Paramètres minimaux du pare-feu pour l’application GoTo

Vous trouverez ci-dessous les options de configuration du pare-feu et du proxy nécessaires pour démarrer une session et utiliser avec succès l'audio, la vidéo et le partage d'écran sur notre GoTo app (versions bureau et navigateur).

Il existe des paramètres avancés et personnalisés qui peuvent être appliqués en fonction de votre produit, mais encore une fois, cet article couvre les paramètres minimums nécessaires pour que vous puissiez exécuter avec succès l'application GoTo. Si vous utilisez notre ancienne application, consultez les paramètres minimums requis ici. Si vous êtes intéressé par des paramètres personnalisés plus avancés, consultez notre liste globale d'autorisations et nos paramètres de pare-feu ici (qui peuvent ensuite être filtrés par un produit spécifique comme vous le souhaitez).

Version 2.3

Domaines

Il existe plusieurs domaines utilisés par GoTomais tous sont nécessaires pour les réunions. Les listes de domaines suivantes sont essentielles pour organiser vos réunions et devront donc être ajoutées à votre liste d’autorisation :

**Domaines DNS essentiels**
#	Domaine	Usage	Protocole	Pointe vers des adresses IP dans
1	`.goto.com`*	Domaine principal	TCP	—
2	`.goto-rtc.com`*	Serveurs audio et vidéo – utilise WebSocket pour certaines connexions	UDP/TCP	GoTo/AWS/OCI
3	`.jive.com`*	Connexions générales utilisées par GoTo Connect	UDP/TCP	—
4	`.getgo.com`*	Différents services	TCP	AWS/OCI
5	`.gotomeeting.com`*	Différents services	TCP	GoTo/AWS/OCI
6	`.logmeininc.com`*	Authentification (critique)	—	AWS/OCI
7	`.expertcity.com`*	Serveurs audio et de partage d’écran	TCP	GoTo

**Domaines supplémentaires requis pour GoTo Training**
#	Domaine	Usage	Protocole	Pointe vers des adresses IP dans
1	`.gototraining.com`*	Domaine central (requis pour GoTo Training uniquement)	TCP	GoTo
2	`.firebase.app`*	Éditeur pour la création de sondages, peut être lancé en session	TCP	Google
3	`apis.google.com`	Partage Google Drive	TCP	Google
4	`.youtube.com .googlevideo.com`	Partage vidéo YouTube	TCP	Google

**Domaines supplémentaires requis pour GoTo Webinar**
#	Domaine	Usage	Protocole	Pointe vers des adresses IP dans
1	`.gotowebinar.com`*	Partage vidéo YouTube	TCP	GoTo/AWS/OCI
2	`.recordingassets.logmeininc.com .lmiinc.test.expertcity.com`	Des lecteurs vidéo dans le webinaire	TCP	—

Remarque : Étant donné que la signalisation est toujours gérée par le port 443 TCP, nous recommandons d'exclure les domaines ci-dessus de toute interception du trafic. Les acheminer par un https Le proxy fonctionne généralement, mais l'inspection profonde de paquets peut rompre la chaîne de certificats pour la configuration TLS ou retarder les paquets au point que la qualité va subir.

Utilisation des ports : Signalisation vs. connexions média

Il existe deux types distincts de connexions réseau utilisées par GoTo :

Connexions de signalisation -
- Port TCP 443. Selon la fonction, le protocole utilisé est HTTPS/TLS/SSL/WS.
Connexions de transport de médias (pour VOIP, caméra et partage d'écran)-
- Port UDP 45000-65535 ou
- Port UDP 3478 ou
- TCP port 3478 ou port 443

Il existe quatre scénarios de configuration générale pour le trafic GoTo, comme indiqué ci-dessous dans Scénarios de configuration.

Les plages d'adresses IP appartenant à GoTo pour le trafic des médias

Tous les serveurs Media et TURN sont déployés dans les plages IPv4 suivantes, appartenant à GoTo Group, Inc :

68.64.0.0/19
173.199.0.0/18
78.108.124.0/23
202.173.24.0/21
23.239.224.0/19

Scénarios de configuration

Les scénarios suivants sont fournis par l’équipe d’ingénierie GoTo. Choisissez l’option qui convient le mieux à vos besoins (chaque option est détaillée en dessous de la liste) :

Trafic en cas d’absence de restrictions – Recommandé pour des performances optimales
UDP sur TURN – Recommandé pour des performances optimales
TCP 3478/443 via TURN
TCP 443 via TURN – Qualité d’appel très restreinte à cause de facteurs tels que l’inspection profonde de paquets.

Trafic en cas d’absence de restrictions

Dans cette configuration, commune à un utilisateur domestique typique, le trafic UDP vers la plage de ports 45000-65535 peut être limité aux plages IP énumérées ci-dessus GoTo. Le trafic TCP vers le port 443 n'est pas restreint. Les plages IP de destination de ces connexions TCP appartiennent à l'espace d'adressage GoTo/AWS/OCI. Il n'est donc pas utile d'appliquer des restrictions basées sur les plages IP. Cette configuration fournira également les délais les plus courts et la meilleure correction d’erreurs en cas de perte de paquets par rapport aux scénarios ci-dessous. Cependant, elle nécessite une configuration sans restriction du pare-feu qui repose sur l’inspection avec état pour ouvrir les ports UDP entrants selon vos besoins. Tout le trafic est initié à partir de l'intérieur du GoTo réseau client out.

A faire : Si vous utilisez le filtrage https, assurez-vous que les domaines énumérés ci-dessus sont exclus de l'inspection approfondie des paquets. Dans le cas contraire, des problèmes de connexion peuvent survenir en raison de la modification des certificats.

