2
Skype trotz eingeschränktem http
Ich hoffe der lange Text schreckt nicht ab ihn zu lesen und eventuell sogar sich darüber Gedanken zu machen =:-o Doch um mein Problem ordentlich und möglichst lückenlos darzulegen komme ich leider nicht mit 3 Sätzen aus.
Vorher jedoch kurz zur Ausgangslage: Internet ist für die meisten Rechner in unserem Netzwerk per Squid Proxy verwehrt (ich nenn sie hier jetzt „Internet_denied“) . Ausgenommen davon sind ein paar Webseiten die in der „trusted_domains“ für ALLE erlaubt sind und eine Handvoll Rechner („Internet_allowed“) die „uneingeschränkt“ http-Verkehr haben dürfen.
Jetzt gibt es die Aufgabe Skype auf einigen Rechnern einzurichten. Bei den „Internet allowed“ Client ist das ja kein Problem, da funktioniert es auf Anhieb. Aber bei den „Internet denied“ Rechnern soll skypen trotz eingeschränkten Internet-Verkehr funktionieren was erwartungsgemäß Probleme verursacht. Im Squidlog am Proxyserver sieht man schön die Verweigerungen der „internet denied“ Clients. Hier ein Beispiel:
1265891823.722 67 192.168.100.85 TCP_DENIED/403 7066 CONNECT 92.46.2.156:443 - NONE/- text/html
Solche Verweigerungen kommen laufend während des Verbindungsversuches des Skype-Clients mit scheinbar „wahllos“ geänderten Zieladressen. Ich nehme an das sind die „Skype-Supernodes“ die hier angefunkt werden (?).
Verstärkt wird diese Annahme durch folgenden „quick and dirty“ Workaround: ich habe angefangen diese TCP_denied Adressen in die „trusted_domains“ zu kopieren. Bei nur einigen wenigen Einträgen funktioniert der Verbindungsaufbau sogar schon manchmal vor dem TimeOut. Mitlerweile habe ich etwa 100 dieser „Supernodes“ eingetragen, dadurch ist die Wahrscheinlichkeit einen „Treffer“ zu landen höher und der Verbindungsaufbau geht sogar schon annehmbar schnell.
Doch die Sache hat 2 Haken: Durch die hohe Anzahl an Freigabeadressen dieser „Supernodes“ wird gegen die Firmensicherheitrichtlinie verstossen die besagt dass jede freigegebene Adresse geprüft werden muss^^. Das zweite Problem ist dass sich meine „Liste“ der Supernodes ja ändern kann, Supernodes dazu oder weg oder was auch immer.
Bitte um Hilfe wie man in diesem Fall die Grundlage für einen stabilen und dauerhaften Skype-Betrieb unter Berücksichtigung der Firmenrichtlinien legen kann. Ich erwarte keine fertige Lösung. Ich stehe etwas in der Sackgasse, Gedankengänge/Ideen sind genauso willkommen.
Danke im Voraus!
Vorher jedoch kurz zur Ausgangslage: Internet ist für die meisten Rechner in unserem Netzwerk per Squid Proxy verwehrt (ich nenn sie hier jetzt „Internet_denied“) . Ausgenommen davon sind ein paar Webseiten die in der „trusted_domains“ für ALLE erlaubt sind und eine Handvoll Rechner („Internet_allowed“) die „uneingeschränkt“ http-Verkehr haben dürfen.
Jetzt gibt es die Aufgabe Skype auf einigen Rechnern einzurichten. Bei den „Internet allowed“ Client ist das ja kein Problem, da funktioniert es auf Anhieb. Aber bei den „Internet denied“ Rechnern soll skypen trotz eingeschränkten Internet-Verkehr funktionieren was erwartungsgemäß Probleme verursacht. Im Squidlog am Proxyserver sieht man schön die Verweigerungen der „internet denied“ Clients. Hier ein Beispiel:
1265891823.722 67 192.168.100.85 TCP_DENIED/403 7066 CONNECT 92.46.2.156:443 - NONE/- text/html
Solche Verweigerungen kommen laufend während des Verbindungsversuches des Skype-Clients mit scheinbar „wahllos“ geänderten Zieladressen. Ich nehme an das sind die „Skype-Supernodes“ die hier angefunkt werden (?).
Verstärkt wird diese Annahme durch folgenden „quick and dirty“ Workaround: ich habe angefangen diese TCP_denied Adressen in die „trusted_domains“ zu kopieren. Bei nur einigen wenigen Einträgen funktioniert der Verbindungsaufbau sogar schon manchmal vor dem TimeOut. Mitlerweile habe ich etwa 100 dieser „Supernodes“ eingetragen, dadurch ist die Wahrscheinlichkeit einen „Treffer“ zu landen höher und der Verbindungsaufbau geht sogar schon annehmbar schnell.
Doch die Sache hat 2 Haken: Durch die hohe Anzahl an Freigabeadressen dieser „Supernodes“ wird gegen die Firmensicherheitrichtlinie verstossen die besagt dass jede freigegebene Adresse geprüft werden muss^^. Das zweite Problem ist dass sich meine „Liste“ der Supernodes ja ändern kann, Supernodes dazu oder weg oder was auch immer.
Bitte um Hilfe wie man in diesem Fall die Grundlage für einen stabilen und dauerhaften Skype-Betrieb unter Berücksichtigung der Firmenrichtlinien legen kann. Ich erwarte keine fertige Lösung. Ich stehe etwas in der Sackgasse, Gedankengänge/Ideen sind genauso willkommen.
Danke im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135756
Url: https://administrator.de/contentid/135756
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
was du mal probioeren könntest, ist die Liste der supernodes in s %username%\anwendungsdaten\skype\shared.xml
zu ändern und halt die, die du in der Liste lässt auch per ACL freizugeben.
was du mal probioeren könntest, ist die Liste der supernodes in s %username%\anwendungsdaten\skype\shared.xml
zu ändern und halt die, die du in der Liste lässt auch per ACL freizugeben.
Hmm, OK. Wie kann ich die shared.xml in einem "leserlichen Format" editieren? Mit z.B. "Peters XML-Editor" kann ich sie öffnen und auch bearbeiten, finde Kolonnen von Zahlen/Buchstaben aber nichts im Format einer IP-Adresse.
