pfSense 2.4.4 Прокси и WhatsApp



  • Имеется pfSense squid+squidguard с непрозрачным прокси с аутентификацией пользователей по логину и паролю. Настроены доступы к сайтам.
    Обнаружилось что у whatsapp не загружается qr-код. По инструкциям в сети не получилось запустить.

    Можете помочь разобраться? Что нужно сделать чтобы сохранить аутентификацию и запустить этот клятый вацап



  • @AlexanderCh
    Добавить адреса серверов WA в исключения на сквиде (в Dst) пробовали?



  • Да, если я всё правильно понял под Dst. У меня в Squid Proxy Server, Во вкладке ACLs вбито следующее:

    В Unrestricted IPs
    31.13.69.240 31.13.70.49 31.13.71.49 31.13.73.49 31.13.74.49 31.13.76.81 31.13.77.49 50.22.75.192 50.22.93.192 50.22.198.204 50.22.210.32 50.22.210.128 50.22.225.64 50.22.235.248 50.22.240.160 50.23.90.128 50.97.57.128 75.126.39.32 108.168.174.0 108.168.176.192 108.168.177.0 108.168.180.96 108.168.254.65 108.168.255.224 108.168.255.227 158.85.0.96 158.85.5.192 158.85.46.128 158.85.48.224 158.85.58.0 158.85.61.192 158.85.224.160 158.85.233.32 158.85.249.128 158.85.249.224 158.85.254.64 169.53.29.128 169.53.250.128 169.54.2.160 69.54.210.0 169.54.222.128 173.192.162.32 173.192.219.128 173.192.222.160 173.192.231.32 173.193.205.0 173.193.230.96 173.193.230.128 173.193.230.192 173.193.239.0 174.36.208.128 174.36.210.32 174.36.251.192 174.37.199.192 174.37.217.64 174.37.231.64 174.37.243.64 174.37.251.0 184.173.73.176 184.173.136.64 184.173.147.32 184.173.161.64 184.173.161.160 184.173.173.116 184.173.179.32 184.173.195.32 184.173.201.32 184.173.204.32 192.155.212.192 198.11.193.182 198.11.212.0 198.11.217.192 198.11.251.32 198.23.80.0 198.23.86.224 198.23.87.64 208.43.115.192 208.43.117.79 208.43.117.136 208.43.122.128

    В Whitelist
    web.whatsapp.com/momentLocales/ru.3af36cab6c386c0b796d.js web.whatsapp.com/status.json mmg-fna.whatsapp.net/v/t62.7118-24/41269238_596198944550852_9113695003012578904_n.enc?oh=558a071cdec733f19b94ca248e52f37c&oe=d2bf7be0&auth=awsbxqp8tejyerzptviwku5wf4u7lkvqta7xoynovbirftvccmi_mcazktu&hash=ms1mzjwdj1mg2vpfn4h0s3rwpcwzlmd0xihfzxrsy28%3 mmg-fna.whatsapp.net/v/t62.7118-24/41269238_596198944550852_9113695003012578904_n.enc?oh=558a071cdec733f19b94ca248e52f37c&oe=d2bf7be0&auth=awsbxqp8tejyerzptviwku5wf4u7lkvqta7xoynovbirftvccmi_mcazktu&hash=ms1mzjwdj1mg2vpfn4h0s3rwpcwzlmd0xihfzxrsy28%3 web.whatsapp.com/serviceworker.js:1 fna.whatsapp.net web.whatsapp.com pps.whatsapp.net mmg.whatsapp.net

    В ACL SafePorts и ACL SSLPorts
    5222 443

    В Guard создана группа, с прописанными:
    Те же IP адреса и домены из списков выше в Domain List и URL List.

    Даже если эту группу не брать в расчёт, и в Common ACL оставить только Allow на доступ ко всему, QR код всё равно не прогружается

    Transparent HTTP Proxy Выключен
    HTTPS/SSL Interception Выключен



  • @AlexanderCh said in pfSense 2.4.4 Прокси и WhatsApp:

    В Unrestricted IPs

    Не то. Удаляйте.
    Там есть пункт "Bypass proxy for this destination ip" Вот туда и вносите. Но только не кучу ip, как у вас. Достаточно или целые подсети WA или имена хостов, к-ые он пользует.

    И whitelist неверный. Удаляйте.

    Гвард не правьте вообще на предмет WA. Откл. тот ACL.

    После правки Apply жать не забывайте. Иначе сквид конфиг не перечитывает.

