Как натить маркированные пакеты skype?
-
Добрый день
Я думаю не секрет что скайп перестал дружить с прокси-серверами после версии 7.16
Не давно вычитал https://habrahabr.ru/post/344852/
Хотелось бы такую же схему реализовать в pfsense 2.2.6Суть того что хотелось бы:
1. помечаем пакеты skype в windows c помощью DSCP
2. далее в pfsense каким то образом натить эти пакеты (Firewall: NAT: Outbound)Подскажите можно ли реализовать это? и если да то че куда нажимать?
Прошу прощение я не очень силен в терминологии, думаю смысл понятен.
Сейчас у меня скайп работает просто потому что я сделал правило Outbound в котором прописал все известные сети skype, это очень громоздко и не красиво. -
Добрый.
Прокси в каком режиме?Хотелось бы такую же схему реализовать в pfsense 2.2.6
Есть ли возможность обновиться ? Уж оч. старая версия.
-
прокси squid 3.5.20, стоит на отдельно взятой машине. с авторизацией ntlm.
pfsense обновлять не хочу потому как
1. pptp vpn используется
2. установлен пакет nsd (это днс такой) -
но если в новых версиях это реализовано конечно обновлюсь. разверну pptp начем-нибудь другом. а DNS провайдеру отдам (давно надо было там зону крутить а не у себя)
попробовал в mikrotik настроить… элементарно!
как в статье настроил DSCP в windows например для google chrome, дал DSCP=36
в микротике прописал action=masquerade chain=srcnat dscp=36 out-interface=ether1-wanВСЕ! все пакеты из всей локальной сети с меткой 36 натяца все остальные нет.
как это в pfsens сделать беспонятия -
Доброго.
https://forum.pfsense.org/index.php?topic=105810.0 что-то есть по поводу маркировки.Вы хотите skype мимо прокси пустить ? Разверните сквид на пфсенсе и на нем уже настроите acl для скайпа по аналогии с https://forum.pfsense.org/index.php?topic=140074
Цитата :
Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно (лучи добра тому, кто это придумал). А у нас настройки прокси из определения выше прилетают в IE через GPO. Короче, добавляем разрешающее правило для всех в сквид на сайты apps.skypeassets.com и mscrl.microsoft.com. В противном случае я ловил TCP_DENIED/407 и скайп не подключался. Ну где-то так:
#Options for Skype
acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
http_access allow for_skypeне забудьте reload сквида
Не вздумайте схитрить, обойтись изменением GPO настройки IE «Не использовать прокси сервер с адресов, начинающихся с:» для упомянутых адресов. Отвалится куча сервисов МС. и web skype в первую очередь.
Снова идем тестить на жертве и получаем то, что требовалось. Скайп подключился, работает, можно писать и звонить. Ура, блин :)
Кстати, вы можете заметить, что есть варианты поиграть с правилами сквида, чтобы кое как пропустить хотя бы подключение к скайпу, но это не наш метод, в ключевой момент не состоявшийся звонок для нас критичен.
-
squid на pfsense не нужен. squid + ntlm + sarg + rejik уже есть на отдельно взятой машине и прекрасно там работает
пролазив гугл на предмет темы, ничего не найдя, понял что pfsense не имеет необходимого функционала
Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно
я не согласен с этим утверждением. по моим наблюдением в моей рабочей среде скайп игнорирует настройки прокси, не берет ни те что прописаны в IE ни если в самой программе прописать. с версии выше 7.16 в нем сломали прокси. не работает как basic авторизация так и ntlm. Вы можете погуглить на эту тему. найдете много хэйта, причем MS вкурсе и проблему игнорят, вплоть до того что темы удаляют с форума самого скайпа.
мое ИМХО MS это сделало чтобы разделить сферы между сегментами рынка skype без прокси для частных лиц, skype for businnes со всеми плюшками для предприятийacl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
http_access allow for_skype
всего лишь выключает для acl for_skype dstdomain все остальные правила squid (смотря где в конфиге стоит конечно, этот acl надо ставит выше всех остальных)
ну пропустит squid подключение к apps.skypeassets.com mscrl.microsoft.com …. дальше то что?
