Как натить маркированные пакеты skype?



  • Добрый день
    Я думаю не секрет что скайп перестал дружить с прокси-серверами после версии 7.16
    Не давно вычитал https://habrahabr.ru/post/344852/
    Хотелось бы такую же схему реализовать в pfsense 2.2.6

    Суть того что хотелось бы:
    1. помечаем пакеты skype в windows c помощью DSCP
    2. далее в pfsense каким то образом натить эти пакеты (Firewall: NAT: Outbound)

    Подскажите можно ли реализовать это? и если да то че куда нажимать?

    Прошу прощение я не очень силен в терминологии, думаю смысл понятен.
    Сейчас у меня скайп работает просто потому что я сделал правило Outbound в котором прописал все известные сети skype, это очень громоздко и не красиво.



  • Добрый.
    Прокси в каком режиме?

    Хотелось бы такую же схему реализовать в pfsense 2.2.6

    Есть ли возможность обновиться ? Уж оч. старая версия.



  • прокси squid 3.5.20, стоит на отдельно взятой машине. с авторизацией ntlm.
    pfsense обновлять не хочу потому как
    1. pptp vpn используется
    2. установлен пакет nsd (это днс такой)



  • но если в новых версиях это реализовано конечно обновлюсь. разверну pptp начем-нибудь другом. а DNS провайдеру отдам (давно надо было там зону крутить а не у себя)

    попробовал в mikrotik настроить… элементарно!
    как в статье настроил DSCP в windows например для google chrome, дал DSCP=36
    в микротике прописал action=masquerade chain=srcnat dscp=36 out-interface=ether1-wan

    ВСЕ! все пакеты из всей локальной сети с меткой 36 натяца все остальные нет.
    как это в pfsens сделать беспонятия



  • Доброго.
    https://forum.pfsense.org/index.php?topic=105810.0 что-то есть по поводу маркировки.

    Вы хотите skype мимо прокси пустить ? Разверните сквид на пфсенсе и на нем уже настроите acl для скайпа по аналогии с https://forum.pfsense.org/index.php?topic=140074

    Цитата :

    Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно (лучи добра тому, кто это придумал). А у нас настройки прокси из определения выше прилетают в IE через GPO. Короче, добавляем разрешающее правило для всех в сквид на сайты apps.skypeassets.com и mscrl.microsoft.com. В противном случае я ловил TCP_DENIED/407 и скайп не подключался. Ну где-то так:

    #Options for Skype

    acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
    http_access allow for_skype

    не забудьте reload сквида

    Не вздумайте схитрить, обойтись изменением GPO настройки IE «Не использовать прокси сервер с адресов, начинающихся с:» для упомянутых адресов. Отвалится куча сервисов МС. и web skype в первую очередь.

    Снова идем тестить на жертве и получаем то, что требовалось. Скайп подключился, работает, можно писать и звонить. Ура, блин :)

    Кстати, вы можете заметить, что есть варианты поиграть с правилами сквида, чтобы кое как пропустить хотя бы подключение к скайпу, но это не наш метод, в ключевой момент не состоявшийся звонок для нас критичен.



  • squid на pfsense не нужен. squid + ntlm + sarg + rejik  уже есть на отдельно взятой машине и прекрасно там работает

    пролазив гугл на предмет темы, ничего не найдя, понял что pfsense не имеет необходимого функционала

    Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно
    я не согласен с этим утверждением. по моим наблюдением в моей рабочей среде скайп игнорирует настройки прокси, не берет ни те что прописаны в IE ни если в самой программе прописать.  с версии выше 7.16 в нем сломали прокси. не работает как basic авторизация так и ntlm. Вы можете погуглить на эту тему. найдете много хэйта, причем MS вкурсе и проблему игнорят, вплоть до того что темы удаляют с форума самого скайпа.
    мое ИМХО MS это сделало чтобы разделить сферы между сегментами рынка skype без прокси для частных лиц, skype for businnes со всеми плюшками для предприятий

    acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
    http_access allow for_skype
    всего лишь выключает для acl for_skype dstdomain все остальные правила squid (смотря где в конфиге стоит конечно, этот acl надо ставит выше всех остальных)
    ну пропустит squid подключение к  apps.skypeassets.com mscrl.microsoft.com …. дальше то что?
    без правил outbound скайп все равно работать не будет....
    и вот тут проблема! apps.skypeassets.com mscrl.microsoft.com далеко не все url по которым скайпу надо ходить, далеко не все...

