Filtro ssl do squid3 broqueando skype….



  • Olá pessoal, por favor alguem me ajude.

    Estou usando o pfsense 2.2.6 amd64, com os pacotes do SQUID3 + SQUIDGUARD…
    Estou trabalhando com SQUID3 em modo transparente + FILTRO SSL habiitado, os broqueios eu realizei todos pelo o squidguard por ser bem mais pratico.

    Os broquei-os estão todos funcionando como eu quero!
    Tudo esta funcionado 98% perfeito, meu único problema e em relação ao SKype que nao consegue de jeito nenhum conectar.
    Eu já revirei o fórum todo, coloquei em pratica vários tutorias que eu vi, porém sem sucesso, já realizei as liberação dos hosts do Skype através de um alias
    já coloquei todas as redes do Skype no campo Bypass Proxy for These Destination IPs do SQUID3, e nada de funcionar, Já desativei o Squidguard achando que era ele que estava broqueando algum domínio do Skype, também sem sucesso.
    O Skype só consegue conectar quando desativo o FILTRO SSL.

    Por favor alguém me ajude, não quero abrir  mão do FILTRO SSL, porque uso ele para broquear sites https, porque  são muitos sites e então não da pra ficar criando redes particulares de sites e ficar bloqueando  através de alias, então a forma mais pratica e através do filtro SSL.
    Como eu disse meu único problema e o SKype que não consegue conectar por causa do FILTRO SSL.

    Por favor alguém me Ajude.  :'( :'( :'(



  • Depois que cadastrou as faixas de ips, o que aparece no log do squid? já tentou monitorar o access.log e o cache.log durante a tentativa de conexão?

    Já cogitou a possibilidade de usar a versão web do skype para manter compatibilidade com solução de interceptação de ssl?



  • Olá Macelloc
    Já verifiquei os logues sim, todos os ip liberados estão passando normal sem nenhum problema!
    Mais o skype nao conecta!

    Pra vc ter uma ideia, eu libero o host da maquina pra nao passar pelo squid..
    Depois eu  conecto no meu Skype e mando msg normal.
    Ai depois eu vou la novamente e coloco o Hots pra passar novamento pelo squid….
    Até ai tudo bem mesmo colocando o host pra passar pelo proxy novamente o Skype continua funcionando tudo normal.
    Mais quando eu reinicio pfsense, ai não conecta mais!
    Ai então eu tenho q repetir todo o processo acima para funcionar novamente, só não posso reiniciar o pfsense e deslogar da conta do skype!
    Que tudo continua funcionando!



  • Do que lembro nos posts aqui do forum, o problema maior era quando se usava contas microsoft pra logar nele.

    Vai obsersar os erros nos logs das conexões SSL que passam pelo squid que não são HTTP, como o caso do skype, ultrasurf, etc.



  • Marcelloc

    Consegui resolver o problema aqui…
    Até o momento ta tudo funcionando ok...
    A lista q o pessoal disponibilizou aqui tava imcompleta, descobrir novas redes do skype
    e reformulei minhas regras.

    Caso venha surgir novos problemas com relação a isso, eu volto reabrir o tópico.

    Desde de Já muito obrigado pela colaboração!



  • Cola aqui a faixa de redes que cadastrou. Dessa forma você ajuda quem pesquisar sobre o mesmo problema.



  • A lista que o pessoal disponibilizou aqui, tinha muitas redes repetidas, portando não tinha muita eficacia
    então filtrei novas redes e consegui pegar mais um monte de redes que não tinha. Agora a lista esta top sem nenhuma rede repetida!

