Configuración mínima del firewall para la aplicación GoTo

A continuación encontrará las opciones de configuración de firewall y proxy necesarias para iniciar una sesión y utilizar correctamente los servicios de audio, vídeo y pantalla compartida en nuestra aplicación GoTo (versiones para escritorio y navegador).

Existen configuraciones más avanzadas y personalizadas que pueden aplicarse en función de su producto, pero, de nuevo, este artículo cubre las configuraciones mínimas necesarias para que pueda ejecutar correctamente la aplicación GoTo. Si utiliza nuestra aplicación heredada, consulte la configuración mínima necesaria aquí. Si está interesado en una configuración personalizada más avanzada, consulte nuestra lista general de permitidos y la configuración del cortafuegos aquí (que luego se puede filtrar por un producto específico según se desee).

Versión 2.3

Dominios

Hay varios dominios utilizados por GoTo, pero no todos son necesarios para organizar reuniones. Las siguientes listas de dominios son fundamentales para organizar sus reuniones, por lo que deben añadirse a su lista de elementos permitidos:

**Dominios DNS fundamentales**
#	Dominio	Uso	Protocolo	Apunta a direcciones IP en
1	`.goto.com`*	Dominio principal	TCP	—
2	`.goto-rtc.com`*	Servidores de audio y vídeo: utiliza WebSocket para algunas conexiones	UDP/TCP	GoTo/AWS/OCI
3	`.jive.com`*	Conexiones generales utilizadas por GoTo Connect	UDP/TCP	—
4	`.getgo.com`*	Diferentes servicios	TCP	AWS/OCI
5	`.gotomeeting.com`*	Diferentes servicios	TCP	GoTo/AWS/OCI
6	`.logmeininc.com`*	Autenticación (fundamental)	—	AWS/OCI
7	`.expertcity.com`*	Servidores de audio y pantalla compartida	TCP	GoTo

**Dominios adicionales necesarios para GoTo Training**
#	Dominio	Uso	Protocolo	Apunta a direcciones IP en
1	`.gototraining.com`*	Dominio central (obligatorio solo para GoTo Training)	TCP	GoTo
2	`.firebase.app`*	Editor para crear sondeos, se puede iniciar en sesión	TCP	Google
3	`apis.google.com`	Uso compartido de Google Drive	TCP	Google
4	`.youtube.com .googlevideo.com`	Uso compartido de vídeos de YouTube	TCP	Google

**Dominios adicionales necesarios para GoTo Webinar**
#	Dominio	Uso	Protocolo	Apunta a direcciones IP en
1	`.gotowebinar.com`*	Uso compartido de vídeos de YouTube	TCP	GoTo/AWS/OCI
2	`.recordingassets.logmeininc.com .lmiinc.test.expertcity.com`	Reproducción de vídeos en el seminario web	TCP	—

Nota: Dado que la señalización siempre se atiende a través del puerto 443 TCP, le recomendamos que excluya los dominios anteriores de cualquier tipo de interceptación de tráfico. Enrutar a través de un https El proxy suele trabajar, pero la inspección de paquetes profunda puede romper la cadena de certificados de la configuración TLS o retrasar los paquetes al punto en cuestión.

Uso de los puertos: Señalización frente a conexiones de medios

Existen dos tipos distintos de conexiones de red utilizadas por GoTo:

Conexiones de señalización -
- Puerto TCP 443. Dependiendo de la función, el protocolo utilizado es HTTPS/TLS/SSL/WS.
Conexiones de transporte multimedia (para VOIP, cámara y pantalla compartida)-
- Puerto UDP 45000-65535 o
- Puerto UDP 3478 o
- Puerto TCP 3478 o puerto 443

Existen 4 escenarios generales de configuración para el tráfico de GoTo, como se indica a continuación en Escenarios de configuración.

Rangos de IP propiedad de GoTo para el tráfico de medios de comunicación

Todos los servidores Media y TURN están implementados en los siguientes rangos IPv4, propiedad de GoTo Group, Inc:

68.64.0.0/19
173.199.0.0/18
78.108.124.0/23
202.173.24.0/21
23.239.224.0/19

Ejemplos de configuración

Los siguientes ejemplos los proporciona el equipo técnico de GoTo. Elija la opción que mejor se adapte a sus necesidades (cada opción está detallada a continuación de esta lista):

Tráfico en caso de que no haya restricciones: recomendado para obtener un rendimiento óptimo
UDP a través de la URL:recomendado para el mejor rendimiento
TCP 3478/443 mediante TURN
TCP 443 mediante TURN: la opción más restringida en cuanto a calidad de llamada debido a aspectos como la inspección profunda de paquetes

Tráfico en caso de que no haya restricciones

En esta configuración, común a un usuario doméstico típico, el tráfico UDP al rango de puertos 45000-65535 puede restringirse a los rangos de IP GoTo enumerados anteriormente. El tráfico TCP al puerto 443 no está restringido. Los rangos de IP de destino para estas conexiones TCP pertenecen al espacio de direcciones GoTo/AWS/OCI, por lo que no es útil ejecutar restricciones basadas en los rangos de IP. Esta configuración también ofrece los menores retrasos y la mejor corrección de errores en el caso de pérdida de paquetes, en comparación con los ejemplos indicados a continuación. Sin embargo, requiere una configuración de firewall sin restricciones que depende de una inspección de estado para abrir los puertos UDP de entrada según sea necesario. Todo el tráfico se inicia desde dentro de la red de clientes GoTo hacia fuera.

Recuerde: Si utiliza el filtrado https, asegúrese de que los dominios de la lista anterior están excluidos de la inspección profunda de paquetes. De lo contrario, pueden producirse problemas de conexión debido a la modificación de los certificados.

**Configuración del filtro de paquetes**
Protocolo	Puerto Dst	Dirección Dst	Acción
UDP	45000-65535	GoTo Rangos IP	Permitir
TCP	443	Todos	Permitir

UDP sobre TURN (sólo se necesita un puerto)

En esta configuración se envía todo el tráfico multimedia con un servidor TURN de GoTo mediante UDP. El tráfico a Puerto TCP 443 Solo se usa para la señalización, por lo que la asignación a través de un https el proxy no afectará al rendimiento.

Recuerde: Si usa https filtrado, asegúrese de que los dominios indicados anteriormente se excluyan de la inspección de paquetes expuestos; de lo contrario, puede haber problemas de conexión debido a los certificados modificado.

Estas son las configuraciones de firewall necesarias:

**Configuración del filtro de paquetes**
Protocolo	Puerto DST	Dirección DST	Acción
UDP	`3478`	GoTo Rangos IP	Permitir
TCP	`443`	Todos	Permitir

TCP 3478/443 mediante TURN

En esta configuración, TCP se utiliza para transportar elementos multimedia hasta el servidor TURN. Detrás del servidor TURN, UDP se utiliza hacia la infraestructura de GoTo. Como los servidores TURN están en la misma geolocalización que el usuario, esto ayuda a mitigar algunos de los inconvenientes de TCP en largas distancias. Sin embargo, no es tan eficiente con la gestión de la pérdida de paquetes como UDP, lo que significa que puede esperar una cantidad más alta de pérdida de audio y un mayor retraso en comparación con la configuración anterior. Que el tráfico TCP 443 se envíe a través de un proxy o no depende de usted.

**Configuración del filtro de paquetes**
Protocolo	Puerto DST	Dirección DST	Acción
TCP	`3478`	GoTo Rangos IP	Permitir
TCP	`443`	Todos	Permita

TCP 443 mediante TURN

Es el ejemplo con más restricciones. Puede ejecutar el tráfico de TCP 443 mediante un proxy o no. Hacerlo añade latencia a la conexión. También requiere un proxy eficiente para gestionar el elevado tráfico, especialmente en el caso del vídeo.

**Configuración del filtro de paquetes**
Protocolo	Puerto DST	Dirección DST	Acción
TCP	`443`	Todos	Permita

Notas de configuración del proxy

Si su proxy ejecuta una inspección de paquetes profunda (PPP), asegúrese de que todos los dominios enumerados anteriormente estén permitidos. La DPI puede afectar a la conexión TLS inicial y ralentizar las transmisiones multimedia debido a los retrasos del procesamiento.
Es menos problemático ejecutar la DPI en la ruta de las conexiones de señales si envía los elementos multimedia mediante UDP. El único problema potencial con esto es la falta de coincidencia de certificados, que no debería ocurrir con una configuración correcta de los certificados en sus puntos finales.
GoTo utiliza generalmente el proxy configurado del sistema operativo. Si se configura un proxy, todo el tráfico TCP se enviará mediante él. GoTo intentará no obstante establecer conexiones UDP para los medios de comunicación. Sólo cuando fallen estas conexiones UDP se utilizarán las conexiones multimedia TCP a través del proxy.
Para enviar GoTo el tráfico a un proxy específico distinto del para otro tráfico, puede usar un archivo aprox.pac estándar basado en los dominios DNS indicados anteriormente.

Notas sobre la configuración de la VPN

En general, el WebRTC utilizado en GoTo sondeará todas las interfaces de red de su sistema en busca de conexiones multimedia y puede decidir una ruta distinta de las rutas de la tabla de enrutamiento local si consigue conectarse. Esto puede ser un problema con soluciones VPN como Cisco AnyConnect, que dependen de los cambios en la tabla de enrutamiento para enviar paquetes al túnel VPN. Sin embargo, también puede ocurrir lo contrario si se selecciona el túnel VPN en una VPN de túnel dividido a pesar de disponer de una conexión directa. Esto se debe normalmente a que las métricas de interfaz configuradas en las interfaces VPN son inferiores.

La única forma de forzar a WebRTC a utilizar una ruta determinada es bloquear completamente las demás rutas para UDP en los rangos de IP GoTo antes mencionados.

Configuraciones específicas de Zscaler

Si utiliza Zscaler para filtrar su tráfico, es necesario configurarlo para que GoTo funcione para obtener el mejor rendimiento. Como la configuración de Zscaler es extremadamente compleja e individual, esto es sólo un punto de partida para su configuración. Si tiene algún problema, seleccione Contactar con Support para que nuestro equipo de asistencia le ponga directamente en contacto con nuestro equipo de ingenieros.

Vea el cambio de configuración en Zscaler config aquí. Esto excluirá los dominios conocidos GoTo y los rangos de IP tal y como se establece aquí de algunos tipos de inspecciones.

Importante: Tenga en cuenta que aunque GoTo puede utilizarse como aplicación independiente, también está disponible desde los navegadores compatibles; por lo tanto, aunque puede definir excepciones basadas en el binario (GoTo.exe en MS Windows), no será efectivo para los usuarios de navegadores. Si está implementando Zscaler Internet Access y utiliza el túnel dividido, lo mejor es separar el tráfico UDP GoTo en el cliente para que vaya directamente a Internet.

Artículo última actualizado: 29 March, 2024

You are viewing the latest version of this article.