The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Skype через Squid"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение [ Отслеживать ]

"Skype через Squid"  +1 +/
Сообщение от ipmanyak (ok) on 06-Окт-16, 15:18 
Что-то поменялось у Микрософт со скайпом или еще что. Недавно , а может в новых версиях скайпа и перестали проходить звонки абонентам. ECHO TEST не работает. Сама авторизация  в скайп проходит, контакты видны.  Версию скайпа пробовали последнюю и которая для бизнеса тоже. Если перезапустить скайп на той стороне, то там видят пропущенные звонки. Если выпускать напрямую через NAT, то само собой клиент работает, но надо через проксю.
Сталкивался кто-нибудь?
Для чистоты эксперимента создал аксели правила и поставил их выше других


#skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?:([0-9a-f:]+)?:([0-9a-f]+|0-9\.]+)?\])):443
acl Skype_UA browser ^skype
acl skypenet  dst "/etc/squid/skype_networks"
acl skypedom  dstdomain "/etc/squid/skype_domains"
acl localnet src 10.0.0.0/8
http_access allow CONNECT localnet numeric_IPS Skype_UA
http_access allow skypenet localnet
http_access allow skypedom localnet

в файлах прописал сети и домены скайпа, который нарыл в инете и добавлял еще, которые ловил по tcp/denied   в логе сквида

tail -f access.log | grep айпи

домены такие
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.blob.core.windows.net
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.streaming.mediaservices.windows.net
.keydelivery.mediaservices.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com


Сети приводить не буду, список большой.

После нажатия на эхотест в логе две строки
TCP_MISS/200 274 CONNECT 13.107.8.20:443 - DIRECT/13.107.8.20 -
TCP_MISS/200 274 CONNECT 13.107.8.20:443 - DIRECT/13.107.8.20 -

и всё, пока не слетит, после того как звонок слетел, есть другие записи.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Skype через Squid"  +/
Сообщение от ipmanyak (ok) on 07-Окт-16, 09:06 
добавил еще подсетей  40-вые, звонок стал проходить, но нет звука.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Skype через Squid"  +1 +/
Сообщение от Andrey Mitrofanov on 07-Окт-16, 09:26 
> добавил еще подсетей  40-вые, звонок стал проходить, но нет звука.

Продолжаем тренеровать гибкость позвоночника -- я пойду телеграмчик для rhel-а пособириаю.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Skype через Squid"  +/
Сообщение от ipmanyak (ok) on 07-Окт-16, 15:11 
>> добавил еще подсетей  40-вые, звонок стал проходить, но нет звука.
> Продолжаем тренеровать гибкость позвоночника -- я пойду телеграмчик для rhel-а пособириаю.

Дык стоить копать дальше иди скайп через сквид теперь не работает нормально?


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Skype через Squid"  +/
Сообщение от Exploit (ok) on 07-Окт-16, 16:34 
>>> добавил еще подсетей  40-вые, звонок стал проходить, но нет звука.
>> Продолжаем тренеровать гибкость позвоночника -- я пойду телеграмчик для rhel-а пособириаю.
> Дык стоить копать дальше иди скайп через сквид теперь не работает нормально?

Может, обновили протокол из-за того, что стали появляться самодельные клиенты для skype типа этого: https://geektimes.ru/post/280068/
Если ничего не придумаете, попробуйте накрайняк собрать 4-ый сквид. там добавили фичу, которая вам, возможно, пригодится:
on_unsupported_protocol directive to allow Non-HTTP bypass

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Skype через Squid"  +/
Сообщение от Аноним (??) on 07-Окт-16, 20:11 
> Может, обновили протокол из-за того, что стали появляться самодельные клиенты для skype

Все сторонние клиенты используют Web API, т.е. по сути обвязка над web-интерфейсом skype.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Skype через Squid"  +/
Сообщение от Ustinove email(ok) on 09-Окт-16, 16:09 
> добавил еще подсетей  40-вые, звонок стал проходить, но нет звука.

