Viber и прокси



  • Есть pfsense 2.1.5 с прозрачным прокси и закрытыми на NAT портами. По рекомендациям в интернете открыл порты (TCP: 5242, 4244 и UDP: 5243, 9785).
    Сам вайбер работает, но есть проблема с передачей файлов. При попытке что-то передать, вайбер начинает ломится напрямую по 443-му порту.
    Как можно решить эту проблему?



  • IP адреса, по которым ломится вайбер принадлежат амазону. Пока решил этот вопрос открыв доступ к 443-му порту на все диапазоны адресов амазона, но это не самый хороший вариант, как мне кажется.



  • А если UPnP вкл на pf и понаблюдать?

    Вы ведь и так открыли уже несколько портов :

    По рекомендациям в интернете открыл порты (TCP: 5242, 4244 и UDP: 5243, 9785).



  • А какой тогда смысл в прокси? Все специально сделано, чтобы кто попало не засирал канал. Включить UPnP и сразу торренты попрут и прочая шушера… Да и не нужен вайберу UPnP, он прямые соединения на 443-й порт открывает.



  • Тогда никак. Как сделали - пускай так и остается.

    От внешних и внутрен. угроз можно туже Suricata прикрутить и подучить ее немного.
    Только у вас пф староват.

    P.s. Пробуйте прикрутить мониторинг (ipcad + lightsquid etc), чтобы знать кто\что делал.



  • @grommir:

    По рекомендациям в интернете открыл порты (TCP: 5242, 4244 и UDP: 5243, 9785).

    Этим? Это нужно для корректной работы в локальной сети. Для прямого подключения.

    @grommir:

    Все специально сделано, чтобы кто попало не засирал канал. Включить UPnP и сразу торренты попрут и прочая шушера… Да и не нужен вайберу UPnP, он прямые "кривые" соединения на 443-й порт открывает.

    Торренты 443 порт обычно не используют. И c другой стороны. Так что вы не правильным сочли?



  • Этим? Это нужно для корректной работы в локальной сети. Для прямого подключения.

    Да. По этому KB. И не знаю, как на счет прямого подключения в локальной сети, но пока я эти порты не открыл вайбер работать не хотел.

    Торренты 443 порт обычно не используют. И c другой стороны. Так что вы не правильным сочли?

    Торренты может и не используют, зато используют всякого рода анонимайзеры. Чтобы зарезать их поставлен squid+squidguard и настроен WPAD, а прямой доступ через NAT на 80,443 порты закрыт.. Был. Все работало, но вот из-за вайбера пришлось в фаерволе открыть 443-й порт на весь амазон разом.



  •  в фаерволе открыть 443-й порт на весь амазон разом.
    

    Доброго дня! Напишите пожалуйста, на какой именно диапазон адресов открыли 443 порт. Уже только какие диапазоны ip адресов не пробовали всё равно не работает



  • Доброе.
    2 teuda
    Погодите. Но 443\TCP (HTTPS) - это же почти 3\4 Интернета на данный момент. И он у вас закрыт на fw ?



  • @werter:

    Доброе.
    2 teuda
    Погодите. Но 443\TCP (HTTPS) - это же почти 3\4 Интернета на данный момент. И он у вас закрыт на fw ?

    у меня народ сидит за nat в инете и через проксю



  • Вроде все заработало, но косяк если на клиенте на windows включена настройка сети через прокси в сетевом окружении, все, viber не рабоатет



  • @teuda:

     в фаерволе открыть 443-й порт на весь амазон разом.
    

    Доброго дня! Напишите пожалуйста, на какой именно диапазон адресов открыли 443 порт. Уже только какие диапазоны ip адресов не пробовали всё равно не работает

    Диапазон адресов брал из этого файла https://ip-ranges.amazonaws.com/ip-ranges.json



  • @grommir:

    @teuda:

     в фаерволе открыть 443-й порт на весь амазон разом.
    

    Доброго дня! Напишите пожалуйста, на какой именно диапазон адресов открыли 443 порт. Уже только какие диапазоны ip адресов не пробовали всё равно не работает

    Диапазон адресов брал из этого файла https://ip-ranges.amazonaws.com/ip-ranges.json

    Спасибо за ответ, тогда такой вопрос, на клиенте с ОС windows настройки прокси включены в ie?



