Skype a Squid proxy server

[Rosta]

Dobry den.

Potrebujem funkcnu konfiguraciu proxy servra, ktora povoli skype videohovory a chat. Googlujem to uz niekolko dni,ale ziadny navod nie je funkcny.

Preto prosim adminov, ktory na pristup do internetu pouzivaju squid proxy server a funguju im skype hovory,aby mi napisali funkcnu konfiguraciu.

Budem velmi vdacny.....

[Reklama]

[kapr]

Ja si nejsem jistej jestli je jeste ten protokol stejnej jako bejval a co s nim Malejmekejs udelal. Ale ono to funguje na L2 a ne na L3, takze to neslo jednoduse filtrovat. Dokonce se na to i prodavaly nebo asi jeste prodavaji nejaky HW udelatka (docela mastny byly svyho casu).

[kapr]

Aha, takze to zmenili,

cast odpovedi je v tom poslednim prispevku:
https://supportforums.cisco.com/discussion/11609036/asa5520-allowingblocking-skype

a neco o tom jak to funguje:
http://www.ilsistemista.net/index.php/howto/32-how-to-block-skype-connections-with-your-gateway-firewall.html?start=1

podle toho by sis mohl ty pravidla nastavit jak potrebujes.

[rosta]

Dakujem za odpovede.. Bohuzial nic z toho nefunguje..,

A skype cez proxy asi ani fungovat nebude, aspon podla tohoto fora. Zajtra skusim downgrade skype klienta a snad to pojede.
Microsoft fakt nechapem. Stazuju samu tisice adminov ktory v praci nasadzuju http proxy ze skype s proxy v novychverziach nefunguje a ten na to z vysoka serie.

https://community.skype.com/t5/Windows-desktop-client/Skype-new-version-not-woking-with-proxy-environment/td-p/4498984/page/13

[samalama]

da sa pouzit webovy klient...

[Reklama]

[abc123]

preco by mal squid co je primarne HTTP/S proxy podporovat nejaky proprietarny protokol ktorym sa snazi skype telefonovat?

Vobec nevidim dovod preco to hnat cez HTTP proxy... je to len nepochopenie problematiky. Nato su predsa firewally aby povolovali/zakazovali pripojenie sa do vnutra siete a z vnutra von.

[Rosta]

Ak v diskusii nemam ako prispiet k rieseniu problemu, tak radsej mlcim. Kolegovia vyssie sa aspon snazia poradit, popr. nasmerovat na spravnu odpoved a riesenie k problemu, ktory som popisal. Vasa odpoved je uplne mimo a ma nulovu hodnotu v rieseni konkretneho problemu.

Podme si rozobrat vasu odpoved:

citace:preco by mal squid co je primarne HTTP/S proxy podporovat nejaky proprietarny protokol ktorym sa snazi skype telefonovat?

Toto som niekde vo svojom prispevku ja,alebo kolegovia vyssie tvrdil(i)?

citace:Vobec nevidim dovod preco to hnat cez HTTP proxy... je to len nepochopenie problematiky. Nato su predsa firewally aby povolovali/zakazovali pripojenie sa do vnutra siete a z vnutra von.

No ked som problematiku nepochopil, tak mi ju prosim objasnite. Najlepsie konkretnou a odskusanou  konfiguraciou firewallu tak,aby fungoval skype. Ked sa potom na tu konfiguraciu pozriete, tak zistite, ze musite povolit akukolvek udp  komunikaciu smerov von a aj dovnutra vasej siete. U tcp je tych portov omnoho menej,ale su tam dva najpouzivanejsie:80 a 443.

A teraz nastane takova sranda. Pride za vami ako adminovi firmy vas sef a da vam takuto konkretnu ulohu z praxe:
1. Oddelenie c.1 vo vasej firme(napr. vlan 40) ma mat pristup na webove stranky po cely den. Vsetko ostatne je zakazane.
2. Oddelenie c.2 vo vasej firme(napr. vlan 41) ma mat pristup na webove stranky iba po pracovnej dobe. Vsetko ostatne zakazane
3. Oddelenie c.3 vo vasej firme(napr. vlan 42) ma mat pristup iba na teamviewer, updaty windows a avast, vsetko ostatne je zakazane
4. Cela firma moze pouzivat skype
5. platobne terminaly vo vlan 44 maju pristup iba na konkretne ip adresy a porty vasej banky, vsetko ostatne je zakazane

Predpokladam, ze ako admin taketo ulohy riesite bezne, preto mi urcite poradite. Poprosim vas o konkretny sposob a o vas nazor,ako to mame urobit(hlavne body c.3 a c.4). Zjavne som totiz problematiku nepochopil a vy ako admin, ktory taketo ulohy riesite bezne mi urcite poradite. Poprosim o konkretnu konfiguraciu firewalla a http proxy servra.