Можно файлик с сетями глянуть?
У себя добавил аналогичные строки. В логах скайпа сообщения при его запуске и подключении сменились с
TCP_DENIED/407 3968 CONNECT
на
TCP_MISS/503 0 CONNECT
но в корне не чего не поменялось. Звонки не проходят.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Skype через Squid"  +/
Сообщение от ipmanyak (ok) on 10-Окт-16, 13:17 
>> добавил еще подсетей  40-вые, звонок стал проходить, но нет звука.
> Можно файлик с сетями глянуть?
> У себя добавил аналогичные строки. В логах скайпа сообщения при его запуске
> и подключении сменились с
> TCP_DENIED/407 3968 CONNECT
> на
> TCP_MISS/503 0 CONNECT
> но в корне не чего не поменялось. Звонки не проходят.

Официально список поддоменов и сетей  в том числе IPV6 опубликован здесь в конце:

Set up your network for Skype Meeting Broadcast
https://support.office.com/en-us/article/Set-up-your-network...
Насколько инфа актуальна  - неизвестно, дата в ссылке нигде не указана.


цискарь на снифере смотрел айпи и определил такие:
40.79.44.14 - здесь звук!
13.69.9.172
13.79.37.63
13.93.51.249
13.93.52.25
13.93.125.188
13.107.8.20
104.44.200.157
104.44.200.158
104.44.200.184

сети предложил пропускать такие:
NetRange:       40.74.0.0 - 40.125.127.255
CIDR:           40.96.0.0/12, 40.74.0.0/15, 40.112.0.0/13, 40.76.0.0/14, 40.124.0.0/16, 40.120.0.0/14, 40.80.0.0/12, 40.125.0.0/17
NetName:        MSFT

----------------
Также он определил, что если занатить выход на только 40-вые подсети, то через прокси скайп с учетом ната на эти сети начинает звонить.

----------

весь список такой:
40.0.0.0/8
13.69.9.0/24
13.79.37.0/24
13.88.241.210/32
13.92.80.132/32
13.92.136.118/32
13.93.51.0/24
13.93.52.0/24
13.93.125.0/24
13.95.233.176/32
13.107.3.128/32
13.107.3.129/32
13.107.8.0/22
13.107.64.0/18
23.97.72.141/32
23.97.164.28/32
23.99.213.58/32
23.101.115.193/32
23.101.116.26/32
23.101.156.198/32
23.101.158.111/32
23.102.17.214/32
23.102.24.114/32
23.103.128.0/23
23.103.130.0/24
23.103.176.128/26
23.103.176.192/27
23.103.178.128/26
23.103.178.192/27
23.213.88.0/22
40.74.0.0/15
40.76.0.0/14
40.80.0.0/12
40.120.0.0/14
40.124.0.0/16
40.125.0.0/17
52.112.0.0/14
52.232.129.71/32
52.232.132.60/32
52.232.135.81/32
52.233.29.169/32
52.233.30.121/32
64.0.0.0/7
64.4.23.0/24
64.4.61.0/24
65.52.108.0/24
65.54.184.0/24
65.55.223.0/24
65.55.127.0/24
66.119.157.192/26
66.119.158.0/25
91.190.216.0/22
91.190.218.0/22
104.40.75.8/32
104.40.76.196/32
104.41.207.112/32
104.41.210.140/32
104.43.12.164/32
104.44.195.0/24
104.44.200.0/23
111.221.76.128/25
111.221.77.0/26
111.221.122.192/26
131.253.128.0/19
131.253.160.0/20
132.245.0.0/24
132.245.1.0/25
132.245.112.0/24
132.245.113.0/25
132.245.128.0/24
132.245.129.0/25
134.170.0.0/25
134.170.54.0/26
134.170.54.128/25
137.116.132.4/32
157.55.40.128/25
157.55.46.64/26
157.55.232.128/26
157.55.238.0/25
157.56.126.0/24
157.56.135.64/26
157.56.185.0/26
168.63.14.15/32
168.61.176.0/22
168.63.219.57/32
191.233.80.151/32
191.233.95.169/32
191.234.19.21/32
191.234.20.241/32
191.234.21.145/32
191.234.23.27/32
191.234.40.0/22
207.46.5.0/24
207.46.156.136/32
207.46.230.50/32
---------------
кое-что лишнее и пересекается, но пока влом причесывать, сделаю когда заработает.