  • Конечно включены. Но, как я уже писал выше, для того чтобы это нормально работало, необходимо прямыми руками настроитьWPAD, DNS, DHCP, WINS.



  • Ну очень хотят некоторые товарищи Viber…
    При использовании на клиентских машинах Viber+Proxifier авторизация на прокси не проходит. При этом у меня в настройках Squid реализовано два способа авторизации: LDAP+Kerberos и Basic с запросом имени и пароля. Proxifier игнорирует оба варианта, как следствие Viber не работает, пишет, мол, "так и нету интернету..."
    Поскольку сейчас pfSense находится в стадии внедрения, все порты открыты, проблема только с авторизацией. У меня уже складывается впечатление, что в непрозрачном режиме запустить Viber на pfSense в принципе невозможно. Где я не прав?



  • Доброго.

    При этом у меня в настройках Squid реализовано два способа авторизации: LDAP+Kerberos и Basic с запросом имени и пароля.

    Нагородили огород. Оставьте что-то одно и доведите до ума.



  • Как я уже писал выше, viber - довольно тупая программа, которая знать ничего не знает про прокси и знать не хочет. Без использования дополнительных средств типа проксифаера не получится заставить его нормально через прокси работать. С мобильными устройствами всё ещё хуже.



  • @werter:

    Доброго.

    При этом у меня в настройках Squid реализовано два способа авторизации: LDAP+Kerberos и Basic с запросом имени и пароля.

    Нагородили огород. Оставьте что-то одно и доведите до ума.

    Какой, простите, на фиг огород? Вам, похоже, не приходилось обслуживать большие организации, где кроме пользователей, жестко привязанных к домену, есть всякие разные "гости", желающие получить доступ к корпоративной сети, а заодно и к интернету весьма различными способами: начиная от своих ноутбуков и заканчивая смартфонами, подключаемыми по Wi-Fi. Всех включать в домен прикажете или всех же заставить вводить пароли до одурения???
    Вопрос в силе, очень хочется услышать КОМПЕТЕНТНОЕ мнение.



  • @grommir:

    Как я уже писал выше, viber - довольно тупая программа, которая знать ничего не знает про прокси и знать не хочет. Без использования дополнительных средств типа проксифаера не получится заставить его нормально через прокси работать. С мобильными устройствами всё ещё хуже.

    Еще раз: по умолчанию используется авторизация при помощи LDAP, являясь непрозрачным способом авторизации. Это означает, что proxifier вообще в данном случае ничем помочь не может - у него нет в настройках поддержки авторизации в домене. Для пользователей, не входящих в домен, дополнительно организован классический способ авторизации - имя+пароль. При прохождении своих тестов proxifier "видит" эти имя с паролем, однако Viber при этом уже работать отказывается - squid имя с паролем не получает.



  • Доброго.

    Порты открыты https://support.viber.com/customer/portal/articles/1506350-opening-ports-for-viber-desktop ?

    Всех включать в домен прикажете или всех же заставить вводить пароли до одурения

    Отдельная гостевая сеть для личных устройств (vlan \ физически)+ captive portal (можно и с freeradius)



  • @werter:

    Доброго.

    Порты открыты https://support.viber.com/customer/portal/articles/1506350-opening-ports-for-viber-desktop ?

    Всех включать в домен прикажете или всех же заставить вводить пароли до одурения

    Отдельная гостевая сеть для личных устройств (vlan \ физически)+ captive portal (можно и с freeradius)

    Порты, как я уже писал, сейчас вообще все открыты ;-). Проблема именно с авторизацией - в логах и веб-интерфейсе видно, что viber (ни самостоятельно, ни через proxifier) не подхватывает текущее учетное имя, назначенное через ldap.
    По поводу отдельной vlan… В данном случае слишком это накладно получится. "Личные" устройства и сейчас подключаются к интернету в отдельной сети. В моем случае речь шла о десктопном viber, который (зачем-то и почему-то) нужен некоторым сотрудникам на рабочих компьютерах. Есть всякие экспортные и прочие отделы... 
    PS. К слову, на моем рабочем Mac'е есть примерно та же проблема: несмотря на наличие системных настроек прокси App Store отказывается подключаться к сети. При этом на работающем сейчас в прозрачном режиме Kerio этих проблем нет.





