Liberar Skype -

tomaswaldow

Eu uso essas regras, as redes são da MS e Skype.

Alias do tipo Network:

13.64.0.0/11
23.96.0.0/13
40.64.0.0/13
40.112.0.0/13
52.160.0.0/11
64.4.0.0/18
65.52.0.0/14
91.190.216.0/24
91.190.218.0/24
91.190.220.0/24
104.40.0.0/13
104.208.0.0/13
111.221.64.0/18
131.253.12.0/22
134.170.0.0/16
137.116.0.0/16
137.135.0.0/16
138.91.0.0/16
157.55.0.0/16

Alias do tipo Hosts:

a-cc-usea2-01.cc.skype.com
a.config.skype.com
a-conv-usea2-01.conv.skype.com
api.aps.skype.com
api.asm.skype.com
api.cc.skype.com
api.mcr.skype.com
api.skype.com
apps.skype.com
avatar.skype.com
b.config.skype.com
blu402-m.hotmail.com
c1.skype.com
clientlogin.cdn.skype.com
co4-s.gateway.messenger.live.com
config.edge.skype.com
consumer.entitlement.skype.com
contacts.skype.com
download.skype.com
edge.skype.com
etag-rr.prod.registrar.skype.com
eus1-api.asm.skype.com
get.skype.com
c1.skype.com
conn.skype.com
login.live.com
secure.skypeassets.com
login.live.com
login.skype.com
m.hotmail.com
msg.skype.com
nus1-api.asm.skype.com
nus1-urlp.secure.skypeassets.com
pipe.skype.com
registrar-rr.prod.registrar.skype.com
secure.skypeassets.com
skype-m.hotmail.com
snt405-m.hotmail.com
static-asm.secure.skypeassets.com
static.skypeassets.com
uic.login.skype.com
ui.skype.com
urlp.asm.skype.com
web.skype.com

Faça duas regras e libera TCP/UDP para esses destinos, veja se te ajuda.

Obs: eu mesmo fui capturando as redes e hosts, pode ser que tenha mudado, seria interessante fazer outra analise.

fabianopolone

Eu consegui liberando as portas abaixo para os PCs que precisam de acesso ao SKYPE FOR BUSINESS

67/68
DHCP
443
TCP (TLS)
443
TCP (PSOM/TLS)
443
TCP (STUN/MSTURN)
3478
UDP (STUN/MSTURN)
5061
TCP (MTLS)
6891-6901
TCP
1024-65535 *
TCP/UDP
1024-65535 *
TCP/UDP
1024-65535 *
TCP
1024-65535 *
TCP

tomaswaldow

@fabianopolone:

Eu consegui liberando as portas abaixo para os PCs que precisam de acesso ao SKYPE FOR BUSINESS

Sem restringir destino? Se for fica tudo aberto.

vsaad

Amigo, como o Tomas disse, vc ta liberando um range mto grande de portas, está colocando seu servidor em risco.

Procure restringir usando endereço de destino, vai ser mais trabalhoso de começo mas vale a pena evitar a dor de cabeça.

@fabianopolone:

Eu consegui liberando as portas abaixo para os PCs que precisam de acesso ao SKYPE FOR BUSINESS

67/68
DHCP
443
TCP (TLS)
443
TCP (PSOM/TLS)
443
TCP (STUN/MSTURN)
3478
UDP (STUN/MSTURN)
5061
TCP (MTLS)
6891-6901
TCP
1024-65535 *
TCP/UDP
1024-65535 *
TCP/UDP
1024-65535 *
TCP
1024-65535 *
TCP

playerum

@Tomas:

Eu uso essas regras, as redes são da MS e Skype.

