Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 1 subscriber
  • Views 93268 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update

gband
hello. We have UTM 9.004. Clients pc's can't download windows updates from Microsoft, unless they are added in the "Skip transparent mode source hosts/nets" list. otherwise an error appears. the same with wsus server. it must be also added in the same list in order to synchronize. I am sending the web proxy log, when a client pc tries to download updates from Microsoft.
Any ideas are welcome. The built-in "Microsoft Windows Update" exception rule is active.
Thanks


This thread was automatically locked due to age.
  • 0 in reply to GMF
    Hello there,

    i solved it with the default "windows update"-exception from sophos.
    I added 3 ip's to the url-list (for which a certificate-error occurs, see below):

    2012:12:06-23:10:50 utm httpproxy[4415]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.100" dstip="" user="" statuscode="502" cached="0" profile="REF_HttProPrivat (Privat)" filteraction=" ()" size="0" request="0x95626c8" url="https://157.55.60.56" exceptions="" error="Failed to verify server certificate"
    2012:12:06-23:10:56 utm httpproxy[4415]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.100" dstip="" user="" statuscode="502" cached="0" profile="REF_HttProPrivat (Privat)" filteraction=" ()" size="0" request="0x128f4040" url="https://65.52.98.7" exceptions="" error="Failed to verify server certificate"
    2012:12:06-23:10:57 utm httpproxy[4415]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.2.100" dstip="" user="" statuscode="502" cached="0" profile="REF_HttProPrivat (Privat)" filteraction=" ()" size="0" request="0x129150e8" url="https://65.52.98.7" exceptions="" error="Failed to verify server certificate

    i hope these server-ips dont even change, but for now it works like a charm.
    All PCs and Notebooks can update without any issues...

    Just add these 2 (different) IPs and it should work.
  • 0
    WSUS server.  Is that an option for the client?

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • 0
    Hello. the simplest way is to add the wsus server to "Skip transparent mode source hosts/nets" list. but this is not a solution. there I obviously a problem for sophos utm to handle these connections. Will there be a solution from astaro?
  • 0
    Hello. I tried gmf's and umpf's directions with no result. Wsus will not synchronize. Any other ideas? Is it some kind of a bug? What Sophos propose to resolve this problem? We use transparent mode with https (ssl) scan enabled. Windows Update is an important service for every business.
    Regards.
  • 0 in reply to gband
    Good Mornin',

    have you imported the proxy-cert (ssl) via mcc into the computers trusted-root-store?

    I saw that the error listet in my proxy-log shows an not accepted cert from one of the ms-update servers (maybe a local-ca certificate?). So i created a exception for this ip with skip cert, maybe there are much more IPs i haven't catched. The one wich worked for me are follows:

    Microsoft Windows Update [Allows Windows Update without content scanning side effects.]
    Skipping: Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check
    Matching these URLs: ^https?://([A-Za-z0-9.-]*\.)?windowsupdate\.com/
    ^https?://([A-Za-z0-9.-]*\.)?microsoft\.com/
    ^https?://([A-Za-z0-9.-]*\.)?windows\.com/
    https://157.55.60.56
    https://65.52.98.7

    When i disable the agent for my subnet, in the browser i get an "not auth"-failure, but i can use the windowsupdate-client within windows7/8 (this is the fallback-option).
  • 0
    Hello. I tried all these but it doesn't work. The certificate is installed. But I noticed that the firewall blocks traffic during windows update, as in attachment. It blocks traffic to xx.deploy.akamaitechnologies.com.Why traffic to port 80 is blocked while the proxy is active? If a add a firewall rule that allows http access, windows update works fine.
    Regards
  • 0
    You probably missed something in step 2.
  • 0
    Perhaps, I will check again. But I don't understand why, when we have transparent mode with scan https(ssl) enabled, and all http+https traffic is handled by the proxy, windows update traffic to port 80 is blocked by the firewall. Isn't handled by the proxy too?
  • 0
    Hello. I didn't miss anything. Firewall is blocking traffic to port 80 for randomip.deploy.akamaitechnologies.com, while we have transparent mode. randomip is... random ip's.
    Any ideas?
  • 0 in reply to gband
    Hello. I didn't miss anything. Firewall is blocking traffic to port 80 for randomip.deploy.akamaitechnologies.com, while we have transparent mode. randomip is... random ip's.
    Any ideas?


    Those Akamai IP's are most likely the IP's behind update.microsoft.com and www.update.microsoft.com

    If you have created those two mentioned DNS Groups and placed them in the transparent destination skiplist of the webproxy, do you also have:
    - checked the "allow traffic for skipped hosts"
    - a masquerading rule active from the internal network to the Internet (WAN Interface)
    - Waited long enough, that the DNS groups collected all the IP's delivered in your region ?
    - No other strange NAT rules or application control block rules active, which may interfere with those downloads ?

    /Sascha
Unfiltered HTML