[Lol Phirae]

Prosím tě, a co přesně ti nefunguje? Tak jsem to tady vyzkoušel, proxy log za včerejšek zasranej mrakama připojení od Skypu, všechno funguje a nikdo si na nic nestěžuje. Akorát jsem teda nepochopil, k čemu tam ta proxy Skypu je, protože to akorát vytváří TCP tunely. Co tam máte za dementní firewall, na kterém musíte povolovat UDP 1-65535 dovnitř?

[squid_user]

jedina moznost je udelat acl s povolenim connect na veskere numeric ips (regex) a nasledne nadelegovane na uzivatele, napriklad pres ad acl

[abc123]

Ak v diskusii nemam ako prispiet k rieseniu problemu, tak radsej mlcim. Kolegovia vyssie sa aspon snazia poradit, popr. nasmerovat na spravnu odpoved a riesenie k problemu, ktory som popisal. Vasa odpoved je uplne mimo a ma nulovu hodnotu v rieseni konkretneho problemu.

Podme si rozobrat vasu odpoved:

citace:preco by mal squid co je primarne HTTP/S proxy podporovat nejaky proprietarny protokol ktorym sa snazi skype telefonovat?

Toto som niekde vo svojom prispevku ja,alebo kolegovia vyssie tvrdil(i)?

citace:Vobec nevidim dovod preco to hnat cez HTTP proxy... je to len nepochopenie problematiky. Nato su predsa firewally aby povolovali/zakazovali pripojenie sa do vnutra siete a z vnutra von.

No ked som problematiku nepochopil, tak mi ju prosim objasnite. Najlepsie konkretnou a odskusanou  konfiguraciou firewallu tak,aby fungoval skype. Ked sa potom na tu konfiguraciu pozriete, tak zistite, ze musite povolit akukolvek udp  komunikaciu smerov von a aj dovnutra vasej siete. U tcp je tych portov omnoho menej,ale su tam dva najpouzivanejsie:80 a 443.

A teraz nastane takova sranda. Pride za vami ako adminovi firmy vas sef a da vam takuto konkretnu ulohu z praxe:
1. Oddelenie c.1 vo vasej firme(napr. vlan 40) ma mat pristup na webove stranky po cely den. Vsetko ostatne je zakazane.
2. Oddelenie c.2 vo vasej firme(napr. vlan 41) ma mat pristup na webove stranky iba po pracovnej dobe. Vsetko ostatne zakazane
3. Oddelenie c.3 vo vasej firme(napr. vlan 42) ma mat pristup iba na teamviewer, updaty windows a avast, vsetko ostatne je zakazane
4. Cela firma moze pouzivat skype
5. platobne terminaly vo vlan 44 maju pristup iba na konkretne ip adresy a porty vasej banky, vsetko ostatne je zakazane

Predpokladam, ze ako admin taketo ulohy riesite bezne, preto mi urcite poradite. Poprosim vas o konkretny sposob a o vas nazor,ako to mame urobit(hlavne body c.3 a c.4). Zjavne som totiz problematiku nepochopil a vy ako admin, ktory taketo ulohy riesite bezne mi urcite poradite. Poprosim o konkretnu konfiguraciu firewalla a http proxy servra.

nepochopenie problematiky to je preto, ze mozno existuje nejake obskurne nastavenie ktore bude v sucasnej konstalacii hviezd a vole microsoftu fungovat aj so squidom. Ale pride nejaky iny release a zas ti to rozbije a zas budes hladat navod ako to zas nastavit a useri budu nasrani ze nevedia telefonovat. Ak to je na firemne pouzitie, tak mas Skype for business kde mas centralny server ktory ti bude robit proxy na protokole ktoremu rozumie sam najlepsie Ak to chces tahat cez proxy, tak uvazuj o nejakej ktora je nezavisla na aplikacnom protokole, cez SOCKS pretlacis lubovolny aplikacny protokol, ale ako pozeram skype chce komunikovat cez UDP, SOCKS je hlavne TCP proxy ale je mozne ze ti to pojde, zas to je bez zaruky. Cely problem je v tom ze Skype pouziva nejaky proprietarny SIP/VoIP protokol ktory sa ti jednoducho nemusi darit pretunelovat cez HTTP a s tym ty nic nespravis a nikto ta nemoze obvinovat z neschopnosti, rovnako v tej firme netlacis IP telefony cez Squida, lebo to je blbost. 

