Фильтруем и управляем подключением Skype
Многие наверное подумают — что это немного не тот сайт и не стоило сюда писать, но решил поделиться данной наработкой. Думаю кому-то эта статья будет полезна.
Вопрос с управлением доступом к Skype — это больная тема многих сетевиков и администраторов. В попытках найти решение в интернете многие собирают статистику подключений Skype и открывают доступ полностью в весь пул сетей — но анализ этой чудо программы показал что это не вариант, так как я не очень люблю как работают некоторые вещи для меня непонятным образом, решил что нужно принимать какие-то меры. Так же многие упоминают про Layer 7 protocol — но в случае с L7 у Вас получится только корректно заблокировать доступ, но не управлять им. Для понимания: Skype — очень противное приложение в плане сетевого взаимодействия, ломится на кучу IP-адресов и хостов по куче портов среди которых и 80 и 443. Решение есть и оно довольно простое, мы будем использовать метки DSCP (TOS) и делать будем это средствами самой Windows. О самих же метках лучше почитать внимательно в интернете.
Имеем доменную машину, с Skype на борту, через групповые политики добавляем DSCP(TOS) метку на приложение, маршрутизатор в свою очередь принимая метку маркирует соединение и на основе access-листа разрешает, либо запрещает соединение.
Собственно будем пытаться сделать как на схеме. Метку при этом я выбрал 32 — она довольно распространенная даже среди провайдеров, но мы не будем лезть в входящий и исходящий трафик, мы лезем только в «проходящий мимо». Почему 32? — а у нее просто очень хорошее число, в бинарном виде DSCP передается как 100000, а TOS 100 — дело в том что некоторые старые устройства не понимают что такое DSCP и метку обрезают с конца до TOS и число 100000 превращается в 100 — такую метку наш роутер тоже поймет. Еще бывает коммутаторы промежуточные срезают метку поставленную роутером — не доверяют типа роутеру, для этого надо на примере коммутаторов SNR добавлять строку на интерфейс mls qos trust dscp. Ладно, хватит теории, к делу.
Сначала нам надо повешать метку на приложение — открываем редактор локальной групповой политики
Переходим Конфигурация компьютера -> Конфигурация Windows -> QoS на основе политики
Нажимаем правой кнопкой мыши Создать новую политику. Добавляем профиль политики я ее назвал skype_dscp, следом нужно указать значение (от 0 до 63) и частоту передачи — я выбрал значение 32 и частоту передачи 2 Мб/с.
Далее нам надо выбрать приложение или URL-адрес приложения, URL как мы поняли нам неизвестен, собственно поэтому эта статья и написана, выбираем только к приложениям с именем исполняемого файла — в данном случае указываем skype.exe.
Далее нам следует указать IP-адреса, но нам опять же они неизвестны, да и не интересно собственно, в целом у нас итак будет возможность управлять им на роутере, поэтому ставим к любому исходному IP-адресу и к любому конечному IP-адресу.
Далее нужно указать протоколы и порты подключения, нам они опять же неизвестны, но известно что Skype использует как TCP так и UDP соединения, поэтому надо выпадающий список поставить TCP и UDP.
Нажимаем Ок и наша политика готова.
Для раскатывания политиками или добавления вручную достаточно добавить значения в ветке реестра:
Далее нам надо отмаркировать это дело на нашем микротике, заходим IP -> Firewall -> Mangle и добавляем новое правило:
add action=mark-connection chain=forward comment=DSCP_32_mark_skype_connection_except_allow_all dscp=32 new-connection-mark=DSCP_32 passthrough=no src-address-list=!allow_all
У меня маркируется трафик Skype, кроме тех, кто в адрес-листе allow_all — это люди, которым дан полный доступ в интернет — нет смысла маркировать то, что итак доступно.
Теперь у нас приложение маркируется на роутере. Как узнаем? Да просто: заходим на микротик IP -> Firewall -> Connections, фильтруем по нашему Src.address и видим:
ОГО! И это подключения только с одного компьютера.
Осталось разрешать или запрещать, создадим 3 правила на основе access-листа.
Создадим разрешающие правила, правило на source:
Правило на destination отличается от source только в вкладке Advanced:
Создадим теперь запрещающее правило — все тоже самое, только в Advanced ничего не ставим, а Action -Drop:
Консольный вариант всех трех правил:
add action=accept chain=forward comment=DSCP_32_allow_source_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32 src-address-list=Allow_Skype_for_User
add action=accept chain=forward comment=DSCP_32_allow_destination_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32 dst-address-list=Allow_Skype_for_User
add action=drop chain=forward comment=DSCP_32_reject_skype_connection_except_allow_skype_for_user connection-mark=DSCP_32
Все готово! Для того, чтобы Skype разрешить пользователю доступ в Skype добавляем адрес компьютера пользователя в IP -> Firewall -> Address Lists название листа Allow_Skype_for_User. Для его запрета просто удаляем адрес из списка. Раскатать массово доменными политиками думаю сложности администратору не составит. На этом настройка закончена.
Рад если кому-то пригодится данный мануал.
