Filtro ssl do squid3 broqueando skype….

marcelloc

Do que lembro nos posts aqui do forum, o problema maior era quando se usava contas microsoft pra logar nele.

Vai obsersar os erros nos logs das conexões SSL que passam pelo squid que não são HTTP, como o caso do skype, ultrasurf, etc.

Gydeon

Marcelloc

Consegui resolver o problema aqui…
Até o momento ta tudo funcionando ok...
A lista q o pessoal disponibilizou aqui tava imcompleta, descobrir novas redes do skype
e reformulei minhas regras.

Caso venha surgir novos problemas com relação a isso, eu volto reabrir o tópico.

Desde de Já muito obrigado pela colaboração!

marcelloc

Cola aqui a faixa de redes que cadastrou. Dessa forma você ajuda quem pesquisar sobre o mesmo problema.

Gydeon

A lista que o pessoal disponibilizou aqui, tinha muitas redes repetidas, portando não tinha muita eficacia
então filtrei novas redes e consegui pegar mais um monte de redes que não tinha. Agora a lista esta top sem nenhuma rede repetida!

Segue a lista de Redes do Skype
Criei um alias com esta listas de Ip

85.64.136.0/24;
187.170.24.0/24;
78.134.9.0/24;
213.199.179.0/24;
65.55.64.0/24;
65.55.71.0/24;
149.13.32.0/24;
65.54.165.0/24;
64.94.18.0/24;
212.161.8.0/24;
78.141.177.0/24;
193.95.154.0/24;
71.58.242.0/24;
71.92.79.0/24;
76.89.177.0/24;
204.9.163.0/24;
212.187.172.0/24;
193.120.199.0/24;
184.25.203.0/24;
84.250.183.0/24;
66.171.55.0/24;
78.141.179.0/24;
184.25.201.0/24;
65.54.187.0/24;
199.7.71.0/24;
184.30.37.0/24;
65.54.186.0/24;
79.86.239.0/24;
212.8.166.0/24;
65.55.158.0/24;
157.56.149.0/24;
189.86.41.0/24;
239.255.255.0/24;
64.4.0.0/18;
65.52.0.0/14;
91.190.218.0/24;
91.190.216.0/24;
111.221.64.0/18;
134.170.0.0/16;
137.116.0.0/16;
157.54.0.0/15;
157.56.0.0/14;
157.60.0.0/16;
191.238.101.0/24;
191.238.33.0/24;
213.199.160.0/18;
111.221.74.0/24;
111.221.77.0/24;
157.55.130.0/24;
157.55.235.0/24;
157.55.56.0/24;
157.56.52.0/24;
213.199.179.0/24; 
64.4.23.0/24;
65.55.223.0/24;
157.55.130.158; 
40.117.100.83;
191.237.169.142;
104.210.9.95;
157.56.141.114;
65.52.108.154;
131.253.61.84; 
104.209.188.76;
157.56.114.104;
40.113.152.30;
184.28.59.106;
104.105.211.104;
40.76.27.97;
23.101.156.198;
137.116.33.169;
104.43.226.117;
40.114.13.30;
104.209.189.145;
91.190.218.52;
65.52.108.74;
65.54.225.167;
31.13.85.4;
23.41.196.134;
23.99.194.215;
93.184.215.200;
104.47.164.217;
131.253.61.80;
65.55.44.109;
40.117.145.132;
23.44.177.208;
91.190.216.77;
64.4.23.151;
91.190.217.52;
65.54.225.168;
91.190.217.143;
31.13.85.36;
65.52.108.11;
204.79.197.200;
138.91.61.77;
65.55.246.20;
137.116.195.37;
131.253.14.213;
23.101.158.111;
23.101.115.193;
23.102.59.27;
187.52.187.161;
146.57.35.39;
128.211.192.122;
137.135.50.194;
23.101.184.206;
65.55.50.189;
216.58.222.109;
216.58.222.110;
200.235.128.138;
186.228.51.73;
186.228.51.40;
132.245.13.210;
65.55.85.12;
65.55.65.172;
23.101.196.141;
216.58.222.99;
204.79.197.208;
65.55.206.154;
131.253.61.98;
23.42.246.90;
98.139.21.169;
216.115.98.240;
37.252.246.4;
75.126.4.242;
65.52.108.29;

