Skype gondok tűzfal mögül

Web, mail, IRC, IM, hálózatok

Üdv,

A probléma a következő:
adott egy kis cég belső hálózattal, ami tűzfal mögött van. A tűzfalon az 1024 fölötti portok nyitva vannak, ahogyan a 443-as is. A 80 zárva. A netezés proxyn keresztül történik azonosítás után. A kliensek WinXP és Win7 gépek. A megfelelő személyeknek Skype is van a gépén. A netezéssel nincs is gond, azonban a Skype csak félig működik. A Partner felvétele esetén egy üres ablak jelenik meg azzal, hogy nincs élő internetkapcsolat, ellenőrizzem. A skype fórumán sok tanácsot olvastam, mindet meg is próbáltam, de nem oldotta meg a problémát. Fogtam egy laptopot és rácsatlakoztam vele a Vendég hálónkra, ami közvetlenül megy a netre, se tűzfal, se proxy. Ebben az esetben teljesen működik a Skype. Tehát elvileg csak tűzfal gond lehet. A Skype fórumán azt írják, hogy a Skypenak nem okoz gondot a tűzfal, ha nyitva vannak az 1024 fölötti portok és a 443 vagy a 80. A kommunikációval nincs is gond, csak új partnert nem tudunk felvenni. Próbáltam még a Skypeban megadni a proxy adatokat is, de sajnos az sem oldotta meg a dolgot.
Szóval, találkozott már valaki ilyen gonddal, esetleg van valami jó ötlete valakinek a megoldásra?
Köszönök minden segítséget!

  • 8263 megtekintés

Squid nélkül megy, szóval nem a tűzfal lesz.
A squid logjába ez kerül, amikor a Partner felvétele gombra kattintok:
TCP_DENIED/407 2566 CONNECT apps.skype.com:443 - NONE/- text/html
Amit nem értek, mert a 443-as porton engedélyezve van.
Ha a Skype-ban bekapcsolom a proxyt, és beírom a nevet jelszót, akkor is ezt írja. Pedig még a Windowst is újraindítottam, nem csak a Skype-ot.
A squid configjába kell valami speckó Skype-os sor?

--

nTOMasz
"The hardest thing in this world is to live in it!"

Ezt már korábban is próbáltam, de azért megnéztem most újra, de sajna semmi változás.
Pedig most nem csak reload volt, hanem restart is a squidnél.
De elvileg ez nem is kell nekem, mivel a 443-as port alapból használható...

--

nTOMasz
"The hardest thing in this world is to live in it!"

Hát, nem tudom, de tényleg.
A Skype bejegyzése az első a http_access résznél, de nem megy, ugyanaz a hiba.
Ennél előrébb már nem tudom írni.

Kicsit szerkesztgettem a squid.conf-ot, de csak addig sikerült eljutni, hogy változott a hibaüzenet:
TCP_MISS/404 0 CONNECT apps.skype.com:443 - DIRECT/- -
Túlságosan nem szeretném mélyen átconfigolni a squid-et, mert nem szeretném, ha a működő részeket is sikerülne elcseszni. A főnök sem dicsérne meg. Bár az sem tetszik neki, hogy csak félig működik a skype...

--

nTOMasz
"The hardest thing in this world is to live in it!"

Jajjj!
Ez kinyírta a banki alkalmazásokat.
Mellesleg a gmail is meghalt tőle.
Ezért nem dícsértek meg. :)

És továbbra sem megy a skype ezen része...

Újabb fura dolog, már végképp nem értem. Néhány Win kliensen (XP) működik a Skype-ban a partnerfelvétel, és ott nincs bejegyzés a squid logba, másokat meg megakaszt. Ezek főleg Win7-es kliensek, de van egy XP-s is.

Az a baj, hogy mivel ez élesben megy a banki incidens után már kísérletezni sem nagyon merek...

--

nTOMasz
"The hardest thing in this world is to live in it!"

Nem azt írtam, hogy csináld azt, ami ott le van írva, hanem azt, hogy például ott is utána lehet nézni a squid-skype problémának, és meg lehet nézni, milyen beállításokkal lehetnek problémák.
Mielőtt konfigurálsz valamit, olvass utána, hogy az adott beállítás mit jelent, mit okoz, és utána nyúlj bele a rendszerbe.
De egyszerűbb, ha fogsz egy másik squid-et, és azon játszadozol az élesről másolt konfiggal, miközben egy-két problémás gépnél azt állítod be proxynak (és persze azt a gépet ugyanúgy kiengeded a tűzifán, mint az élesben működő squid-et futtató masinát).

Nem pont azt csináltam, de mindegy, annyira azért nem volt durva, mint írtam. :)

A "megoldás" azt lett, hogy akinél nem megy rendesen a skype ott visszabutítottuk a 4.2-es verzióra, ahhoz még hál'isten nem volt köze a M$-nek, így működik is rendesen.

Mindenesetre köszönöm mindenkinek a segítséget!

--

nTOMasz
"The hardest thing in this world is to live in it!"

Azt irjak sokhelyen hogy ez igy auth problem, ilyenkor szeretne a proxy ha megint "autholna" a felhasznalo de ez a jelen esetben nem megy, azt irjak 2 lehetoseg van: vagy a proxynak kene megmondani hogy ilyenkor nem kell auth vagy megoldani hogy kerje valahogy az auth-ot:pop-up-ban peldaul.

( VaZso v | 2012. 10. 16., k – 09:54 )

Esetleg, ha megnézed, milyen IP-hez szeretne kapcsolódni és ahhoz kiengeded 80-as porton is?

Mondjuk eléggé hülye megoldás lenne - különösen, ha n+1 címmel próbálkozik.
(Ezt illene javítaniuk szerintem.)

( pityulaman1983 v | 2012. 10. 16., k – 10:43 )

Ha jól emlékszem, a skype default-ból a 80-as portot használja, ezt valahol a beállításoknál ki lehet kapcsolni. Onnan tudom, hogy nekem az apache serverrel vesztek össze rajta.

-----------
"640GB sokmindenre elég"

( agostonl | 2012. 10. 16., k – 15:06 )

Én a végén betettem egy SOCKS5 szervert a Squid mellé, így megy.

"Értem én, hogy villanyos autó, de mi hajtja?"

( ntomasz | 2012. 10. 26., p – 13:32 )

Sikerült megoldani, mivel nem hagyott nyugodni a dolog.
Gondoltam megírom, hátha érdekel valakit a megoldás.

Először is a squid.conf-ot két extra bejegyzéssel egészítettem ki:
acl wo_auth dstdom_regex -i skype.com skypeassets.com
http_access allow wo_auth

Kell a skypeassets.com is, mert csak így hajlandó normálisan működni.

Normál esetben ez már elég, de nálunk még van squidGuard is. Ott a squidGuard.conf-ba kell valami hasonló:
dest woauth {
domainlist exclude/woauth
log exclude.log
}
Majd létre kell hozni a /var/lib/squidguard/db alatt az exclude könyvtárat, amibe létre kell hozni a woauth fájlt. Ebbe a fájlba bele kell írni az előbbi két domaint.
Majd squidGuard -C woauth parancs, aztán squid reload vagy restart. Nekem a reload is elég volt.
Innentől megy az 5-ös Skypeban is mindenkinél a Partnerfelvétel funkció.

--

nTOMasz
"The hardest thing in this world is to live in it!"