Cize tvoje riesenia su nasledovne: Skype for business, Bluecoat proxy, SOCKS5 proxy a na klientoch mat nejakeho proxyfiera ak skype client nema nativnu podporu SOCKS protokolu, zmierit sa s tym ze skype je nepouzitelny pre firemne siete a pouzivat iny tool na komunikaciu

[abc123]

Zjavne som totiz problematiku nepochopil a vy ako admin, ktory taketo ulohy riesite bezne mi urcite poradite. Poprosim o konkretnu konfiguraciu firewalla a http proxy servra.

A admina nerobim uz par rokov, teraz so mv pozicii solution architekta, kde sa snazime prave miernit nerealne poziadavky zakaznikov a usmernovat ich k zmysluplnym rieseniam aby potom admini neboli vystavovani nerealnym vyzvam a frustracii z toho vyplyvajucej.

[Rosta]

Prosím tě, a co přesně ti nefunguje? Tak jsem to tady vyzkoušel, proxy log za včerejšek zasranej mrakama připojení od Skypu, všechno funguje a nikdo si na nic nestěžuje. Akorát jsem teda nepochopil, k čemu tam ta proxy Skypu je, protože to akorát vytváří TCP tunely. Co tam máte za dementní firewall, na kterém musíte povolovat UDP 1-65535 dovnitř?

Prosím tě, a co přesně ti nefunguje? Tak jsem to tady vyzkoušel, proxy log za včerejšek zasranej mrakama připojení od Skypu, všechno funguje a nikdo si na nic nestěžuje. Akorát jsem teda nepochopil, k čemu tam ta proxy Skypu je, protože to akorát vytváří TCP tunely. Co tam máte za dementní firewall, na kterém musíte povolovat UDP 1-65535 dovnitř?

Presnejsie nam nefunguju hovory,ani videohovory. Pravdu mas v tom, ze v logoch vidis same tcp CONNECTY na skype. To vidim aj ja. Prihlasit sa normalne prihlasis, chat funguje(to su tie TCP CONNECTY),ale videohovor alebo klasicky hovor nie.

Po hodne dlhom googlovani som zistil, ze skype funguje asi takto.

1. Nezalezi na tom,ako mas nastavenu proxy priamo na skype, skype po spusteni chce https spojenie na ridici servry.
2. Ked sa mu to podari, OK, ak nie, tak pouzije systemovu proxy. Ak zlyha aj systemova proxy, ostava mu posledna moznost a to je ta,ako to mas nakonfigurovane priamo na skype.

Kazdopadne, ked sa podari krok 1, tak hlas-video idu cez udp pakety na infrastrukturu skypu. Ak nastane moznost cislo dva, tak by sa mal skype pokusit vytvorit hlas-video cez proxy server(TCP CONNECT). To sa ale nedeje.

Podla tohoto vlakna: https://community.skype.com/t5/Windows-desktop-client/Skype-new-version-not-woking-with-proxy-environment/td-p/4498984/page/13
je to ale vseobecny problem a tunelovanie cez http proxy uz par mesiacov proste nefunguje. Uvidim ako zaberie downgrade skype klienta. Potom dam vediet.

Co sa tyka dementneho firewallu, tak pouzivame netfilter. A udp porty musia byt povolene koli skypu. Ak ich zakazaem, tak sa sice klient do skypu prihlasi, moze chatovat,ale uz neurobi hovory ani video.

[Rosta]

Prosím tě, a co přesně ti nefunguje? Tak jsem to tady vyzkoušel, proxy log za včerejšek zasranej mrakama připojení od Skypu, všechno funguje a nikdo si na nic nestěžuje. Akorát jsem teda nepochopil, k čemu tam ta proxy Skypu je, protože to akorát vytváří TCP tunely. Co tam máte za dementní firewall, na kterém musíte povolovat UDP 1-65535 dovnitř?

Ju, tak mne ako adminovi to tiez funguje,ale iba preto, ze na svoju ip adresu mam nastavenu na netfiltery to, ze ma prechadzat vsetko. Skus si ako prve pravidlo dat DROP na svoju ip adresu na FORWARD(aby si pristupoval do netu iba cez proxy), nastavit skype na pouzitie proxy a ako sa dostanes daleko? Ja sa iba prihlasim, mozem chatovat ale hovory a video nikde....

[Rosta]

da sa pouzit webovy klient...

Neda-to som uz skusil. Chova sa presne ako desktopovy klient. Najprv skusi spojenie priamo, ak mu to nevyjde, tak az vtedy zacne pouzivat proxy ktoru mu nastavis. OK, prihlasis sa, mozes chatovat,ale video a call nefunguje. Presnejsie, signalizacia ano(vytocis cislo, na druhej strane to zvoni), druha strana to zdvihne, ale nevidis ziadny hlas ani video. Druha strana takisto nie.