Alias do tipo Network:

13.64.0.0/11
23.96.0.0/13
40.64.0.0/13
40.112.0.0/13
52.160.0.0/11
64.4.0.0/18
65.52.0.0/14
91.190.216.0/24
91.190.218.0/24
91.190.220.0/24
104.40.0.0/13
104.208.0.0/13
111.221.64.0/18
131.253.12.0/22
134.170.0.0/16
137.116.0.0/16
137.135.0.0/16
138.91.0.0/16
157.55.0.0/16

Alias do tipo Hosts:

a-cc-usea2-01.cc.skype.com
a.config.skype.com
a-conv-usea2-01.conv.skype.com
api.aps.skype.com
api.asm.skype.com
api.cc.skype.com
api.mcr.skype.com
api.skype.com
apps.skype.com
avatar.skype.com
b.config.skype.com
blu402-m.hotmail.com
c1.skype.com
clientlogin.cdn.skype.com
co4-s.gateway.messenger.live.com
config.edge.skype.com
consumer.entitlement.skype.com
contacts.skype.com
download.skype.com
edge.skype.com
etag-rr.prod.registrar.skype.com
eus1-api.asm.skype.com
get.skype.com
c1.skype.com
conn.skype.com
login.live.com
secure.skypeassets.com
login.live.com
login.skype.com
m.hotmail.com
msg.skype.com
nus1-api.asm.skype.com
nus1-urlp.secure.skypeassets.com
pipe.skype.com
registrar-rr.prod.registrar.skype.com
secure.skypeassets.com
skype-m.hotmail.com
snt405-m.hotmail.com
static-asm.secure.skypeassets.com
static.skypeassets.com
uic.login.skype.com
ui.skype.com
urlp.asm.skype.com
web.skype.com

Faça duas regras e libera TCP/UDP para esses destinos, veja se te ajuda.

Obs: eu mesmo fui capturando as redes e hosts, pode ser que tenha mudado, seria interessante fazer outra analise.

Essa configuração parece ter resolvido para mim!
Vou fazer mais alguns testes…

loquitoslack

Estimados esto me funciona a mi:

Listado de IPS PUBLICAS

131.253.61.100
131.253.61.64
131.253.61.98
172.217.0.238
172.217.11.142
172.217.8.110
104.71.241.62
72.21.81.200
23.2.58.101
179.6.253.64
179.6.253.41
65.55.223.32
64.4.23.167
64.4.23.154
40.117.100.83
157.56.52.34
157.55.56.155
157.55.130.168
157.55.130.141
111.221.77.168
72.21.81.200
91.190.218.40
91.190.216.17
77.152.81.64
69.143.0.52
65.55.223.48
65.55.223.24
65.55.223.23
65.55.223.21
64.4.23.154
64.4.23.148
46.146.13.158
23.2.59.178
187.148.59.231
178.78.144.254
172.217.8.106
157.56.52.39
157.55.56.148
157.55.130.149
111.221.77.172
91.190.218.126
91.190.218.125
91.190.217.50
91.190.216.126
91.190.216.125
91.105.48.232
81.202.197.100
79.219.224.24
65.55.252.167
65.55.223.22
65.55.223.19
65.54.247.101
65.54.247.100
64.4.23.154
182.55.214.109
177.183.51.212
157.56.198.39
40.122.162.208
52.176.164.254
65.52.108.74
91.190.219.44
91.190.219.41
91.190.219.46
52.176.160.197
52.176.161.77
52.176.165.73

Listado de paginas

91.190.216.17
crl.microsoft.com
gateway.messenger.live.com
live.com
microsofttranslator.com
mobile.pipe.aria.microsoft.com
skype.com
skype.com auth.gfx.ms
s-microsoft.com
static-asm.secure.skypeassets.com
storage.live.com
storage.msn.com
trouter.io
vo.msecnd.net

andrezaomac

Outro detalhe que já tive,
é quando vc possui Squid, as vezes quem bloqueia a conexão do Skype é o Squid e por mais que vc libere nas regras do Firewall não vai
adiantar, tem que liberar os host/network no Squid!!!!

Particularmente eu sempre criou uma Target Categorias no Squidguard somente para o skype e adiciono os IP e URLS.
E guando o cliente fala que posso librar o Skype para todos, eu já adiciono direto nas ACLs do Squid.

