Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Filtro ssl do squid3 broqueando skype….

    Scheduled Pinned Locked Moved Portuguese
    21 Posts 10 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Gydeon
      last edited by

      Olá pessoal, por favor alguem me ajude.

      Estou usando o pfsense 2.2.6 amd64, com os pacotes do SQUID3 + SQUIDGUARD…
      Estou trabalhando com SQUID3 em modo transparente + FILTRO SSL habiitado, os broqueios eu realizei todos pelo o squidguard por ser bem mais pratico.

      Os broquei-os estão todos funcionando como eu quero!
      Tudo esta funcionado 98% perfeito, meu único problema e em relação ao SKype que nao consegue de jeito nenhum conectar.
      Eu já revirei o fórum todo, coloquei em pratica vários tutorias que eu vi, porém sem sucesso, já realizei as liberação dos hosts do Skype através de um alias
      já coloquei todas as redes do Skype no campo Bypass Proxy for These Destination IPs do SQUID3, e nada de funcionar, Já desativei o Squidguard achando que era ele que estava broqueando algum domínio do Skype, também sem sucesso.
      O Skype só consegue conectar quando desativo o FILTRO SSL.

      Por favor alguém me ajude, não quero abrir  mão do FILTRO SSL, porque uso ele para broquear sites https, porque  são muitos sites e então não da pra ficar criando redes particulares de sites e ficar bloqueando  através de alias, então a forma mais pratica e através do filtro SSL.
      Como eu disse meu único problema e o SKype que não consegue conectar por causa do FILTRO SSL.

      Por favor alguém me Ajude.  :'( :'( :'(

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Depois que cadastrou as faixas de ips, o que aparece no log do squid? já tentou monitorar o access.log e o cache.log durante a tentativa de conexão?

        Já cogitou a possibilidade de usar a versão web do skype para manter compatibilidade com solução de interceptação de ssl?

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • G
          Gydeon
          last edited by

          Olá Macelloc
          Já verifiquei os logues sim, todos os ip liberados estão passando normal sem nenhum problema!
          Mais o skype nao conecta!

          Pra vc ter uma ideia, eu libero o host da maquina pra nao passar pelo squid..
          Depois eu  conecto no meu Skype e mando msg normal.
          Ai depois eu vou la novamente e coloco o Hots pra passar novamento pelo squid….
          Até ai tudo bem mesmo colocando o host pra passar pelo proxy novamente o Skype continua funcionando tudo normal.
          Mais quando eu reinicio pfsense, ai não conecta mais!
          Ai então eu tenho q repetir todo o processo acima para funcionar novamente, só não posso reiniciar o pfsense e deslogar da conta do skype!
          Que tudo continua funcionando!

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            Do que lembro nos posts aqui do forum, o problema maior era quando se usava contas microsoft pra logar nele.

            Vai obsersar os erros nos logs das conexões SSL que passam pelo squid que não são HTTP, como o caso do skype, ultrasurf, etc.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • G
              Gydeon
              last edited by

              Marcelloc

              Consegui resolver o problema aqui…
              Até o momento ta tudo funcionando ok...
              A lista q o pessoal disponibilizou aqui tava imcompleta, descobrir novas redes do skype
              e reformulei minhas regras.

              Caso venha surgir novos problemas com relação a isso, eu volto reabrir o tópico.

              Desde de Já muito obrigado pela colaboração!

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                Cola aqui a faixa de redes que cadastrou. Dessa forma você ajuda quem pesquisar sobre o mesmo problema.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • G
                  Gydeon
                  last edited by

                  A lista que o pessoal disponibilizou aqui, tinha muitas redes repetidas, portando não tinha muita eficacia
                  então filtrei novas redes e consegui pegar mais um monte de redes que não tinha. Agora a lista esta top sem nenhuma rede repetida!