E depois add esses HOSTS do Skype e da Microsoft no campo  "Bypass Proxy for These Destination Ips"

157.55.130.158; 
40.117.100.83;
191.237.169.142;
104.210.9.95;
157.56.141.114;
65.52.108.154;
131.253.61.84; 
104.209.188.76;
157.56.114.104;
40.113.152.30;
184.28.59.106;
104.105.211.104;
40.76.27.97;
23.101.156.198;
137.116.33.169;
104.43.226.117;
40.114.13.30;
104.209.189.145;
91.190.218.52;
65.52.108.74;
65.54.225.167;
31.13.85.4;
23.41.196.134;
23.99.194.215;
93.184.215.200;
104.47.164.217;
131.253.61.80;
65.55.44.109;
40.117.145.132;
23.44.177.208;
91.190.216.77;
64.4.23.151;
91.190.217.52;
65.54.225.168;
91.190.217.143;
31.13.85.36;
65.52.108.11;
204.79.197.200;
138.91.61.77;
65.55.246.20;
137.116.195.37;
131.253.14.213;
23.101.158.111;
23.101.115.193;
23.102.59.27;
187.52.187.161;
146.57.35.39;
128.211.192.122;
137.135.50.194;
23.101.184.206;
65.55.50.189;
216.58.222.109;
216.58.222.110;
200.235.128.138;
186.228.51.73;
186.228.51.40;
132.245.13.210;
65.55.85.12;
65.55.65.172;
23.101.196.141;
216.58.222.99;
204.79.197.208;
65.55.206.154;
131.253.61.98;
23.42.246.90;
98.139.21.169;
216.115.98.240;
37.252.246.4;
75.126.4.242;
65.52.108.29;

Foi o único método que funcionou para min!

tomaswaldow

Gydeon, você validou essas redes?
Tenho interesse em usar, mas muitas listas que já vi tem muito endereço de outras redes além de MS e Skype.

Gydeon

Tomas Waldow

Essas redes /24 eu peguei aqui no fórum, e removi todas as redes repetidas e add novas redes que eu encontrei.
As redes  que coloquei no campo " Bypass Proxy for These Destination Ips " foram filtradas durante as tentativas de conexão do Skype, que pertecem ao SKYPE, MICROSOFT, YAHOO. Portanto essas foram sim validadas! E está totalmente funcional aqui na empresa!

Gydeon

Após alguns dias funcionando, o problema com filtro voltou, não fiz nenhuma alteração no pfsense, que viesse comprometer o funcionamento do Skype, porem o mesmo parou de funcionar. So peço se alguém souber resolver este problema, peço gentilmente que me ajude. não tenho mais cabeça pra pensar em uma solução quanto a isso!

rvidall

Amigos, estou com o mesmo problema… Estou homologando o pfsense para colocar na rede da empresa, porém me deparei com esse problema do skype.
Sou novo usuario do pfsense, estou lendo muito no fórum mas não consigo fazer funcionar o acesso ao Skype.
Pelo que entendi, esses IP adicionei no squid3 BYpass proxy for these destination IPs, mas mesmo assim não conecta.

o que posso fazer?

obrigado.

