Netgate SG-1000 microFirewall

Author Topic: Как натить маркированные пакеты skype?  (Read 267 times)

0 Members and 1 Guest are viewing this topic.

Offline fordiego

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Добрый день
Я думаю не секрет что скайп перестал дружить с прокси-серверами после версии 7.16
Не давно вычитал https://habrahabr.ru/post/344852/
Хотелось бы такую же схему реализовать в pfsense 2.2.6

Суть того что хотелось бы:
1. помечаем пакеты skype в windows c помощью DSCP
2. далее в pfsense каким то образом натить эти пакеты (Firewall: NAT: Outbound)

Подскажите можно ли реализовать это? и если да то че куда нажимать?

Прошу прощение я не очень силен в терминологии, думаю смысл понятен.
Сейчас у меня скайп работает просто потому что я сделал правило Outbound в котором прописал все известные сети skype, это очень громоздко и не красиво.



Offline werter

  • Hero Member
  • *****
  • Posts: 5028
  • Karma: +239/-15
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #1 on: January 16, 2018, 09:05:53 am »
Добрый.
Прокси в каком режиме?

Quote
Хотелось бы такую же схему реализовать в pfsense 2.2.6
Есть ли возможность обновиться ? Уж оч. старая версия.

Offline fordiego

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #2 on: January 16, 2018, 09:21:14 am »
прокси squid 3.5.20, стоит на отдельно взятой машине. с авторизацией ntlm.
pfsense обновлять не хочу потому как
1. pptp vpn используется
2. установлен пакет nsd (это днс такой)

Offline fordiego

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #3 on: January 16, 2018, 09:23:33 am »
но если в новых версиях это реализовано конечно обновлюсь. разверну pptp начем-нибудь другом. а DNS провайдеру отдам (давно надо было там зону крутить а не у себя)

попробовал в mikrotik настроить... элементарно!
как в статье настроил DSCP в windows например для google chrome, дал DSCP=36
в микротике прописал action=masquerade chain=srcnat dscp=36 out-interface=ether1-wan

ВСЕ! все пакеты из всей локальной сети с меткой 36 натяца все остальные нет.
как это в pfsens сделать беспонятия
 
« Last Edit: January 16, 2018, 12:01:07 pm by fordiego »

Offline werter

  • Hero Member
  • *****
  • Posts: 5028
  • Karma: +239/-15
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #4 on: January 17, 2018, 07:57:32 am »
Доброго.
https://forum.pfsense.org/index.php?topic=105810.0 что-то есть по поводу маркировки.

Вы хотите skype мимо прокси пустить ? Разверните сквид на пфсенсе и на нем уже настроите acl для скайпа по аналогии с https://forum.pfsense.org/index.php?topic=140074

Цитата :

Quote
Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно (лучи добра тому, кто это придумал). А у нас настройки прокси из определения выше прилетают в IE через GPO. Короче, добавляем разрешающее правило для всех в сквид на сайты apps.skypeassets.com и mscrl.microsoft.com. В противном случае я ловил TCP_DENIED/407 и скайп не подключался. Ну где-то так:

#Options for Skype

 acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
 http_access allow for_skype

 не забудьте reload сквида

 Не вздумайте схитрить, обойтись изменением GPO настройки IE Не использовать прокси сервер с адресов, начинающихся с: для упомянутых адресов. Отвалится куча сервисов МС. и web skype в первую очередь.

 Снова идем тестить на жертве и получаем то, что требовалось. Скайп подключился, работает, можно писать и звонить. Ура, блин :)

Кстати, вы можете заметить, что есть варианты поиграть с правилами сквида, чтобы кое как пропустить хотя бы подключение к скайпу, но это не наш метод, в ключевой момент не состоявшийся звонок для нас критичен.

Offline fordiego

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #5 on: January 17, 2018, 10:07:41 am »
squid на pfsense не нужен. squid + ntlm + sarg + rejik  уже есть на отдельно взятой машине и прекрасно там работает

пролазив гугл на предмет темы, ничего не найдя, понял что pfsense не имеет необходимого функционала

>>>Фишка в том, что Skype смотрит в настройки IE. Отключить использование прокси в этом чудесном мессенджере невозможно
я не согласен с этим утверждением. по моим наблюдением в моей рабочей среде скайп игнорирует настройки прокси, не берет ни те что прописаны в IE ни если в самой программе прописать.  с версии выше 7.16 в нем сломали прокси. не работает как basic авторизация так и ntlm. Вы можете погуглить на эту тему. найдете много хэйта, причем MS вкурсе и проблему игнорят, вплоть до того что темы удаляют с форума самого скайпа.
мое ИМХО MS это сделало чтобы разделить сферы между сегментами рынка skype без прокси для частных лиц, skype for businnes со всеми плюшками для предприятий

>>>acl for_skype dstdomain apps.skypeassets.com mscrl.microsoft.com
>>>http_access allow for_skype
всего лишь выключает для acl for_skype dstdomain все остальные правила squid (смотря где в конфиге стоит конечно, этот acl надо ставит выше всех остальных)
ну пропустит squid подключение к  apps.skypeassets.com mscrl.microsoft.com .... дальше то что?
без правил outbound скайп все равно работать не будет....
и вот тут проблема! apps.skypeassets.com mscrl.microsoft.com далеко не все url по которым скайпу надо ходить, далеко не все...



