Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 11224 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't get Skype to work through Astaro Gateway

prezmc
I just setup Astaro gateway, and have most things working the way i need.  The only exception is Skype.  All other IM type clients work fine.  I've been looking for other posts with a similar problem, but most of them are looking for ways to block skype.  Any ideas where to start looking?

Thanks
Shannon


This thread was automatically locked due to age.
  • 0
    When it is blocked, what related blocked packets do you see in the packet filter Live Log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, do you have Masquerading setup, and a packetfilter allowing any outgoing traffic, or are you relying on the http proxy?
    Skype will try a wide range of ports until it finds one that works, btw.

    Barry
  • 0 in reply to BarryG
    2009:09:24-17:03:39 McAST httpproxy[31612]: [ 0x8144e30] ssl_connect (ssl.c:954) ssl_handshake: Input/output error
    2009:09:24-17:03:39 McAST httpproxy[31612]: [ 0x8144e30] ssl_log_errors (ssl.c:41) C: 31612:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299:
    2009:09:24-17:03:39 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="0 ms" request="0x8144e30" url="173.168.175.19" exceptions="" error=""
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x81a29f8] ssl_log_errors (ssl.c:41) S: 31612:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x81a29f8] ssl_connect (ssl.c:954) ssl_handshake: Input/output error
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x81a29f8] ssl_log_errors (ssl.c:41) C: 31612:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299:
    2009:09:24-17:03:54 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="0 ms" request="0x81a29f8" url="70.131.107.107" exceptions="" error=""
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x8177b10] ssl_log_errors (ssl.c:41) S: 31612:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x8177b10] ssl_connect (ssl.c:954) ssl_handshake: Input/output error
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x8177b10] ssl_log_errors (ssl.c:41) C: 31612:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299:
    2009:09:24-17:03:54 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="0 ms" request="0x8177b10" url="129.186.208.165" exceptions="" error=""
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x8144e30] ssl_log_errors (ssl.c:41) S: 31612:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x8144e30] ssl_connect (ssl.c:954) ssl_handshake: Input/output error
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x8144e30] ssl_log_errors (ssl.c:41) C: 31612:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299:
    2009:09:24-17:03:54 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="400" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="2101" time="0 ms" request="0x8177b10" url="" exceptions="" error=""
    2009:09:24-17:03:54 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="0 ms" request="0x8144e30" url="71.207.156.61" exceptions="" error=""
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x81917f8] ssl_log_errors (ssl.c:41) S: 31612:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x81917f8] ssl_connect (ssl.c:954) ssl_handshake: Input/output error
    2009:09:24-17:03:54 McAST httpproxy[31612]: [ 0x81917f8] ssl_log_errors (ssl.c:41) C: 31612:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299:
    2009:09:24-17:03:54 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="0 ms" request="0x81917f8" url="70.189.81.19" exceptions="" error=""
    2009:09:24-17:03:55 McAST httpproxy[31612]: [ 0x81917f8] ssl_log_errors (ssl.c:41) S: 31612:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:
    2009:09:24-17:03:55 McAST httpproxy[31612]: [ 0x81917f8] ssl_connect (ssl.c:954) ssl_handshake: Input/output error
    2009:09:24-17:03:55 McAST httpproxy[31612]: [ 0x81917f8] ssl_log_errors (ssl.c:41) C: 31612:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:299:
    2009:09:24-17:03:55 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" time="0 ms" request="0x81917f8" url="68.45.235.95" exceptions="" error=""
    2009:09:24-17:03:56 McAST httpproxy[31612]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="172.16.31.118" user="" statuscode="400" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="2101" time="0 ms" request="0x81543c0" url="" exceptions="" error=""
  • 0
    Have you tried unchecking the box for 'Scan HTTPS (SSL) Traffic' on the HTTP/S 'Global' tab?  Still, are you sure that's from your Skype connection attempt?  It doesn't look like what I see when I watch Skype start up on my machine.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    When I uncheck scan https, skype connects no problem.  When i re-enable, it's blocked.  I created an exception the allows conn.skype.com and skype.com, but it seems there is some weird ssl wrong version error that it gets connecting to other random IPs.

    This is the skype client on Mac, not sure if that makes a difference.
  • 0
    I'm really Mac-ignorant, but I believe that you have the same problem as https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44069

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks for the help BAlfson.  I reloaded the machine running astaro, and re-worked the config, it works now.  No idea what is different than before.
  • 0
    Can anyone tell me how I can have "Scan HTTPS (SSL) Traffic" enabled and still have Skype working?

    I have Exceptions on conn.skype.com and skype.com but it still won't work and I don't want to change the Connection settings in Skype.


    Many thanks for help.

    Claudio
  • 0
    [FONT=&quot]- just open as all UDP and TCP ports from 1024 to 65535 for outgoing traffic. You will still get many many SSL handshake errors in the http proxy log (only in transparent mode, of course), but Skype will be able to connect to the outside.[/FONT]
      You can use less open ports, some test I made showed that it seems to be sufficient to open all UDP and TCP ports from 30000 to 40000, but it will need some time (10-30 sec.) until Skype can connect then. (Open only the ports 35000-40000 and it will last for several minutes until Skype connects)
    Of course, opening so many ports from inside to outside is pretty dangerous/unsecure, however, if you use Skype in your LAN, it is a philosophic discussion what is more unsecure - to open these ports or the usage of Skype itself ...
  • 0
    OK but in contrast how unsecure is it to not Scan HTTPS Traffic?

    Also, what is the point of having "IM-P2P/Instant Messaging/SKYPE=Do not control"   if it's this hard to get working?

    Many thanks.
    Claudio