[Rosta]

Ak v diskusii nemam ako prispiet k rieseniu problemu, tak radsej mlcim. Kolegovia vyssie sa aspon snazia poradit, popr. nasmerovat na spravnu odpoved a riesenie k problemu, ktory som popisal. Vasa odpoved je uplne mimo a ma nulovu hodnotu v rieseni konkretneho problemu.

Podme si rozobrat vasu odpoved:

citace:preco by mal squid co je primarne HTTP/S proxy podporovat nejaky proprietarny protokol ktorym sa snazi skype telefonovat?

Toto som niekde vo svojom prispevku ja,alebo kolegovia vyssie tvrdil(i)?

citace:Vobec nevidim dovod preco to hnat cez HTTP proxy... je to len nepochopenie problematiky. Nato su predsa firewally aby povolovali/zakazovali pripojenie sa do vnutra siete a z vnutra von.

No ked som problematiku nepochopil, tak mi ju prosim objasnite. Najlepsie konkretnou a odskusanou  konfiguraciou firewallu tak,aby fungoval skype. Ked sa potom na tu konfiguraciu pozriete, tak zistite, ze musite povolit akukolvek udp  komunikaciu smerov von a aj dovnutra vasej siete. U tcp je tych portov omnoho menej,ale su tam dva najpouzivanejsie:80 a 443.

A teraz nastane takova sranda. Pride za vami ako adminovi firmy vas sef a da vam takuto konkretnu ulohu z praxe:
1. Oddelenie c.1 vo vasej firme(napr. vlan 40) ma mat pristup na webove stranky po cely den. Vsetko ostatne je zakazane.
2. Oddelenie c.2 vo vasej firme(napr. vlan 41) ma mat pristup na webove stranky iba po pracovnej dobe. Vsetko ostatne zakazane
3. Oddelenie c.3 vo vasej firme(napr. vlan 42) ma mat pristup iba na teamviewer, updaty windows a avast, vsetko ostatne je zakazane
4. Cela firma moze pouzivat skype
5. platobne terminaly vo vlan 44 maju pristup iba na konkretne ip adresy a porty vasej banky, vsetko ostatne je zakazane

Predpokladam, ze ako admin taketo ulohy riesite bezne, preto mi urcite poradite. Poprosim vas o konkretny sposob a o vas nazor,ako to mame urobit(hlavne body c.3 a c.4). Zjavne som totiz problematiku nepochopil a vy ako admin, ktory taketo ulohy riesite bezne mi urcite poradite. Poprosim o konkretnu konfiguraciu firewalla a http proxy servra.

nepochopenie problematiky to je preto, ze mozno existuje nejake obskurne nastavenie ktore bude v sucasnej konstalacii hviezd a vole microsoftu fungovat aj so squidom. Ale pride nejaky iny release a zas ti to rozbije a zas budes hladat navod ako to zas nastavit a useri budu nasrani ze nevedia telefonovat. Ak to je na firemne pouzitie, tak mas Skype for business kde mas centralny server ktory ti bude robit proxy na protokole ktoremu rozumie sam najlepsie Ak to chces tahat cez proxy, tak uvazuj o nejakej ktora je nezavisla na aplikacnom protokole, cez SOCKS pretlacis lubovolny aplikacny protokol, ale ako pozeram skype chce komunikovat cez UDP, SOCKS je hlavne TCP proxy ale je mozne ze ti to pojde, zas to je bez zaruky. Cely problem je v tom ze Skype pouziva nejaky proprietarny SIP/VoIP protokol ktory sa ti jednoducho nemusi darit pretunelovat cez HTTP a s tym ty nic nespravis a nikto ta nemoze obvinovat z neschopnosti, rovnako v tej firme netlacis IP telefony cez Squida, lebo to je blbost. 

Cize tvoje riesenia su nasledovne: Skype for business, Bluecoat proxy, SOCKS5 proxy a na klientoch mat nejakeho proxyfiera ak skype client nema nativnu podporu SOCKS protokolu, zmierit sa s tym ze skype je nepouzitelny pre firemne siete a pouzivat iny tool na komunikaciu

Super, konecne rada, ktora za nieco stoji.

1. Skype for Businnes nemame... Ale keby sme aj mali, tak to sice pomoze,ale za predpokladu, ze na tom centralnom servry povolis akukolvek udp komunikaciu plus hafo tcp portov na akukolvek ip adresu.

2. V com je problem viem, je to v skype klientovi. Iba som chcel vediet, ci na tento problem nepozna niekto riesenie, pretoze najlepsi radca-google zlyhal. Nic funkcne som nenasiel.

Skusim este downgrade klienta.

A dakujem vsetkym za rady a za ochotu pomoct.