Squid-3.3.5 Liberar Skype

danilosv.03

Qual seria essa aliase Internet? Você já tentou deixar as "any" em vez de deixar essa regra?

narciso

Queria apenas agradecer a dica do Danilo!

Depois de inserir a network ips do skype no pfsense, tudo funcionou 100%

Valeu demais!

gledstonsousa

Galera peço desculpa se ja postaram a resposta porem peço a ajuda de voces pois esse problema do  skype ta dificil
tenho o PFSENSE 2.3.4 com autenticação LDAP  porem o skype nao conecta de jeito nehum, ate deixa digitar o login porem a senha não.
Se alguém que tiver souber como resolver ou indicar uma solucao agradeceria muito

danilosv.03

Você já tentou ver os logs? Você já tentou seguir a dica que dei acima ?

gledstonsousa

@danilosv.03:

Você já tentou ver os logs? Você já tentou seguir a dica que dei acima ?

Olhei  e tenho as seguintes entradas
07.08.2017 08:37:37 TCP_DENIED/407 login.live.com:443 - -
07.08.2017 08:37:37 TCP_DENIED/407 login.live.com:443 - -
07.08.2017 08:37:36 TCP_DENIED/407 login.live.com:443

ja coloquei essa entrada nas ACL, no alias conforme esta no exmplos e não libera, tens uma dica.

danilosv.03

Você trabalha com restriçao de porta? Transparente ou autenticado o seu proxy.

gledstonsousa

@danilosv.03:

Você trabalha com restriçao de porta? Transparente ou autenticado o seu proxy.

Não tenho restrição de porta e faço a autenticação via LDAP

andrezaomac

Estou tendo o mesmo bloqueio.

No momento da autenticação app skype,

No Squid>>Real Time
mostra esse bloqueio.

08.08.2017 10:54:51	10.0.1.2	TCP_DENIED/407	65.55.223.28:443	-	-
08.08.2017 10:54:51	10.0.1.2	TCP_DENIED/407	65.55.223.46:443	-	-
08.08.2017 10:54:48	10.0.1.2	TCP_DENIED/407	157.56.52.20:443	-	-
08.08.2017 10:54:47	10.0.1.2	TCP_DENIED/407	65.55.223.18:443	-	-
08.08.2017 10:54:47	10.0.1.2	TCP_DENIED/407	157.55.235.143:443	-	-
08.08.2017 10:54:45	10.0.1.2	TCP_DENIED/407	157.56.52.35:443	-	-
08.08.2017 10:54:43	10.0.1.2	TCP_DENIED/407	157.55.235.145:443	-	-
08.08.2017 10:54:42	10.0.1.2	TCP_DENIED/407	111.221.77.157:443	-	-
08.08.2017 10:54:34	10.0.1.2	TCP_DENIED/407	157.55.130.149:443

Eu já criei uma Aliases em Regras do Firewall liberando para  toda rede esses IP mas mesmo assim ainda o squid continua bloqueando.

Onde mais posso liberar esses IPS.?

danilosv.03

Você já viu se esse range de IP que você está "liberando" no seu squid ele realmente pertence ao Site da Microsoft? Manda um print do seu squid no bypass ou em ACL whitlist.

andrezaomac

Resolvido meu Problema.

Como todos usuários do meu cliente usa Skype, e percebi que quem bloqueava o acesso era o Squid e não o Firewall.

Fui em ACLs do Squid e adicionei na Lista Branca os IPs que mencionei, e BINGOOO, os usuários que passam pelo Proxy, começou a conectar normalmente no Skype.

Reinaldo.Pereira

Prezados, boa tarde!
Recentemente, implantei o PFsense na minha empresa e passei por dificuldades para liberar o Skype. Esse post resolveu meu problema. Obrigado a todos!

danilosv.03

Amigo,
Der um thanks no post que lhe ajudou. Isso facilita na pesquisa aqui no fórum.

obmor

@hunterjn:

Danilo, vai parecer piada, mas estou exatamente trabalhando a uma semana neste firewall, em função do Skype, e hoje quando resolvi solicitar ajuda da comunidade PF Sense consegui resolver. Segue abaixo o que eu fiz…

Obs.: O ambiente que uso roda somente Squid + SquidGuard, com Proxy transparente e captação de SSL ativo.

