Minimal Firewall Einstellungen für die Verwendung des V10 GoTo Webinar Desktop-Anwendung

Status: Überprüft

Dieses Dokument und die Beispielszenarien sind Empfehlungen des GoTo Engineering Teams. Es gibt weitere Überlegungen und Konfigurationen, bei denen der Datenverkehr über einen Proxy oder direkt über eine Firewall läuft.

Anmerkung: Dieses Setup wurde im GoTo Netzwerklabor getestet, deckt aber möglicherweise nicht alle Umgebungen und Szenarien ab.

GoTo IP-Adressbereiche

Alle wichtigen Mediendienste sind an diese Bereiche gebunden. Im Idealfall sollten sie direkt über die Netzgrenze und nicht über einen Proxy laufen.

Es wird davon ausgegangen, dass der gesamte GoTo-Meeting-Verkehr, der nicht in diese Bereiche geht, einfaches HTTPS oder WebSocket verwendet und leicht durch einen überprüfenden HTTPS-Proxy umgeleitet werden kann.

TCP-Port 443 (Verbindung)

Verbindungsaufbau für alle Medien, den Download verschiedener Anwendungsteile und Telemetrie — wir verwenden TLS über einfaches TCP, HTTPS sowie WebSocket.

Bereich	Verwenden
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23	VCS (Video-Server)
67.217.64.0/19	VGW (Audio-Server)
68.64.0.0/19	VCS (Video-Server), VGW und Edge (Audio-Server)
78.108.112.0/20	VCS (Video-Server)
173.199.0.0/18	VCS (Video-Server), VGW und Edge (Audio-Server), attendee.gotowebinar.com, global.gotowebinar.com, global.gototraining.com
202.173.24.0/21	MCS (Bildschirmübertragungs-Server)
216.115.208.0/20	VGW (Audio-Server), egwglobal.gotomeeting.com, egw.gotomeeting.com (Verbindungserkennung)

UDP-Anschluss 1853, 8200 (Audio/Video)

Wenn diese UDP-Ports nicht geöffnet sind, greift GoTo Meeting auf TCP zurück (was die Medien- und Verbindungsqualität beeinträchtigen kann). Wir führen verschlüsselten, nicht standardisierten Datenverkehr über diese Verbindungen aus, so dass jede Firewall, die versucht, etwas Intelligentes zu erkennen, scheitert.

Bereich	Verwenden
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23	VCS (Video-Server)
67.217.64.0/19	VGW (Audio-Server)
68.64.0.0/19	VCS (Video-Server), VGW (Audio-Server), siehe TCP
78.108.112.0/20	VCS (Video-Server)
173.199.0.0/18	VCS (Video-Server), VGW (Audio-Server) siehe TCP
216.115.208.0/20	VGW (Audio-Server)

Domänen

Die Liste der Domänen, die von der GoTo Webinar Desktop-Anwendung verwendet werden, umfasst derzeit die folgenden Domains (ist aber nicht darauf beschränkt):

	Domäne	Verwenden	Zeigt auf IP-Adressen in
1	*.goto.com	Zentrale Domäne für den Start von Sitzungen	AWS
2	*.getgo.com	Verschiedene Dienste	AWS
3	*.gotomeeting.com	Verschiedene Dienste	GoTo/AWS
4	*.expertcity.com	Server für Audio- und Bildschirmfreigabe	GoTo
5	*.goto-rtc.com	Audio- und Videoserver	GoTo
6	*.logmeininc.com	Authentifizierung (kritisch)	AWS
7	*.gotowebinar.com	Zentrale Domäne (nur für GoTo Webinar erforderlich)	GoTo/AWS
8	*.gototraining.com	Zentrale Domäne (nur für GoTo Training erforderlich)	GoTo
9	*.launchdarkly.com	Externer Dienstanbieter für die Aktivierung von Funktionen (funktioniert nicht über einen Proxy, nicht kritisch)	Google Cloud
10	api-pub.mltree.net	GoTo Marketing (nicht kritisch)	AWS

GoTo Opener

Dies ist ein separates Programm, das zum Herunterladen und Starten vom nativen GoTo Meeting verwendet wird. Es verwendet die folgenden Domänen (HTTPS, Port 443 TCP).

Domäne	Verwenden	Zeigt auf IP-Adressen in
launch.getgo.com	Konferenzstart-Service	GoTo
join.servers.getgo.com	Konferenzstart-Service	AWS
builds.cdn.getgo.com	CDN für GoTo-Meeting-Builds herunterladen	AWS
builds.getgocdn.com	CDN für GoTo-Meeting-Builds herunterladen	GoTo

Allgemeine Netzwerkkonfigurationsmodi

In einem uneingeschränkten Netzwerk öffnet GoTo Meeting eine Reihe von TCP- und UDP-Verbindungen zu einer Vielzahl von Ports, von denen einige unerlässlich sind, z. B. für das Senden von Audiodaten, und andere unwesentlich Daten, z. B. der Port für Marketing-Popups. Die ersten acht (8) Domänen in der obigen Liste müssen von der Deep Packet Inspection ausgeschlossen werden, falls sich welche im Netzwerkpfad befinden.

Außerdem können die von GoTo Meeting initiierten Verbindungen in drei (3) Kategorien unterteilt werden:

TCP gegenüber GoTo IP-Bereiche
UDP in Richtung GoTo IP-Bereiche
TCP zu anderen IP-Bereichen (derzeit AWS- und Google Cloud-Adressräume)

Ausgehend von dieser Unterscheidung gibt es vier (4) verschiedene Möglichkeiten, Ihr Netz zu konfigurieren.

Modus	Vor- und Nachteile	Schritte zur Konfiguration
Alle TCP mit Port 443 über HTTPS-Proxy, keine Verwendung von UDP	Vorteile Dies ist der einfachste Konfigurationsmodus. Nachteile Die ausschließliche Verwendung von TCP für Medien kann zu schlechter Audio- und Videoqualität und zu Unterbrechungen führen (wenn es auf der zugrunde liegenden IP-Verbindung vom Client-Rechner zu den GoTo-Servern zu Paketverlusten kommt). Da die meisten Server in den USA stehen, wird dies Auswirkungen auf Kunden außerhalb der Vereinigten Staaten haben. Der Verbindungsaufbau dauert in unbeschränkten Netzen aufgrund der erweiterten Sondierung länger.	Blockieren Sie in Ihrer Firewall Folgendes: Sämtlichen ausgehenden TCP-Verkehr in Richtung Port 443, 80 und 8200. Sämtlichen ausgehender UDP-Verkehr in Richtung Port 1853 und 8200. Konfigurieren Sie auf den Client-Computern einen HTTPS-Proxy für Port 443.
Alle TCP mit Port 443 über HTTPS-Proxy, UDP geht direkt durch die Firewall	Vorteile Medien können UDP verwenden, was die wahrgenommene Audio- und Videoqualität verbessert. Es ist vergleichsweise einfacher zu konfigurieren und zu debuggen, da TCP und UDP klar getrennt sind. Nachteile Der Verbindungsaufbau dauert länger als in unbeschränkten Netzen, da die Sondierung länger dauert.	Konfigurieren Sie in Ihrer Firewall Folgendes: Blockieren Sie den gesamten ausgehenden TCP-Verkehr zu den Ports 443, 80 und 8200. Erlauben Sie ausgehenden UDP-Verkehr zu den Ports 1853 und 8200 (Sie können die Adressbereiche auch auf die oben aufgeführten GoTo-IP-Bereiche für UDP beschränken. Konfigurieren Sie auf den Client-Computern einen HTTPS-Proxy.
TCP und UDP zu GoTo-IP-Bereichen geht direkt durch die Firewall, TCP zu anderen IP-Bereichen geht durch HTTPS-Proxy	Vorteile Beste Leistung bei der Medien- und Bildschirmübertragung, schneller Verbindungsaufbau. Nachteile Die Konfiguration ist komplexer und schwieriger zu debuggen.	Konfigurieren Sie in Ihrer Firewall Folgendes: Erlauben Sie ausgehenden TCP-Verkehr zu Port 443 nur für die Adressbereiche, die in den GoTo-IP-Bereiche für TCP oben angegeben sind. Blockieren Sie allen anderen ausgehenden TCP-Verkehr zu den Ports 443, 80 und 8200. Erlauben Sie ausgehenden UDP-Verkehr in Richtung Port 1853 und 8200 - Sie können die Adressbereiche auch auf die obige Liste GoTo IP-Bereiche für UDP beschränken. Anmerkung: Stellen Sie sicher, dass der eingehende Rückverkehr ebenfalls durchgelassen wird (stateful). Konfigurieren Sie auf den Client-Computern einen HTTPS-Proxy.
Führen Sie eine stateful (zustandsabhängige) Firewall aus und lassen Sie den gesamten ausgehenden TCP- und UDP-Verkehr zu; leiten Sie den Verkehr je nach Zustand zurück	Vorteile Keine Konfiguration erforderlich, da der gesamte Datenverkehr vom Client initiiert wird. Die Firewall öffnet die erforderlichen Eingangsverbindungen automatisch. Nachteile Dies ist die Standardkonfiguration für viele Firewalls, wird aber in komplexeren Netzen aufgrund zusätzlicher Sicherheitsanforderungen selten verwendet.	Erfordert keine zusätzliche Konfiguration.

