URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7114
[ Назад ]

Исходное сообщение
"squid и lync2013"

Отправлено Ninjatrasher , 04-Июн-14 15:44 
Добрый день.

Возникла еще одна проблема со сквидом.

В нашей организации используется lync2013. Если пользователь выходит минуя squid линк подключается и все работает ок. Но если пользоваться выходит в сеть через squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести учетные данные для связи Lync сервера.

В acl squid добавлены ip адреса lync серверов, но все равно окно появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как убрать это окно, что бы не раздражало и какие еще нужно внести настройки в squid что бы пропускал lync


Содержание

Сообщения в этом обсуждении
"squid и lync2013"
Отправлено ipmanyak , 04-Июн-14 15:59 
> Добрый день.
> Возникла еще одна проблема со сквидом.
> В нашей организации используется lync2013. Если пользователь выходит минуя squid линк подключается
> и все работает ок. Но если пользоваться выходит в сеть через
> squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести
> учетные данные для связи Lync сервера.
> В acl squid добавлены ip адреса lync серверов, но все равно окно
> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
> убрать это окно, что бы не раздражало и какие еще нужно
> внести настройки в squid что бы пропускал lync

Почитай предпоследний пост
http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
возможно твой случай.


"squid и lync2013"
Отправлено Golub Mikhail , 06-Июн-14 10:45 
>[оверквотинг удален]
>> и все работает ок. Но если пользоваться выходит в сеть через
>> squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести
>> учетные данные для связи Lync сервера.
>> В acl squid добавлены ip адреса lync серверов, но все равно окно
>> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
>> убрать это окно, что бы не раздражало и какие еще нужно
>> внести настройки в squid что бы пропускал lync
> Почитай предпоследний пост
> http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
> возможно твой случай.

Не надо подключаться к своему линку через прокси с локальной сети.
NTLM через сквид не проходит.
И авторизация может запрашиваться не только линком, а еще вебсервисами Exchange.


"squid и lync2013"
Отправлено Ninjatrasher , 09-Июн-14 09:42 
>[оверквотинг удален]
>>> В acl squid добавлены ip адреса lync серверов, но все равно окно
>>> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
>>> убрать это окно, что бы не раздражало и какие еще нужно
>>> внести настройки в squid что бы пропускал lync
>> Почитай предпоследний пост
>> http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
>> возможно твой случай.
> Не надо подключаться к своему линку через прокси с локальной сети.
> NTLM через сквид не проходит.
> И авторизация может запрашиваться не только линком, а еще вебсервисами Exchange.

хм.м.м а можно ли как нибудь настроить так что бы сквид пускал линк к своем сервисам? я уже и указывал ему в acl ip адресса серверов линка, и в сквидгарде прописывал в вайтлист


"squid и lync2013"
Отправлено Ninjatrasher , 10-Июн-14 14:04 
>[оверквотинг удален]
>>> В acl squid добавлены ip адреса lync серверов, но все равно окно
>>> появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
>>> убрать это окно, что бы не раздражало и какие еще нужно
>>> внести настройки в squid что бы пропускал lync
>> Почитай предпоследний пост
>> http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
>> возможно твой случай.
> Не надо подключаться к своему линку через прокси с локальной сети.
> NTLM через сквид не проходит.
> И авторизация может запрашиваться не только линком, а еще вебсервисами Exchange.

Так подключаемся мы к облачному серверу линка, а не к локальному.


"squid и lync2013"
Отправлено Golub Mikhail , 10-Июн-14 19:01 
> Так подключаемся мы к облачному серверу линка, а не к локальному.
> В acl squid добавлены ip адреса lync серверов

Lync подключается по имени.
Посмотрите логи. access.log
Там будет написано, куда не пустило. А почему - смотрите конфиг.
Конфига общего нет. У каждого свой, свои правила.
И что у вас открыто - только вам знать.
Какие требования у провайдера услуг, предоставляющего облачный линк?
Указано, что нужен доступ на такие-то адреса, по таким-то портам ...
Может там порты не стандартные.

И еще повторюсь, что авторизацию могут запрашивать веб-сервисы Exchange. Наверняка почта у вас тоже в облаке и на Exchange.
Lync ищет запись autodiscover.имя.домена для подключения к сервисам.
А может и по имени https://имя.домена ...
В общем, посмотрите логи прокси, чтобы понять, к каким url-ам возникает запрос аутентификации, почитайте как работает autodiscover ...


