Problem mit Squid und Windows Update



  • Hallo,

    seitdem ich den transparenten Proxy mit SSL-Interception einsetze, habe ich das Problem das sich meine Client nicht mehr updaten. Sobald ich einen Client in den Bypass nehme, kann ich wieder ein Windows-Update durchführen. Ich habe schon versucht diverse IP-Adressen und Domains für das Windows Update in die Whitelist aufzunehmen, aber leider ändert sich dabei nichts.

    Hier scheint es das gleiche Problem gegeben zu haben: https://forum.pfsense.org/index.php?topic=46793.0

    Weil Microsoft selbst-signierte Zertifikate nimmt soll man deren Zertifikate importieren. Aber welche?

    Hat jemand ein ähnliches Problem und kann mir sagen wie er es gelöst hat? Wäre für jede Hilfe dankbar.

    Gruß



  • Hallo haithabu84,

    ich stand zum Anfang vor einem ähnlichen Problem. Letztlich erschien es mir am sinnvollsten den Squidy auf nicht transparent zu schalten.

    Der Vorteil für mich ist die Klarheit der Klienten darüber, dass auch der HTTPS Verkehr bewusst über einen Proxy läuft, was insgesamt "runder" läuft.

    Des weiteren spielt einem allerdings eine Windows Marotte noch zusätzlich einen Streich. Trotz eingetragenen Proxy wird dieser ausgerechnet vom Windows Updater nicht genutzt, bzw kurioser Weise nur für einzelne Updates.

    Dies ist zu lösen mit dem Konsolen Befehl "netsh winhttp import proxy source=ie". Dann läuft auch das perfekt.

    Natürlich müssen im Squidy die Zeilen gesetzt sein für die pattern oder so ähnlich :p Die habe ich gerade nicht auf dem Smartphone, kann sie aber nachreichen bei Bedarf.

    Grüße



  • Danke für die Infos. Werd ich mir mal anschauen.

    Letztendlich habe ich kurzfristig eine andere Lösung gefunden: Ich habe alle Domains die Microsoft für Updates verwendet in den Bypass eingetragen. Somit funktioniert es bisher ganz gut. Nicht die sauberste Lösung, aber immerhin. Leider ist sich Microsoft zu fein seine Domains bei VeriSign zu registrieren und sich entsprechende Zertifikate ausstellen zu lassen.



  • hab das selbe problem.
    leider bis dato von niemandem eine lösung und ein howto erhalten. anscheinend kennt sich hier keiner aus.

    ich würde irgendjemanden bitten die lösung zu beschreiben. also was und vorallem wo (welches feld) ich es in den einstellungen von squid eintragen muss damit das funktioniert.

    danke


  • Moderator

    leider bis dato von niemandem eine lösung und ein howto erhalten. anscheinend kennt sich hier keiner aus.

    Lieber pfsense_user12123: Siehe DEIN Topic. Wenn man nicht einmal 12h (über NACHT!) Zeit hat um eine Antwort abzuwarten - dafür fehlt mir in einem Community(!) Forum in welchem unbezahlt(!) von anderen Nutzern (keinem Support Mitarbeiter!) geholfen wird jegliches Verständnis :o Vielleicht solltest du deine Prioritäten nochmals ein wenig überdenken. Wenn es dir SO dringend um eine Problemlösung geht, dass dir Schlaf, Urlaubszeit, Sommer und freiwillige Hilfe von Nutzern nicht genug sind, solltest du dich vielleicht um professionellen Support mit zugesicherten Reaktionszeiten und SLAs statt eines Forums bemühen. Da wäre eine Beschwerde nach >12h ohne jegliche Antwort dann auch sicher angebracht.  :)

    Herzliche Grüße von einem unbezahlten Moderator aus seinem Urlaub  8)

    PS: Und da sind mir die Karma Downvotes auch egal. Gewisse Umgangsformen miteinander darf man schon voraussetzen.