Configuración mínima del firewall para la aplicación GoTo
A continuación encontrará las opciones de configuración de firewall y proxy necesarias para iniciar una sesión y utilizar correctamente los servicios de audio, vídeo y pantalla compartida en nuestra aplicación GoTo (versiones para escritorio y navegador).
Existen configuraciones más avanzadas y personalizadas que pueden aplicarse en función de su producto, pero, de nuevo, este artículo cubre las configuraciones mínimas necesarias para que pueda ejecutar correctamente la aplicación GoTo. Si utiliza nuestra aplicación heredada, consulte la configuración mínima necesaria aquí. Si está interesado en una configuración personalizada más avanzada, consulte nuestra lista general de permitidos y la configuración del cortafuegos aquí (que luego se puede filtrar por un producto específico según se desee).
Versión 2.3
Dominios
# | Dominio | Uso | Protocolo | Apunta a direcciones IP en |
---|---|---|---|---|
1 | *.goto.com | Dominio principal | TCP | — |
2 | *.goto-rtc.com | Servidores de audio y vídeo: utiliza WebSocket para algunas conexiones | UDP/TCP | GoTo/AWS/OCI |
3 | *.jive.com | Conexiones generales utilizadas por GoTo Connect | UDP/TCP | — |
4 | *.getgo.com | Diferentes servicios | TCP | AWS/OCI |
5 | *.gotomeeting.com | Diferentes servicios | TCP | GoTo/AWS/OCI |
6 | *.logmeininc.com | Autenticación (fundamental) | — | AWS/OCI |
7 | *.expertcity.com | Servidores de audio y pantalla compartida | TCP | GoTo |
# | Dominio | Uso | Protocolo | Apunta a direcciones IP en |
---|---|---|---|---|
1 | *.gototraining.com | Dominio central (obligatorio solo para GoTo Training) | TCP | GoTo |
2 | *.firebase.app | Editor para crear sondeos, se puede iniciar en sesión | TCP | |
3 | apis.google.com | Uso compartido de Google Drive | TCP | |
4 | *.youtube.com *.googlevideo.com | Uso compartido de vídeos de YouTube | TCP |
# | Dominio | Uso | Protocolo | Apunta a direcciones IP en |
---|---|---|---|---|
1 | *.gotowebinar.com | Uso compartido de vídeos de YouTube | TCP | GoTo/AWS/OCI |
2 | *.recordingassets.logmeininc.com *.lmiinc.test.expertcity.com | Reproducción de vídeos en el seminario web | TCP | — |
Uso de los puertos: Señalización frente a conexiones de medios
- Conexiones de señalización -
- Puerto TCP 443. Dependiendo de la función, el protocolo utilizado es HTTPS/TLS/SSL/WS.
- Conexiones de transporte multimedia (para VOIP, cámara y pantalla compartida)-
- Puerto UDP 45000-65535 o
- Puerto UDP 3478 o
- Puerto TCP 3478 o puerto 443
Existen 4 escenarios generales de configuración para el tráfico de GoTo, como se indica a continuación en Escenarios de configuración.
Rangos de IP propiedad de GoTo para el tráfico de medios de comunicación
- 68.64.0.0/19
- 173.199.0.0/18
- 78.108.124.0/23
- 202.173.24.0/21
- 23.239.224.0/19
Ejemplos de configuración
Los siguientes ejemplos los proporciona el equipo técnico de GoTo. Elija la opción que mejor se adapte a sus necesidades (cada opción está detallada a continuación de esta lista):
- Tráfico en caso de que no haya restricciones: recomendado para obtener un rendimiento óptimo
- UDP a través de la URL:recomendado para el mejor rendimiento
- TCP 3478/443 mediante TURN
- TCP 443 mediante TURN: la opción más restringida en cuanto a calidad de llamada debido a aspectos como la inspección profunda de paquetes
Tráfico en caso de que no haya restricciones
En esta configuración, común a un usuario doméstico típico, el tráfico UDP al rango de puertos 45000-65535 puede restringirse a los rangos de IP GoTo enumerados anteriormente. El tráfico TCP al puerto 443 no está restringido. Los rangos de IP de destino para estas conexiones TCP pertenecen al espacio de direcciones GoTo/AWS/OCI, por lo que no es útil ejecutar restricciones basadas en los rangos de IP. Esta configuración también ofrece los menores retrasos y la mejor corrección de errores en el caso de pérdida de paquetes, en comparación con los ejemplos indicados a continuación. Sin embargo, requiere una configuración de firewall sin restricciones que depende de una inspección de estado para abrir los puertos UDP de entrada según sea necesario. Todo el tráfico se inicia desde dentro de la red de clientes GoTo hacia fuera.
