Paramètres minimaux du pare-feu pour l’application GoTo
Vous trouverez ci-dessous les options de configuration du pare-feu et du proxy nécessaires pour démarrer une session et utiliser avec succès l'audio, la vidéo et le partage d'écran sur notre GoTo app (versions bureau et navigateur).
Il existe des paramètres avancés et personnalisés qui peuvent être appliqués en fonction de votre produit, mais encore une fois, cet article couvre les paramètres minimums nécessaires pour que vous puissiez exécuter avec succès l'application GoTo. Si vous utilisez notre ancienne application, consultez les paramètres minimums requis ici. Si vous êtes intéressé par des paramètres personnalisés plus avancés, consultez notre liste globale d'autorisations et nos paramètres de pare-feu ici (qui peuvent ensuite être filtrés par un produit spécifique comme vous le souhaitez).
Version 2.3
Domaines
# | Domaine | Usage | Protocole | Pointe vers des adresses IP dans |
---|---|---|---|---|
1 | *.goto.com | Domaine principal | TCP | — |
2 | *.goto-rtc.com | Serveurs audio et vidéo – utilise WebSocket pour certaines connexions | UDP/TCP | GoTo/AWS/OCI |
3 | *.jive.com | Connexions générales utilisées par GoTo Connect | UDP/TCP | — |
4 | *.getgo.com | Différents services | TCP | AWS/OCI |
5 | *.gotomeeting.com | Différents services | TCP | GoTo/AWS/OCI |
6 | *.logmeininc.com | Authentification (critique) | — | AWS/OCI |
7 | *.expertcity.com | Serveurs audio et de partage d’écran | TCP | GoTo |
# | Domaine | Usage | Protocole | Pointe vers des adresses IP dans |
---|---|---|---|---|
1 | *.gototraining.com | Domaine central (requis pour GoTo Training uniquement) | TCP | GoTo |
2 | *.firebase.app | Éditeur pour la création de sondages, peut être lancé en session | TCP | |
3 | apis.google.com | Partage Google Drive | TCP | |
4 | *.youtube.com *.googlevideo.com | Partage vidéo YouTube | TCP |
# | Domaine | Usage | Protocole | Pointe vers des adresses IP dans |
---|---|---|---|---|
1 | *.gotowebinar.com | Partage vidéo YouTube | TCP | GoTo/AWS/OCI |
2 | *.recordingassets.logmeininc.com *.lmiinc.test.expertcity.com | Des lecteurs vidéo dans le webinaire | TCP | — |
Utilisation des ports : Signalisation vs. connexions média
- Connexions de signalisation -
- Port TCP 443. Selon la fonction, le protocole utilisé est HTTPS/TLS/SSL/WS.
- Connexions de transport de médias (pour VOIP, caméra et partage d'écran)-
- Port UDP 45000-65535 ou
- Port UDP 3478 ou
- TCP port 3478 ou port 443
Il existe quatre scénarios de configuration générale pour le trafic GoTo, comme indiqué ci-dessous dans Scénarios de configuration.
Les plages d'adresses IP appartenant à GoTo pour le trafic des médias
- 68.64.0.0/19
- 173.199.0.0/18
- 78.108.124.0/23
- 202.173.24.0/21
- 23.239.224.0/19
Scénarios de configuration
Les scénarios suivants sont fournis par l’équipe d’ingénierie GoTo. Choisissez l’option qui convient le mieux à vos besoins (chaque option est détaillée en dessous de la liste) :
- Trafic en cas d’absence de restrictions – Recommandé pour des performances optimales
- UDP sur TURN – Recommandé pour des performances optimales
- TCP 3478/443 via TURN
- TCP 443 via TURN – Qualité d’appel très restreinte à cause de facteurs tels que l’inspection profonde de paquets.
Trafic en cas d’absence de restrictions
Dans cette configuration, commune à un utilisateur domestique typique, le trafic UDP vers la plage de ports 45000-65535 peut être limité aux plages IP énumérées ci-dessus GoTo. Le trafic TCP vers le port 443 n'est pas restreint. Les plages IP de destination de ces connexions TCP appartiennent à l'espace d'adressage GoTo/AWS/OCI. Il n'est donc pas utile d'appliquer des restrictions basées sur les plages IP. Cette configuration fournira également les délais les plus courts et la meilleure correction d’erreurs en cas de perte de paquets par rapport aux scénarios ci-dessous. Cependant, elle nécessite une configuration sans restriction du pare-feu qui repose sur l’inspection avec état pour ouvrir les ports UDP entrants selon vos besoins. Tout le trafic est initié à partir de l'intérieur du GoTo réseau client out.
