Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 57 replies
  • Subscribers 1 subscriber
  • Views 39486 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WSUS with ASG Webfilter not working anymore

TheExpert
Hello together,

since Microsoft deployed the WSUS 3.0 SP2 patch KB2720211 the exception rules of ASG for the webfilter (originally made by Astaro) doesn't work anymore and WSUS can't synchronize with the Microsoft Update Services. I use my ASG as transparent proxy.

The first thing I tried was to deactivate all the SSL interceptions and certificate tests but the synchronization doesn't work. It also doesn't work when all webfilter features are deactivated.

After deactivating the complete webfilter on the ASG WSUS was able to synchronize.

Now I set an exception for the WSUS server IP address on the transparent proxy modus and so WSUS is working fine. But now I have a security issue because there's no proxy functionality for the complete server.

What can I do?

Thank you

TheExpert

ASG 8.305 on VMware ESXi 5.0


This thread was automatically locked due to age.
Parents
  • 0
    well the WU updates are already there by default..but again some changes have been made.  Try bruce's regex and if that doesn't work then you don't have many options left.
  • 0 in reply to William Warren
    if your proxy runs in transparent mode an https scanner on, simply put a DNS host "www.update.microsoft.com" into the transparent destination skiplist (which did at least the trick for my Win7 client - didn't try with wsus).

    I guess in Standard mode excluding following sites from https scanning via exception should do the same trick

    ^https://update.microsoft.com
    ^https://www.update.microsoft.com

    (I didn't use regex for this time, as these two URL's seems to be sufficient. If you like to try anyway, use ^https://.*update.microsoft.com )

    /Sascha
  • 0 in reply to Sascha Paris
    I could not get this working even with exceptions. I had to change my proxy type from transparent to standard in order to get windows update to work.

    This is definetly as of the new certificate updates. A new server install connected fine to WU, but as soon as it installed the certificate update I could no longer connect to WU through the transparent proxy. I tried every combination of scanning or not scanning https as well as the built in and newly created exceptions.
  • 0 in reply to splark
    I could not get this working even with exceptions. I had to change my proxy type from transparent to standard in order to get windows update to work.

    This is definetly as of the new certificate updates. A new server install connected fine to WU, but as soon as it installed the certificate update I could no longer connect to WU through the transparent proxy. I tried every combination of scanning or not scanning https as well as the built in and newly created exceptions.


    In transparent mode the SSL exceptions are more or less useless. You have to put the problematic destination hosts under web protection / web filter /advanced into the transparent skiplist. Depending on if there are single or multiple IP adresses returned for a DNS name, use DNS hosts or DNS groups (if multiple IP's returns)

    /Sascha
  • 0 in reply to splark
    Hello,

    does anyone have a complete solution for how to configure the exceptions for Windows Updates with a WSUS server and a transparent proxy with https scanning activated on an ASG 8.x after the new certificates updates?

    Because the default exceptions (set by Astaro) 

    ^https?://([A-Za-z0-9.-]*\.)?windowsupdate\.com/
    ^https?://([A-Za-z0-9.-]*\.)?microsoft\.com/
     
    use regular expressions which can't be used for the exceptions passing the transparent proxy it will not work. And the DNS host exception doesn't fit with these regular expressions (Windows Update is using much more subdomains).

    But it would be great if using the DNS hosts as exceptions could solve the problem so that the server only passes the transparent proxy for communicating with Windows Updates but not when communicating with other sites.

    Thank you

    TheExpert
  • 0 in reply to TheExpert

    ...
    But it would be great if using the DNS hosts as exceptions could solve the problem so that the server only passes the transparent proxy for communicating with Windows Updates but not when communicating with other sites.
    ...


    That's just he minor difference - it has not to be done in the exceptions, it has to be done in the transparent skiplist [:)]

    And as you can use source or destination skiplists, you can bypass the M$ hosts as destination through the proxy by keeping the proxy security for all other hosts / domains.
  • 0 in reply to Sascha Paris
    Hello,

    yes, I know that the skiplist would solve the problem. But Microsoft uses a lot of URLs for the Windows Update Service and all these URLs have to be configured in the skiplist. And when Microsoft changes something, we won't be informed and one day we find out that it doesn't work [:(]

    DNS groups don't solve this because this is only for one FQDN. With regular expressions you have the subdomains included, too.

    Thank you

    TheExpert
Reply
  • 0 in reply to Sascha Paris
    Hello,

    yes, I know that the skiplist would solve the problem. But Microsoft uses a lot of URLs for the Windows Update Service and all these URLs have to be configured in the skiplist. And when Microsoft changes something, we won't be informed and one day we find out that it doesn't work [:(]

    DNS groups don't solve this because this is only for one FQDN. With regular expressions you have the subdomains included, too.

    Thank you

    TheExpert
Children
No Data