milord
Goto Top

Lancom Firewall für Windows Updates freischalten

Guten Tag zusammen, ich stehe vor einem kleinen Problem und eventuell kann mir jemand einen hilfreichen Tipp geben.

Folgende Situation haben wir in unserem Unternehmen:
Wir haben einen Lancom 1783VA Router bei uns und nutzen die Interne Firewall von dem Gerät. Zusätzlich ist ein VPN Tunnel eingerichtet.
Alles was in Richtung der VPN geht, ist freigeschaltet, alles andere ist gesperrt.
Nun ist es so, dass wir gerne Windows Updates freischalten würden. So wie ich das aber sehe/im Handbuch gelesen habe, kann der Lancom nur Zugriff auf IPs und keinen Zugriff auf Domänen gewähren.
Folgendes kann ich wohl nicht freigeben *.windowsupdate.microsoft.com
Wenn ich einzelne Ziel-IPs freigebe, würde das auf Dauer wohl nur Probleme bereiten, denn Microsoft hat da sicherlich einen Pool an IP-Adressen.
Folgendes müsste an sich freigegeben werden:
http://windowsupdate.microsoft.com;
http://update.microsoft.com;
http://windowsupdate.com;
http://download.windowsupdate.com;
http://download.microsoft.com;
http://wustat.windows.com;
http://ntservicepack.microsoft.com;
http://stats.microsoft.com;

Hat jemand vielleicht Erfahrungen mit der Lancom Firewall?
PS: es handelt sich um etwa 10 PCs die im Netzwerk hängen, deswegen fällt eine echte Firewall leider raus.

Die Frage ist nun ob ich doch eine Domain freigeben kann und nur auf dem Schlauch stehe.
Bin für jede Antwort dankbar.

Mit freundlichen Grüßen

Content-ID: 376435

Url: https://administrator.de/forum/lancom-firewall-fuer-windows-updates-freischalten-376435.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

kaiand1
kaiand1 08.06.2018 um 13:12:29 Uhr
Goto Top
Hi
Du hast da noch die Telemetrie Vergessen ;)
Nun wie wäre es mit einen Lokalen WSUS/Proxy Server ?
Damit kannst du dann auch den Traffic Verringern.

Zu dem Lancom kann ich jedoch nix sagen.
Deepsys
Deepsys 08.06.2018 um 13:55:38 Uhr
Goto Top
Hi,

erstmal denke ich das mit IP zu machen kannst du vergessen, die IPs bekommst du nie alle zusammen. Die ändern sich immer wieder.

Was mich aber wundert, was steht denn auf der anderen VPN-Seite?
Ist da nicht eine Zentrale mit WSUS-Server?
Wie habt ihr das denn bisher gemacht?

VG,
Deepsys
Milord
Milord 08.06.2018 um 14:25:58 Uhr
Goto Top
Auf der VPN Seite ist ein RZ, auf das wir keinen administrativen Zugriff haben.
Wir wählen uns dort nur auf. Dort ist auch eine Firewall etc. geschaltet.
Eigene Server haben wir nicht. Lokal läuft bis auf Kameraüberwachung nichts.
Bisher haben die Windows PCs keine Updates bekommen. Wie denn auch? Die Geräte können ja nicht raus.
An sich sollen nach und nach alle einen Thin Client bekommen, dann hat man das Problem mit Windows Updates nicht mehr.
Deepsys
Deepsys 08.06.2018 um 14:27:31 Uhr
Goto Top
Zitat von @Milord:

Auf der VPN Seite ist ein RZ, auf das wir keinen administrativen Zugriff haben.
Einfach mal fragen ob die euch nicht rauslassen oder einen WSUS haben?

Internet geht über ja auch über das RZ, oder?
Milord
Milord 08.06.2018 um 14:28:25 Uhr
Goto Top
Wurde abgelehnt, weil es sich nicht lohnt. Für die paar PCs lohnt sich nichtmal eine Serverlizenz. Die fehlende Server-Hardware erwähne ich am besten auch nicht.

Ich bin mittlerweile auch auf eine Idee gekommen. Windows 10 kann Updates ja im lokalen Netzwerk verteilen. So werde ich einem PC Zugang zum Netz geben und diesen dann bis auf die Windows Updates einschränken. So lädt ein PC die Updates und verteilt diese intern weiter.
Milord
Milord 08.06.2018 um 14:31:02 Uhr
Goto Top
Das Internet geht auch über das RZ. Das Problem ist, dass die Leitung das nicht unbeding hergeben würde. Der VPN Tunnel ist auf 4Mbit begrenzt. Die Updates würden die Leitung auslasten.
Wir könnten uns einen Server im RZ aufsetzen lassen, aber das wäre zu teuer. Für die paar PCs lohnt es nicht und in 1-2 Jahren sind diese vielleicht schon durch ThinClients ersetzt.
Deepsys
Deepsys 08.06.2018 um 14:44:24 Uhr
Goto Top
Zitat von @Milord:
Ich bin mittlerweile auch auf eine Idee gekommen. Windows 10 kann Updates ja im lokalen Netzwerk verteilen. So werde ich einem PC Zugang zum Netz geben und diesen dann bis auf die Windows Updates einschränken. So lädt ein PC die Updates und verteilt diese intern weiter.
Jepp, das geht.

Aber vorsicht, wenn deine Kollegen merken das es dann lokales Internet gibt, das schneller als 4MBits ist ..... face-smile

Und 4M für 10 PCs, da macht surfen Spaß!
kaiand1
kaiand1 08.06.2018 um 14:51:36 Uhr
Goto Top
Das WSUS Offline Update wäre da auch eine Möglichkeit.
www.wsusoffline.net/
Da ja Internet vorhanden ist...
Milord
Milord 08.06.2018 um 15:15:24 Uhr
Goto Top
Ich habe das eben schon getestet. Internet kurz für alle freigegeben, an einem PC Proxy eingestellt, sodass nur Windows Updates möglich sind und den rest quasi gesperrt.
Die Einstellungen können die ohne Admin Kennwort auch nicht ändern.
Ich werde mich da nächste Woche nochmal ransetzen und es genauer einstellen und dokumentieren face-smile

Die 4Mbit dienen ja nur dazu ein Bild zu übertragen. Arbeiten tuen die Kollegen auf einem Terminalserver. Somit wird "nur" das Bild übertragen.
An sich ist die Verbindung echt schnell, dafür, dass es nur 4Mbit sind.
el-capitano86
el-capitano86 10.06.2018 um 11:50:38 Uhr
Goto Top
Moin,

theoretisch kannst du mit einem Lancom auch URLs über eine Whitelist freigegeben, dafür wird aber eine extra Lizenz benötigt.

Content-Filter

https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa150571 ...

https://www2.lancom.de/kb.nsf/1276/55264F81CFEB408FC12578B50032E0CD?Open ...

Gruß
Tim