This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update

hello. We have UTM 9.004. Clients pc's can't download windows updates from Microsoft, unless they are added in the "Skip transparent mode source hosts/nets" list. otherwise an error appears. the same with wsus server. it must be also added in the same list in order to synchronize. I am sending the web proxy log, when a client pc tries to download updates from Microsoft.
Any ideas are welcome. The built-in "Microsoft Windows Update" exception rule is active.
Thanks


This thread was automatically locked due to age.
  • Hi. I checked all these. DNS collected all IP addresses. Firewall blocks port 443 to 65.55.27.220 and port 80 to212.205.43.30 and 43.8. These ip's seems to belong to the dns groups you mentioned. but still wsus and windows update fail. why the http proxy handles all other hhtp + https traffic normally and windows update traffic is not handled by the http proxy and is blocked by the firewall?
  • Hi. I checked all these. DNS collected all IP addresses. Firewall blocks port 443 to 65.55.27.220 and port 80 to212.205.43.30 and 43.8. These ip's seems to belong to the dns groups you mentioned. but still wsus and windows update fail. why the http proxy handles all other hhtp + https traffic normally and windows update traffic is not handled by the http proxy and is blocked by the firewall?


    Do you have blocks in the http log?
    In the ips.log?
  • Will check and let you know. I am setting up a new installations. I will leave the configuration as it is out of the box, after running the wizard. I will create only the dns groups and make some tests.
  • hello. When the http proxy is in transparent mode (with Scan HTTPS (SSL) Traffic enabled), do I also need a firewall rule to allow http+https? (for example -->web surfing rule?)
  • No, this is not necessary.
    The transparent proxy will intercept all traffic belonging to ports 80/443.
    Just needed, when disabling http(s)-proxys, then you have to create a pf-rule to allow these ports.

    Manuel
  • Well, that's what I know too. I don't use the built in "web surfing" rule, but a custom one that doesn't include http+https. But it seems but the http proxy can't intercept http+https traffic caused by windows update, and this results to the firewall blocking this traffic. can someone explain this behavior? and what can I do for windows update to work with the transparent proxy?
  • Hello,

    please check your webfiltering-log for not accepted (local issued) certificates, maybe thats the point you're running into.
  • for me it worked to add the address "157.55.240.222" under the microsoft windows update-exception under "web protection > web filtering > tab "Exceptions"".

    also make sure to make it bypass "SSL scanning / Certificate Trust Check / Certificate Date Check",
    or at least the "Trust Check"(not sure if this works, or you need all 3 stated above).

    to be honest, I added a bunch, but all my windows 8 services work properly now(windows update, store, and a few others)
  • Hello. Each one propose a different rule or exception or some other type of "trick" to make windows update work. I don't understand why the firewall can't handle this traffic and why Sophos can't fix it. Windows update is critical service and user by everyone. All suggestions were much appreciated. But why should end users have to troubleshoot this?
  • Hello. Each one propose a different rule or exception or some other type of "trick" to make windows update work. I don't understand why the firewall can't handle this traffic and why Sophos can't fix it. Windows update is critical service and user by everyone. All suggestions were much appreciated. But why should end users have to troubleshoot this?


    it has to do with the https scanning, and how it works with certificates,

    since every UTM machine has it's own certificate(due to hostname, address, companyname, etc.) it's hard for Sophos to fix this up, and even my Eset Smart Security(with parental control/content filter), has this issue(i guess everything that does http/https content filtering.
    also, to fix this issue, sophos added those content-filter exceptions,but Microsoft kept changing their windows-update addresses(the exception works for XP, and maybe vista, but windows 8 for example, uses different addresses for windows update.

    *couldn't find an example/explanation on how the system actually works, sorry for that.