SEMPRE funcionou! fica a dica.

fabianopolone

amigos, tentei pelo metodo que vocês me disseram e não funcionou. sinceramente não sei como proceder.

se alguem tiver uma luz por favor me diga

marcelloc

Importa os dois aliases sugeridos no post e monitora o acesso da máquina pra ver se tem rede nova a ser incluída no alias.

fabianopolone

Importa os dois aliases sugeridos no post e monitora o acesso da máquina pra ver se tem rede nova a ser incluída no alias.

importei e criei duas regras liberando tudo para esses aliases, não funcionou, como saber quais conexões que passa para minha maquina são do skype? tentei pelo tcpdump porem encontro muitas conexões não sei como saber quais são do skype.

Muito estranho porque quando formato e configuro o pfsense do nada em uma maquina, tanto o skype e o outlook funcionam normal, porem quando vou em outro pc seto o ip que esta no mesmo grupo do squidguard e não funciona ou só funciona o skype ou só o outlook ou nenhum em outras maquinas, interessante que eles estão no mesmo grupo no squidguard.

Complicado, faz decadas que estou com esse problema e nunca consigo uma solução :(

obrigado

andrezaomac

@fabianopolone:

Importa os dois aliases sugeridos no post e monitora o acesso da máquina pra ver se tem rede nova a ser incluída no alias.

importei e criei duas regras liberando tudo para esses aliases, não funcionou, como saber quais conexões que passa para minha maquina são do skype? tentei pelo tcpdump porem encontro muitas conexões não sei como saber quais são do skype.

Muito estranho porque quando formato e configuro o pfsense do nada em uma maquina, tanto o skype e o outlook funcionam normal, porem quando vou em outro pc seto o ip que esta no mesmo grupo do squidguard e não funciona ou só funciona o skype ou só o outlook ou nenhum em outras maquinas, interessante que eles estão no mesmo grupo no squidguard.

Complicado, faz decadas que estou com esse problema e nunca consigo uma solução :(

obrigado

Qual é a versão do seu Skype??

marcelloc

@fabianopolone:

como saber quais conexões que passa para minha maquina são do skype?

Restringe o tcpdump ao ip da maquina que está testando e deixa só o skype aberto.

fabianopolone

Restringe o tcpdump ao ip da maquina que está testando e deixa só o skype aberto.

Faço isso porem quando coloco -> tcpdump -i vr0 src 10.106.15.1 aparece trocentas conexões mesmo eu não fazendo nada no pc

não faço idéia.

alguma sugestão?

Aguardo e obrigado

fabianopolone

Qual é a versão do seu Skype??

Uso o Skype for Bussines

Aguardo e obrigado

lotus

fabianopolone, você usa filtro de conteúdo? o servidor do skype esta passando pelo domínio live.com. Caso seu filtro de conteúdo esteja ativo, veja se esse domínio esta liberado.
Alem da porta 443/TCP, você só precisa liberar 3478-3481/UDP, 49152-65535 TCP/UDP.

Veja ai e depois informa aqui pra gente.

fabianopolone

Se você se refere ao proxy quando diz filtro de conteudo, sim ele esta ativado, e creio que ele esteja ativado sim pois nos logs do squidguard não aparece nada bloqueando para o IP.

Alem da porta 443/TCP, você só precisa liberar 3478-3481/UDP, 49152-65535 TCP/UDP.

Preciso mesmo liberar essa grande quantidade de portas?

exwalan

Pessoal passei aqui pra deixar uma dica referente ao skype, eu usei regras liberei portas criei varios aliases e nada o que resolveu na verdade foi a inclusão do dominio (live.com) na whitelist, eu uso por padrao as portas todas bloqueadas e também uso proxy autenticado local, nas opções do internet explorer eu deixei uma exeção do skype (*.local;skype) dessa forma aqui está funcionando.
Espero ter ajudado pois perdi 3 noites quebrando a cabeça.