5
Pfsense squidguard - Problem mit Windows Update
Guten Tag,
Ich habe da ein Problem mit dem Windows Update. Seitdem ich Squid+Squidguard+SSL-Interception (transparenter Proxy) auf meiner Pfsense betreibe, kann ich an den Clients kein Windows Update mehr durchführen. Auch wenn ich die angefragten IPs und Domains explizit in die Whitelist aufnehme, kommt immer ein Fehler. Erst dachte ich das es an einer verstellten Systemzeit auf dem Client liegt, dann konnte ich dieses Phänomen auch an anderen Clients feststellen. Sobald ich den Client in den "Bypass from Source IP" eintrage, funktioniert alles wieder.
Ich habe mich mittlerweile auch schon etwas informiert: Wohlmöglich liegt es daran das Microsoft selbst-signierte Zertifikate verwendet und man diese auf der Pfsense importieren muss. Aber woher bekommt man diese Zertifikate? Und kann es sich tatsächlich um diesen Fehler handeln oder kommt noch etwas anderes in Frage?
Würde mich über Hilfe freuen.
Gruß
Ich habe da ein Problem mit dem Windows Update. Seitdem ich Squid+Squidguard+SSL-Interception (transparenter Proxy) auf meiner Pfsense betreibe, kann ich an den Clients kein Windows Update mehr durchführen. Auch wenn ich die angefragten IPs und Domains explizit in die Whitelist aufnehme, kommt immer ein Fehler. Erst dachte ich das es an einer verstellten Systemzeit auf dem Client liegt, dann konnte ich dieses Phänomen auch an anderen Clients feststellen. Sobald ich den Client in den "Bypass from Source IP" eintrage, funktioniert alles wieder.
Ich habe mich mittlerweile auch schon etwas informiert: Wohlmöglich liegt es daran das Microsoft selbst-signierte Zertifikate verwendet und man diese auf der Pfsense importieren muss. Aber woher bekommt man diese Zertifikate? Und kann es sich tatsächlich um diesen Fehler handeln oder kommt noch etwas anderes in Frage?
Würde mich über Hilfe freuen.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309518
Url: https://administrator.de/contentid/309518
Printed on: April 19, 2024 at 03:04 o'clock
5 Comments
Latest comment
Hallo Fenris14,
also gehst du direkt über die Firewall gehts und gehst du über den Proxy mit SSL Intercept geht es nicht?
Was passiert wenn du im Browser die microsft update urls aufrufst?
https://technet.microsoft.com/de-de/library/bb693717.aspx
Bekommst du irgendwo in der Firewall bzw. am Proxy einen Fehler bzw. einen Hinweiß ?
gruß
also gehst du direkt über die Firewall gehts und gehst du über den Proxy mit SSL Intercept geht es nicht?
Was passiert wenn du im Browser die microsft update urls aufrufst?
https://technet.microsoft.com/de-de/library/bb693717.aspx
Bekommst du irgendwo in der Firewall bzw. am Proxy einen Fehler bzw. einen Hinweiß ?
gruß
Also wenn ich Bypass mache und somit direkt über die Firewall gehe, ist alles prima. Sobald ich über den Proxy gehe, funktioniert das Update nicht mehr.
Die URLs kann ich aufrufen, nehme ich allerdings eine IP aus dem Log die nachweislich von Microsoft stammen und über 443 kommunizieren, bekomme ich im Browser jedes mal den Zertifikats-Hinweis. In den Proxy-Logs steht dann meistens: TAG_NONE/200; TCP_MISS/304; TCP_MISS/302 im Status und dann eine Microsoft-IP mit Port 443.
Edit: Fehler Code bei Windows Update ist übrigens 80072F8F
Edit2: Unter Win 10 bekomme ich lustigerweise eine völlig andere Fehlermeldung präsentiert als bei Win7... "Einige Updatedateien sind nicht ordnungsgemäß signiert. Fehlercode: (0x800b0109)" - Dies lässt mich wieder zu meiner ursprünglichen these zurück kommen, wobei ich mir immer noch nicht sicher bin.