домены такие:

.aka.ms
.micrisoft.com
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com

----------


скайп та еще зараза, несмотря, что указан прокси, тычется и мимо прокси. К тем, кто в  локалке звонки у скайпа проходят, несмотря на то, что указан прокси, лезет напрямую. Наружу видимо тоже лезет во все дырки куда может и с прокси и без.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Skype через Squid"  +/
Сообщение от ipmanyak (ok) on 12-Окт-16, 15:07 
Удалось запустить скайп через прокси с акселями на подсети и поддомены  и с одновременным  NAT на указанные подсети:

65.52.0.0/14
# Netrange 40.74.0.0 - 40.125.127.255
40.76.0.0/14
40.112.0.0/13
40.80.0.0/12
40.120.0.0/14
40.96.0.0/12
40.125.0.0/17
40.74.0.0/15
40.124.0.0/16
# Netrange 52.145.0.0 - 52.191.255.255
52.145.0.0/16
52.160.0.0/11
52.148.0.0/14
52.146.0.0/15
52.152.0.0/13
# NetRange: 64.0.0.0 - 64.3.255.255
64.0.0.0/14
# NetRange: 65.52.0.0 - 65.55.255.255
65.52.0.0/14
66.119.157.192/26
66.119.158.0/25
# Netrange 91.190.218.0 - 91.190.218.255 SKYPE-DU5
91.190.218.0/24
# Netrange: 104.40.0.0 - 104.47.255.255
104.40.0.0/13
# Netgange: 131.253.21.0 - 131.253.47.255
131.253.22.0/23
131.253.21.0/24
131.253.32.0/20
131.253.24.0/21

Скайп тычется во все дырки.

P.S.
Старые версии скайпа ходят на другие сети и работают через прокси. Старющая версия под Windows XP  - работает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Skype через Squid"  +/
Сообщение от Ustinove email(ok) on 12-Окт-16, 23:15 
> Удалось запустить скайп через прокси с акселями на подсети и поддомены  
> и с одновременным  NAT на указанные подсети:
> 65.52.0.0/14
> .......
> 131.253.24.0/21
> Скайп тычется во все дырки.
> P.S.
> Старые версии скайпа ходят на другие сети и работают через прокси. Старющая
> версия под Windows XP  - работает.

Если не трудно то можно по подробней:
Список подсетей необходимо добавлять в конфиге сквид, натить на сколько я понял необходимо в правилах iptables? Но как это сделать правильно может как то из файла можно подтянуть что бы кучу правил руками не набирать.
Автор поделись если можешь правилами сквида и iptables.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Skype через Squid"  +/
Сообщение от ipmanyak (ok) on 13-Окт-16, 10:07 
>[оверквотинг удален]
>> Скайп тычется во все дырки.
>> P.S.
>> Старые версии скайпа ходят на другие сети и работают через прокси. Старющая
>> версия под Windows XP  - работает.
> Если не трудно то можно по подробней:
> Список подсетей необходимо добавлять в конфиге сквид, натить на сколько я понял
> необходимо в правилах iptables? Но как это сделать правильно может как
> то из файла можно подтянуть что бы кучу правил руками не
> набирать.
> Автор поделись если можешь правилами сквида и iptables.

подсети, на который надо NAT-ить, я уже привел выше. У нас пограничный рутер циска и NAT включен там. На IPTABLES,видимо, надо задействовать NAT или Маскарад с привязкой к dst ip, что-то типа
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0


в сквиде, правила выше всех других
acl skypenet  dst "/etc/squid/skype_networks"
acl skypedom  dstdomain "/etc/squid/skype_domains"
acl localnet src 10.0.0.0/8
http_access allow skypenet localnet
http_access allow skypedom localnet

в файле "/etc/squid/skype_domains"

.aka.ms
.micrisoft.com
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com

попробуй пока без акселя
acl skypenet  dst "/etc/squid/skype_networks"
если не прокатит, то выложу  его сюда

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Skype через Squid"  +/
Сообщение от Ustinove email(ok) on 13-Окт-16, 15:51 
> попробуй пока без акселя
> acl skypenet  dst "/etc/squid/skype_networks"
> если не прокатит, то выложу  его сюда

Все добавил. но как то странно скайп перестал менять стату на "в сети"
Постоянно крутит значек подключения
я ведь не чего не напутал
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0

192.168.0.0/24 - локалка
65.52.0.0/14 -сети скайпа
eth0 -интерфейс на проксе который смотрит в мир.