    Segue a lista de Redes do Skype
    Criei um alias com esta listas de Ip

    85.64.136.0/24;
    187.170.24.0/24;
    78.134.9.0/24;
    213.199.179.0/24;
    65.55.64.0/24;
    65.55.71.0/24;
    149.13.32.0/24;
    65.54.165.0/24;
    64.94.18.0/24;
    212.161.8.0/24;
    78.141.177.0/24;
    193.95.154.0/24;
    71.58.242.0/24;
    71.92.79.0/24;
    76.89.177.0/24;
    204.9.163.0/24;
    212.187.172.0/24;
    193.120.199.0/24;
    184.25.203.0/24;
    84.250.183.0/24;
    66.171.55.0/24;
    78.141.179.0/24;
    184.25.201.0/24;
    65.54.187.0/24;
    199.7.71.0/24;
    184.30.37.0/24;
    65.54.186.0/24;
    79.86.239.0/24;
    212.8.166.0/24;
    65.55.158.0/24;
    157.56.149.0/24;
    189.86.41.0/24;
    239.255.255.0/24;
    64.4.0.0/18;
    65.52.0.0/14;
    91.190.218.0/24;
    91.190.216.0/24;
    111.221.64.0/18;
    134.170.0.0/16;
    137.116.0.0/16;
    157.54.0.0/15;
    157.56.0.0/14;
    157.60.0.0/16;
    191.238.101.0/24;
    191.238.33.0/24;
    213.199.160.0/18;
    111.221.74.0/24;
    111.221.77.0/24;
    157.55.130.0/24;
    157.55.235.0/24;
    157.55.56.0/24;
    157.56.52.0/24;
    213.199.179.0/24; 
    64.4.23.0/24;
    65.55.223.0/24;
    157.55.130.158; 
    40.117.100.83;
    191.237.169.142;
    104.210.9.95;
    157.56.141.114;
    65.52.108.154;
    131.253.61.84; 
    104.209.188.76;
    157.56.114.104;
    40.113.152.30;
    184.28.59.106;
    104.105.211.104;
    40.76.27.97;
    23.101.156.198;
    137.116.33.169;
    104.43.226.117;
    40.114.13.30;
    104.209.189.145;
    91.190.218.52;
    65.52.108.74;
    65.54.225.167;
    31.13.85.4;
    23.41.196.134;
    23.99.194.215;
    93.184.215.200;
    104.47.164.217;
    131.253.61.80;
    65.55.44.109;
    40.117.145.132;
    23.44.177.208;
    91.190.216.77;
    64.4.23.151;
    91.190.217.52;
    65.54.225.168;
    91.190.217.143;
    31.13.85.36;
    65.52.108.11;
    204.79.197.200;
    138.91.61.77;
    65.55.246.20;
    137.116.195.37;
    131.253.14.213;
    23.101.158.111;
    23.101.115.193;
    23.102.59.27;
    187.52.187.161;
    146.57.35.39;
    128.211.192.122;
    137.135.50.194;
    23.101.184.206;
    65.55.50.189;
    216.58.222.109;
    216.58.222.110;
    200.235.128.138;
    186.228.51.73;
    186.228.51.40;
    132.245.13.210;
    65.55.85.12;
    65.55.65.172;
    23.101.196.141;
    216.58.222.99;
    204.79.197.208;
    65.55.206.154;
    131.253.61.98;
    23.42.246.90;
    98.139.21.169;
    216.115.98.240;
    37.252.246.4;
    75.126.4.242;
    65.52.108.29;
    
    

    E depois add esses HOSTS do Skype e da Microsoft no campo  "Bypass Proxy for These Destination Ips"

    157.55.130.158; 
    40.117.100.83;
    191.237.169.142;
    104.210.9.95;
    157.56.141.114;
    65.52.108.154;
    131.253.61.84; 
    104.209.188.76;
    157.56.114.104;
    40.113.152.30;
    184.28.59.106;
    104.105.211.104;
    40.76.27.97;
    23.101.156.198;
    137.116.33.169;
    104.43.226.117;
    40.114.13.30;
    104.209.189.145;
    91.190.218.52;
    65.52.108.74;
    65.54.225.167;
    31.13.85.4;
    23.41.196.134;
    23.99.194.215;
    93.184.215.200;
    104.47.164.217;
    131.253.61.80;
    65.55.44.109;
    40.117.145.132;
    23.44.177.208;
    91.190.216.77;
    64.4.23.151;
    91.190.217.52;
    65.54.225.168;
    91.190.217.143;
    31.13.85.36;
    65.52.108.11;
    204.79.197.200;
    138.91.61.77;
    65.55.246.20;
    137.116.195.37;
    131.253.14.213;
    23.101.158.111;
    23.101.115.193;
    23.102.59.27;
    187.52.187.161;
    146.57.35.39;
    128.211.192.122;
    137.135.50.194;
    23.101.184.206;
    65.55.50.189;
    216.58.222.109;
    216.58.222.110;
    200.235.128.138;
    186.228.51.73;
    186.228.51.40;
    132.245.13.210;
    65.55.85.12;
    65.55.65.172;
    23.101.196.141;
    216.58.222.99;
    204.79.197.208;
    65.55.206.154;
    131.253.61.98;
    23.42.246.90;
    98.139.21.169;
    216.115.98.240;
    37.252.246.4;
    75.126.4.242;
    65.52.108.29;
    
    

    Foi o único método que funcionou para min!



  • Gydeon, você validou essas redes?
    Tenho interesse em usar, mas muitas listas que já vi tem muito endereço de outras redes além de MS e Skype.



  • Tomas Waldow

    Essas redes /24 eu peguei aqui no fórum, e removi todas as redes repetidas e add novas redes que eu encontrei.
    As redes  que coloquei no campo " Bypass Proxy for These Destination Ips " foram filtradas durante as tentativas de conexão do Skype, que pertecem ao SKYPE, MICROSOFT, YAHOO. Portanto essas foram sim validadas! E está totalmente funcional aqui na empresa!



  • Após alguns dias funcionando, o problema com filtro voltou, não fiz nenhuma alteração no pfsense, que viesse comprometer o funcionamento do Skype, porem o mesmo parou de funcionar. So peço se alguém souber resolver este problema, peço gentilmente que me ajude. não tenho mais cabeça pra pensar em uma solução quanto a isso!