    Зы. QR-код для десктоп-клиентов пользуется?



  • @werter said in pfSense 2.4.4 Прокси и WhatsApp:

    Там есть пункт "Bypass proxy for this destination ip" Вот туда и вносите. Но только не кучу ip, как у вас. Достаточно или целые подсети WA или имена хостов, к-ые он пользует.

    Спасибо, но эта строка неактивна, потому что не включен Transparent HTTP Proxy. Bypas можно использовать только с прозрачным прокси, в этом то и загвоздка. А у меня терминальная машина, определять и ограничивать пользователя по IP адресу не получится, у всех один ip.

    @werter said in pfSense 2.4.4 Прокси и WhatsApp:

    Зы. QR-код для десктоп-клиентов пользуется?

    Ну, для веб версии. Если вы про пк приложение, то нет оно не используется



  • @AlexanderCh

    Обычно на ТС установлено какое-то ПО, ради к-го и поднимался ТС. Зачем на терминальном сервере доступ в Сеть? Войдет 5-10-20-n пол-лей, каждый запустит Хром, вкл. в нем видео и сервер "лег" . Может оно того не стОит?

    В крайнем случае отказаться от сквида и работать в Сети по белому списку, создав алиас(ы).



  • @werter said in pfSense 2.4.4 Прокси и WhatsApp:

    @AlexanderCh
    Обычно на ТС установлено какое-то ПО, ради к-го и поднимался ТС. Зачем на терминальном сервере доступ в Сеть? Войдет 5-10-20-n пол-лей, каждый запустит Хром, вкл. в нем видео и сервер "лег" . Может оно того не стОит?
    В крайнем случае отказаться от сквида и работать в Сети по белому списку, создав алиас(ы).

    Да, определённое ПО с которым работают, и параллельно нужно заходить на определённые сайты. Вот в том то и дело, что мне 90% пользователей нужно выпускать только на эти определённые сайты (развлекательные ресурсы закрыты), а для остальных 10% более менее свободный интернет с закрытыми определёнными ресурсами. На ТС у меня на жёсткую прописана прокси в браузере, т.е. она автоматом прописывается всем и её нельзя поменять в настройках. Все выходят в интернет через прокси. Я его настроил так как мне было нужно, всё, кроме вацапа для 10% пользователей.



  • @AlexanderCh said in pfSense 2.4.4 Прокси и WhatsApp:

    а для остальных 10% более менее свободный интернет с закрытыми определёнными ресурсами

    Врядли так можно закрыть всякие онлайн кинотеатры, впн-сервисы и остальную "развлекуху" для "избранных".
    Оптимальным вариантом будет разрешение доступа только на определенные сайты, куда входит и WA. И это можно настроить простыми правилами fw.
    Зачем пол-лям доступ с ТС куда-то помимо белого списка (алиаса на fw), если у них "свой" интернет имеется на раб. местах? Они же как-то к ТС подключаются. Или это тонкие клиенты?
    Я бы подумал.



  • @werter said in pfSense 2.4.4 Прокси и WhatsApp:

    если у них "свой" интернет имеется на раб. местах?

    Нет, они работают только с терминального. На локальных компьютерах закрыт доступ в интернет, доступ только в локальную сеть, а с ТС уже в интернет. Кому то строго разграниченный, кому то слабо разграничен. Но все с авторизацией по логину и паролю

    @werter said in pfSense 2.4.4 Прокси и WhatsApp:

    всякие онлайн кинотеатры, впн-сервисы и остальную "развлекуху" для "избранных".

    Это я закрываю запретом на расширения файлов, и видео/музыка просто не загружаются

    Мешает всему этому только доступ в WA



  • @AlexanderCh said in pfSense 2.4.4 Прокси и WhatsApp:

    Это я закрываю запретом на расширения файлов, и видео/музыка просто не загружаются

    Попробуйте закрыть rezka.ag так



  • @AlexanderCh
    Здр

    https://forum.netgate.com/topic/117763/whatsapp-web-nao-gera-qrcode

    взгляните тут , мб поможет , это на португальском , но смысл ясен
    обратите внимание на последнее сообщение

    Если это не поможет , я бы рекомендовал

    с помощью tcpdump (да , простит меня Вертер) отловил бы все DNS запросы в момент загрузки QR кода и уже эти хосты/ FQDN вносил бы в ACL .