"squid и lync2013"
Отправлено Ninjatrasher , 16-Июн-14 10:24 
>[оверквотинг удален]
> И что у вас открыто - только вам знать.
> Какие требования у провайдера услуг, предоставляющего облачный линк?
> Указано, что нужен доступ на такие-то адреса, по таким-то портам ...
> Может там порты не стандартные.
> И еще повторюсь, что авторизацию могут запрашивать веб-сервисы Exchange. Наверняка почта
> у вас тоже в облаке и на Exchange.
> Lync ищет запись autodiscover.имя.домена для подключения к сервисам.
> А может и по имени https://имя.домена ...
> В общем, посмотрите логи прокси, чтобы понять, к каким url-ам возникает запрос
> аутентификации, почитайте как работает autodiscover ...

из логов выяснил , что линк ломиться к lyncdiscoverinternal.domain.com
но не очень понимаю, как сквиду разрешить пропускать весь трафик напрямую к lyncdiscoverinternal.domain.com?
линк работает на стандартном 443 порте, в сквиде он разрешен. Проблем с облачной почтой нет, почему то проблема только с линком, хотя все Ip адреса, которые микрософт просит разрешить на прокси для облачного линка и облачной почты разрешены.


"squid и lync2013"
Отправлено Golub Mikhail , 16-Июн-14 22:57 
>[оверквотинг удален]
>> А может и по имени https://имя.домена ...
>> В общем, посмотрите логи прокси, чтобы понять, к каким url-ам возникает запрос
>> аутентификации, почитайте как работает autodiscover ...
> из логов выяснил , что линк ломиться к lyncdiscoverinternal.domain.com
> но не очень понимаю, как сквиду разрешить пропускать весь трафик напрямую к
> lyncdiscoverinternal.domain.com?
> линк работает на стандартном 443 порте, в сквиде он разрешен. Проблем с
> облачной почтой нет, почему то проблема только с линком, хотя все
> Ip адреса, которые микрософт просит разрешить на прокси для облачного линка
> и облачной почты разрешены.

Что касается линка, то посмотрите http://technet.microsoft.com/ru-ru/library/gg398758.aspx
"lyncdiscoverinternal.<домен>   запись A (хоста) для службы автоматического обнаружения на внутренних веб-службах".
Не знаю, как с вариантом хостинга линка на стороне, но lyncdiscoverinternal нужна только в локалке.
Возможно, что тип аутентификации не проходит через сквид.

Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
Авторизации на сквиде нет?


"squid и lync2013"
Отправлено Ninjatrasher , 17-Июн-14 08:59 
>[оверквотинг удален]
>> Ip адреса, которые микрософт просит разрешить на прокси для облачного линка
>> и облачной почты разрешены.
> Что касается линка, то посмотрите http://technet.microsoft.com/ru-ru/library/gg398758.aspx
> "lyncdiscoverinternal.<домен>   запись A (хоста) для службы автоматического обнаружения
> на внутренних веб-службах".
> Не знаю, как с вариантом хостинга линка на стороне, но lyncdiscoverinternal нужна
> только в локалке.
> Возможно, что тип аутентификации не проходит через сквид.
> Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
> Авторизации на сквиде нет?

Авторизация в сквиде NTLM.

Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов линка.

так же сейчас заметил, если в самом линке указать напрямую, что конектиться к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка с авторизацией на локалхост все равно выскакивает.


"squid и lync2013"
Отправлено Golub Mikhail , 17-Июн-14 10:22 
>[оверквотинг удален]
>> только в локалке.
>> Возможно, что тип аутентификации не проходит через сквид.
>> Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
>> Авторизации на сквиде нет?
> Авторизация в сквиде NTLM.
> Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов
> линка.
> так же сейчас заметил, если в самом линке указать напрямую, что конектиться
> к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка
> с авторизацией на локалхост все равно выскакивает.

Выпустите линк без авторизации.
Не проверял, но наверняка он не умеет авторизироваться на прокси.


"squid и lync2013"
Отправлено Ninjatrasher , 17-Июн-14 11:25 
>[оверквотинг удален]
>>> Какие правила в squid.conf? Только не копи-пасте всего конфига с комментариями.
>>> Авторизации на сквиде нет?
>> Авторизация в сквиде NTLM.
>> Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов
>> линка.
>> так же сейчас заметил, если в самом линке указать напрямую, что конектиться
>> к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка
>> с авторизацией на локалхост все равно выскакивает.
> Выпустите линк без авторизации.
> Не проверял, но наверняка он не умеет авторизироваться на прокси.