  • @werter:

    https://forum.pfsense.org/index.php?topic=139667.0

    Временно соорудил костыль для проблемной машины:

    acl AuthIP src 192.168.0.3
    http_access allow AuthIP

    поставив это правило перед основным:

    http_access deny !InetAccess

    InetAccess - группа в AD. Все заработало, буду дальше разбираться



  • Доброго.

    Так у сквида ж в веб-фейсе есть возможность пустить локальную машину в обход сквида. Адрес в Source IP для исключения вносите и всё.



  • @werter:

    Доброго.

    Так у сквида ж в веб-фейсе есть возможность пустить локальную машину в обход сквида. Адрес в Source IP для исключения вносите и всё.

    Я с этого начал. Вот только почему-то не подхватилось…



  • Доброе.
    Apply не нажали после внесения изменений.



  • @werter:

    Доброе.
    Apply не нажали после внесения изменений.

    Не, я конечно понимаю, что старость - не радость, но не до такой же степени ;-)

    PS. Добавление адреса в любом из форматов (192.168.x.y или 192/168.x.y/32) в Unrestricted IPs не приводит к должному результату. В то время как использование
    acl AuthIP src 192.168.x.y
    http_access allow AuthIP
    дает нужный эффект. Легко проверяется по логам, а заодно у меня есть хороший индикатор, в роли которого выступает icloud.com - непрозрачная авторизация приводит к ошибке подключения.  Может я не прав в первом варианте?



  • Доброе.

    Добавление адреса в любом из форматов (192.168.x.y или 192/168.x.y/32) в Unrestricted IPs не приводит к должному результату.

    Bypass proxy for this source IPs Вот туда заносятся. И Apply после.

    Вопрос в силе, очень хочется услышать КОМПЕТЕНТНОЕ мнение

    Ага.

    Вам, похоже, не приходилось обслуживать большие организации

    Люблю эту ссылку  ;) https://ru.wikipedia.org/wiki/Эффект_Даннинга_—_Крюгера



  • @werter:

    Доброе.
    @MaximKa_Che:

    Добавление адреса в любом из форматов (192.168.x.y или 192/168.x.y/32) в Unrestricted IPs не приводит к должному результату.

    Bypass proxy for this source IPs Вот туда заносятся. И Apply после.

    Ну да, конечно: по-моему, мы начинали беседу с того, что у меня используется НЕ транспарентный вариант :). Как следствие, этот пункт по определению недоступен.

    @werter:

    @MaximKa_Che:

    Вопрос в силе, очень хочется услышать КОМПЕТЕНТНОЕ мнение

    Ага.

    Ну вот зачем заставлять меня вручную рисовать кучу тегов для того, что уличить некоторых? Ага? ;)

    @werter:

    Люблю эту ссылку  ;) https://ru.wikipedia.org/wiki/Эффект_Даннинга_—_Крюгера

    А что там насчет невнимательности и самоуверенности википедия ничего не пишет? ;)



  • перечитывал "проблему" топикстартера == так и не понял, в чем она?

    имею пользовать пф2.4.1 с прозрачным прокси + снорт = никаких трудностей с вайбером не испытываю. никаких специфичных портов не открывал.

    вайбер версии 6.5.5. для gentoo. собирал из исходников.

    на работе около 54 человек им пользуется и этой же версией я дома(через pf), так же дома мобильные клиенты для андроид у меня и моей супруги.



  • @Cyber100:

    перечитывал "проблему" топикстартера == так и не понял, в чем она?

    имею пользовать пф2.4.1 с прозрачным прокси + снорт = никаких трудностей с вайбером не испытываю. никаких специфичных портов не открывал.

    вайбер версии 6.5.5. для gentoo. собирал из исходников.

    на работе около 54 человек им пользуется и этой же версией я дома(через pf), так же дома мобильные клиенты для андроид у меня и моей супруги.

    Squid c ssl?
    У вас установлен squidguard?

    Напишите подробно, какая конфигурация. Тут последние две страницы борьба с https. Вы пришли, и заявляете, у меня все гуд. не вежливо  :o



  • Вайбер реально не возможно заставить работать через прокси, а как насчет WhatsApp или Telegram, кто знает?



  • В мобильной версии Телеграм иуть настройки прокси.
    Данные и хранилище->Прокси.


Log in to reply