    17:15:37.777182 IP 192.168.1.96.12495 > 192.168.1.230.domain: 23902+ A? web.whatsapp.com. (34)
    17:15:37.887377 IP 192.168.1.230.domain > 192.168.1.96.12495: 23902 2/13/12 CNAME mmx-ds.cdn.whatsapp.net., A 185.60.216.53 (500)
    17:15:38.537462 IP 192.168.1.96.34074 > 192.168.1.230.domain: 55271+ A? pps.whatsapp.net. (34)
    17:15:38.649638 IP 192.168.1.230.domain > 192.168.1.96.34074: 55271 2/13/13 CNAME mmx-ds.cdn.whatsapp.net., A 185.60.216.53 (504)
    
    
    17:17:55.331541 IP 192.168.1.96.21576 > 192.168.1.230.domain: 30851+ A? web.whatsapp.com. (34)
    17:17:55.441558 IP 192.168.1.230.domain > 192.168.1.96.21576: 30851 2/13/12 CNAME mmx-ds.cdn.whatsapp.net., A 31.13.83.51 (500)
    17:17:57.959035 IP 192.168.1.96.2840 > 192.168.1.230.domain: 48434+ A? pps.whatsapp.net. (34)
    17:17:57.959438 IP 192.168.1.230.domain > 192.168.1.96.2840: 48434 2/13/13 CNAME mmx-ds.cdn.whatsapp.net., A 31.13.83.51 (504)
    

    так , навскидку,
    Вам нужны вот эти сети
    https://ipinfo.io/AS32934



  • @AlexanderCh "Это я закрываю запретом на расширения файлов, и видео/музыка просто не загружаются"
    Как Вы это делаете?



  • @modice said in pfSense 2.4.4 Прокси и WhatsApp:

    Как Вы это делаете?

    В Guard'e в Target categories создал группу video, там в Regular Expression прописал

    (..(3g2|3gp|3gp2|3gpp|3gpp2|asf|avi|bin|dat|f4v|flv|gtp|m4v|mov|mp4|mpeg|mpg|mts|swf|vob|wm|wmv))

    Создал вторую группу music, там прописал

    (..(aac|flac|m3u|m3u8|m4a|m4p|m4r|mp3|mp4|mpa|msv|ogg|wav|wm|wma))

    И включил эту группу под запретом у пользователей, в Groups ACL.

    По моему вопросу, я пока его отложил. Пока что я просто добавил вацап в исключения прокси в настройках браузера. Да, так он работает у всех, буду пробовать дальше когда будет побольше свободного времени. отпишусь здесь как что-нибудь попробую



  • @AlexanderCh почему тогда это не работает ? (./..(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu))



  • @modice said in pfSense 2.4.4 Прокси и WhatsApp:

    почему тогда это не работает ? (./..(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu))

    Не знаю, я эту информацию находил в сети, так же как и Вы наверное.
    Что как по мне странно, это зачем нужно "./" в начале, и расширение "wm.", "mp." не знаю.

    Попробуйте с тем что у меня, тоже не работает?



  • @AlexanderCh (.*\/.*\.(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu)) вот как выглядит моя, не сразу понял как вставить правильно



  • Добрый

    @modice

    Попробуйте
    (.*\.(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu)$)



  • @AlexanderCh
    Насчет Ватспапп. Попробовать создать white list в гварде:

    Вар.1 (.*whatsapp.com)
    (.*whatsapp\.com\/.*)

    Вар.2 (*.web.whatsapp.com)
    (.*\.web\.whatsapp\.com\/.*)



  • @werter said in pfSense 2.4.4 Прокси и WhatsApp:

    Добрый

    @modice

    Попробуйте
    (.*\.(asf|wm|wma|wmv|mp3|avi|mpg|swf|exe|mpeg|mp.|mpv|mp3|wm.|vpu)$)

    Предлагаю переместиться сюда . Ваше предложение не помогло. Как будто гуард вообще перестал реагировать на регулярки.





  • @AlexanderCh @modice

    auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
    auth_param negotiate children 1000
    auth_param negotiate keep_alive on
    
    # включаем авторизацию по паролю
    acl auth proxy_auth REQUIRED
    acl nonauth dstdomain "/etc/squid/nonauth.txt" #Список доменов, разрешенных до авторизации.
    http_access allow nonauth #разрешение всем 
    http_access deny !auth
    http_access allow auth
    

    список доменов прописываем в виде

    .whatsapp.com
    .whatsapp.net
    

Log in to reply