Protocole | Port Dst | Adresse du destinataire | Action |
---|---|---|---|
UDP | 45000-65535 | GoTo Plages d'adresses IP | Autoriser |
TCP | 443 | Tous | Autoriser |
UDP sur TURN (un seul port requis)
Protocole | Port DST | Addr DST | Action |
---|---|---|---|
UDP | 3478 | GoTo Plages d'adresses IP | Autoriser |
TCP | 443 | Tous | Autoriser |
TCP 3478/443 via TURN
Dans cette configuration, TCP est utilisé pour transporter le flux multimédia vers le serveur TURN. Derrière le serveur TURN, UDP est utilisé pour l’acheminement vers l’infrastructure GoTo. Le fait que les serveurs TURN se trouvent dans la même zone géographique que l’utilisateur permet d’atténuer certains des inconvénients du protocole TCP sur de longues distances. Cependant, il ne gère pas aussi efficacement la perte de paquets que UDP, ce qui signifie que vous devez vous attendre à un plus grand nombre de pertes de données audio et à un plus grand délai par rapport à la configuration ci-dessus. Le fait que le trafic TCP 443 soit envoyé par l'intermédiaire d'un proxy ou non est laissé à votre discrétion.
Protocole | Port DST | Addr DST | Action |
---|---|---|---|
TCP | 3478 | GoTo Plages d'adresses IP | Autoriser |
TCP | 443 | Tous | Permettre |
TCP 443 via TURN
Il s’agit du scénario le plus restrictif. Vous pouvez ou non faire passer le trafic TCP 443 par un proxy. Le faire ajoutera une latence supplémentaire à la connexion. Cela nécessite également un proxy performant pour gérer la grande quantité de trafic, en particulier pour la vidéo.
Protocole | Port DST | Addr DST | Action |
---|---|---|---|
TCP | 443 | Tous | Permettre |
Notes de configuration du proxy
- Si votre proxy effectue une inspection profonde de paquets (PPP), assurez-vous que tous les domaines répertoriés ci-dessus sont autorisés dans la liste. L’IPP peut avoir un impact sur la connexion TLS initiale et ralentir les flux multimédias en raison des délais de traitement.
- Le fait d’avoir l’IPP dans le chemin des connexions de signalisation est moins problématique si les médias sont envoyés via UDP. Le seul problème potentiel est la non-concordance des certificats, ce qui ne devrait pas se produire si les certificats sont correctement configurés sur vos points d'extrémité.
- GoTo utilise généralement le proxy configuré depuis le système d’exploitation. Si un proxy est configuré, tout le trafic TCP sera acheminé par le biais de celui-ci. GoTo tentera néanmoins d’établir des connexions UDP pour les médias. Ce n'est qu'en cas d'échec de ces connexions UDP que les connexions média TCP via le proxy seront utilisées.
- Pour envoyer l'e-mail GoTo le trafic vers un proxy spécifique différent de celui pour d'autres trafic, vous pouvez utiliser un fichier proxy.pac standard basé sur les domaines DNS répertoriés ci-dessus.
Notes sur la configuration du VPN
En général, le WebRTC utilisé dans GoTo sondera toutes les interfaces réseau de votre système à la recherche de connexions média et pourra décider d'un chemin différent des routes de la table de routage locale s'il se connecte. Cela peut poser problème avec des solutions VPN comme Cisco AnyConnect, qui s'appuient sur les modifications de la table de routage pour envoyer des paquets dans le tunnel VPN. Cependant, le contraire peut également se produire lorsque le tunnel VPN est sélectionné dans un VPN à tunnel divisé alors qu'une connexion directe est disponible. Cela est généralement dû à des paramètres d'interface inférieurs définis sur les interfaces VPN.
La seule façon de forcer WebRTC à utiliser un certain chemin est de bloquer complètement les autres chemins pour UDP sur les GoTo plages IP susmentionnées.
Configurations spécifiques à Zscaler
Si vous utilisez Zscaler pour filtrer votre trafic, il doit être configuré pour GoTo afin de fonctionner au mieux. La configuration de Zscaler étant extrêmement complexe et individuelle, il ne s'agit que d'un point de départ pour votre configuration. Si vous rencontrez des difficultés, demandez à notre GoTo équipe d'assistance de vous mettre directement en contact avec notre équipe d'ingénieurs.
Affichez le commutateur de configuration dans le Zscaler config here. Cela exclura les domaines et les plages d'adresses IP GoTo connus, comme indiqué ici, de certains types d'inspections.