Minimale Firewall-Einstellungen für die GoTo-App
Im Folgenden finden Sie die notwendigen Firewall- und Proxy-Konfigurationsoptionen, die erforderlich sind, um eine Sitzung zu starten und die Audio-, Video- und Bildschirmfreigabe in unserer GoTo App (Desktop- und Browser-Versionen) erfolgreich zu nutzen.
Es gibt noch weitere erweiterte und benutzerdefinierte Einstellungen, die je nach Produkt angewendet werden können, aber auch hier behandelt dieser Artikel die minimalen Einstellungen, die Sie benötigen, um die GoTo-App erfolgreich zu nutzen. Wenn Sie unsere Legacy-App verwenden, finden Sie die minimal erforderlichen Einstellungen hier. Wenn Sie an erweiterten benutzerdefinierten Einstellungen interessiert sind, sehen Sie sich unsere allgemeine Zulassen-Liste und Firewall-Einstellungen hier an (die dann nach Wunsch nach einem bestimmten Produkt gefiltert werden können).
Version 2.3
Domänen
| # | Domäne | Verwenden | Protocol | Zeigt auf IP-Adressen in |
|---|---|---|---|---|
| 1 | *.goto.com | Hauptdomäne | TCP | — |
| 2 | *.goto-rtc.com | Audio- und Videoserver – verwendet WebSocket für einige Verbindungen | UDP/TCP | GoTo/AWS/OCI |
| 3 | *.jive.com | Allgemeine Verbindungen, die von GoTo Connect verwendet werden | UDP/TCP | — |
| 4 | *.getgo.com | Verschiedene Dienste | TCP | AWS/OCI |
| 5 | *.gotomeeting.com | Verschiedene Dienste | TCP | GoTo/AWS/OCI |
| 6 | *.logmeininc.com | Authentifizierung (kritisch) | — | AWS/OCI |
| 7 | *.expertcity.com | Server für die Audio- und Bildschirmübertragung | TCP | GoTo |
| # | Domäne | Verwenden | Protocol | Zeigt auf IP-Adressen in |
|---|---|---|---|---|
| 1 | *.gototraining.com | Zentrale Domäne (nur für GoTo Training erforderlich) | TCP | GoTo |
| 2 | *.firebase.app | Editor zur Erstellung von Umfragen, kann in der Sitzung gestartet werden | TCP | |
| 3 | apis.google.com | Google Drive Freigabe | TCP | |
| 4 | *.youtube.com *.googlevideo.com | Freigabe von YouTube-Videos | TCP |
| # | Domäne | Verwenden | Protocol | Zeigt auf IP-Adressen in |
|---|---|---|---|---|
| 1 | *.gotowebinar.com | Freigabe von YouTube-Videos | TCP | GoTo/AWS/OCI |
| 2 | *.recordingassets.logmeininc.com *.lmiinc.test.expertcity.com | Video-Wiedergaben im Webinar | TCP | — |
Port-Nutzung: Signalisierung vs. Medienverbindungen
- Signalverbindungen -
- TCP-Port 443. Je nach Funktion ist das verwendete Protokoll HTTPS/TLS/SSL/WS.
- Medientransportverbindungen (für VOIP, Kamera und Screensharing)-
- UDP-Port 45000-65535 oder
- UDP-Port 3478 oder
- TCP-Port 3478 oder Port 443
Es gibt 4 allgemeine Konfigurationsszenarien für den Datenverkehr von Goto, die im Folgenden unter Konfigurationsszenarien beschrieben werden.
GoTo besitzt IP-Adressbereiche für den Datenverkehr mit Medien
- 68.64.0.0/19
- 173.199.0.0/18
- 78.108.124.0/23
- 202.173.24.0/21
- 23.239.224.0/19
Konfigurationsszenarien
Die folgenden Szenarien werden vom GoTo-Engineering-Team bereitgestellt. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht (jede Option ist unterhalb dieser Liste aufgeführt):
- Verkehr ohne Einschränkungen - Empfohlen für beste Leistung
- UDP über TURN - Empfohlen für beste Leistung
- TCP 3478 / 443 über TURN
- TCP 443 über TURN – Am meisten eingeschränkt in der Gesprächsqualität aufgrund von Dingen wie Deep Packet Inspection
Verkehr, wenn keine Einschränkungen bestehen
In dieser Konfiguration, die für einen typischen Heimanwender üblich ist, kann der UDP-Datenverkehr zum Portbereich 45000-65535 auf die oben aufgeführten GoTo IP-Adressbereiche beschränkt werden. Der TCP-Datenverkehr zu Port 443 ist nicht eingeschränkt. Die Ziel-IP-Bereiche für diese TCP-Verbindungen gehören zum GoTo/AWS/OCI-Adressraum, so dass es nicht sinnvoll ist, Einschränkungen auf der Grundlage der IP-Adressbereiche durchzuführen. Im Vergleich zu den nachstehenden Szenarien bietet dieser Aufbau auch die kürzesten Verzögerungen und die beste Fehlerkorrektur im Falle eines Paketverlustes. Es erfordert jedoch eine uneingeschränkte Firewall-Einrichtung, die sich auf eine zustandsorientierte Prüfung stützt, um eingehende UDP-Ports nach Bedarf zu öffnen. Der gesamte Datenverkehr wird aus dem GoTo Client-Netzwerk heraus initiiert.