                  Segue a lista de Redes do Skype
                  Criei um alias com esta listas de Ip

                  85.64.136.0/24;
                  187.170.24.0/24;
                  78.134.9.0/24;
                  213.199.179.0/24;
                  65.55.64.0/24;
                  65.55.71.0/24;
                  149.13.32.0/24;
                  65.54.165.0/24;
                  64.94.18.0/24;
                  212.161.8.0/24;
                  78.141.177.0/24;
                  193.95.154.0/24;
                  71.58.242.0/24;
                  71.92.79.0/24;
                  76.89.177.0/24;
                  204.9.163.0/24;
                  212.187.172.0/24;
                  193.120.199.0/24;
                  184.25.203.0/24;
                  84.250.183.0/24;
                  66.171.55.0/24;
                  78.141.179.0/24;
                  184.25.201.0/24;
                  65.54.187.0/24;
                  199.7.71.0/24;
                  184.30.37.0/24;
                  65.54.186.0/24;
                  79.86.239.0/24;
                  212.8.166.0/24;
                  65.55.158.0/24;
                  157.56.149.0/24;
                  189.86.41.0/24;
                  239.255.255.0/24;
                  64.4.0.0/18;
                  65.52.0.0/14;
                  91.190.218.0/24;
                  91.190.216.0/24;
                  111.221.64.0/18;
                  134.170.0.0/16;
                  137.116.0.0/16;
                  157.54.0.0/15;
                  157.56.0.0/14;
                  157.60.0.0/16;
                  191.238.101.0/24;
                  191.238.33.0/24;
                  213.199.160.0/18;
                  111.221.74.0/24;
                  111.221.77.0/24;
                  157.55.130.0/24;
                  157.55.235.0/24;
                  157.55.56.0/24;
                  157.56.52.0/24;
                  213.199.179.0/24; 
                  64.4.23.0/24;
                  65.55.223.0/24;
                  157.55.130.158; 
                  40.117.100.83;
                  191.237.169.142;
                  104.210.9.95;
                  157.56.141.114;
                  65.52.108.154;
                  131.253.61.84; 
                  104.209.188.76;
                  157.56.114.104;
                  40.113.152.30;
                  184.28.59.106;
                  104.105.211.104;
                  40.76.27.97;
                  23.101.156.198;
                  137.116.33.169;
                  104.43.226.117;
                  40.114.13.30;
                  104.209.189.145;
                  91.190.218.52;
                  65.52.108.74;
                  65.54.225.167;
                  31.13.85.4;
                  23.41.196.134;
                  23.99.194.215;
                  93.184.215.200;
                  104.47.164.217;
                  131.253.61.80;
                  65.55.44.109;
                  40.117.145.132;
                  23.44.177.208;
                  91.190.216.77;
                  64.4.23.151;
                  91.190.217.52;
                  65.54.225.168;
                  91.190.217.143;
                  31.13.85.36;
                  65.52.108.11;
                  204.79.197.200;
                  138.91.61.77;
                  65.55.246.20;
                  137.116.195.37;
                  131.253.14.213;
                  23.101.158.111;
                  23.101.115.193;
                  23.102.59.27;
                  187.52.187.161;
                  146.57.35.39;
                  128.211.192.122;
                  137.135.50.194;
                  23.101.184.206;
                  65.55.50.189;
                  216.58.222.109;
                  216.58.222.110;
                  200.235.128.138;
                  186.228.51.73;
                  186.228.51.40;
                  132.245.13.210;
                  65.55.85.12;
                  65.55.65.172;
                  23.101.196.141;
                  216.58.222.99;
                  204.79.197.208;
                  65.55.206.154;
                  131.253.61.98;
                  23.42.246.90;
                  98.139.21.169;
                  216.115.98.240;
                  37.252.246.4;
                  75.126.4.242;
                  65.52.108.29;
                  
                  

                  E depois add esses HOSTS do Skype e da Microsoft no campo  "Bypass Proxy for These Destination Ips"