поэтому мне и пришлось открывать наружу доступ ко всем известным сетям которые использует скайп. у меня вышло 130 сетей разных диапазонов

Offline werter

  • Hero Member
  • *****
  • Posts: 5028
  • Karma: +239/-15
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #6 on: January 18, 2018, 03:47:49 am »
Добрый.
У человека, решение к-го я процитировал выше все получилось и со скайпом и с windows update и с iCloud.
Причем без "любови" с маркировкой (напуркуа оно в этом случае ?) и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)

Перенести все на пф. Для логирования есть lightsquid. Мало ? Настроить связку squid + lightsquid + ipcad (на форуме есть мануал)
Для запретов\разрешений есть squidguard + списки от http://www.shallalist.de/
Цитата :

Quote
1. Закрываете возможность доступа по ip
2. Подгружаете блеклист www.shallalist.de/Downloads/shallalist.tar.gz
3. В блеклисе выбираете категории    [blk_BL_anonvpn]   denny

И оочень трудно найти не забаненый анонимайзер.


AD\NTLM также можно реализовать https://pf2ad.mundounix.com.br/en/index.html

Для блокирования\разрешения чего угодно еще есть pfBlocker.
https://vorkbaard.nl/protect-your-network-with-domain-filtering-on-pfsense-2-4-and-pfblockerng/
https://support.rbtechvt.com/Knowledgebase/Article/View/324/0/configuring-pfblocker-for-dns-and-ip-blacklisting
https://www.bfoliver.com/technology/2016/02/27/howtoblockadswithpfblocker/
https://www.linuxincluded.com/using-pfblockerng-on-pfsense/


Вы же идете по самому сложному пути, ИМХО, держа все по отдельности. Впрочем, "колхоз - дело добровольное".

Offline fordiego

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #7 on: January 18, 2018, 04:29:12 am »
Позвольте тоже остроумную поговорку: я вам про ивана - а вы мне про барана
мне не нужен squid на pfsense, он у меня уже есть. мне не нужен сквид в частности для скайпа так как скайп с прокси все равно не работает, хоть ты его на пфсенсе засунь хоть на марс, ну сколько писать уже об этом...

я согласен с вами о "и без прописывания 130 сетей для скайпа (завтра новые добавят\изменят адресацию и как ?)"
но другого пути чтоб выпустить скайп наружу нет. в самом деле не натить же всю локалку...
вы попробуйте завести скайп через прокси сами. и мы с вами вместе эту тему обсудим.

и "У человека, решение к-го я процитировал выше все получилось и со скайпом"
ни слова о скайпе в теме этого человека нет, ни в одном посту его тоже нет, с чего вы решили что у него все получилось?
Или я не там смотрю? приведите пост его темы где он добился работы скайпа через squid без открывания over 9000 ипишников MS напрямую

давайте напомним тему:
собственно топикстертер, тоесть я, хотел узнать есть ли возможность в pfsense обрабатывать входящий в него пакет с LAN-инт. с пометкой DSCP и натить его.
Как пример применения этого инструменты выступил злополучный скайп.
Примером может служить viber в котором настройки прокси сервера вообще отсутствуют (windows версия), и народ пускает его через прокси костылем в виде proxifier
Еще один пример dropbox который не поддерживает ntlm авторизации.
yandex.disk который тоже через squid ntlm не ходит
Наверно еще набереца всякого ПО но не будем об этом...
 




« Last Edit: January 18, 2018, 04:38:47 am by fordiego »

Offline werter

  • Hero Member
  • *****
  • Posts: 5028
  • Karma: +239/-15
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #8 on: January 18, 2018, 04:58:01 am »
Что и как у вас там на отдельн. сквиде настроено - себе дороже разбираться.

Ради чистоты эксперимента вы тестовый стенд поднимите с новым пф + сквид на нем + те acl для скайпа, к-ые я вам подкинул и попробуйте. На том же Виртбоксе у вас это ~30 мин времени отнимет. А после поговорим. Чего воду в ступе толочь ?
Может вас это и сподвигнет перенести все хоз-во на пф.

Скажу лишь, что вы единственный,  кто за ~8 лет моего знаком-ва с пф пытается вот таким кхм.. способом решить проблему со сквидом.

Или ищите др. решение для софт-роутера. Недавно тут человек на керио вот ушел (вроде).

Зы. Фраза pfsense dscp в известном поисковике возможно вам поможет.
« Last Edit: January 18, 2018, 05:02:52 am by werter »

Offline fordiego

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Как натить маркированные пакеты skype?
« Reply #9 on: January 18, 2018, 05:05:25 am »
хорошо, спасибо. проверю.