URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7260
[ Назад ]

Исходное сообщение
"Skype через Squid"
Отправлено ipmanyak , 06-Окт-16 15:18

Что-то поменялось у Микрософт со скайпом или еще что. Недавно , а может в новых версиях скайпа и перестали проходить звонки абонентам. ECHO TEST не работает. Сама авторизация  в скайп проходит, контакты видны.  Версию скайпа пробовали последнюю и которая для бизнеса тоже. Если перезапустить скайп на той стороне, то там видят пропущенные звонки. Если выпускать напрямую через NAT, то само собой клиент работает, но надо через проксю.
Сталкивался кто-нибудь?
Для чистоты эксперимента создал аксели правила и поставил их выше других

#skype
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?:([0-9a-f:]+)?:([0-9a-f]+|0-9\.]+)?\])):443
acl Skype_UA browser ^skype
acl skypenet  dst "/etc/squid/skype_networks"
acl skypedom  dstdomain "/etc/squid/skype_domains"
acl localnet src 10.0.0.0/8
http_access allow CONNECT localnet numeric_IPS Skype_UA
http_access allow skypenet localnet
http_access allow skypedom localnet
в файлах прописал сети и домены скайпа, который нарыл в инете и добавлял еще, которые ловил по tcp/denied   в логе сквида
tail -f access.log | grep айпи
домены такие
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.blob.core.windows.net
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.streaming.mediaservices.windows.net
.keydelivery.mediaservices.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com

Сети приводить не буду, список большой.
После нажатия на эхотест в логе две строки
TCP_MISS/200 274 CONNECT 13.107.8.20:443 - DIRECT/13.107.8.20 -
TCP_MISS/200 274 CONNECT 13.107.8.20:443 - DIRECT/13.107.8.20 -
и всё, пока не слетит, после того как звонок слетел, есть другие записи.

Содержание

Skype через Squid,ipmanyak, 09:06 , 07-Окт-16
- Skype через Squid,Andrey Mitrofanov, 09:26 , 07-Окт-16
  - Skype через Squid,ipmanyak, 15:11 , 07-Окт-16
    - Skype через Squid,Exploit, 16:34 , 07-Окт-16
      - Skype через Squid,Аноним, 20:11 , 07-Окт-16
- Skype через Squid,Ustinove, 16:09 , 09-Окт-16
  - Skype через Squid,ipmanyak, 13:17 , 10-Окт-16
Skype через Squid,ipmanyak, 15:07 , 12-Окт-16
- Skype через Squid,Ustinove, 23:15 , 12-Окт-16
  - Skype через Squid,ipmanyak, 10:07 , 13-Окт-16
    - Skype через Squid,Ustinove, 15:51 , 13-Окт-16
      - Skype через Squid,kolin, 14:19 , 28-Ноя-16
      - Skype через Squid,kolin, 17:25 , 28-Ноя-16
        
        Skype через Squid,Ustinove, 22:43 , 29-Ноя-16
        
        Skype через Squid,slava007, 16:13 , 01-Дек-16
        
        Skype через Squid,Diego, 08:11 , 06-Дек-16
        
        Skype через Squid,fordiego, 13:26 , 10-Фев-17
        
        Skype через Squid,holydronehead, 12:08 , 14-Мрт-17
        
        Skype через Squid,Ustinove, 23:54 , 14-Мрт-17

Сообщения в этом обсуждении

"Skype через Squid"
Отправлено ipmanyak , 07-Окт-16 09:06

добавил еще подсетей 40-вые, звонок стал проходить, но нет звука.

"Skype через Squid"
Отправлено Andrey Mitrofanov , 07-Окт-16 09:26

> добавил еще подсетей 40-вые, звонок стал проходить, но нет звука.
Продолжаем тренеровать гибкость позвоночника -- я пойду телеграмчик для rhel-а пособириаю.

"Skype через Squid"
Отправлено ipmanyak , 07-Окт-16 15:11

>> добавил еще подсетей 40-вые, звонок стал проходить, но нет звука.
> Продолжаем тренеровать гибкость позвоночника -- я пойду телеграмчик для rhel-а пособириаю.
Дык стоить копать дальше иди скайп через сквид теперь не работает нормально?