а как это сделать в сквиде?


"squid и lync2013"
Отправлено Golub Mikhail , 17-Июн-14 11:32 
>[оверквотинг удален]
>>>> Авторизации на сквиде нет?
>>> Авторизация в сквиде NTLM.
>>> Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов
>>> линка.
>>> так же сейчас заметил, если в самом линке указать напрямую, что конектиться
>>> к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка
>>> с авторизацией на локалхост все равно выскакивает.
>> Выпустите линк без авторизации.
>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
> а как это сделать в сквиде?

Мда ... :(

Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
Многие клиент-банки, например.
А есть еще ПО, которое вообще в принципе не может работать с прокси. Придется такое ПО через NAT выпускать.
Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.


"squid и lync2013"
Отправлено Ninjatrasher , 17-Июн-14 11:43 
>[оверквотинг удален]
>>>> с авторизацией на локалхост все равно выскакивает.
>>> Выпустите линк без авторизации.
>>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
>> а как это сделать в сквиде?
> Мда ... :(
> Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
> Многие клиент-банки, например.
> А есть еще ПО, которое вообще в принципе не может работать с
> прокси. Придется такое ПО через NAT выпускать.
> Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.

Михаил, то Вы предлагает на уровне сетевого оборудования это делать?


"squid и lync2013"
Отправлено Golub Mikhail , 17-Июн-14 12:48 
>[оверквотинг удален]
>>>> Выпустите линк без авторизации.
>>>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
>>> а как это сделать в сквиде?
>> Мда ... :(
>> Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
>> Многие клиент-банки, например.
>> А есть еще ПО, которое вообще в принципе не может работать с
>> прокси. Придется такое ПО через NAT выпускать.
>> Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.
> Михаил, то Вы предлагает на уровне сетевого оборудования это делать?

Вам виднее. Вы же должны знать, как у вас все реализовано.
Вы наверняка знаете, зачем вам нужен прокси ... если вы писали, что можно прописать "напрямую" и без прокси подключается.
Как клиенты попадают на прокси? - указан явно, получают настройки через dns, dhcp ...
Можно задать исключения, что по таким-то именам не использовать прокси.

Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
acl lync dstdomain .lync.com
http_access allow lync


"squid и lync2013"
Отправлено Ninjatrasher , 17-Июн-14 13:31 
>[оверквотинг удален]
>> Михаил, то Вы предлагает на уровне сетевого оборудования это делать?
> Вам виднее. Вы же должны знать, как у вас все реализовано.
> Вы наверняка знаете, зачем вам нужен прокси ... если вы писали, что
> можно прописать "напрямую" и без прокси подключается.
> Как клиенты попадают на прокси? - указан явно, получают настройки через dns,
> dhcp ...
> Можно задать исключения, что по таким-то именам не использовать прокси.
> Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
> acl lync dstdomain .lync.com
> http_access allow lync

Спасибо за столь язвительный ответ :)



"squid и lync2013"
Отправлено Ninjatrasher , 17-Июн-14 13:39 
>[оверквотинг удален]
>> Михаил, то Вы предлагает на уровне сетевого оборудования это делать?
> Вам виднее. Вы же должны знать, как у вас все реализовано.
> Вы наверняка знаете, зачем вам нужен прокси ... если вы писали, что
> можно прописать "напрямую" и без прокси подключается.
> Как клиенты попадают на прокси? - указан явно, получают настройки через dns,
> dhcp ...
> Можно задать исключения, что по таким-то именам не использовать прокси.
> Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
> acl lync dstdomain .lync.com
> http_access allow lync

я предполагал, что раз вы отвечаете в теме, то наверное у вас был опыт в настройки Lync2013 через сквид. А разводить демагогию, ну что ж, это минус всех форумов) но все равно спасибо вам.


"squid и lync2013"
Отправлено Golub Mikhail , 17-Июн-14 13:55 
>[оверквотинг удален]
>> можно прописать "напрямую" и без прокси подключается.
>> Как клиенты попадают на прокси? - указан явно, получают настройки через dns,
>> dhcp ...
>> Можно задать исключения, что по таким-то именам не использовать прокси.
>> Или в конфиге прокси добавить ПЕРЕД аутентификацией что-то типа:
>> acl lync dstdomain .lync.com
>> http_access allow lync
> я предполагал, что раз вы отвечаете в теме, то наверное у вас
> был опыт в настройки Lync2013 через сквид. А разводить демагогию, ну
> что ж, это минус всех форумов) но все равно спасибо вам.