                  157.55.130.158; 
                  40.117.100.83;
                  191.237.169.142;
                  104.210.9.95;
                  157.56.141.114;
                  65.52.108.154;
                  131.253.61.84; 
                  104.209.188.76;
                  157.56.114.104;
                  40.113.152.30;
                  184.28.59.106;
                  104.105.211.104;
                  40.76.27.97;
                  23.101.156.198;
                  137.116.33.169;
                  104.43.226.117;
                  40.114.13.30;
                  104.209.189.145;
                  91.190.218.52;
                  65.52.108.74;
                  65.54.225.167;
                  31.13.85.4;
                  23.41.196.134;
                  23.99.194.215;
                  93.184.215.200;
                  104.47.164.217;
                  131.253.61.80;
                  65.55.44.109;
                  40.117.145.132;
                  23.44.177.208;
                  91.190.216.77;
                  64.4.23.151;
                  91.190.217.52;
                  65.54.225.168;
                  91.190.217.143;
                  31.13.85.36;
                  65.52.108.11;
                  204.79.197.200;
                  138.91.61.77;
                  65.55.246.20;
                  137.116.195.37;
                  131.253.14.213;
                  23.101.158.111;
                  23.101.115.193;
                  23.102.59.27;
                  187.52.187.161;
                  146.57.35.39;
                  128.211.192.122;
                  137.135.50.194;
                  23.101.184.206;
                  65.55.50.189;
                  216.58.222.109;
                  216.58.222.110;
                  200.235.128.138;
                  186.228.51.73;
                  186.228.51.40;
                  132.245.13.210;
                  65.55.85.12;
                  65.55.65.172;
                  23.101.196.141;
                  216.58.222.99;
                  204.79.197.208;
                  65.55.206.154;
                  131.253.61.98;
                  23.42.246.90;
                  98.139.21.169;
                  216.115.98.240;
                  37.252.246.4;
                  75.126.4.242;
                  65.52.108.29;
                  
                  

                  Foi o único método que funcionou para min!

                  1 Reply Last reply Reply Quote 0
                  • T
                    tomaswaldow
                    last edited by

                    Gydeon, você validou essas redes?
                    Tenho interesse em usar, mas muitas listas que já vi tem muito endereço de outras redes além de MS e Skype.

                    Tomas @ 2W Consultoria

                    1 Reply Last reply Reply Quote 0
                    • G
                      Gydeon
                      last edited by

                      Tomas Waldow

                      Essas redes /24 eu peguei aqui no fórum, e removi todas as redes repetidas e add novas redes que eu encontrei.
                      As redes  que coloquei no campo " Bypass Proxy for These Destination Ips " foram filtradas durante as tentativas de conexão do Skype, que pertecem ao SKYPE, MICROSOFT, YAHOO. Portanto essas foram sim validadas! E está totalmente funcional aqui na empresa!

                      1 Reply Last reply Reply Quote 0
                      • G
                        Gydeon
                        last edited by

                        Após alguns dias funcionando, o problema com filtro voltou, não fiz nenhuma alteração no pfsense, que viesse comprometer o funcionamento do Skype, porem o mesmo parou de funcionar. So peço se alguém souber resolver este problema, peço gentilmente que me ajude. não tenho mais cabeça pra pensar em uma solução quanto a isso!

                        1 Reply Last reply Reply Quote 0
                        • R
                          rvidall
                          last edited by

                          Amigos, estou com o mesmo problema… Estou homologando o pfsense para colocar na rede da empresa, porém me deparei com esse problema do skype.
                          Sou novo usuario do pfsense, estou lendo muito no fórum mas não consigo fazer funcionar o acesso ao Skype.
                          Pelo que entendi, esses IP adicionei no squid3 BYpass proxy for these destination IPs, mas mesmo assim não conecta.

                          o que posso fazer?

                          obrigado.

                          1 Reply Last reply Reply Quote 0
                          • G
                            Gydeon
                            last edited by

                            Amigão, estou testando aqui de todas as formas possíveis  para tentar resolver este problema.
                            Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
                            Mais já estou trabalhado aqui, pra tentar descobrir!
                            Assim que eu resolver este problema, eu posto aqui no fórum a solução!

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              Uma alternativa é forçar o uso de proxy no skype, talvez ele mude o protocolo da conversa para HTTP(s) ou pelo menos seja possivel criar uma regra de bypass do ssl para os dominios que ele pedir pra conectar. Se ainda sim o aplicativo continuar pedindo conexões direto para uma variedade de ips, como vemos hoje, aí não vejo uma luz no fim do túnel.

                              http://community.skype.com/t5/Windows-archive/Skype-Check-Point-firewalls-and-HTTPS-inspection/td-p/574409

                              "…So the short answer is that Skype's network protocols need an update so they can detect when they're in this sort of situation and find another way to connect..."