Найдены дубликаты
скайп уже хреновый файлообменник
Согласен, я бы не пользовался. Это все распоряжения сверху))
моё лицо листая пост
на 1к пользователей можно и на skype for buisness раскошелится, к примеру. Он все-таки лучше интегрирован с корпоративной средой
Это самое мерзкое приложение что я видел. Как же нужно не любить людей, чтоб заставлять им пользоваться.
Он нужен в редких случаях и не надолго нет смысла покупать
Настраиваю маркировку трафика групповыми политиками в вин10 — все в порядке, точно те же групповые политики в вин7 не дают никакого эффекта. В wiresharke dscp по нулям. Подскажите, пожалуйста, если сталкивались — какие еще манипуляции для семерки необходимы?
Да вроде никаких, у нас как на 10 так и на 7 одинаково работает. А 7ка у вас версия корпоративная? Просто есть вариант что на других не заработает (не проверено). Еще может фаервол блочит.
Спасибо за ответ. Да, корпоративная, фаервол отключал. Кстати, попробовал на машине с 10кой поставить под виртуалками 7ку и 10ку, прокинул им обоим бридж на свою сетевую карту и указал что бы обе дублировали хостовую. Запустил ваершарк на хостовой и история повторилась — с виртуальной 10ки трафик идет маркированый, а с 7ки нет.
Спасибо, очень много прикольных фич можно реализовать, чет в голову не приходило метить на клиентской тачке!
Чуваки, а чего скайпом в корпоративе еще пользуются?
Конечно! Он же бесплатный (не имеется ввиду skype for buisness)
а че как с производительностью? Какой микрот? Если внезапно в этой сети будет видеоконференция на 20+ товарищей, ну или просто приспичит одновременно позвонить, железка не захлебнется?
С производительностью хорошо, не просаживает. В мелких филиалах стоят rb951, где-то и rb750, 10+ спокойно вывозят. В больших филиалах у нас ccr’ы 16 ядерные хрен его заткнешь даже 30+ человек одновременно. По большей части у нас скайп не используется, почти на 1к человек пользуется всего человек 50 — но зато постоянно и приходилось из за скайпа снимать все ограничения для некоторых машин. Открывать пулы микрософта и скайпа — не спортивно нафиг. Вот и придумал такую вещь.
шошнадцоть ядер микрота могут ничего не значить ибо irq и вообще параллелизм у него немного хромает, всё зависит от того как и что наконфигурено, как траф ходит, какие процессы.
И кстати, правило для Destination list в принципе, может быть лишним. Возможно, правило accept для цепочки forward на established соединения должно пустить трафик со скайпа внутрь к конечным потребителям. Но это зависит от конкретных правил фаервола и их порядка.
Так и есть, но у меня есть там в фаерволе свои ньюансы и некоторые компы именно в dst прилетают, добавил просто для общей картины
Ну я и говорю, что зависит от конкретных правил. Может, если пересмотрите их порядок, его и не нужно вовсе будет.
Вам бы с этой статьей на Хабр
Интересное решение, спасибо за новую инфу
Beeline Smart Box с другим провайдером.
Всем привет. Случился недавно переезд в новую квартиру, и так как мы живем в 21 веке то в дом первым пускают кошку интернет конечно же. Так выпало, что единственный доступный на данный момент провайдер это Ростелеком. Собственно к чему всё это, при переезде осталась на первый взгляд бесполезная коробочка роутер от билайна под названием SmartBox (читай -коробка). Но вот беда, работает он только с билайном. Ребята монтажники сказали, что вариантов настроить роутер нет, и надо покупать или любой другой и тоже его перенастраивать мучиться или взять их какашку роутер в рассрочку и всё будет сразу работать. Но мы ведь без боя не сдадимся, да и тем более судя по тех. данным подобный роутер стоит около 1500р, а это неплохой повод не тратить их. Если поможет хоть кому то, это уже хорошо, я убил пол дня чтоб всё подключить.
И так имеем ростелеком интернет и ТВ в проводе, и коробку в наличии.
Первым делом сбрасываем настройки коробки до заводских при помощи кнопки на задней панели и заходим в настройки коробки адрес 192.168.1.1
Затем нужны логин и пароль для входа. Под обычным доступом с правами админа — admin/admin — вам доступно только DHCP+L2TP. А вот чтобы настроить роутер как вам нравится, Вам нужно зайти под суперюзером — логин SuperUser, пароль Beeline$martB0x.
Вторым по счету заходим в «Расширенные настройки» а затем выбираем «Другие»
В открывшемся окне мы видим таблицу с подключениями WAN. Галочками выбраны подключения интеренет и ТВ собственно их мы и будем менять. Сначала нам нужен интернет поэтому ставим галку напротив подключения где написано internet и выбираем «ИЗМЕНИТЬ».
Далее выбираем: Список серверов — DATA. Тип подключения — routing. «Режим IP» выбираем PPPoE. Вводим данные для подключения которые нам предоставил провайдер. И ставим галку в строке «Использовать NAT». Сохраняем изменения, выбираем настройки Wi-Fi (пароль и имя сети) и применяем. Интернет есть.
Далее повторяем пункт 2 и выбираем для изменения строку с настройками ТВ, у меня была записана как intranet. Выбираем тип подключения bridge, и режим Ip меняем на статический IP. Сохраняем и применяем. ТВ есть )
Вот так собственно без каких либо серьезных заморочек можно заставить эту коробку работать с любым провайдером.