Criei duas Aliases, uma chamada SkypeNet e outra SkypeHost. (firewall > aliases)

Na Aliase SkypeNet, adicionei os seguintes endereços:

23.38.149.46
64.4.0.0/18
65.52.0.0/14
91.190.218.0/24
91.190.216.0/24
111.221.64.0/18
134.170.0.0/16
137.116.0.0/16
157.54.0.0/15
157.56.0.0/14
157.60.0.0/16
191.238.101.0/24
191.238.33.0/24
213.199.160.0/18
23.38.149.46
104.40.0.0/13
23.37.32.0/20
91.190.218.0/23
40.64.0.0/10
2.22.8.0/22
191.232.0.0/13
104.105.128.0/20
72.21.81.0/24
104.208.0.0/13
64.18.25.0/24
13.107.3.0/24
23.100.0.0/15
207.46.0.0/19
23.102.0.0/16
131.253.61.0/24
104.105.144.0/20
168.61.164.0/22
91.190.216.0/22
40.76.24.0/22
23.211.236.0/22
23.11.250.0/22
23.2.96.0/22
23.73.244.0/22
91.190.216.0/22
157.56.196.0/22
104.42.8.0/22
191.234.40.0/22
23.213.88.0/22
40.76.208.0/22
168.61.176.0/22
13.107.0.0/22
23.213.88.0/22
188.129.195.0/24
5.64.136.0/24
187.170.24.0/24
78.134.9.0/24
64.4.23.0/24
212.187.172.0/24
213.199.179.0/24
64.94.18.0/24
184.25.203.0/24
65.55.64.0/24
204.9.163.0/24
91.190.216.0/24
65.55.71.0/24
65.55.223.0/24
157.56.52.0/24
111.221.77.0/24
157.55.130.0/24
91.190.218.0/24
149.13.32.0/24
65.54.165.0/24
65.55.223.0/24
91.190.216.0/24
184.25.203.0/24
64.94.18.0/24
212.161.8.0/24
78.141.177.0/24
157.55.56.0/24
193.95.154.0/24
157.55.235.0/24
111.221.74.0/24
193.95.154.0/24
157.55.130.0/24
71.58.242.0/24
204.9.163.0/24
184.25.201.0/24
78.141.179.0/24
71.92.79.0/24
65.55.223.0/24
76.89.177.0/24
204.9.163.0/24
212.187.172.0/24
184.25.203.0/24
193.120.199.0/24
91.190.216.0/24
157.55.130.0/24
184.25.203.0/24
157.55.235.0/24
65.55.223.0/24
84.250.183.0/24
66.171.55.0/24
78.141.179.0/24
157.55.130.0/24
184.25.201.0/24
65.54.187.0/24
199.7.71.0/24
184.30.37.0/24
65.54.186.0/24
79.86.239.0/24
212.8.166.0/24
64.4.23.0/24
111.221.77.0/24
91.190.218.0/24
65.55.158.0/24
157.56.52.0/24
157.55.130.0/24
157.56.149.0/24
189.86.41.0/24
239.255.255.0/24
239.255.255.0/24

E na Aliase SkypeHost, os seguintes hosts:

apps.skypeassets.com
login.skype.com
pipe.skype.com
secure.skype.com
config.skype.com
api.skype.com
ui.skype.com
s.gateway.messenger.live.com
get.skype.com
dsn13.d.skype.net
mobile.pipe.aria.microsoft.com
a.config.skype.com
www.skypeassets.com
dr.skype.net
apps.skype.com
api.asm.skype.com

Com estas Aliases criadas, fui no campo "Bypass Proxy for These Destination IPs" (Services > Squid ProxyServer > General > Bypass Proxy for These Destination IPs) e as adicionei da seguinte forma:

SkypeHost;SkypeNet

Em seguida reiniciei o PF Sense, fiz logout do Skype e o fechei.
Ao iniciar novamente, abri o Skype e fiz login, funcionou perfeitamente.

Obs.: Caso o PF Sense seja desligado/reiniciado e o Skype pare de funcionar, basta só fazer logout e fechar o programa, ao abrir novamente ele estará funcionando certinho.

Pra mim deu certo desta forma. Obrigado!! o/

danilosv.03

Irmãozinho, não esquece de dar um thanks no comentário que lhe ajudou.

pskinfra

Caro Reinaldo.Pereira

Tenho um dos meus PFSense´s com rede lan totalmente bloqueada ( sem proxy, direto nas regras do FW ), e foi solicitado apenas a liberação do Skype.

Fiz conforme o "Aliases" informado, pesquisei também em bgp.he.net  e mesmo assim a aplicação não funciona. Obs: Até abre a página do Skype, mas não renderiza completamente.

Cenário do FW para apenas um Host:

1. Um cliente host com ip 192.168.90.62;

PASS  -> ALL -> 192.168.90.62 -> skypenet
PASS  -> ALL -> 192.168.90.62 -> skypehost
Reject   -> ALL -> 192.168.90.62 -> ALL

Também peguei o seguinte bloco das redes compartilhadas nesse link: https://docs.google.com/document/d/1ozabua0GGD8bikNAk_exJhMZYSrNxKb4npWmFH1ok1w/edit

guitarcleiton

@pskinfra:

Caro Reinaldo.Pereira

Tenho um dos meus PFSense´s com rede lan totalmente bloqueada ( sem proxy, direto nas regras do FW ), e foi solicitado apenas a liberação do Skype.