**Paramètres du filtre à paquets**
Protocole	Port Dst	Adresse du destinataire	Action
UDP	45000-65535	GoTo Plages IP	Autoriser
TCP	443	Tous	Autoriser

UDP sur TURN (un seul port requis)

Dans cette configuration, tout le trafic multimédia est envoyé à travers un serveur TURN GoTo avec UDP. Trafic vers TCP 443 est exclusivement utilisé pour la connexion, c'est pourquoi l'acheminement par un https Le proxy n'a pas d'incidence sur les performances.

A faire : Si vous utilisez https le filtrage, assurez-vous que les domaines ci-dessus sont exclus de l'inspection profonde de paquets, faute de quoi il peut y avoir des problèmes de connexion en raison de certificats modifiés.

Voici les paramètres de pare-feu nécessaires :

**Paramètres du filtre à paquets**
Protocole	Port DST	Addr DST	Action
UDP	`3478`	GoTo Plages IP	Autoriser
TCP	`443`	Tous	Autoriser

TCP 3478/443 via TURN

Dans cette configuration, TCP est utilisé pour transporter le flux multimédia vers le serveur TURN. Derrière le serveur TURN, UDP est utilisé pour l’acheminement vers l’infrastructure GoTo. Le fait que les serveurs TURN se trouvent dans la même zone géographique que l’utilisateur permet d’atténuer certains des inconvénients du protocole TCP sur de longues distances. Cependant, il ne gère pas aussi efficacement la perte de paquets que UDP, ce qui signifie que vous devez vous attendre à un plus grand nombre de pertes de données audio et à un plus grand délai par rapport à la configuration ci-dessus. Le fait que le trafic TCP 443 soit envoyé par l'intermédiaire d'un proxy ou non est laissé à votre discrétion.

**Paramètres du filtre à paquets**
Protocole	Port DST	Addr DST	Action
TCP	`3478`	GoTo Plages IP	Autoriser
TCP	`443`	Tous	Permettre

TCP 443 via TURN

Il s’agit du scénario le plus restrictif. Vous pouvez ou non faire passer le trafic TCP 443 par un proxy. Le faire ajoutera une latence supplémentaire à la connexion. Cela nécessite également un proxy performant pour gérer la grande quantité de trafic, en particulier pour la vidéo.

**Paramètres du filtre à paquets**
Protocole	Port DST	Addr DST	Action
TCP	`443`	Tous	Permettre

Notes de configuration du proxy

Si votre proxy effectue une inspection profonde de paquets (PPP), assurez-vous que tous les domaines répertoriés ci-dessus sont autorisés dans la liste. L’IPP peut avoir un impact sur la connexion TLS initiale et ralentir les flux multimédias en raison des délais de traitement.
Le fait d’avoir l’IPP dans le chemin des connexions de signalisation est moins problématique si les médias sont envoyés via UDP. Le seul problème potentiel est la non-concordance des certificats, ce qui ne devrait pas se produire si les certificats sont correctement configurés sur vos points d'extrémité.
GoTo utilise généralement le proxy configuré par le système d'exploitation. Si un proxy est configuré, tout le trafic TCP sera acheminé par le biais de celui-ci. GoTo tentera néanmoins d'établir des connexions UDP pour les médias. Ce n'est qu'en cas d'échec de ces connexions UDP que les connexions média TCP via le proxy seront utilisées.
Pour envoyer l'e-mail GoTo le trafic vers un proxy spécifique différent de celui pour d'autres trafic, vous pouvez utiliser un fichier proxy.pac standard basé sur les domaines DNS répertoriés ci-dessus.

Notes sur la configuration du VPN

En général, le WebRTC utilisé dans GoTo sondera toutes les interfaces réseau de votre système à la recherche de connexions média et pourra décider d'un chemin différent des routes de la table de routage locale s'il se connecte. Cela peut poser problème avec des solutions VPN comme Cisco AnyConnect, qui s'appuient sur les modifications de la table de routage pour envoyer des paquets dans le tunnel VPN. Cependant, le contraire peut également se produire lorsque le tunnel VPN est sélectionné dans un VPN à tunnel divisé alors qu'une connexion directe est disponible. Cela est généralement dû à des paramètres d'interface inférieurs définis sur les interfaces VPN.

La seule façon de forcer WebRTC à utiliser un certain chemin est de bloquer complètement les autres chemins pour UDP sur les GoTo plages IP susmentionnées.

Configurations spécifiques à Zscaler

Si vous utilisez Zscaler pour filtrer votre trafic, il doit être configuré pour GoTo afin de fonctionner au mieux. La configuration de Zscaler étant extrêmement complexe et individuelle, il ne s'agit que d'un point de départ pour votre configuration. En cas de problème, sélectionnez Contact Support pour que notre équipe d'assistance vous mette directement en contact avec notre équipe d'ingénieurs.

Affichez le commutateur de configuration sur le site Zscaler config here. Cela exclura les domaines et les plages d'adresses IP GoTo connus, comme indiqué ici, de certains types d'inspections.

Important : Veuillez noter que si GoTo peut être utilisé en tant qu'application autonome, il est également disponible à partir des navigateurs pris en charge ; ainsi, bien que vous puissiez définir des exceptions basées sur le binaire (GoTo.exe sur MS Windows), cela ne sera pas efficace pour les utilisateurs de navigateurs. Si vous déployez l'accessibilité Internet Zscaler et que vous utilisez un tunnel divisé, il est préférable d'interrompre le trafic GoTo UDP au niveau du client pour qu'il aille directement vers l'Internet.

Dernière mise à jour de l'Article: 29 March, 2024

You are viewing the latest version of this article.