Bom dia, boa tarde, boa noite (não sei quando vão ler isso né :P)
Mas vamos ao que interessa, neste semana me deparei com um problema bem chato.
Em um dos servidores PF Sense que eu gerencio, precisei adicionar o Squid com Proxy Transparente e o LighSquid, para gerar relatórios de acessos web. Ao levantar tais serviços me deparei com o Skype não enviando mais mensagens, nem realizando ligações e vídeo conferencias.
Para quem é novo nessa área de Squid e interceptação de HTTPS/SSL, vou explicar.
O Squid é responsável por verificar todo o tráfego enviado e recebido da web, a partir dessa verificação e análise dos pacotes, podemos bloquear, liberar e trabalhar com as permissões de acessos web. Porem quando falamos em HTTPS e SSL, estamos falando de pacotes criptografados, nos quais precisamos de algumas configurações extras em nosso Squid/PF Sense para que possamos trabalhar com tal, mas isso é conteúdo para outro Post.
Tratando de Skype, a criptografia utilizada pelo programa é própria da Microsoft, e por tal motivo o Squid não sabe o que fazer com o pacote, e por padrão ele irá bloquear tal pacote.
A única forma de trabalharmos com o Skype na rede, podendo deixar a interceptação do HTTPS/SSL ativas, é colocando uma ENORME lista de endereços no Bypass do Squid.
(Conhecimento básico em Firewall/PF Sense necessário)
Então mãos à obra…
Iremos criar dua Aliases. Vá em Firewall > Aliases
Em seguida clique em “Import”.
Na nova Aliase, preencha conforme a imagem, (a lista completa de endereços estará no fim do Post).
Na segunda Aliase, preencha conforme a imagem (a lista completa de endereços estará no fim do Post). Após criadas as Aliases, salve e aplique.
Em seguida, vá em Services > Squid Proxy Services > Transparent Proxy Settings e preencha conforme a imagem. Em seguida salve, aplique e reinicie o PF Sense.
Ao concluir, acesse Firewall > Aliases, edite a Aliase “SkypeHost” e altere o “Type” para “Hosts”, salve e aplique.
Após concluir esses procedimentos, será necessário realizar LOGOUT do Skype e fechá-lo. Ao abrir e realizar login, o Skype estará funcionando normalmente.
Lista de endereços:
Hosts: apps.skypeassets.com login.skype.com pipe.skype.com secure.skype.com config.skype.com api.skype.com ui.skype.com s.gateway.messenger.live.com get.skype.com dsn13.d.skype.net mobile.pipe.aria.microsoft.com a.config.skype.com www.skypeassets.com dr.skype.net apps.skype.com api.asm.skype.com Networks: 23.38.149.46 64.4.0.0/18 65.52.0.0/14 91.190.218.0/24 91.190.216.0/24 111.221.64.0/18 134.170.0.0/16 137.116.0.0/16 157.54.0.0/15 157.56.0.0/14 157.60.0.0/16 191.238.101.0/24 191.238.33.0/24 213.199.160.0/18 23.38.149.46 104.40.0.0/13 23.37.32.0/20 91.190.218.0/23 40.64.0.0/10 2.22.8.0/22 191.232.0.0/13 104.105.128.0/20 72.21.81.0/24 104.208.0.0/13 64.18.25.0/24 13.107.3.0/24 23.100.0.0/15 207.46.0.0/19 23.102.0.0/16 131.253.61.0/24 104.105.144.0/20 168.61.164.0/22 91.190.216.0/22 40.76.24.0/22 23.211.236.0/22 23.11.250.0/22 23.2.96.0/22 23.73.244.0/22 91.190.216.0/22 157.56.196.0/22 104.42.8.0/22 191.234.40.0/22 