Fiz conforme o "Aliases" informado, pesquisei também em bgp.he.net  e mesmo assim a aplicação não funciona. Obs: Até abre a página do Skype, mas não renderiza completamente.

Cenário do FW para apenas um Host:

1. Um cliente host com ip 192.168.90.62;

PASS  -> ALL -> 192.168.90.62 -> skypenet
PASS  -> ALL -> 192.168.90.62 -> skypehost
Reject   -> ALL -> 192.168.90.62 -> ALL

Também peguei o seguinte bloco das redes compartilhadas nesse link: https://docs.google.com/document/d/1ozabua0GGD8bikNAk_exJhMZYSrNxKb4npWmFH1ok1w/edit

Manda um print de sua regra, pela que eu entendi lendo seu relato, sua regra esta errada.

pskinfra

@guitarcleiton:

@pskinfra:

Caro Reinaldo.Pereira

Tenho um dos meus PFSense´s com rede lan totalmente bloqueada ( sem proxy, direto nas regras do FW ), e foi solicitado apenas a liberação do Skype.

Fiz conforme o "Aliases" informado, pesquisei também em bgp.he.net  e mesmo assim a aplicação não funciona. Obs: Até abre a página do Skype, mas não renderiza completamente.

Cenário do FW para apenas um Host:

1. Um cliente host com ip 192.168.90.62;

PASS  -> ALL -> 192.168.90.62 -> skypenet
PASS  -> ALL -> 192.168.90.62 -> skypehost
Reject   -> ALL -> 192.168.90.62 -> ALL

Também peguei o seguinte bloco das redes compartilhadas nesse link: https://docs.google.com/document/d/1ozabua0GGD8bikNAk_exJhMZYSrNxKb4npWmFH1ok1w/edit

Manda um print de sua regra, pela que eu entendi lendo seu relato, sua regra esta errada.

Segue guitarcleiton,

guitarcleiton

@pskinfra:

@guitarcleiton:

@pskinfra:

Caro Reinaldo.Pereira

Tenho um dos meus PFSense´s com rede lan totalmente bloqueada ( sem proxy, direto nas regras do FW ), e foi solicitado apenas a liberação do Skype.

Fiz conforme o "Aliases" informado, pesquisei também em bgp.he.net  e mesmo assim a aplicação não funciona. Obs: Até abre a página do Skype, mas não renderiza completamente.

Cenário do FW para apenas um Host:

1. Um cliente host com ip 192.168.90.62;

PASS  -> ALL -> 192.168.90.62 -> skypenet
PASS  -> ALL -> 192.168.90.62 -> skypehost
Reject   -> ALL -> 192.168.90.62 -> ALL

Também peguei o seguinte bloco das redes compartilhadas nesse link: https://docs.google.com/document/d/1ozabua0GGD8bikNAk_exJhMZYSrNxKb4npWmFH1ok1w/edit

Manda um print de sua regra, pela que eu entendi lendo seu relato, sua regra esta errada.

Segue guitarcleiton,

Por padrão tudo é bloqueado no PFSense, não precisa da segunda regra negando acesso.
crie a segunda regra liberando a outra aliase tem que ter as  2 SkypeHost e SkypeNet

pskinfra

@guitarcleiton:

@pskinfra:

@guitarcleiton:

@pskinfra:

Caro Reinaldo.Pereira

Tenho um dos meus PFSense´s com rede lan totalmente bloqueada ( sem proxy, direto nas regras do FW ), e foi solicitado apenas a liberação do Skype.

Fiz conforme o "Aliases" informado, pesquisei também em bgp.he.net  e mesmo assim a aplicação não funciona. Obs: Até abre a página do Skype, mas não renderiza completamente.

Cenário do FW para apenas um Host:

1. Um cliente host com ip 192.168.90.62;

PASS  -> ALL -> 192.168.90.62 -> skypenet
PASS  -> ALL -> 192.168.90.62 -> skypehost
Reject   -> ALL -> 192.168.90.62 -> ALL

Também peguei o seguinte bloco das redes compartilhadas nesse link: https://docs.google.com/document/d/1ozabua0GGD8bikNAk_exJhMZYSrNxKb4npWmFH1ok1w/edit

Manda um print de sua regra, pela que eu entendi lendo seu relato, sua regra esta errada.

Segue guitarcleiton,

Por padrão tudo é bloqueado no PFSense, não precisa da segunda regra negando acesso.
crie a segunda regra liberando a outra aliase tem que ter as  2 SkypeHost e SkypeNet

Obrigado caro guitarcleiton. Eu sei do bloqueio sim!
Essa regra é específica em função de 2 coisas: Logs e pela ação Reject ser mais rápido no bloqueio ao usuário/cliente.

Abraços!