Protocolo | Puerto Dst | Dirección Dst | Acción |
---|---|---|---|
UDP | 45000-65535 | GoTo Rangos IP | Permitir |
TCP | 443 | Todos | Permitir |
UDP sobre TURN (sólo se necesita un puerto)
Protocolo | Puerto DST | Dirección DST | Acción |
---|---|---|---|
UDP | 3478 | GoTo Rangos IP | Permitir |
TCP | 443 | Todos | Permitir |
TCP 3478/443 mediante TURN
En esta configuración, TCP se utiliza para transportar elementos multimedia hasta el servidor TURN. Detrás del servidor TURN, UDP se utiliza hacia la infraestructura de GoTo. Como los servidores TURN están en la misma geolocalización que el usuario, esto ayuda a mitigar algunos de los inconvenientes de TCP en largas distancias. Sin embargo, no es tan eficiente con la gestión de la pérdida de paquetes como UDP, lo que significa que puede esperar una cantidad más alta de pérdida de audio y un mayor retraso en comparación con la configuración anterior. Que el tráfico TCP 443 se envíe a través de un proxy o no depende de usted.
Protocolo | Puerto DST | Dirección DST | Acción |
---|---|---|---|
TCP | 3478 | GoTo Rangos IP | Permitir |
TCP | 443 | Todos | Permita |
TCP 443 mediante TURN
Es el ejemplo con más restricciones. Puede ejecutar el tráfico de TCP 443 mediante un proxy o no. Hacerlo añade latencia a la conexión. También requiere un proxy eficiente para gestionar el elevado tráfico, especialmente en el caso del vídeo.
Protocolo | Puerto DST | Dirección DST | Acción |
---|---|---|---|
TCP | 443 | Todos | Permita |
Notas de configuración del proxy
- Si su proxy ejecuta una inspección de paquetes profunda (PPP), asegúrese de que todos los dominios enumerados anteriormente estén permitidos. La DPI puede afectar a la conexión TLS inicial y ralentizar las transmisiones multimedia debido a los retrasos del procesamiento.
- Es menos problemático ejecutar la DPI en la ruta de las conexiones de señales si envía los elementos multimedia mediante UDP. El único problema potencial con esto es la falta de coincidencia de certificados, que no debería ocurrir con una configuración correcta de los certificados en sus puntos finales.
- GoTo utiliza generalmente el proxy configurado del sistema operativo. Si se configura un proxy, todo el tráfico TCP se enviará mediante él. GoTo intentará no obstante establecer conexiones UDP para los medios de comunicación. Sólo cuando fallen estas conexiones UDP se utilizarán las conexiones multimedia TCP a través del proxy.
- Para enviar GoTo el tráfico a un proxy específico distinto del para otro tráfico, puede usar un archivo aprox.pac estándar basado en los dominios DNS indicados anteriormente.
Notas sobre la configuración de la VPN
En general, el WebRTC utilizado en GoTo sondeará todas las interfaces de red de su sistema en busca de conexiones multimedia y puede decidir una ruta distinta de las rutas de la tabla de enrutamiento local si consigue conectarse. Esto puede ser un problema con soluciones VPN como Cisco AnyConnect, que dependen de los cambios en la tabla de enrutamiento para enviar paquetes al túnel VPN. Sin embargo, también puede ocurrir lo contrario si se selecciona el túnel VPN en una VPN de túnel dividido a pesar de disponer de una conexión directa. Esto se debe normalmente a que las métricas de interfaz configuradas en las interfaces VPN son inferiores.
La única forma de forzar a WebRTC a utilizar una ruta determinada es bloquear completamente las demás rutas para UDP en los rangos de IP GoTo antes mencionados.
Configuraciones específicas de Zscaler
Si utiliza Zscaler para filtrar su tráfico, es necesario configurarlo para que GoTo funcione para obtener el mejor rendimiento. Como la configuración de Zscaler es extremadamente compleja e individual, esto es sólo un punto de partida para su configuración. Si encuentra algún problema, pida a nuestro equipo de asistencia GoTo que le ponga en contacto directamente con nuestro equipo de ingenieros.
Vea el interruptor de configuración en el Zscaler config aquí. Esto excluirá los dominios conocidos GoTo y los rangos de IP tal y como se establece aquí de algunos tipos de inspecciones.