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • K
                                kamura
                                last edited by

                                Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:

                                dsn16.dsn.skype.net;
                                dsn0.d.skype.net;
                                apps.skypeassets.com;
                                pipe.skype.com;
                                a.config.skype.com;
                                api.trap.skype.net;
                                prod.registrar.skype.com;
                                wer.microsoft.com;
                                watson.microsoft.com

                                espero ter ajudado

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dvv06
                                  last edited by

                                  @kamura:

                                  Olá, tive um problema similar. Consegui resolver o problema colocando esses endereço no Bypass Proxy for These Destination IPs:

                                  dsn16.dsn.skype.net;
                                  dsn0.d.skype.net;
                                  apps.skypeassets.com;
                                  pipe.skype.com;
                                  a.config.skype.com;
                                  api.trap.skype.net;
                                  prod.registrar.skype.com;
                                  wer.microsoft.com;
                                  watson.microsoft.com

                                  espero ter ajudado

                                  Help me, where did I go wrong?
                                  my config:
                                  1. 2.2.4-RELEASE  (amd64)
                                  2. squid3 0.4.7 (not transparent, SSL Man In the Middle Filtering - not used)
                                  3. squidGuard 1.9.18
                                  –---------------------
                                  The initial problem was to release a Skype through a proxy, so they need someone:

                                  dsn0.skype.net dsn1.d.skype.net dsn2.d.skype.net dsn3.d.skype.net dsn4.d.skype.net dsn5.d.skype.net dsn6.d.skype.net dsn7.d.skype.net dsn8.d.skype.net dsn9.d.skype.net dsn10.d.skype.net dsn13.d.skype.net dsn14.d.skype.net dsn15.d.skype.net dsn16.d.skype.net apps.skypeassets.com pipe.skype.com a.config.skype.com b.config.skype.com api.trap.skype.net prod.registrar.skype.com wer.microsoft.com watson.microsoft.com api.asm.skype.com api.mcr.skype.com api.skype.com apps.skype.com auth.gfx.ms contacts.skype.com login.live.com login.skype.com prod.tpc.skype.com secure.skype.com skype.com static.skypeassets.com static-asm.secure.skypeassets.com static.asm.skype.com swx.cdn.skype.com dub.security.skype.net skype.net skype.co.uk skype.nl qik.com globalsign.com digisert.com

                                  I added them to the Whitelist squid. When off squidGuard proxy I began to miss skype hrough itself (if the client has point ip_proxy:port login:passw). when the squidGuard on - blocked.

                                  added squidguard in Target categories -> Domain List, too, that in the SQUID above domains -
                                  Skype has gone in, but can not send messages and check connection to Echo Test probably some kind of resource is not yet entered in the white list to passage Skype …

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    jmalafaia
                                    last edited by

                                    @Gydeon:

                                    Amigão, estou testando aqui de todas as formas possíveis  para tentar resolver este problema.
                                    Antes estava tudo funcionando 100%, ai de repente parou de funcionar, só não sei o pq!
                                    Mais já estou trabalhado aqui, pra tentar descobrir!
                                    Assim que eu resolver este problema, eu posto aqui no fórum a solução!

                                    Amigo conseguiu alguma coisa ?

                                    abç

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      Douglas Araujo
                                      last edited by

                                      Boa noite,
                                      amigo funciono aqui

                                      CRIEI UMA REGRA

                                      LAN ADDRESS

                                      DESTINO PORTA 80 443

                                      para um aliases skype (ips)

                                      permitir

                                      testai

                                      https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables

                                      Network Administrator Linux and Windows

                                      1 Reply Last reply Reply Quote 0
                                      • J
                                        jmalafaia
                                        last edited by

                                        @Douglas:

                                        Boa noite,
                                        amigo funciono aqui

                                        CRIEI UMA REGRA

                                        LAN ADDRESS

                                        DESTINO PORTA 80 443

                                        para um aliases skype (ips)

                                        permitir

                                        testai

                                        https://www.vivaolinux.com.br/dica/Bloqueando-Skype-em-definitivo-no-IPtables

                                        Bom dia,

                                        Vou testar. Voce está usando proxy transparente com filtro SSL ativado ?

                                        Desde já agradeço…

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          Douglas Araujo
                                          last edited by

                                          Bom dia

                                          sim estou, ja configurei o pfsense para sincronizar os horarios em DHCP.

                                          Network Administrator Linux and Windows

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            alanbraw
                                            last edited by

                                            Boa Noite pessoal alguma novidade.. to apanhando aqui com skype.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.