Die URLs kann ich aufrufen, nehme ich allerdings eine IP aus dem Log die nachweislich von Microsoft stammen und über 443 kommunizieren, bekomme ich im Browser jedes mal den Zertifikats-Hinweis. In den Proxy-Logs steht dann meistens: TAG_NONE/200; TCP_MISS/304; TCP_MISS/302 im Status und dann eine Microsoft-IP mit Port 443.
Edit: Fehler Code bei Windows Update ist übrigens 80072F8F
Edit2: Unter Win 10 bekomme ich lustigerweise eine völlig andere Fehlermeldung präsentiert als bei Win7... "Einige Updatedateien sind nicht ordnungsgemäß signiert. Fehlercode: (0x800b0109)" - Dies lässt mich wieder zu meiner ursprünglichen these zurück kommen, wobei ich mir immer noch nicht sicher bin.
Hallo,
ich würde mal sagen, Windows Update überprüft das Zertifikat und mag nicht die von deinem Squid an dieser Stelle.
Musst deinem Squid sagen, das es das SSL nicht aufbrechen, sondern einfach durchreichen soll.
Dann sollte es gehen.
Oder du gehst am Proxy vorbei.
VG,
deepsys
ich würde mal sagen, Windows Update überprüft das Zertifikat und mag nicht die von deinem Squid an dieser Stelle.
Musst deinem Squid sagen, das es das SSL nicht aufbrechen, sondern einfach durchreichen soll.
Dann sollte es gehen.
Oder du gehst am Proxy vorbei.
VG,
deepsys
@Deepsys: Dein Beitrag ist zwar nicht unbedingt die Lösung, aber er hat mir irgendwie geholfen das Problem zu lösen. Man kann dem Proxy sagen das er das SSL nicht mehr aufbrechen soll, dann wird es aber für den gesamten Traffic nicht mehr getan... dies wäre aber blöd, da ich diese Funktion brauche um bestimmte Seiten zu filtern.
Es gibt allerdings eine Option unter Squid Proxy Server>Generals... dort unter "Bypass Proxy for These Destination IPs " kann man die URLs von Microsoft eintragen, dann wird das Filtern für diese Ziel-Adressen nicht mehr vollzogen.
Es gibt allerdings eine Option unter Squid Proxy Server>Generals... dort unter "Bypass Proxy for These Destination IPs " kann man die URLs von Microsoft eintragen, dann wird das Filtern für diese Ziel-Adressen nicht mehr vollzogen.
Zitat von @Fenris14:
@Deepsys: Dein Beitrag ist zwar nicht unbedingt die Lösung, aber er hat mir irgendwie geholfen das Problem zu lösen. Man kann dem Proxy sagen das er das SSL nicht mehr aufbrechen soll, dann wird es aber für den gesamten Traffic nicht mehr getan... dies wäre aber blöd, da ich diese Funktion brauche um bestimmte Seiten zu filtern.
Klar, ich dachte auch eher das nur bestimmte Seiten davon ausnimmst @Deepsys: Dein Beitrag ist zwar nicht unbedingt die Lösung, aber er hat mir irgendwie geholfen das Problem zu lösen. Man kann dem Proxy sagen das er das SSL nicht mehr aufbrechen soll, dann wird es aber für den gesamten Traffic nicht mehr getan... dies wäre aber blöd, da ich diese Funktion brauche um bestimmte Seiten zu filtern.
Es gibt allerdings eine Option unter Squid Proxy Server>Generals... dort unter "Bypass Proxy for These Destination IPs " kann man die URLs von Microsoft eintragen, dann wird das Filtern für diese Ziel-Adressen nicht mehr vollzogen.
Jo, passt doch.Ich kenne den aktuellen Squid nicht mehr, bei unserer Lösung kann ich das Aufbrechen für verschiedene Domainen eintragen.
Aber egal, Hauptsache es läuft