Gydeon

Amigão, estou testando aqui de todas as formas possíveis  para tentar resolver este problema.
Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
Mais já estou trabalhado aqui, pra tentar descobrir!
Assim que eu resolver este problema, eu posto aqui no fórum a solução!

marcelloc

Uma alternativa é forçar o uso de proxy no skype, talvez ele mude o protocolo da conversa para HTTP(s) ou pelo menos seja possivel criar uma regra de bypass do ssl para os dominios que ele pedir pra conectar. Se ainda sim o aplicativo continuar pedindo conexões direto para uma variedade de ips, como vemos hoje, aí não vejo uma luz no fim do túnel.

http://community.skype.com/t5/Windows-archive/Skype-Check-Point-firewalls-and-HTTPS-inspection/td-p/574409

"…So the short answer is that Skype's network protocols need an update so they can detect when they're in this sort of situation and find another way to connect..."

kamura

Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:

dsn16.dsn.skype.net;
dsn0.d.skype.net;
apps.skypeassets.com;
pipe.skype.com;
a.config.skype.com;
api.trap.skype.net;
prod.registrar.skype.com;
wer.microsoft.com;
watson.microsoft.com

espero ter ajudado

dvv06

@kamura:

Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:

dsn16.dsn.skype.net;
dsn0.d.skype.net;
apps.skypeassets.com;
pipe.skype.com;
a.config.skype.com;
api.trap.skype.net;
prod.registrar.skype.com;
wer.microsoft.com;
watson.microsoft.com

espero ter ajudado

Help me, where did I go wrong?
my config:
1. 2.2.4-RELEASE  (amd64)
2. squid3 0.4.7 (not transparent, SSL Man In the Middle Filtering - not used)
3. squidGuard 1.9.18
–---------------------
The initial problem was to release a Skype through a proxy, so they need someone:

dsn0.skype.net dsn1.d.skype.net dsn2.d.skype.net dsn3.d.skype.net dsn4.d.skype.net dsn5.d.skype.net dsn6.d.skype.net dsn7.d.skype.net dsn8.d.skype.net dsn9.d.skype.net dsn10.d.skype.net dsn13.d.skype.net dsn14.d.skype.net dsn15.d.skype.net dsn16.d.skype.net apps.skypeassets.com pipe.skype.com a.config.skype.com b.config.skype.com api.trap.skype.net prod.registrar.skype.com wer.microsoft.com watson.microsoft.com api.asm.skype.com api.mcr.skype.com api.skype.com apps.skype.com auth.gfx.ms contacts.skype.com login.live.com login.skype.com prod.tpc.skype.com secure.skype.com skype.com static.skypeassets.com static-asm.secure.skypeassets.com static.asm.skype.com swx.cdn.skype.com dub.security.skype.net skype.net skype.co.uk skype.nl qik.com globalsign.com digisert.com

I added them to the Whitelist squid. When off squidGuard proxy I began to miss skype hrough itself (if the client has point ip_proxy:port login:passw). when the squidGuard on - blocked.

added squidguard in Target categories -> Domain List, too, that in the SQUID above domains -
Skype has gone in, but can not send messages and check connection to Echo Test probably some kind of resource is not yet entered in the white list to passage Skype …

jmalafaia

@Gydeon:

Amigão, estou testando aqui de todas as formas possíveis  para tentar resolver este problema.
Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
Mais já estou trabalhado aqui, pra tentar descobrir!
Assim que eu resolver este problema, eu posto aqui no fórum a solução!

Amigo conseguiu alguma coisa ?

abç

Douglas Araujo

Boa noite,
amigo funciono aqui

CRIEI UMA REGRA

LAN ADDRESS

DESTINO PORTA 80 443

para um aliases skype (ips)

permitir

testai

https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables

jmalafaia

@Douglas:

Boa noite,
amigo funciono aqui

CRIEI UMA REGRA

LAN ADDRESS

DESTINO PORTA 80 443

para um aliases skype (ips)

permitir

testai

https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables

Bom dia,

Vou testar. Voce está usando proxy transparente com filtro SSL ativado ?

Desde já agradeço…

Douglas Araujo

Bom dia

sim estou, ja configurei o pfsense para sincronizar os horarios em DHCP.

alanbraw

Boa Noite pessoal alguma novidade.. to apanhando aqui com skype.

hunterjn

Bom dia,

siga o tutorial do link abaixo que irá funcionar.

https://juandhelper.wordpress.com/2016/11/03/pfsense-utilizando-interceptacao-httpsssl-ativa-em-proxy-transparente/