"Skype через Squid"
Отправлено Exploit , 07-Окт-16 16:34

>>> добавил еще подсетей 40-вые, звонок стал проходить, но нет звука.
>> Продолжаем тренеровать гибкость позвоночника -- я пойду телеграмчик для rhel-а пособириаю.
> Дык стоить копать дальше иди скайп через сквид теперь не работает нормально?
Может, обновили протокол из-за того, что стали появляться самодельные клиенты для skype типа этого: https://geektimes.ru/post/280068/
Если ничего не придумаете, попробуйте накрайняк собрать 4-ый сквид. там добавили фичу, которая вам, возможно, пригодится:
on_unsupported_protocol directive to allow Non-HTTP bypass

"Skype через Squid"
Отправлено Аноним , 07-Окт-16 20:11

> Может, обновили протокол из-за того, что стали появляться самодельные клиенты для skype
Все сторонние клиенты используют Web API, т.е. по сути обвязка над web-интерфейсом skype.

"Skype через Squid"
Отправлено Ustinove , 09-Окт-16 16:09

> добавил еще подсетей 40-вые, звонок стал проходить, но нет звука.
Можно файлик с сетями глянуть?
У себя добавил аналогичные строки. В логах скайпа сообщения при его запуске и подключении сменились с
TCP_DENIED/407 3968 CONNECT
на
TCP_MISS/503 0 CONNECT
но в корне не чего не поменялось. Звонки не проходят.

"Skype через Squid"
Отправлено ipmanyak , 10-Окт-16 13:17

>> добавил еще подсетей  40-вые, звонок стал проходить, но нет звука.
> Можно файлик с сетями глянуть?
> У себя добавил аналогичные строки. В логах скайпа сообщения при его запуске
> и подключении сменились с
> TCP_DENIED/407 3968 CONNECT
> на
> TCP_MISS/503 0 CONNECT
> но в корне не чего не поменялось. Звонки не проходят.
Официально список поддоменов и сетей  в том числе IPV6 опубликован здесь в конце:
Set up your network for Skype Meeting Broadcast
https://support.office.com/en-us/article/Set-up-your-network...
Насколько инфа актуальна  - неизвестно, дата в ссылке нигде не указана.

цискарь на снифере смотрел айпи и определил такие:
40.79.44.14 - здесь звук!
13.69.9.172
13.79.37.63
13.93.51.249
13.93.52.25
13.93.125.188
13.107.8.20
104.44.200.157
104.44.200.158
104.44.200.184
сети предложил пропускать такие:
NetRange:       40.74.0.0 - 40.125.127.255
CIDR:           40.96.0.0/12, 40.74.0.0/15, 40.112.0.0/13, 40.76.0.0/14, 40.124.0.0/16, 40.120.0.0/14, 40.80.0.0/12, 40.125.0.0/17
NetName:        MSFT
----------------
Также он определил, что если занатить выход на только 40-вые подсети, то через прокси скайп с учетом ната на эти сети начинает звонить.
----------
весь список такой:
40.0.0.0/8
13.69.9.0/24
13.79.37.0/24
13.88.241.210/32
13.92.80.132/32
13.92.136.118/32
13.93.51.0/24
13.93.52.0/24
13.93.125.0/24
13.95.233.176/32
13.107.3.128/32
13.107.3.129/32
13.107.8.0/22
13.107.64.0/18
23.97.72.141/32
23.97.164.28/32
23.99.213.58/32
23.101.115.193/32
23.101.116.26/32
23.101.156.198/32
23.101.158.111/32
23.102.17.214/32
23.102.24.114/32
23.103.128.0/23
23.103.130.0/24
23.103.176.128/26
23.103.176.192/27
23.103.178.128/26
23.103.178.192/27
23.213.88.0/22
40.74.0.0/15
40.76.0.0/14
40.80.0.0/12
40.120.0.0/14
40.124.0.0/16
40.125.0.0/17
52.112.0.0/14
52.232.129.71/32
52.232.132.60/32
52.232.135.81/32
52.233.29.169/32
52.233.30.121/32
64.0.0.0/7
64.4.23.0/24
64.4.61.0/24
65.52.108.0/24
65.54.184.0/24
65.55.223.0/24
65.55.127.0/24
66.119.157.192/26
66.119.158.0/25
91.190.216.0/22
91.190.218.0/22
104.40.75.8/32
104.40.76.196/32
104.41.207.112/32
104.41.210.140/32
104.43.12.164/32
104.44.195.0/24
104.44.200.0/23
111.221.76.128/25
111.221.77.0/26
111.221.122.192/26
131.253.128.0/19
131.253.160.0/20
132.245.0.0/24
132.245.1.0/25
132.245.112.0/24
132.245.113.0/25
132.245.128.0/24
132.245.129.0/25
134.170.0.0/25
134.170.54.0/26
134.170.54.128/25
137.116.132.4/32
157.55.40.128/25
157.55.46.64/26
157.55.232.128/26
157.55.238.0/25
157.56.126.0/24
157.56.135.64/26
157.56.185.0/26
168.63.14.15/32
168.61.176.0/22
168.63.219.57/32
191.233.80.151/32
191.233.95.169/32
191.234.19.21/32
191.234.20.241/32
191.234.21.145/32
191.234.23.27/32
191.234.40.0/22
207.46.5.0/24
207.46.156.136/32
207.46.230.50/32
---------------
кое-что лишнее и пересекается, но пока влом причесывать, сделаю когда заработает.
домены такие:
.aka.ms
.micrisoft.com
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com
----------

скайп та еще зараза, несмотря, что указан прокси, тычется и мимо прокси. К тем, кто в  локалке звонки у скайпа проходят, несмотря на то, что указан прокси, лезет напрямую. Наружу видимо тоже лезет во все дырки куда может и с прокси и без.

"Skype через Squid"
Отправлено ipmanyak , 12-Окт-16 15:07

Удалось запустить скайп через прокси с акселями на подсети и поддомены и с одновременным NAT на указанные подсети:
65.52.0.0/14
# Netrange 40.74.0.0 - 40.125.127.255
40.76.0.0/14
40.112.0.0/13
40.80.0.0/12
40.120.0.0/14
40.96.0.0/12
40.125.0.0/17
40.74.0.0/15
40.124.0.0/16
# Netrange 52.145.0.0 - 52.191.255.255
52.145.0.0/16
52.160.0.0/11
52.148.0.0/14
52.146.0.0/15
52.152.0.0/13
# NetRange: 64.0.0.0 - 64.3.255.255
64.0.0.0/14
# NetRange: 65.52.0.0 - 65.55.255.255
65.52.0.0/14
66.119.157.192/26
66.119.158.0/25
# Netrange 91.190.218.0 - 91.190.218.255 SKYPE-DU5
91.190.218.0/24
# Netrange: 104.40.0.0 - 104.47.255.255
104.40.0.0/13
# Netgange: 131.253.21.0 - 131.253.47.255
131.253.22.0/23
131.253.21.0/24
131.253.32.0/20
131.253.24.0/21
Скайп тычется во все дырки.
P.S.
Старые версии скайпа ходят на другие сети и работают через прокси. Старющая версия под Windows XP - работает.

"Skype через Squid"
Отправлено Ustinove , 12-Окт-16 23:15

> Удалось запустить скайп через прокси с акселями на подсети и поддомены
> и с одновременным  NAT на указанные подсети:
> 65.52.0.0/14
> .......
> 131.253.24.0/21
> Скайп тычется во все дырки.
> P.S.
> Старые версии скайпа ходят на другие сети и работают через прокси. Старющая
> версия под Windows XP  - работает.
Если не трудно то можно по подробней:
Список подсетей необходимо добавлять в конфиге сквид, натить на сколько я понял необходимо в правилах iptables? Но как это сделать правильно может как то из файла можно подтянуть что бы кучу правил руками не набирать.
Автор поделись если можешь правилами сквида и iptables.

"Skype через Squid"
Отправлено ipmanyak , 13-Окт-16 10:07

>[оверквотинг удален]
>> Скайп тычется во все дырки.
>> P.S.
>> Старые версии скайпа ходят на другие сети и работают через прокси. Старющая
>> версия под Windows XP  - работает.
> Если не трудно то можно по подробней:
> Список подсетей необходимо добавлять в конфиге сквид, натить на сколько я понял
> необходимо в правилах iptables? Но как это сделать правильно может как
> то из файла можно подтянуть что бы кучу правил руками не
> набирать.
> Автор поделись если можешь правилами сквида и iptables.
подсети, на который надо NAT-ить, я уже привел выше. У нас пограничный рутер циска и NAT включен там. На IPTABLES,видимо, надо задействовать NAT или Маскарад с привязкой к dst ip, что-то типа
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0

в сквиде, правила выше всех других
acl skypenet  dst "/etc/squid/skype_networks"
acl skypedom  dstdomain "/etc/squid/skype_domains"
acl localnet src 10.0.0.0/8
http_access allow skypenet localnet
http_access allow skypedom localnet
в файле "/etc/squid/skype_domains"
.aka.ms
.micrisoft.com
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com
попробуй пока без акселя
acl skypenet  dst "/etc/squid/skype_networks"
если не прокатит, то выложу  его сюда

"Skype через Squid"
Отправлено Ustinove , 13-Окт-16 15:51

> попробуй пока без акселя
> acl skypenet dst "/etc/squid/skype_networks"
> если не прокатит, то выложу его сюда
Все добавил. но как то странно скайп перестал менять стату на "в сети"
Постоянно крутит значек подключения
я ведь не чего не напутал
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
192.168.0.0/24 - локалка
65.52.0.0/14 -сети скайпа
eth0 -интерфейс на проксе который смотрит в мир.
Тот же список в сквид добавил правилами приведенными выше.
После добавления сетей в конфе сквида получаем такое состояние.
(может верхом как то можно выкинуть его- и через проксю не прогонять)

"Skype через Squid"
Отправлено kolin , 28-Ноя-16 14:19

>[оверквотинг удален]
> сети"
> Постоянно крутит значек подключения
> я ведь не чего не напутал
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
> 192.168.0.0/24 - локалка
> 65.52.0.0/14 -сети скайпа
> eth0 -интерфейс на проксе который смотрит в мир.
> Тот же список в сквид добавил правилами приведенными выше.
> После добавления сетей в конфе сквида получаем такое состояние.
> (может верхом как то можно выкинуть его- и через проксю не прогонять)
Решили проблему?

"Skype через Squid"
Отправлено kolin , 28-Ноя-16 17:25

>[оверквотинг удален]
> сети"
> Постоянно крутит значек подключения
> я ведь не чего не напутал
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
> 192.168.0.0/24 - локалка
> 65.52.0.0/14 -сети скайпа
> eth0 -интерфейс на проксе который смотрит в мир.
> Тот же список в сквид добавил правилами приведенными выше.
> После добавления сетей в конфе сквида получаем такое состояние.
> (может верхом как то можно выкинуть его- и через проксю не прогонять)
Добавил правило acl skypenet dst "/etc/squid/skype_networks" с вышеобозначенными сайтами.
Скайп логинится, контакты ищет, с тестовым контактом голосом обменивается, но
Пишет что убогая связь, проблемы.
Завтра попытаюсь добавить правило с IP адресами.
А у вас все ок?

"Skype через Squid"
Отправлено Ustinove , 29-Ноя-16 22:43

> А у вас все ок?
Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables, на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.

"Skype через Squid"
Отправлено slava007 , 01-Дек-16 16:13

>> А у вас все ок?
> Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables,
> на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой
> максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.
Посмотрите тут https://forum.it-kb.ru/viewtopic.php?f=52&t=251 проблема похоже на Вашу, решается откатом обновления skype

"Skype через Squid"
Отправлено Diego , 06-Дек-16 08:11

>>> А у вас все ок?
>> Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables,
>> на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой
>> максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.
> Посмотрите тут https://forum.it-kb.ru/viewtopic.php?f=52&t=251 проблема похоже на
> Вашу, решается откатом обновления skype
Надеюсь вы сможете решить проблему, новые версии скайпа ( >7.16) не работают через прокси
Я так и не смог победить. пришлось все в компании откатывать скайп до версии 7.16

"Skype через Squid"
Отправлено fordiego , 10-Фев-17 13:26

1 марта 17 года версии 7.16 и ниже работать не будут! Пруф:
https://blogs.skype.com/news/2017/02/03/the-skype-you-love-i.../
ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно что-то делать!
Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп в обход squid.

"Skype через Squid"
Отправлено holydronehead , 14-Мрт-17 12:08

> ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно
> что-то делать!
> Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп
> в обход squid.
+

"Skype через Squid"
Отправлено Ustinove , 14-Мрт-17 23:54

>> ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно
>> что-то делать!
>> Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп
>> в обход squid.
У себя сделали частично.... скапй частью проходит прокси без авторизации а часть через прокси с авторизацией в зависимости от групп в АД.
Работает но не всегда на 100% если интересует то попробую найти старые записи по настройке такой модели.