Тот же список в сквид добавил правилами приведенными выше.
После добавления сетей в конфе сквида получаем такое состояние.
(может верхом как то можно выкинуть его- и через проксю не прогонять)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Skype через Squid"  +/
Сообщение от kolin (ok) on 28-Ноя-16, 14:19 
>[оверквотинг удален]
> сети"
> Постоянно крутит значек подключения
> я ведь не чего не напутал
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
> 192.168.0.0/24 - локалка
> 65.52.0.0/14 -сети скайпа
> eth0 -интерфейс на проксе который смотрит в мир.
> Тот же список в сквид добавил правилами приведенными выше.
> После добавления сетей в конфе сквида получаем такое состояние.
> (может верхом как то можно выкинуть его- и через проксю не прогонять)

Решили проблему?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Skype через Squid"  +/
Сообщение от kolin (ok) on 28-Ноя-16, 17:25 

>[оверквотинг удален]
> сети"
> Постоянно крутит значек подключения
> я ведь не чего не напутал
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
> 192.168.0.0/24 - локалка
> 65.52.0.0/14 -сети скайпа
> eth0 -интерфейс на проксе который смотрит в мир.
> Тот же список в сквид добавил правилами приведенными выше.
> После добавления сетей в конфе сквида получаем такое состояние.
> (может верхом как то можно выкинуть его- и через проксю не прогонять)

Добавил правило acl skypenet  dst "/etc/squid/skype_networks" с вышеобозначенными сайтами.
Скайп логинится, контакты ищет, с тестовым контактом голосом обменивается, но
Пишет что убогая связь, проблемы.
Завтра попытаюсь добавить правило с IP адресами.
А у вас все ок?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Skype через Squid"  +/
Сообщение от Ustinove (ok) on 29-Ноя-16, 22:43 

> А у вас все ок?

Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables, на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Skype через Squid"  +/
Сообщение от slava007 email(ok) on 01-Дек-16, 16:13 
>> А у вас все ок?
> Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables,
> на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой
> максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.

Посмотрите тут https://forum.it-kb.ru/viewtopic.php?f=52&t=251 проблема похоже на Вашу, решается откатом обновления skype


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Skype через Squid"  +/
Сообщение от Diego (??) on 06-Дек-16, 08:11 
>>> А у вас все ок?
>> Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables,
>> на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой
>> максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.
> Посмотрите тут https://forum.it-kb.ru/viewtopic.php?f=52&t=251 проблема похоже на
> Вашу, решается откатом обновления skype

Надеюсь вы сможете решить проблему, новые версии скайпа ( >7.16) не работают через прокси
Я так и не смог победить. пришлось все в компании откатывать скайп до версии 7.16


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Skype через Squid"  +/
Сообщение от fordiego (ok) on 10-Фев-17, 13:26 
1 марта 17 года версии 7.16 и ниже работать не будут! Пруф:
https://blogs.skype.com/news/2017/02/03/the-skype-you-love-i.../

ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно что-то делать!
Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп в обход squid.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Skype через Squid"  +/
Сообщение от holydronehead email on 14-Мрт-17, 12:08 
> ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно
> что-то делать!
> Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп
> в обход squid.

+


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Skype через Squid"  +/
Сообщение от Ustinove (ok) on 14-Мрт-17, 23:54 
>> ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно
>> что-то делать!
>> Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп
>> в обход squid.

У себя сделали частично.... скапй частью проходит прокси без авторизации а часть через прокси с авторизацией в зависимости от групп в АД.
Работает но не всегда на 100% если интересует то попробую найти старые записи по настройке такой модели.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor