Filtro ssl do squid3 broqueando skype….
-
Do que lembro nos posts aqui do forum, o problema maior era quando se usava contas microsoft pra logar nele.
Vai obsersar os erros nos logs das conexões SSL que passam pelo squid que não são HTTP, como o caso do skype, ultrasurf, etc.
-
Marcelloc
Consegui resolver o problema aqui…
Até o momento ta tudo funcionando ok...
A lista q o pessoal disponibilizou aqui tava imcompleta, descobrir novas redes do skype
e reformulei minhas regras.Caso venha surgir novos problemas com relação a isso, eu volto reabrir o tópico.
Desde de Já muito obrigado pela colaboração!
-
Cola aqui a faixa de redes que cadastrou. Dessa forma você ajuda quem pesquisar sobre o mesmo problema.
-
A lista que o pessoal disponibilizou aqui, tinha muitas redes repetidas, portando não tinha muita eficacia
então filtrei novas redes e consegui pegar mais um monte de redes que não tinha. Agora a lista esta top sem nenhuma rede repetida!Segue a lista de Redes do Skype
Criei um alias com esta listas de Ip85.64.136.0/24; 187.170.24.0/24; 78.134.9.0/24; 213.199.179.0/24; 65.55.64.0/24; 65.55.71.0/24; 149.13.32.0/24; 65.54.165.0/24; 64.94.18.0/24; 212.161.8.0/24; 78.141.177.0/24; 193.95.154.0/24; 71.58.242.0/24; 71.92.79.0/24; 76.89.177.0/24; 204.9.163.0/24; 212.187.172.0/24; 193.120.199.0/24; 184.25.203.0/24; 84.250.183.0/24; 66.171.55.0/24; 78.141.179.0/24; 184.25.201.0/24; 65.54.187.0/24; 199.7.71.0/24; 184.30.37.0/24; 65.54.186.0/24; 79.86.239.0/24; 212.8.166.0/24; 65.55.158.0/24; 157.56.149.0/24; 189.86.41.0/24; 239.255.255.0/24; 64.4.0.0/18; 65.52.0.0/14; 91.190.218.0/24; 91.190.216.0/24; 111.221.64.0/18; 134.170.0.0/16; 137.116.0.0/16; 157.54.0.0/15; 157.56.0.0/14; 157.60.0.0/16; 191.238.101.0/24; 191.238.33.0/24; 213.199.160.0/18; 111.221.74.0/24; 111.221.77.0/24; 157.55.130.0/24; 157.55.235.0/24; 157.55.56.0/24; 157.56.52.0/24; 213.199.179.0/24; 64.4.23.0/24; 65.55.223.0/24; 157.55.130.158; 40.117.100.83; 191.237.169.142; 104.210.9.95; 157.56.141.114; 65.52.108.154; 131.253.61.84; 104.209.188.76; 157.56.114.104; 40.113.152.30; 184.28.59.106; 104.105.211.104; 40.76.27.97; 23.101.156.198; 137.116.33.169; 104.43.226.117; 40.114.13.30; 104.209.189.145; 91.190.218.52; 65.52.108.74; 65.54.225.167; 31.13.85.4; 23.41.196.134; 23.99.194.215; 93.184.215.200; 104.47.164.217; 131.253.61.80; 65.55.44.109; 40.117.145.132; 23.44.177.208; 91.190.216.77; 64.4.23.151; 91.190.217.52; 65.54.225.168; 91.190.217.143; 31.13.85.36; 65.52.108.11; 204.79.197.200; 138.91.61.77; 65.55.246.20; 137.116.195.37; 131.253.14.213; 23.101.158.111; 23.101.115.193; 23.102.59.27; 187.52.187.161; 146.57.35.39; 128.211.192.122; 137.135.50.194; 23.101.184.206; 65.55.50.189; 216.58.222.109; 216.58.222.110; 200.235.128.138; 186.228.51.73; 186.228.51.40; 132.245.13.210; 65.55.85.12; 65.55.65.172; 23.101.196.141; 216.58.222.99; 204.79.197.208; 65.55.206.154; 131.253.61.98; 23.42.246.90; 98.139.21.169; 216.115.98.240; 37.252.246.4; 75.126.4.242; 65.52.108.29;
