Как натить маркированные пакеты skype?

werter

Добрый.
Прокси в каком режиме?

Хотелось бы такую же схему реализовать в pfsense 2.2.6

Есть ли возможность обновиться ? Уж оч. старая версия.

fordiego

прокси squid 3.5.20, стоит на отдельно взятой машине. с авторизацией ntlm.
pfsense обновлять не хочу потому как
1. pptp vpn используется
2. установлен пакет nsd (это днс такой)

fordiego

но если в новых версиях это реализовано конечно обновлюсь. разверну pptp начем-нибудь другом. а DNS провайдеру отдам (давно надо было там зону крутить а не у себя)

попробовал в mikrotik настроить… элементарно!
как в статье настроил DSCP в windows например для google chrome, дал DSCP=36
в микротике прописал action=masquerade chain=srcnat dscp=36 out-interface=ether1-wan

ВСЕ! все пакеты из всей локальной сети с меткой 36 натяца все остальные нет.
как это в pfsens сделать беспонятия

werter

Доброго.
https://forum.pfsense.org/index.php?topic=105810.0 что-то есть по поводу маркировки.

Вы хотите skype мимо прокси пустить ? Разверните сквид на пфсенсе и на нем уже настроите acl для скайпа по аналогии с https://forum.pfsense.org/index.php?topic=140074

Цитата :

Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно (лучи добра тому, кто это придумал). А у нас настройки прокси из определения выше прилетают в IE через GPO. Короче, добавляем разрешающее правило для всех в сквид на сайты apps.skypeassets.com и mscrl.microsoft.com. В противном случае я ловил TCP_DENIED/407 и скайп не подключался. Ну где-то так:

#Options for Skype

acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
http_access allow for_skype

не забудьте reload сквида

Не вздумайте схитрить, обойтись изменением GPO настройки IE «Не использовать прокси сервер с адресов, начинающихся с:» для упомянутых адресов. Отвалится куча сервисов МС. и web skype в первую очередь.

Снова идем тестить на жертве и получаем то, что требовалось. Скайп подключился, работает, можно писать и звонить. Ура, блин :)

Кстати, вы можете заметить, что есть варианты поиграть с правилами сквида, чтобы кое как пропустить хотя бы подключение к скайпу, но это не наш метод, в ключевой момент не состоявшийся звонок для нас критичен.

fordiego

squid на pfsense не нужен. squid + ntlm + sarg + rejik  уже есть на отдельно взятой машине и прекрасно там работает

пролазив гугл на предмет темы, ничего не найдя, понял что pfsense не имеет необходимого функционала

Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно
я не согласен с этим утверждением. по моим наблюдением в моей рабочей среде скайп игнорирует настройки прокси, не берет ни те что прописаны в IE ни если в самой программе прописать.  с версии выше 7.16 в нем сломали прокси. не работает как basic авторизация так и ntlm. Вы можете погуглить на эту тему. найдете много хэйта, причем MS вкурсе и проблему игнорят, вплоть до того что темы удаляют с форума самого скайпа.
мое ИМХО MS это сделало чтобы разделить сферы между сегментами рынка skype без прокси для частных лиц, skype for businnes со всеми плюшками для предприятий

acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
http_access allow for_skype
всего лишь выключает для acl for_skype dstdomain все остальные правила squid (смотря где в конфиге стоит конечно, этот acl надо ставит выше всех остальных)
ну пропустит squid подключение к  apps.skypeassets.com mscrl.microsoft.com …. дальше то что?
без правил outbound скайп все равно работать не будет....
и вот тут проблема! apps.skypeassets.com mscrl.microsoft.com далеко не все url по которым скайпу надо ходить, далеко не все...

поэтому мне и пришлось открывать наружу доступ ко всем известным сетям которые использует скайп. у меня вышло 130 сетей разных диапазонов

werter

Добрый.
У человека, решение к-го я процитировал выше все получилось и со скайпом и с windows update и с iCloud.
Причем без "любови" с маркировкой (напуркуа оно в этом случае ?) и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)

Перенести все на пф. Для логирования есть lightsquid. Мало ? Настроить связку squid + lightsquid + ipcad (на форуме есть мануал)
Для запретов\разрешений есть squidguard + списки от http://www.shallalist.de/
Цитата :

1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории    [blk_BL_anonvpn]  denny

И оочень трудно найти не забаненый анонимайзер.

AD\NTLM также можно реализовать https://pf2ad.mundounix.com.br/en/index.html

Для блокирования\разрешения чего угодно еще есть pfBlocker.
https://vorkbaard.nl/protect-your-network-with-domain-filtering-on-pfsense-2-4-and-pfblockerng/
https://support.rbtechvt.com/Knowledgebase/Article/View/324/0/configuring-pfblocker-for-dns-and-ip-blacklisting
https://www.bfoliver.com/technology/2016/02/27/howtoblockadswithpfblocker/
https://www.linuxincluded.com/using-pfblockerng-on-pfsense/

Вы же идете по самому сложному пути, ИМХО, держа все по отдельности. Впрочем, "колхоз - дело добровольное".

fordiego

Позвольте тоже остроумную поговорку: я вам про ивана - а вы мне про барана
мне не нужен squid на pfsense, он у меня уже есть. мне не нужен сквид в частности для скайпа так как скайп с прокси все равно не работает, хоть ты его на пфсенсе засунь хоть на марс, ну сколько писать уже об этом…

я согласен с вами о "и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)"
но другого пути чтоб выпустить скайп наружу нет. в самом деле не натить же всю локалку...
вы попробуйте завести скайп через прокси сами. и мы с вами вместе эту тему обсудим.

и "У человека, решение к-го я процитировал выше все получилось и со скайпом"
ни слова о скайпе в теме этого человека нет, ни в одном посту его тоже нет, с чего вы решили что у него все получилось?
Или я не там смотрю? приведите пост его темы где он добился работы скайпа через squid без открывания over 9000 ипишников MS напрямую

давайте напомним тему:
собственно топикстертер, тоесть я, хотел узнать есть ли возможность в pfsense обрабатывать входящий в него пакет с LAN-инт. с пометкой DSCP и натить его.
Как пример применения этого инструменты выступил злополучный скайп.
Примером может служить viber в котором настройки прокси сервера вообще отсутствуют (windows версия), и народ пускает его через прокси костылем в виде proxifier
Еще один пример dropbox который не поддерживает ntlm авторизации.
yandex.disk который тоже через squid ntlm не ходит
Наверно еще набереца всякого ПО но не будем об этом...

werter

Что и как у вас там на отдельн. сквиде настроено - себе дороже разбираться.

Ради чистоты эксперимента вы тестовый стенд поднимите с новым пф + сквид на нем + те acl для скайпа, к-ые я вам подкинул и попробуйте. На том же Виртбоксе у вас это ~30 мин времени отнимет. А после поговорим. Чего воду в ступе толочь ?
Может вас это и сподвигнет перенести все хоз-во на пф.

Скажу лишь, что вы единственный,  кто за ~8 лет моего знаком-ва с пф пытается вот таким кхм.. способом решить проблему со сквидом.

Или ищите др. решение для софт-роутера. Недавно тут человек на керио вот ушел (вроде).

Зы. Фраза pfsense dscp в известном поисковике возможно вам поможет.

fordiego

хорошо, спасибо. проверю.

werter

https://forum.pfsense.org/index.php?topic=100535.0
https://forum.pfsense.org/index.php?topic=96446.0
https://forum.pfsense.org/index.php?topic=93436.0
https://www.reddit.com/r/PFSENSE/comments/5v5izc/cant_shape_traffic_with_dscp/