| Protocol | Dst-Anschluss | Dst Adresse | Aktion |
|---|---|---|---|
| UDP | 45000-65535 | GoTo IP-Adressbereiche | Erlauben |
| TCP | 443 | Alle | Erlauben |
UDP über TURN (nur ein Port ist erforderlich)
| Protocol | DST-Port | DST-Adresse | Aktion |
|---|---|---|---|
| UDP | 3478 | GoTo IP-Adressbereiche | Erlauben |
| TCP | 443 | Alle | Erlauben |
TCP 3478 / 443 über TURN
In dieser Konfiguration wird TCP für den Transport von Medien zum TURN-Server verwendet. Hinter dem TURN-Server wird UDP zur GoTo-Infrastruktur verwendet. Da sich die TURN-Server am gleichen Standort wie der Nutzer befinden, können einige der Nachteile von TCP über große Entfernungen gemildert werden. Es ist jedoch nicht so effizient bei der Behandlung von Paketverlusten wie UDP, was bedeutet, dass Sie im Vergleich zur obigen Konfiguration mit einer höheren Anzahl von Audioausfällen und einer höheren Verzögerung rechnen müssen. Ob der TCP 443 Datenverkehr über einen Proxy gesendet wird oder nicht, liegt in Ihrem Ermessen.
| Protocol | DST-Port | DST-Adresse | Aktion |
|---|---|---|---|
| TCP | 3478 | GoTo IP-Adressbereiche | Erlauben |
| TCP | 443 | Alle | Erlauben Sie |
TCP 443 über TURN
Dies ist das am stärksten eingeschränkte Szenario. Sie können den TCP-443-Verkehr über einen Proxy laufen lassen oder auch nicht. Dies führt zu einer zusätzlichen Latenz für die Verbindung. Außerdem ist ein leistungsfähiger Proxy erforderlich, um das hohe Verkehrsaufkommen zu bewältigen, insbesondere bei Videos.
| Protokoll | DST-Port | DST-Adresse | Aktion |
|---|---|---|---|
| TCP | 443 | Alle | Erlauben Sie |
Hinweise zur Proxy-Konfiguration
- Wenn Ihr Proxy eine Deep Packet Inspection (DPI) durchführt, vergewissern Sie sich, dass alle oben aufgeführten Domänen in der Liste der zulässigen Domänen aufgeführt sind. DPI kann die ursprüngliche TLS-Verbindung beeinträchtigen und Medienströme aufgrund von Verarbeitungsverzögerungen verlangsamen.
- Es ist weniger problematisch, DPI im Pfad für die Signalisierungsverbindungen zu haben, wenn Sie die Medien über UDP senden lassen. Das einzige potenzielle Problem dabei ist die Nichtübereinstimmung von Zertifikaten, die bei korrekter Konfiguration der Zertifikate auf Ihren Endpunkten nicht auftreten sollte.
- GoTo verwendet in der Regel den konfigurierten Proxy des Betriebssystems. Wenn ein Proxy konfiguriert ist, wird der gesamte TCP-Verkehr über ihn geleitet. GoTo wird dennoch versuchen, UDP-Verbindungen für Medien herzustellen. Nur wenn diese UDP-Verbindungen fehlschlagen, werden TCP-Mittel-Verbindungen über den Proxy verwendet.
- Um den Datenverkehr von GoTo an einen bestimmten Proxy zu senden, der sich von dem für anderen Datenverkehr unterscheidet, können Sie eine standardmäßige proxy.pac-Datei verwenden, die auf den oben aufgeführten DNS-Domänen basiert.
Hinweise zur VPN-Konfiguration
Im Allgemeinen sucht das in GoTo verwendete WebRTC alle Netzwerkschnittstellen auf Ihrem System nach Medienverbindungen ab und kann einen anderen Weg als die Routen in der lokalen Routing-Tabelle wählen, wenn es eine Verbindung herstellt. Dies kann ein Problem bei VPN-Lösungen wie Cisco AnyConnect sein, die auf Änderungen in der Routing-Tabelle angewiesen sind, um Pakete in den VPN-Tunnel zu senden. Es kann jedoch auch das Gegenteil passieren, wenn der VPN-Tunnel in einem Split-Tunnel-VPN ausgewählt wird, obwohl eine Direktverbindung verfügbar ist. Dies ist in der Regel auf die niedrigeren Schnittstellenmetriken zurückzuführen, die für VPN-Schnittstellen festgelegt wurden.
Die einzige Möglichkeit, WebRTC zu zwingen, einen bestimmten Pfad zu verwenden, besteht darin, die anderen Pfade für UDP in den oben genannten GoTo IP-Adressbereichen vollständig zu blockieren.
Zscaler spezifische Konfigurationen
Wenn Sie Zscaler zum Filtern Ihres Datenverkehrs verwenden, muss dieser für GoTo konfiguriert werden, um die beste Leistung zu erzielen. Da die Konfiguration von Zscaler äußerst komplex und individuell ist, ist dies nur ein Ausgangspunkt für Ihre Konfiguration. If you encounter any trouble, select Contact Support for our support team to get you in touch with our engineering team directly.
View the config switch in the Zscaler config here. This will exclude known GoTo domains and IP ranges as laid out here from some types of inspections.