E depois add esses HOSTS do Skype e da Microsoft no campo "Bypass Proxy for These Destination Ips"
157.55.130.158; 40.117.100.83; 191.237.169.142; 104.210.9.95; 157.56.141.114; 65.52.108.154; 131.253.61.84; 104.209.188.76; 157.56.114.104; 40.113.152.30; 184.28.59.106; 104.105.211.104; 40.76.27.97; 23.101.156.198; 137.116.33.169; 104.43.226.117; 40.114.13.30; 104.209.189.145; 91.190.218.52; 65.52.108.74; 65.54.225.167; 31.13.85.4; 23.41.196.134; 23.99.194.215; 93.184.215.200; 104.47.164.217; 131.253.61.80; 65.55.44.109; 40.117.145.132; 23.44.177.208; 91.190.216.77; 64.4.23.151; 91.190.217.52; 65.54.225.168; 91.190.217.143; 31.13.85.36; 65.52.108.11; 204.79.197.200; 138.91.61.77; 65.55.246.20; 137.116.195.37; 131.253.14.213; 23.101.158.111; 23.101.115.193; 23.102.59.27; 187.52.187.161; 146.57.35.39; 128.211.192.122; 137.135.50.194; 23.101.184.206; 65.55.50.189; 216.58.222.109; 216.58.222.110; 200.235.128.138; 186.228.51.73; 186.228.51.40; 132.245.13.210; 65.55.85.12; 65.55.65.172; 23.101.196.141; 216.58.222.99; 204.79.197.208; 65.55.206.154; 131.253.61.98; 23.42.246.90; 98.139.21.169; 216.115.98.240; 37.252.246.4; 75.126.4.242; 65.52.108.29;
Foi o único método que funcionou para min!
-
Gydeon, você validou essas redes?
Tenho interesse em usar, mas muitas listas que já vi tem muito endereço de outras redes além de MS e Skype. -
Tomas Waldow
Essas redes /24 eu peguei aqui no fórum, e removi todas as redes repetidas e add novas redes que eu encontrei.
As redes que coloquei no campo " Bypass Proxy for These Destination Ips " foram filtradas durante as tentativas de conexão do Skype, que pertecem ao SKYPE, MICROSOFT, YAHOO. Portanto essas foram sim validadas! E está totalmente funcional aqui na empresa! -
Após alguns dias funcionando, o problema com filtro voltou, não fiz nenhuma alteração no pfsense, que viesse comprometer o funcionamento do Skype, porem o mesmo parou de funcionar. So peço se alguém souber resolver este problema, peço gentilmente que me ajude. não tenho mais cabeça pra pensar em uma solução quanto a isso!
-
Amigos, estou com o mesmo problema… Estou homologando o pfsense para colocar na rede da empresa, porém me deparei com esse problema do skype.
Sou novo usuario do pfsense, estou lendo muito no fórum mas não consigo fazer funcionar o acesso ao Skype.
Pelo que entendi, esses IP adicionei no squid3 BYpass proxy for these destination IPs, mas mesmo assim não conecta.o que posso fazer?
obrigado.
-
Amigão, estou testando aqui de todas as formas possíveis para tentar resolver este problema.
Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
Mais já estou trabalhado aqui, pra tentar descobrir!