Правильно поставленный вопрос - это уже половина ответа.
Вы прочитайте свой вопрос и попробуйте дать ответ.
В вопросе вы описали "сферического коня в вакууме" и хотели в ответ получить конкретный пример реализации.
У меня все (выход в Интернет, работа с прокси, работа с линком и т.д.) реализовано одним способом, у вас другим. У кого-то третьим ...
На прокси у меня свои схемы аутентификации и правила доступа.
А не зная как сделано у вас я не мог дать вам однозначный ответ, так как не обладаю телепатическими способностями.


"squid и lync2013"
Отправлено Ninjatrasher , 17-Июн-14 15:52 
>[оверквотинг удален]
> Правильно поставленный вопрос - это уже половина ответа.
> Вы прочитайте свой вопрос и попробуйте дать ответ.
> В вопросе вы описали "сферического коня в вакууме" и хотели в ответ
> получить конкретный пример реализации.
> У меня все (выход в Интернет, работа с прокси, работа с линком
> и т.д.) реализовано одним способом, у вас другим. У кого-то третьим
> ...
> На прокси у меня свои схемы аутентификации и правила доступа.
> А не зная как сделано у вас я не мог дать вам
> однозначный ответ, так как не обладаю телепатическими способностями.

не могли бы Вы тогда показать часть вашего конфига сквида, где описывается пропуск Lync


"squid и lync2013"
Отправлено Golub Mikhail , 17-Июн-14 18:38 
>[оверквотинг удален]
>> В вопросе вы описали "сферического коня в вакууме" и хотели в ответ
>> получить конкретный пример реализации.
>> У меня все (выход в Интернет, работа с прокси, работа с линком
>> и т.д.) реализовано одним способом, у вас другим. У кого-то третьим
>> ...
>> На прокси у меня свои схемы аутентификации и правила доступа.
>> А не зная как сделано у вас я не мог дать вам
>> однозначный ответ, так как не обладаю телепатическими способностями.
> не могли бы Вы тогда показать часть вашего конфига сквида, где описывается
> пропуск Lync

Вам это не поможет. По нескольким причинам ...
У меня линк локальный. И "пропускать" его не надо.
Вторая причина, что на прокси у меня практически все acl обрабатываются внешними процессами.
И такой конфиг я вам буду долго описывать.

Я вам писал, как сделать. Но не буду же я вам конфиг делать. Перепишите под себя.
acl lync dst 1.1.1.0/24 2.2.2.0/24
http_access allow lync

Добавить правило http_access allow перед авторизацией. И тогда доступ по указанному правилу будет без авторизации.


"squid и lync2013"
Отправлено Ninjatrasher , 18-Июн-14 09:12 
>[оверквотинг удален]
> У меня линк локальный. И "пропускать" его не надо.
> Вторая причина, что на прокси у меня практически все acl обрабатываются внешними
> процессами.
> И такой конфиг я вам буду долго описывать.
> Я вам писал, как сделать. Но не буду же я вам конфиг
> делать. Перепишите под себя.
> acl lync dst 1.1.1.0/24 2.2.2.0/24
> http_access allow lync
> Добавить правило http_access allow перед авторизацией. И тогда доступ по указанному правилу
> будет без авторизации.

спасибо большое попробую!


"squid и lync2013"
Отправлено Ninjatrasher , 18-Июн-14 12:54 
>[оверквотинг удален]
> У меня линк локальный. И "пропускать" его не надо.
> Вторая причина, что на прокси у меня практически все acl обрабатываются внешними
> процессами.
> И такой конфиг я вам буду долго описывать.
> Я вам писал, как сделать. Но не буду же я вам конфиг
> делать. Перепишите под себя.
> acl lync dst 1.1.1.0/24 2.2.2.0/24
> http_access allow lync
> Добавить правило http_access allow перед авторизацией. И тогда доступ по указанному правилу
> будет без авторизации.

Все оказалось гораздо прозаичнее, DNS нужно было прописать lyncdiscoverinternal.domain.com.
И линк законектился на ура, но проблема с появляющимся окном авторизации остается, но это скорей всего из за того что Линк хочется синхронизоваться с exchange и outlook.

Большое спасибо Михаил за наведение на нужные мысли ) Прошу меня простить, если я Вас вывел из себя в каком то момент нашего с вами диалога.