[SOLVED] Transparent Proxy - Windows Update

[lfirewall1243]

Hallo,

habe die Listen ergänzt aber funktioniert dennoch nicht.

Als Whitelist Eintrag bei den Proxy Einstellungen geht es garnicht.
Als Alias bei den NAT-Regeln funkioniert das checken nach Updates nur manchmal

[Reiter der OPNsense]

Hm. Ich frage mich, wieso es dann bei Dirk ohne "no redirect" geht.

Aktiviere mal das Logging des Proxys, falls noch nicht geschehen und schau ob beim Abrufen von Windows Updates irgendwelche IP-Adressen die nicht aufgelöst werden können erscheinen. Wenn ja, füge diese auch noch in die No-redirect-Liste hinzu.

[lfirewall1243]

Hi,

Dort sind einige unaufgelöste IP Addressen, die werde ich mal hinzfügen.

Was mich wundert ist, dort werden auch ein paar Domains angezeigt, die bereits in meine Alias Liste hinterlegt sind.

[opnsenseuser]

Ich kann nur aus eigener Erfahrung sagen, dass es ohne Redirect nicht funktioniert.
Bei mir sind es ungefähr 20 Domains die ich als no Redirect verwenden musste damit wirklich alles ohne Probleme funktioniert. Damit meine ich Windows und App Store Updates.

[fightingmasta]

@opnsenseuser: Könntest du diese Domains posten, die du dafür eintragen musstest?

[opnsenseuser]

Code: [Select]

tlu.dl.delivery.mp.microsoft.com
2.tlu.dl.delivery.mp.microsoft.com
activity.windows.com
au.download.windowsupdate.com
bg.v4.pr.dl.ws.microsoft.com
crl.microsoft.com
delivery.mp.microsoft.com
dl.delivery.mp.microsoft.com
download.microsoft.com
download.windowsupdate.com
fe2.update.microsoft.com
fe3.delivery.mp.microsoft.com
microsoft.com
mp.microsoft.com
msedge.net
msft.net
settings-win.data.microsoft.com
sls.update.microsoft.com
telemetry.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
update.microsoft.com
update.microsoft.com.akadns.net
update.microsoft.com.nsatc.net
v20.vortex-win.data.microsoft.com
watson.telemetry.microsoft.com
ich habe zusätzlich noch die hauptdomains in der ssl no bump liste hinzugefügt und in der whitelist im proxy.

[opnsenseuser]

ich glaube das du die regeln nicht richtig eingestellt hast. aber ich bin auch nicht der überprofi

1.zuerst habe ich die proxy nat regel für squid modifiziert. die sieht so aus. (siehe screenshot "nat")
2. dann habe ich zuerst alles auf port 80 und 443 blockiert außer der domains die ich für windows und andere benötige und die nicht durch den proxy durchgehen sollen.
3. habe ich explizit alles was an die domains gehen darf erlaubt (siehe screenshot "rules")

[lfirewall1243]

Hi,

die Regel bei müssten doch richtig sein, da diese ja greifen (z.B. wenn ich google.de eintrage, geht dies zu 100% nicht über den Proxy)

Ich werde deine Domains nochmal ergänzen und dann Testen

Danke dir.

[lfirewall1243]

ich glaube das du die regeln nicht richtig eingestellt hast. aber ich bin auch nicht der überprofi

1.zuerst habe ich die proxy nat regel für squid modifiziert. die sieht so aus. (siehe screenshot "nat")
2. dann habe ich zuerst alles auf port 80 und 443 blockiert außer der domains die ich für windows und andere benötige und die nicht durch den proxy durchgehen sollen.
3. habe ich explizit alles was an die domains gehen darf erlaubt (siehe screenshot "rules")

1. Bedeutet doch, dass genau die Domains, welche ich nicht über den Proxy geleitet haben möchte, dann über den Proxy laufen.

2. 3. Ich habe mommentan noch eine "erlaube alle von LAN nach WAN" Regel drin (testweise Schalte ich eine Regel "deny Proxy bypass" ein, um zu schauen ob bei NAT alles richtig steht und bestimmte Domains nicht über den Proxy gehen --> somit dann kein Internet bei diesesn Domains)

[opnsenseuser]

ich glaube das du die regeln nicht richtig eingestellt hast. aber ich bin auch nicht der überprofi

1.zuerst habe ich die proxy nat regel für squid modifiziert. die sieht so aus. (siehe screenshot "nat")
2. dann habe ich zuerst alles auf port 80 und 443 blockiert außer der domains die ich für windows und andere benötige und die nicht durch den proxy durchgehen sollen.
3. habe ich explizit alles was an die domains gehen darf erlaubt (siehe screenshot "rules")

1. Bedeutet doch, dass genau die Domains, welche ich nicht über den Proxy geleitet haben möchte, dann über den Proxy laufen.

2. 3. Ich habe mommentan noch eine "erlaube alle von LAN nach WAN" Regel drin (testweise Schalte ich eine Regel "deny Proxy bypass" ein, um zu schauen ob bei NAT alles richtig steht und bestimmte Domains nicht über den Proxy gehen --> somit dann kein Internet bei diesesn Domains)

1. (ZU MEINER NAT REGEL) >> bedeutet alles geht durch den proxy (redirect) außer (und deshalb das "!" / Destination / Invert ), die domains die ich nicht über den proxy laufen lassen möchte.

2.3. (MEINE RULES) >> funktioniert wie bereits oben beschrieben


Ob mein Weg der einzig richtige ist, kann ich nicht sagen. Einzig es funktioniert!

[lfirewall1243]

Upps sorry ...
Habe das ! Bei Nat übersehen.

Werde es Montag Mal genau so einrichten.

Danke dir

Gesendet von meinem SM-G950F mit Tapatalk

[opnsenseuser]

ja, probier es mal aus. :-)
Eine Firewall ist laut meinen Erfahrungen ein Lernprozess.
Man probiert, schaut was passiert (LOGS) und versteht dadurch jedes Mal ein wenig mehr.
Bis ich 50% der Firewall und deren Aufbau und Regeln irgendwie verstanden habe sind jetzt schon ein paar Jahre vergangen. Und ich lerne jeden Tag dazu!

[fightingmasta]

Ich habe dies bei mir gelöst, in dem ich einen Alias vom Typ Network(s) gemacht habe und folgende Netze eingetragen habe:
13.64.0.0/11
13.96.0.0/13
13.104.0.0/14
20.33.0.0/16
20.34.0.0/15
20.36.0.0/14
20.40.0.0/13
20.48.0.0/12
20.64.0.0/10
20.128.0.0/16
20.180.0.0/14
20.184.0.0/13
40.74.0.0/15
40.76.0.0/14
40.80.0.0/12
40.96.0.0/12
40.112.0.0/13
40.120.0.0/14
40.124.0.0/16
40.125.0.0/17
52.96.0.0/12
52.112.0.0/14
52.132.0.0/14
52.136.0.0/13
65.52.0.0/14
134.170.0.0/16
191.232.0.0/14
204.79.195.0/24
204.79.196.0/23

[opnsenseuser]

die ip kann sich jederzeit ändern, der domainnamen aber eher selten.
Ich würde das eher nicht machen, aber wenn es funktioniert, passt es.

[fightingmasta]

Das ist klar, weshalb ich auch nicht einzelne IP-Adressen eingetragen habe, sondern die ganzen Bereiche.