Assim que eu resolver este problema, eu posto aqui no fórum a solução! -
Uma alternativa é forçar o uso de proxy no skype, talvez ele mude o protocolo da conversa para HTTP(s) ou pelo menos seja possivel criar uma regra de bypass do ssl para os dominios que ele pedir pra conectar. Se ainda sim o aplicativo continuar pedindo conexões direto para uma variedade de ips, como vemos hoje, aí não vejo uma luz no fim do túnel.
http://community.skype.com/t5/Windows-archive/Skype-Check-Point-firewalls-and-HTTPS-inspection/td-p/574409
"…So the short answer is that Skype's network protocols need an update so they can detect when they're in this sort of situation and find another way to connect..."
-
Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:
dsn16.dsn.skype.net;
dsn0.d.skype.net;
apps.skypeassets.com;
pipe.skype.com;
a.config.skype.com;
api.trap.skype.net;
prod.registrar.skype.com;
wer.microsoft.com;
watson.microsoft.comespero ter ajudado
-
Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:
dsn16.dsn.skype.net;
dsn0.d.skype.net;
apps.skypeassets.com;
pipe.skype.com;
a.config.skype.com;
api.trap.skype.net;
prod.registrar.skype.com;
wer.microsoft.com;
watson.microsoft.comespero ter ajudado
Help me, where did I go wrong?
my config:
1. 2.2.4-RELEASE (amd64)
2. squid3 0.4.7 (not transparent, SSL Man In the Middle Filtering - not used)
3. squidGuard 1.9.18
–---------------------
The initial problem was to release a Skype through a proxy, so they need someone:dsn0.skype.net dsn1.d.skype.net dsn2.d.skype.net dsn3.d.skype.net dsn4.d.skype.net dsn5.d.skype.net dsn6.d.skype.net dsn7.d.skype.net dsn8.d.skype.net dsn9.d.skype.net dsn10.d.skype.net dsn13.d.skype.net dsn14.d.skype.net dsn15.d.skype.net dsn16.d.skype.net apps.skypeassets.com pipe.skype.com a.config.skype.com b.config.skype.com api.trap.skype.net prod.registrar.skype.com wer.microsoft.com watson.microsoft.com api.asm.skype.com api.mcr.skype.com api.skype.com apps.skype.com auth.gfx.ms contacts.skype.com login.live.com login.skype.com prod.tpc.skype.com secure.skype.com skype.com static.skypeassets.com static-asm.secure.skypeassets.com static.asm.skype.com swx.cdn.skype.com dub.security.skype.net skype.net skype.co.uk skype.nl qik.com globalsign.com digisert.com
I added them to the Whitelist squid. When off squidGuard proxy I began to miss skype hrough itself (if the client has point ip_proxy:port login:passw). when the squidGuard on - blocked.
added squidguard in Target categories -> Domain List, too, that in the SQUID above domains -
Skype has gone in, but can not send messages and check connection to Echo Test probably some kind of resource is not yet entered in the white list to passage Skype … -
Amigão, estou testando aqui de todas as formas possíveis para tentar resolver este problema.
Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
Mais já estou trabalhado aqui, pra tentar descobrir!
Assim que eu resolver este problema, eu posto aqui no fórum a solução!Amigo conseguiu alguma coisa ?
abç
-
Boa noite,
amigo funciono aquiCRIEI UMA REGRA
LAN ADDRESS
DESTINO PORTA 80 443
para um aliases skype (ips)
permitir
testai
https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables
-
Boa noite,
amigo funciono aquiCRIEI UMA REGRA
LAN ADDRESS
DESTINO PORTA 80 443
para um aliases skype (ips)
permitir
testai
https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables
Bom dia,
Vou testar. Voce está usando proxy transparente com filtro SSL ativado ?
Desde já agradeço…
-
Bom dia
sim estou, ja configurei o pfsense para sincronizar os horarios em DHCP.
-
Boa Noite pessoal alguma novidade.. to apanhando aqui com skype.
-
Bom dia,
siga o tutorial do link abaixo que irá funcionar.
https://juandhelper.wordpress.com/2016/11/03/pfsense-utilizando-interceptacao-httpsssl-ativa-em-proxy-transparente/