23.213.88.0/22 40.76.208.0/22 168.61.176.0/22 13.107.0.0/22 23.213.88.0/22 188.129.195.0/24 5.64.136.0/24 187.170.24.0/24 78.134.9.0/24 64.4.23.0/24 212.187.172.0/24 213.199.179.0/24 64.94.18.0/24 184.25.203.0/24 65.55.64.0/24 204.9.163.0/24 91.190.216.0/24 65.55.71.0/24 65.55.223.0/24 157.56.52.0/24 111.221.77.0/24 157.55.130.0/24 91.190.218.0/24 149.13.32.0/24 65.54.165.0/24 65.55.223.0/24 91.190.216.0/24 184.25.203.0/24 64.94.18.0/24 212.161.8.0/24 78.141.177.0/24 157.55.56.0/24 193.95.154.0/24 157.55.235.0/24 111.221.74.0/24 193.95.154.0/24 157.55.130.0/24 71.58.242.0/24 204.9.163.0/24 184.25.201.0/24 78.141.179.0/24 71.92.79.0/24 65.55.223.0/24 76.89.177.0/24 204.9.163.0/24 212.187.172.0/24 184.25.203.0/24 193.120.199.0/24 91.190.216.0/24 157.55.130.0/24 184.25.203.0/24 157.55.235.0/24 65.55.223.0/24 84.250.183.0/24 66.171.55.0/24 78.141.179.0/24 157.55.130.0/24 184.25.201.0/24 65.54.187.0/24 199.7.71.0/24 184.30.37.0/24 65.54.186.0/24 79.86.239.0/24 212.8.166.0/24 64.4.23.0/24 111.221.77.0/24 91.190.218.0/24 65.55.158.0/24 157.56.52.0/24 157.55.130.0/24 157.56.149.0/24 189.86.41.0/24 239.255.255.0/24 239.255.255.0/24
Se ficou com alguma dúvida, quer deixar uma crítica ou sugestão, poste abaixo.
Para contato
juan_hunterjn@hotmail.com
http://www.facebook.com/hunterjn
Até a próxima.
Ajuda TI 
Ola obrigado por compartilhar, Segui a sua dica porém o skype conecta funciona perfeitamente mas na hora se solicitar chamada de voz e vídeo a conexão cai poderia me ajudar
CurtirCurtir
Bom dia Alan,
Tenho uma postagem no Fórum oficial referente. Acesse e verifique se lhe ajuda.
https://forum.pfsense.org/index.php?topic=62836.msg666129#msg666129
Abraços.
CurtirCurtir
Um problema que vejo é várias redes que não são da Microsoft, uma por exemplo, 84.250.183.0/24, entre outras.
CurtirCurtir
Tomas, obrigado pela resposta..
Todos os endereços acima foram coletados a partir do access.log do Squid, utilizando o seguinte comando..
tail -f /var/squid/logs/access.log |grep DENIED
Como utilizo ambientes de homologação, havia apenas meu micro na rede do PF Sense, sendo possível coletar facilmente estas informações de conexão do Skype.
CurtirCurtir
Não rodou no cliente, mesmo usando as dicas, pior que havia deixado tudo redondo no cliente, pra descobrir ás 5h da manhã que o Skype me derrubaria. Tive que desativar a inspeção SSL e retirar a transparência. Qdó!
CurtirCurtir
Boa tarde,
Esse procedimento foi válidado a um ano mais ou menos, creio que muitas coisas mudaram na Microsoft, e algumas atualizações de endereços devam ser alteradas.
Abraços.
Sent from Mail for Windows 10
CurtirCurtir
Tenho que te agradecer pois eu atava desistindo
obrigado tudo certo aqui
CurtirCurtir
Show de bola 😀
Fico feliz em ajudar, qualquer coisa estamos ai.
CurtirCurtir
boa tarde amigos de T.I comigo nao funcionou..uso pfsense versao 2.4.4, apenas com squid…sem squidguard…bloqueando na lista negra com (.) e liberando na lista branca apenas os sites que o cliente pediu…mais o skype só conecta nos usuario que estao com ips irrestritos.
CurtirCurtir