    поэтому мне и пришлось открывать наружу доступ ко всем известным сетям которые использует скайп. у меня вышло 130 сетей разных диапазонов



  • Добрый.
    У человека, решение к-го я процитировал выше все получилось и со скайпом и с windows update и с iCloud.
    Причем без "любови" с маркировкой (напуркуа оно в этом случае ?) и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)

    Перенести все на пф. Для логирования есть lightsquid. Мало ? Настроить связку squid + lightsquid + ipcad (на форуме есть мануал)
    Для запретов\разрешений есть squidguard + списки от http://www.shallalist.de/
    Цитата :

    1. Закрываете возможность доступа по ip
    2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
    3. В блеклисе выбираете категории    [blk_BL_anonvpn]  denny

    И оочень трудно найти не забаненый анонимайзер.

    AD\NTLM также можно реализовать https://pf2ad.mundounix.com.br/en/index.html

    Для блокирования\разрешения чего угодно еще есть pfBlocker.
    https://vorkbaard.nl/protect-your-network-with-domain-filtering-on-pfsense-2-4-and-pfblockerng/
    https://support.rbtechvt.com/Knowledgebase/Article/View/324/0/configuring-pfblocker-for-dns-and-ip-blacklisting
    https://www.bfoliver.com/technology/2016/02/27/howtoblockadswithpfblocker/
    https://www.linuxincluded.com/using-pfblockerng-on-pfsense/

    Вы же идете по самому сложному пути, ИМХО, держа все по отдельности. Впрочем, "колхоз - дело добровольное".



  • Позвольте тоже остроумную поговорку: я вам про ивана - а вы мне про барана
    мне не нужен squid на pfsense, он у меня уже есть. мне не нужен сквид в частности для скайпа так как скайп с прокси все равно не работает, хоть ты его на пфсенсе засунь хоть на марс, ну сколько писать уже об этом…

    я согласен с вами о "и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)"
    но другого пути чтоб выпустить скайп наружу нет. в самом деле не натить же всю локалку...
    вы попробуйте завести скайп через прокси сами. и мы с вами вместе эту тему обсудим.

    и "У человека, решение к-го я процитировал выше все получилось и со скайпом"
    ни слова о скайпе в теме этого человека нет, ни в одном посту его тоже нет, с чего вы решили что у него все получилось?
    Или я не там смотрю? приведите пост его темы где он добился работы скайпа через squid без открывания over 9000 ипишников MS напрямую

    давайте напомним тему:
    собственно топикстертер, тоесть я, хотел узнать есть ли возможность в pfsense обрабатывать входящий в него пакет с LAN-инт. с пометкой DSCP и натить его.
    Как пример применения этого инструменты выступил злополучный скайп.
    Примером может служить viber в котором настройки прокси сервера вообще отсутствуют (windows версия), и народ пускает его через прокси костылем в виде proxifier
    Еще один пример dropbox который не поддерживает ntlm авторизации.
    yandex.disk который тоже через squid ntlm не ходит
    Наверно еще набереца всякого ПО но не будем об этом...



  • Что и как у вас там на отдельн. сквиде настроено - себе дороже разбираться.

    Ради чистоты эксперимента вы тестовый стенд поднимите с новым пф + сквид на нем + те acl для скайпа, к-ые я вам подкинул и попробуйте. На том же Виртбоксе у вас это ~30 мин времени отнимет. А после поговорим. Чего воду в ступе толочь ?
    Может вас это и сподвигнет перенести все хоз-во на пф.

    Скажу лишь, что вы единственный,  кто за ~8 лет моего знаком-ва с пф пытается вот таким кхм.. способом решить проблему со сквидом.

    Или ищите др. решение для софт-роутера. Недавно тут человек на керио вот ушел (вроде).

    Зы. Фраза pfsense dscp в известном поисковике возможно вам поможет.



  • хорошо, спасибо. проверю.




Log in to reply