  • Amigos, estou com o mesmo problema… Estou homologando o pfsense para colocar na rede da empresa, porém me deparei com esse problema do skype.
    Sou novo usuario do pfsense, estou lendo muito no fórum mas não consigo fazer funcionar o acesso ao Skype.
    Pelo que entendi, esses IP adicionei no squid3 BYpass proxy for these destination IPs, mas mesmo assim não conecta.

    o que posso fazer?

    obrigado.



  • Amigão, estou testando aqui de todas as formas possíveis  para tentar resolver este problema.
    Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
    Mais já estou trabalhado aqui, pra tentar descobrir!
    Assim que eu resolver este problema, eu posto aqui no fórum a solução!



  • Uma alternativa é forçar o uso de proxy no skype, talvez ele mude o protocolo da conversa para HTTP(s) ou pelo menos seja possivel criar uma regra de bypass do ssl para os dominios que ele pedir pra conectar. Se ainda sim o aplicativo continuar pedindo conexões direto para uma variedade de ips, como vemos hoje, aí não vejo uma luz no fim do túnel.

    http://community.skype.com/t5/Windows-archive/Skype-Check-Point-firewalls-and-HTTPS-inspection/td-p/574409

    "…So the short answer is that Skype's network protocols need an update so they can detect when they're in this sort of situation and find another way to connect..."



  • Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:

    dsn16.dsn.skype.net;
    dsn0.d.skype.net;
    apps.skypeassets.com;
    pipe.skype.com;
    a.config.skype.com;
    api.trap.skype.net;
    prod.registrar.skype.com;
    wer.microsoft.com;
    watson.microsoft.com

    espero ter ajudado



  • @kamura:

    Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:

    dsn16.dsn.skype.net;
    dsn0.d.skype.net;
    apps.skypeassets.com;
    pipe.skype.com;
    a.config.skype.com;
    api.trap.skype.net;
    prod.registrar.skype.com;
    wer.microsoft.com;
    watson.microsoft.com

    espero ter ajudado

    Help me, where did I go wrong?
    my config:
    1. 2.2.4-RELEASE  (amd64)
    2. squid3 0.4.7 (not transparent, SSL Man In the Middle Filtering - not used)
    3. squidGuard 1.9.18
    –---------------------
    The initial problem was to release a Skype through a proxy, so they need someone:

    dsn0.skype.net dsn1.d.skype.net dsn2.d.skype.net dsn3.d.skype.net dsn4.d.skype.net dsn5.d.skype.net dsn6.d.skype.net dsn7.d.skype.net dsn8.d.skype.net dsn9.d.skype.net dsn10.d.skype.net dsn13.d.skype.net dsn14.d.skype.net dsn15.d.skype.net dsn16.d.skype.net apps.skypeassets.com pipe.skype.com a.config.skype.com b.config.skype.com api.trap.skype.net prod.registrar.skype.com wer.microsoft.com watson.microsoft.com api.asm.skype.com api.mcr.skype.com api.skype.com apps.skype.com auth.gfx.ms contacts.skype.com login.live.com login.skype.com prod.tpc.skype.com secure.skype.com skype.com static.skypeassets.com static-asm.secure.skypeassets.com static.asm.skype.com swx.cdn.skype.com dub.security.skype.net skype.net skype.co.uk skype.nl qik.com globalsign.com digisert.com

    I added them to the Whitelist squid. When off squidGuard proxy I began to miss skype hrough itself (if the client has point ip_proxy:port login:passw). when the squidGuard on - blocked.

    added squidguard in Target categories -> Domain List, too, that in the SQUID above domains -
    Skype has gone in, but can not send messages and check connection to Echo Test probably some kind of resource is not yet entered in the white list to passage Skype …



  • @Gydeon:

    Amigão, estou testando aqui de todas as formas possíveis  para tentar resolver este problema.
    Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
    Mais já estou trabalhado aqui, pra tentar descobrir!
    Assim que eu resolver este problema, eu posto aqui no fórum a solução!

    Amigo conseguiu alguma coisa ?

    abç



  • Boa noite,
    amigo funciono aqui

    CRIEI UMA REGRA

    LAN ADDRESS

    DESTINO PORTA 80 443

    para um aliases skype (ips)

    permitir

    testai

    https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables



  • @Douglas:

    Boa noite,
    amigo funciono aqui

    CRIEI UMA REGRA

    LAN ADDRESS

    DESTINO PORTA 80 443

    para um aliases skype (ips)

    permitir

    testai

    https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables

    Bom dia,

    Vou testar. Voce está usando proxy transparente com filtro SSL ativado ?

    Desde já agradeço…



  • Bom dia

    sim estou, ja configurei o pfsense para sincronizar os horarios em DHCP.



  • Boa Noite pessoal alguma novidade.. to apanhando aqui com skype.




Log in to reply