VPN-Konfiguration

Wenn Sie ein VPN verwenden, gibt es mehrere Möglichkeiten, die verschiedenen Streams weiterzuleiten. Die Optionen spiegeln die in der obigen Tabelle aufgeführten Modi wider; allerdings müssen Sie mit Hilfe von Routing entscheiden, welcher Datenverkehr wohin geht (was die Trennung von UDP- und TCP-Datenverkehr erschwert).

Aus diesem Grund empfehlen wir eine der folgenden Optionen:

Leiten Sie alles durch den VPN-Tunnel.
Erlauben Sie allen GoTo-IP-Bereichen, direkt ins Internet zu gehen (TCP und UDP); senden Sie den gesamten sonstigen Verkehr durch das VPN.
Senden Sie nur internen Datenverkehr (d. h. 10.X.X.X und 192.168.X.X) in den VPN-Tunnel und den Rest direkt ins Internet.

Der TCP-Verkehr, der durch den VPN-Tunnel gesendet wird, kann nach dem Durchqueren des Tunnels einen Proxy durchlaufen oder auch nicht. Es gibt weitere Konfigurationen, die von Fall zu Fall mit dem GoTo-Engineering-Team besprochen werden können.

Hinweise zur Proxy-Konfiguration

Wenn Ihr Proxy eine Deep Packet Inspection durchführt, vergewissern Sie sich bitte, dass alle oben aufgeführten Domänen als zugelassen aufgeführt werden. Deep Packet Inspection kann die anfängliche TLS-Verbindung beeinträchtigen und die Medienströme aufgrund von Verarbeitungsverzögerungen verlangsamen.

Obwohl GoTo Meeting viele Quellen für die Proxy-Konfiguration liest (z. B. System-Proxy, Firefox-Proxy, PAC-Dateien, WPAD), kann die Proxy-Erkennung unerwartete Ergebnisse liefern. Ein Aspekt ist, dass die Logik, die zum Parsen von PAC-Dateien verwendet wird, nicht alle Variationen von möglichen Regeln unterstützt. Ein weiterer Aspekt ist, dass in der GoTo-Meeting-Registrierung gespeicherte Proxys manchmal für die Verbindungserkennung verwendet werden. Sobald GoTo Meeting erkennt, dass es eine Verbindung über einen gespeicherten Proxy herstellen kann, wird es diesen auch verwenden, obwohl andere Konfigurationen möglicherweise einen anderen Proxy angeben.

Die einfachste Möglichkeit, die Proxy-Nutzung zu überprüfen, ist die GoTo-Meeting-Protokolldatei.

macOS und Mac OS X

Die Protokolldateien werden hier gespeichert: /Users/username/Library/Logs/com.logmein.GoToMeeting

Um bestehende Proxy-Einträge zu löschen, löschen Sie diese Schlüssel: defaults -currentHost read com.logmein.GoToMeeting |grep ConnectionInfo.

Windows

Die Protokolldateien werden hier gespeichert: %Temp%\LogMeInLogs\GoToMeeting. Suchen Sie den Ordner mit dem neuesten Datum.

Um vorhandene Proxy-Einträge zu löschen, löschen Sie diese Schlüssel: HKEY_CURRENT_USER\SOFTWARE\LogMeInInc\GoToMeeting\ConnectionInfo.