Problema Pfsense y Whatsapp

pozolero

Buen día a todos en el foro.
Tengo problema como muchos en el foro sobre el tema whatsapp. He buscado y leído mucho y las soluciones que han propuesto post en español y otros idiomas no me han funcionado.

Les platico mi configuración de pfsense y red:

Pfsense 2.4.4_p3

DHCP: IP asignadas por MAC Address, si no es así, no navegas, ni configurando manualmente una IP de mi segmento de red.

Firewall: Configurado para que todas las peticiones naveguen única y exclusivamente por puerto Squid (No hay forma de navegar si no es por Squid.

Squid: Configurado en modo no transparente con wpad para todos los equipos en la red

SquidGuard: Con 2 grupos el de jefes y el usuarios sin privilegios. Bloqueo de navegación por IP en lugar de dominio ( Esto por si algún listo, se quiere brincar el proxy utilizando la IP del sitio)

LAN: Tengo usuarios de laptop tanto por wifi como por cable, equipos de escritorio tanto por wifi como por cable, celulares iphone y android que se conectan diferentes AP distribuidos por los 2 edificios de la oficina.

El problema que se presenta es el siguiente: Los usuarios whatsapp de celular al momento de abrir la aplicación y enviar un mensaje, el mensaje tarda en enviarse, es como si whatsapp trata de conectarse a alguno de sus servidores. La conexión si se logra hacer después de 15-25 segundos aproximadamente, una vez hecho el enlace, los usuarios sin problema pueden enviar fotos, chatear si se van de corrido.
Si el usuario por algún motivo deja de chatear, y vuelve a iniciar una conversación, vuelve todo el proceso a repetirse. Es como si whatsapp entrara en modo suspensión de datos y se tiene que volver a conectar a sus servidores para enviar el mensaje.
Lo mismo pasa con las notificaciones, tardan en llegar porque está en proceso de conectarse.

Mi duda es: hay alguna forma de hacer un debug de IP, puertos extra que utiliza whatsapp? Para poder configurar adecuadamente pfsense?
Siento que hay algo que no deja que whatsapp se comunique rápidamente.

Tengo Alias de IP de whatsapp, tengo reglas de los puertos que utiliza whatsapp y que todo eso lo he encontrado buscando e investigando por todos lados. También tengo reglas de squidguard con los dominios que he logrado ver en los logs en tiempo real de squid y squidguard. He agregado los puertos que utiliza whatsapp en las reglas de squid como puertos confiables, etc... y sigue ese problemita.

El mismo tema con telegram, pero ese si de plano no tiene salida. no me preocupa porque no todos lo utilizan o conocen. pero también debo afinar ese tema en pfsense.

Muchas gracias por su atención y disculpen tanto texto.

pozolero

Ni una luz?

Finger

Sera que tienes instalado Pfbloquer o utro simil para bloquear el acceso a Facebook? de ser asi estas perdido, desde que facebook compro wazap se bloquean usan las mismas IPs para salir al mundo.

pozolero

@Finger No, no tengo instalado PfBlocker, lo tengo configurado: pfsense + squid no transparente + squidguard + wpad para autoconfiguracion del proxy en los equipos de la red...

fabo81

Tengo tu mismo problema, he estado haciendo un Alias como bien lo comentas, de todas las IP que voy cachando de whatsapp, sin embargo sigue pasando justo como explicas tu caso.

Tuve que optar por habilitar casi toda la conexión porque los usuarios que lo usan son una astilla en donde más te duele y no dejan de dar problemas.

Se me ocurre ir posteando las IP que hemos detectado como de whatsapp

pozolero

@fabo81 Me parece perfecto, comienzo subiendo mis ip y dominios capturados. En un momento, modifico esta respuesta para agregar la informacion. Saludos

sonerzin

Yo tengo estas reglas en el Squid con nombre Whatsapp_Telegram en Target categories.
Domain List:
whatsapp.com whatsapp.net c.whatsapp.net 149.154.167.51 149.154.167.92 149.154.167.91 149.154.175.100 149.154.175.50 91.108.56.0 91.108.4.0 67.198.55.0 149.154.175.54 104.143.250.211 149.154.175.57 149.154.164.0 149.154.172.0 149.154.164.250 91.108.56.109 91.108.56.180
URL List:
c.whatsapp.net/chat 149.154.167.91/api 149.154.167.51/api 149.154.175.100/api 149.154.175.50/api 149.154.164.250/api 91.108.56.109/api 91.108.56.180/api

y en los Groups ACL en WhiteList para quienes lo usan.

A mi así me va bien

fabo81

@sonerzin Excelente!, gracias por tu aporte....

Lo implementaré y ya les cuento como me va...

Saludos

fabo81

@sonerzin said in Problema Pfsense y Whatsapp:

c.whatsapp.net/chat 149.154.167.91/api 149.154.167.51/api 149.154.175.100/api 149.154.175.50/api 149.154.164.250/api 91.108.56.109/api 91.108.56.180/api

No me funcionó del todo, tuve que agregar otras ip también y lo curioso es que si lo pongo en el proxy no funciona, pero como regla de firewall si, aunque sigue con un poco de delay

mikeMTY

Hola, mismo problema, despues de buscar y revisar, llegue a la documentacion tecnica de whatsapp y especifica que no esta diseñado para trabajar con proxy, y que por lo tanto no tiene soporte para ese rubro...
""WhatsApp isn't designed to be used with proxy or VPN services, so we can't provide support for those configurations.""

https://faq.whatsapp.com/en/android/22014642/?lang=da

pozolero

@mikeMTY Por los dioses de la red!!!

pozolero

Comienzo proporcionando los rangos CIDR de whatsapp:

31.13.64.51/32 31.13.65.49/32 31.13.66.49/32 31.13.67.51/32 31.13.68.52/32 31.13.69.240/32 31.13.70.49/32 31.13.71.49/32 31.13.72.52/32 31.13.73.49/32 31.13.74.49/32 31.13.75.52/32 31.13.76.81/32 31.13.77.49/32 31.13.78.53/32 31.13.80.53/32 31.13.81.53/32 31.13.82.51/32 31.13.83.51/32 31.13.84.51/32 31.13.85.51/32 31.13.86.51/32 31.13.87.51/32 31.13.88.49/32 31.13.90.51/32 31.13.91.51/32 31.13.92.52/32 31.13.93.51/32 31.13.94.52/32 31.13.95.63/32 50.22.198.204/30 50.22.210.32/30 50.22.210.128/27 50.22.225.64/27 50.22.235.248/30 50.22.240.160/27 50.23.90.128/27 50.97.57.128/27 75.126.39.32/27 108.168.171.224/27 108.168.174.0/27 108.168.176.192/26 108.168.177.0/27 108.168.180.96/27 108.168.254.65/32 108.168.255.224/32 108.168.255.227/32 157.240.0.53/32 157.240.2.53/32 157.240.3.53/32 157.240.7.54/32 158.85.0.96/27 158.85.5.192/27 158.85.46.128/27 158.85.48.224/27 158.85.58.0/25 158.85.61.192/27 158.85.224.160/27 158.85.233.32/27 158.85.249.128/27 158.85.254.64/27 169.44.36.0/25 169.44.57.64/27 169.44.58.64/27 169.44.80.0/26 169.44.82.96/27 169.44.82.128/27 169.44.82.192/26 169.44.83.0/26 169.44.83.96/27 169.44.83.128/27 169.44.83.192/26 169.44.84.0/24 169.44.85.64/27 169.45.71.32/27 169.45.71.96/27 169.45.87.128/26 169.45.169.192/27 169.45.182.96/27 169.45.210.64/27 169.45.214.224/27 169.45.219.224/27 169.45.237.192/27 169.45.238.32/27 169.45.248.96/27 169.45.248.160/27 169.46.52.224/27 169.47.5.192/26 169.53.29.128/27 169.53.48.32/27 169.53.71.224/27 169.53.250.128/26 169.53.252.64/27 169.53.255.64/27 169.54.2.160/27 169.54.44.224/27 169.54.51.32/27 169.54.55.192/27 169.54.193.160/27 169.54.210.0/27 169.54.222.128/27 169.55.67.224/27 169.55.69.128/26 169.55.74.32/27 169.55.75.96/27 169.55.126.64/26 169.55.210.96/27 169.55.235.160/27 173.192.162.32/27 173.192.219.128/27 173.192.222.160/27 173.192.231.32/27 173.192.234.96/27 173.193.198.96/27 173.193.205.0/27 173.193.230.96/27 173.193.230.128/27 173.193.230.192/27 173.193.239.0/27 174.36.208.128/27 174.36.210.32/27 174.36.251.192/27 174.37.199.192/27 174.37.217.64/27 174.37.231.64/27 174.37.243.64/27 174.37.251.0/27 179.60.192.51/32 179.60.193.51/32 179.60.195.51/32 184.173.136.64/27 184.173.147.32/27 184.173.161.64/32 184.173.161.160/27 184.173.173.116/32 184.173.179.32/27 185.60.216.53/32 185.60.218.53/32 192.155.212.192/27 198.11.193.182/31 198.11.251.32/27 198.23.80.0/27 208.43.115.192/27 208.43.117.79/32 208.43.122.128/27 204.0.0.0/14 31.13.66.0/24 169.32.0.0/11 169.47.0.0/18 169.60.64.0/18 35.186.0.0/16 104.154.96.0/19

Rangos CIDR para Telegram

91.108.4.0/22 91.108.8.0/22 91.108.56.0/22 149.154.160.0/20 149.154.164.0/22 91.108.16.0/22 91.108.56.0/23 149.154.168.0/22 91.108.12.0/22 149.154.172.0/22 91.108.56.0/23 91.108.56.0/22 91.108.4.0/22 67.198.55.0/24 149.154.172.0/22 149.154.168.0/22 149.154.164.0/22 109.239.140.0/24

Y los puertos que tengo habilitados tanto en el firewall y en squid como puertos de whatsapp:

4244 5242 5228 5223 5222 3478 45395 35574

También agregué al squidguard como regla whitelist los siguientes dominios:

static.whatsapp.net
cdn.whatsapp.net
pps.whatsapp.net
mmg.whatsapp.net

Para el tema de Whatsapp habilité 2 alias uno para los puertos y otro para las ip's y configuré las reglas correspondientes en el firewall.

Para el tema de Telegram habilité 2 reglas una para el puerto 80 y otra para 443 usando las ip's proporcionadas arriba como un alias y al menos telegram se conecta de volada.

Con el tema del delay de whatsapp debe haber una forma de averigüar el porqué tarda para hacer la conexión. Una de mis teorías es verificar con wireshark hacia qué otro puerto intenta hacer la conexión o algo así, porque bloqueo no existe como tal.

Espero les sirva la información, saludos...

rickygm

@pozolero said in Problema Pfsense y Whatsapp:

@mikeMTY Por los dioses de la red!!!

pero esto lo tienes a nivel del firewall y a nivel de Squid+SquidGuard?

jammerluna

This post is deleted!

ruben1751

En caso de que alguien aun no logro resolver el inconveniente aquí dejo el enlace con la información facebook suministra para permitir el filtro por proxy

https://developers.facebook.com/docs/whatsapp/guides/network-requirements/?locale=es_ES