdate.com
download.microsoft.com
download.windowsupdate.com
test.stats.update.microsoft.com
ntservicepack.microsoft.com

Nochmal als Bild im Anhang.
Die Windows-Updates funktionieren bei mir so problemlos mit Windows 10.

Gruß
Dirk

Danke dir :)

werde das gleich morgen mal Testen.
Sehe nur gerade,dass du die Addressen irgendwo bei "Whitelist" eingetragen hast. Im Web-Proxy Plugin? oder irgendwo bei den Alias oder NAT Einstellungen?

Schönen Abend noch :)
Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Reiter der OPNsense

  • Full Member
  • ***
  • Posts: 111
  • Karma: 11
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #13 on: March 07, 2019, 07:09:58 pm »
Quote
Kann man die Alias verknüpfen?
Ja, man kann einem Alias Aliase hinzufügen.

Quote
das heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?
Uff, ich weiss nicht ob ich dein Ziel richtig verstanden habe (war ein langer Tag heute).  :)
Aber probiere doch einfach und sieh dir das Ergebnis an unter Firewall: Diagnostics: pfTables.

Ich war auch gerade am Schreiben, darum antworte ich jetzt mal für monstermania. :)
Bei ihm klappt es ohne No-redirect-NAT-Regel. Ich würde seine Liste mal 1:1 in die Whitelist des Proxys eintragen und schauen, ob es bei dir so auch geht.
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Transparent Proxy - Windows Update
« Reply #14 on: March 07, 2019, 07:12:18 pm »
Quote from: Reiter der OPNsense on March 07, 2019, 07:09:58 pm
Quote
Kann man die Alias verknüpfen?
Ja, man kann einem Alias Aliase hinzufügen.

Quote
das heißt ein alias "no_redirect_domains" der als Inhalt nur den Alias "microsoft_domains" hat, welcher dann die ganzen Addressen enthält. Und wenn ja, werden beide als "Host" eingerichtet?
Uff, ich weiss nicht ob ich dein Ziel richtig verstanden habe (war ein langer Tag heute).  :)
Aber probiere doch einfach und sieh dir das Ergebnis an unter Firewall: Diagnostics: pfTables.

Ich war auch gerade am Schreiben, darum antworte ich jetzt mal für monstermania. :)
Bei ihm klappt es ohne No-redirect-NAT-Regel. Ich würde seine Liste mal 1:1 in die Whitelist des Proxys eintragen und schauen, ob es bei dir so auch geht.
Danke :)

Werde morgen einfach Mal etwas Testen und hoffe das Ihr mir alle helfen konntet.

Aber heute Abend fehlt doch die Motivation :)

Gesendet von meinem SM-G950F mit Tapatalk

Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

  • Print
Pages: [1] 2 3
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • [SOLVED] Transparent Proxy - Windows Update
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2023 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2