Windows Live 2011 não conecta [RESOLVIDO]

gregorio_rr
(usa openSUSE)

Enviado em 28/03/2011 - 14:38h

Na empresa há um servidor opensuse 11.3 rodando squid autenticado e firewall iptables. Já liberei as portas necessárias para os devidos sites e acessos, etc. Liberei a porta 1863 para o Live Messenger, mas a versão 2011 Essentials não conecta nem a socos e pontapés, já a versão 2009 conecta na boa, sem problemas... O que poderá ser? Squid ou iptables? Verifiquei os logs e não aparece nenhum "denied", peguei no site da MS a lista de sites e portas que o Windows Live usa para se conectar, todavia não foi eficaz.

erikogp
(usa Debian)

Enviado em 31/03/2011 - 18:45h

Olá. Já procurei também por este problema por aqui e em outros foruns. Tem outros colegas também aqui no forum com esse problema. Eu tenho certeza que o problema é no firewall. Eu também não consegui nada, mas sei que a negação vem do firewall, portanto tente ver alguma regra lá. Eu porém não consegui. Cheguei a instalar outro servidor, o mandriva e funciona blz, só que não funciona o redirecionamento. Mas enfim, continuo com o problema, pois tenho dois links na empresa e um ainda está com esse problema e não posso abandonar este servidor de vez por causa do redirecionamento para o Serviço de Terminal do server 2008.
Caso encontre a solução, por favor avise aqui e se eu também encontrar, lhe avisarei, ok?

algoz
(usa Debian)

Enviado em 01/04/2011 - 09:19h

Galera, depois de muito custo resolvi esse mesmo problema aqui.
crie duas acl's no squid:
acl libera_msn url_regex -i "/etc/squid/regras/msn"
acl libera_msnd dstdomain -i "/etc/squid/regras/msnd"
e liberado essas acls para os usuários que utilizarão o msn. Só com essas acls não funcionou, pois o squid autenticado continuava bloqueando um dominio em especifio que era ssw.live.com. Com nslookup descobri qual era o ip desse site e com o whois qual era a faixa de rede que ele trabalhava. Aí ficou facil, com essa regra no firewall tudo funcionou perferitamente.
$IPTABLES -t nat -A PREROUTING -d 65.52.0.0/12 -p tcp --dport 443 -j ACCEPT
espero que tenha ajudado,
abraços

gregorio_rr
(usa openSUSE)

Enviado em 01/04/2011 - 12:50h

Blza, irei testar e posto o resultado.

gregorio_rr
(usa openSUSE)

Enviado em 01/04/2011 - 13:01h

Algoz,

Mesmo problema. Este domínio ssw.live.com já havia liberado no squid, daí uq fiz foi liberar o ip no iptables, mas não deu certo.
Eu vi em alguns outros fóruns que o WLM 2011 era instável, daí a MS liberou o update pelo próprio WLM 2009 que não deixa a estrutura como do 2011, ele apenas atualiza os arquivos e mantém a interface e outras ferramentas.

erikogp
(usa Debian)

Enviado em 03/04/2011 - 07:18h

Galera. Depois de muito tempo descobri a solução. Estava com o mesmo problema acima. O problema é no iptables, que na verdade não chega a ser um problema. Pesquisando em um site internacional, li sobre uma dica para deixar o iptables pronto para o squid ser transparente. Ou seja, para ser proxy transparente não basta apenas configurar no squid. Tem que sair o comando do iptables. Faço o teste. Vá no seu iptables e comente a linha que redireciona o tráfego para a 3128 e coloque estes códigos abaixo, onde eth0 é a placa que chega a internet e eth1 é da rede local.
Seu messenger 2011 vai se conectar normalmente.

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -i eth1 -p tcp --dport 3128
iptables -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -o eth0 -p tcp --dport 80
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -i eth0 -p tcp --sport 80
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -o eth1 -p tcp --sport 80

gregorio_rr
(usa openSUSE)

Enviado em 04/04/2011 - 08:48h

Ericogp,

Uso squid autenticado com o WSBS 2008 e sua dica não funcionou a primeira vista, dei uma olhada no log do squid e encontrei o seguinte link "s-msn.com". No squid tem uma lista de sites do Windows Live que somente a diretoria pode acessar, adicionei o domínio "s-msn.com" junto com sua regra e funcionou. Não sei se tem algo a ver, mas coloquei o squid totalmente transparente e testei as regras, funcionou, qd voltei para autenticado funcionou novamente. Na hora do almoço irei reiniciar o servidor e posto o resultado, vou dar mais um tempo antes de marcar como resolvido.

gregorio_rr
(usa openSUSE)

Enviado em 04/04/2011 - 08:50h

Foi mal erikogp pelo "c", troquei as letras.

algoz
(usa Debian)

Enviado em 04/04/2011 - 09:33h

Aki na empresa tudo funcionando certinho, regras no squid autenticado junto com regras iptables. No meu firewall, além da regra que já postei, a porta 1863 tem que estar liberada pra FORWARD e a porta 443 também está redirecionada para a porta 3128 do squid.
Um detalhe importante. No meu firewall já existiam as regras postadas pelo erikogp.
Espero ter ajudado.
abraços

gregorio_rr
(usa openSUSE)

Enviado em 04/04/2011 - 17:10h

Pessoal, qd reiniciei o servidor o WLM deu o mesmo problema. Usei um novo método q até agora funcionou, farei o uso até amanhã e postarei os resultador.

Criei duas ACL's, uma com acesso direto e outra aos sites do WLM. A que tem acesso direto não passa pela autenticação, mas somente os autenticados podem usar a acl msn, porque uma ACL é dependente da outra para o WLM funcionar. São links interdependentes.

Ficou o seguinte

#acl acesso_direto url_regex -i "/etc/squid/sites/acesso_direto"
#http_access allow acesso_direto

#acl msn url_regex -i "/etc/squid/sites/msn"
#http_access deny !acesso_total msn

###palavras no arquivo acesso_direto:
x-msn-messenger
c.msn.com
s-msn
ADSAdClient31.dll

###palavras no arquivo msn
gateway.dll
messenger.hotmail.com/gateway/gateway.dll
gateway.messenger.hotmail.com/gateway/gateway.dll
loginnet.passport.com
x-msn-messenger
messenger.msn.com
messenger.msn.ca
messenger.msn.net
im.sapo.pt
webmessenger.msn.com
c.msn.com
messenger.msn.com
ADSAdClient31.dll
messenger.msn.com
messenger.hotmail.com
loginnet.passport.com:443
gateway.edge.messenger.live.com
live.com
g.live.com
ssw.live.com
login.live.com
signup.live.com
g.live.com/1reupdate/short
ssw.live.com/uploaddata.aspx
s-msn

acesso_total é uma ACL com os nomes dos usuários com acesso a lista "msn".

Deu pra entender, ou ficou meio confuso??? =D

gregorio_rr
(usa openSUSE)

Enviado em 05/04/2011 - 11:24h

Pessoal, resolvi meu problema da seguinte forma: dei acesso direto ao domínio "login.live.com", sem passar pela autenticação.

#acl login_live url_regex -i login.live.com
#http_access allow login_live

Criei um arquivo "msn" com a lista de domínios que o WLM usa e criei uma acl autenticada

#acl msn url_regex -i "/etc/squid/sites/msn"
#acl acesso_total proxy_auth -i "/etc/squid/usuarios/acesso_total" #lista de usuários com acesso full e ao MSN
#http_access deny !acesso_total msn

gateway.dll
messenger.hotmail.com/gateway/gateway.dll
gateway.messenger.hotmail.com/gateway/gateway.dll
loginnet.passport.com
x-msn-messenger
messenger.msn.com
messenger.msn.ca
messenger.msn.net
im.sapo.pt
webmessenger.msn.com
c.msn.com
messenger.msn.com
ADSAdClient31.dll
messenger.msn.com
messenger.hotmail.com
loginnet.passport.com:443
gateway.edge.messenger.live.com
live.com
g.live.com
ssw.live.com
signup.live.com
g.live.com/1reupdate/short
ssw.live.com/uploaddata.aspx
s-msn

Era o squid que estava barrando o WLM 2011, daí foi só descobrir pelo log qual site deveria ter acesso direto. O WLM não usa apenas um método de autenticação, por isso precisa que os outros estejam bloqueados e apenas um liberado. Isso resolve o problema, ele passa pelo domain liberado e qd busca os outros é "barrado", se o user não tiver acesso a eles.

Espero ter ajudado! Vlw a todos que colaboraram...

Bonner
(usa CentOS)

Enviado em 07/04/2011 - 15:53h

Meus colegas de plantão, boa tarde pra vocês.
Neste momento acabo de acordar, onde passei uma madrugada inteira tentando consertar este problema e outros que estou tendo na minha rede.
Na minha rede, o MSN 2011 não está funcionando ainda, mesmo após ter incrementado no meu Squid estas ACL.

Tenho outros problemas relativos:

O Microsoft Security não atualiza de jeito nenhum e eu já segui dois tutoriais em outros fórums, um no Under Linux e outro em um blog, infelizmente não tive sucesso.

Segue meu squid.conf

#################### Squid.conf ######################
############# Escrito por Pedro Oliveira #############
http_port 3128
visible_hostname localhost.localdomain

cache_mem 512 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 4096 KB
minimum_object_size 4 KB
cache_swap_low 80
cache_swap_high 85
cache_dir ufs /var/cache/squid 4096 16 256
cache_access_log /var/log/squid/access.log
dns_nameservers 8.8.8.8 8.8.4.4
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # whois
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

# Autenticação
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/grupos/userpass
auth_param basic realm Digite login e senha:
auth_param basic children 5
auth_param basic credentialsttl 2 hours
acl userpass proxy_auth REQUIRED

# Grupo de usuarios Admin (acesso full)
acl admin proxy_auth "/etc/squid/grupos/admin"

# Grupo de usuarios Funcionarios (controlados)
acl funcionarios proxy_auth "/etc/squid/grupos/funcionarios"

# Permissoes
# Liberando expressao ou parte da url que estejam apresentando problemas de acesso
acl sites-liberados dstdom_regex -i "/etc/squid/acls/sites-liberados"
acl msn url_regex -i "/etc/squid/acls/msn"

# Bloqueios
# Bloqueando expressão da url ou textos proibidos
acl sites-bloqueados dstdom_regex -i "/etc/squid/acls/sites-bloqueados"

# Bloqueando arquivos por extensoes
acl extensoes-bloqueadas url_regex "/etc/squid/acls/extensoes-bloqueadas"
# Diretório com os links de erros
error_directory /usr/share/squid/errors/Portuguese

# Minha rede local
acl minharede src 192.168.1.0/24

# Nega tudo e libera somente para os usuarios master
http_access deny sites-bloqueados extensoes-bloqueadas !admin !sites-liberados !msn
http_access deny manager
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Acesso liberado para os usuarios masters e sites problematicos
http_access allow admin
http_access allow sites-liberados
http_access allow msn

# Acesso liberado para o grupo funcionarios exceto os bloqueios
http_access allow funcionarios !sites-bloqueados !extensoes-bloqueadas

# Nega todo o resto da rede
http_access deny all

http_access allow minharede
icp_access allow all
miss_access allow all
cache_effective_user squid
cache_effective_group squid

Vocês podem me ajudar apontando onde errei?
Segue também meu script de firewall, como vocês verão, ele é muito simples e eu estranho porque esta atualização do MSecurity não passar, além do MSN 2011 também não, porém, o 2009 funciona perfeitamente!

#!/bin/bash
# chkconfig: 345 99 10
# description: compart

# liberando encaminhamento de pacotes
echo "1" > /proc/sys/net/ipv4/ip_forward

# adicionando módulos no kernel
modprobe ip_tables
modprobe iptable_nat

# limpando todas as regras pré-existentes no iptables
echo "A limpar regras do Firewall"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
echo "Regras do Iptables Limpas!"

#Liberando Sites problemáticos no Proxy
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -d 189.17.249.2 -p tcp --dport 80 -j RETURN
iptables -t nat -A PREROUTING -i eth0 -s 127.0.0.0/24 -d 189.17.249.2 -p tcp --dport 80 -j RETURN
echo "Sites problemáticos liberados. Não esquecer de adicionar exceção no navegador!"

# habilitando o encaminhamento de pacotes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Encaminhamento de Pacotes Habilitado com sucesso!"

# Bloqueio de Saida dos hosts da LAN pela porta 80
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DROP
echo "Saida direta dos hosts da lan na porta 80 fechada!"

# Liberar IP do host do Proxy sair
iptables -t nat -I PREROUTING -s 192.168.1.1 -p tcp --dport 80 -j ACCEPT
echo "IP do host do Proxy liberado"