без правил outbound скайп все равно работать не будет....
и вот тут проблема! apps.skypeassets.com mscrl.microsoft.com далеко не все url по которым скайпу надо ходить, далеко не все...поэтому мне и пришлось открывать наружу доступ ко всем известным сетям которые использует скайп. у меня вышло 130 сетей разных диапазонов
-
Добрый.
У человека, решение к-го я процитировал выше все получилось и со скайпом и с windows update и с iCloud.
Причем без "любови" с маркировкой (напуркуа оно в этом случае ?) и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)Перенести все на пф. Для логирования есть lightsquid. Мало ? Настроить связку squid + lightsquid + ipcad (на форуме есть мануал)
Для запретов\разрешений есть squidguard + списки от http://www.shallalist.de/
Цитата :1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории [blk_BL_anonvpn] dennyИ оочень трудно найти не забаненый анонимайзер.
AD\NTLM также можно реализовать https://pf2ad.mundounix.com.br/en/index.html
Для блокирования\разрешения чего угодно еще есть pfBlocker.
https://vorkbaard.nl/protect-your-network-with-domain-filtering-on-pfsense-2-4-and-pfblockerng/
https://support.rbtechvt.com/Knowledgebase/Article/View/324/0/configuring-pfblocker-for-dns-and-ip-blacklisting
https://www.bfoliver.com/technology/2016/02/27/howtoblockadswithpfblocker/
https://www.linuxincluded.com/using-pfblockerng-on-pfsense/Вы же идете по самому сложному пути, ИМХО, держа все по отдельности. Впрочем, "колхоз - дело добровольное".
-
Позвольте тоже остроумную поговорку: я вам про ивана - а вы мне про барана
мне не нужен squid на pfsense, он у меня уже есть. мне не нужен сквид в частности для скайпа так как скайп с прокси все равно не работает, хоть ты его на пфсенсе засунь хоть на марс, ну сколько писать уже об этом…я согласен с вами о "и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)"
но другого пути чтоб выпустить скайп наружу нет. в самом деле не натить же всю локалку...
вы попробуйте завести скайп через прокси сами. и мы с вами вместе эту тему обсудим.и "У человека, решение к-го я процитировал выше все получилось и со скайпом"
ни слова о скайпе в теме этого человека нет, ни в одном посту его тоже нет, с чего вы решили что у него все получилось?
Или я не там смотрю? приведите пост его темы где он добился работы скайпа через squid без открывания over 9000 ипишников MS напрямуюдавайте напомним тему:
собственно топикстертер, тоесть я, хотел узнать есть ли возможность в pfsense обрабатывать входящий в него пакет с LAN-инт. с пометкой DSCP и натить его.
Как пример применения этого инструменты выступил злополучный скайп.
Примером может служить viber в котором настройки прокси сервера вообще отсутствуют (windows версия), и народ пускает его через прокси костылем в виде proxifier
Еще один пример dropbox который не поддерживает ntlm авторизации.
yandex.disk который тоже через squid ntlm не ходит
Наверно еще набереца всякого ПО но не будем об этом... -
Что и как у вас там на отдельн. сквиде настроено - себе дороже разбираться.
Ради чистоты эксперимента вы тестовый стенд поднимите с новым пф + сквид на нем + те acl для скайпа, к-ые я вам подкинул и попробуйте. На том же Виртбоксе у вас это ~30 мин времени отнимет. А после поговорим. Чего воду в ступе толочь ?
Может вас это и сподвигнет перенести все хоз-во на пф.Скажу лишь, что вы единственный, кто за ~8 лет моего знаком-ва с пф пытается вот таким кхм.. способом решить проблему со сквидом.
Или ищите др. решение для софт-роутера. Недавно тут человек на керио вот ушел (вроде).
Зы. Фраза pfsense dscp в известном поисковике возможно вам поможет.
-
хорошо, спасибо. проверю.
-
https://forum.pfsense.org/index.php?topic=100535.0
https://forum.pfsense.org/index.php?topic=96446.0
https://forum.pfsense.org/index.php?topic=93436.0
https://www.reddit.com/r/PFSENSE/comments/5v5izc/cant_shape_traffic_with_dscp/