Paramètres minimaux du pare-feu pour l’utilisation des versions V10 des applications de bureau GoTo Meeting, GoTo Webinar et GoTo Training
Veuillez consulter les paramètres minimaux pour la configuration de firewall/proxy qui détaillent les plages d’adresses IP et les domaines DNS qui doivent être autorisés par le pare-feu respectivement le proxy, et exclure l’inspection profonde de paquets. Ceci s’applique aux versions 10 des applications de bureau classiques GoTo Meeting, GoTo Webinar, et GoTo Training.
État vérifié
GoToPlages IP
Tous les services multimédias critiques sont liés à ces plages. Idéalement, ils doivent passer directement par un périmètre réseau et non pas par un proxy.
L’hypothèse est que tout trafic GoTo Meeting n’accédant pas à ces plages utilise HTTPS ou WebSocket et peut facilement être redirigé par un proxy HTTPS d’inspection.
| Plage | Usage |
|---|---|
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23 |
VCS (serveurs vidéo) |
| 67.217.64.0/19 | VGW (serveurs audio) |
| 68.64.0.0/19 | VCS (serveurs vidéo), VGW et Edge (serveurs audio) |
| 78.108.112.0/20 | VCS (serveurs vidéo) |
| 173.199.0.0/18 | VCS (serveurs vidéo), VGW et Edge (serveurs audio), attendee.gotowebinar.com, global.gotowebinar.com, global.gototraining.com |
| 202.173.24.0/21 | MCS (serveurs de partage d’écran) |
| 216.115.208.0/20 | VGW (serveurs audio), egwglobal.gotomeeting.com, egw.gotomeeting.com (détection de connexion) |
| Plage | Usage |
|---|---|
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23 |
VCS (serveurs vidéo) |
| 67.217.64.0/19 | VGW (serveurs audio) |
| 68.64.0.0/19 | VCS (serveurs vidéo), VGW (serveurs audio), voir TCP |
| 78.108.112.0/20 | VCS (serveurs vidéo) |
| 173.199.0.0/18 | VCS (serveurs vidéo), VGW (serveurs audio), voir TCP |
| 216.115.208.0/20 | VGW (serveurs audio) |
Domaines
| Domaine | Usage | Pointe vers des adresses IP dans | |
|---|---|---|---|
| 1 | *.goto.com | Domaine central pour démarrer des sessions | AWS |
| 2 | *.getgo.com | Différents services | AWS |
| 3 | *.gotomeeting.com | Différents services | GoTo/AWS |
| 4 | *.expertcity.com | Serveurs audio et de partage d’écran | GoTo |
| 5 | *.goto-rtc.com | Serveurs audio et vidéo | GoTo |
| 6 | *.logmeininc.com | Authentification (critique) | AWS |
| 7 | *.gotowebinar.com | Domaine central (requis pour GoTo Webinar uniquement) | GoTo/AWS |
| 8 | *.gototraining.com | Domaine central (requis pour GoTo Training uniquement) | GoTo |
| 9 | *.launchdarkly.com | Fournisseur de service externe pour l’activation de la fonctionnalité (ne fonctionne pas via un proxy, non critique) | Google Cloud |
| 10 | api-pub.mltree.net | L’équipe marketing de GoTo (non critique) | AWS |
GoTo Opener
| Domaine | Usage | Pointe vers des adresses IP dans |
|---|---|---|
| launch.getgo.com | Service de lancement de conférence | GoTo |
| join.servers.getgo.com | Service de lancement de conférence | AWS |
| builds.cdn.getgo.com | Télécharger le CDN pour la version GoTo Meeting | AWS |
| builds.getgocdn.com | Télécharger le CDN pour la version GoTo Meeting | GoTo |
Modes de configuration générale du réseau
Dans un réseau sans restriction, GoTo Meeting ouvre un certain nombre de connexions TCP et UDP sur divers ports, certaines d’entre elles étant essentielles, par exemple pour transmettre des données audio, et d’autres non essentielles, par exemple pour les pop-ups marketing. Les huit premiers domaines de la liste ci-dessus doivent être exclus de l’inspection profonde de paquets, au cas où il y en aurait sur le chemin du réseau.
- TCP vers des plages d’adresses IP GoTo
- UDP vers des plages d’adresses IP GoTo
- TCP vers d’autres plages d’adresses IP (actuellement, ce sont les espaces d’adresses AWS et Google Cloud)
| Mode | Avantages et inconvénients | Étapes de configuration |
|---|---|---|
| Tout TCP, en utilisant le port 443 sur le proxy HTTPS, sans utiliser UDP | Avantages Il s’agit du mode de configuration le plus simple.
Inconvénients
|
|
| Tout le trafic TCP utilise le port 443 via le proxy HTTPS, le trafic UDP passe directement par le pare-feu | Avantages
Inconvénients L’établissement de la connexion prend plus de temps que dans les réseaux non restreints en raison du sondage approfondi. |
|
| Le trafic TCP et UDP vers les plages d’adresses IP GoTo va directement à travers le pare-feu, le trafic TCP vers d’autres plages d’adresses IP passe par le proxy HTTPS | Avantages Meilleures performances de partage de multimédia et d’écran, établissement de connexion rapide.Inconvénients La configuration est plus complexe et plus difficile à déboguer. |
|
| Recourez à un pare-feu avec état et autorisez tout trafic TCP et UDP sortant, et le trafic de retour en fonction de l’état | Avantages Aucune configuration requise car tout le trafic est initié par le client. Le pare-feu ouvre automatiquement les connexions entrantes nécessaires.Inconvénients Bien qu’il s’agisse de la configuration par défaut pour de nombreux pare-feux, elle est rarement utilisée dans des réseaux plus complexes en raison des exigences de sécurité supplémentaires. |
N’a pas besoin d’une configuration supplémentaire. |
Configuration du VPN
Si vous utilisez un VPN, il existe plusieurs manières d’acheminer les différents flux. Les options reflètent les modes répertoriés dans le tableau ci-dessus ; cependant, vous devrez utiliser le routage pour déterminer quel trafic accède à quel endroit (ce qui rend difficile la séparation du trafic UDP et TCP).
- Acheminez tout via le tunnel VPN.
- Autorisez toutes les plages d’adresses IP GoTo à accéder directement à Internet (TCP et UDP), envoyez tout autre trafic à travers le VPN.
- Envoyez uniquement le trafic interne (par ex. 10.X.X.X et 192.168.X.X) à travers le tunnel VPN, et envoyez le reste directement vers Internet.
Le trafic TCP envoyé à travers le tunnel VPN peut ou non passer par un proxy après avoir traversé le tunnel. Il existe d’autres configurations qui peuvent être discutées au cas par cas avec l’équipe d’ingénierie GoTo.
Notes de configuration du proxy
Si votre proxy procède à une inspection profonde de paquets, assurez-vous que tous les domaines énumérés ci-dessus sont autorisés. L’inspection profonde de paquets peut avoir un impact sur la connexion TLS initiale et ralentir les flux multimédias en raison des délais de traitement.
Bien que GoTo Meeting puisse lire de nombreuses sources pour la configuration du proxy (par exemple proxy système, proxy Firefox, fichiers PAC, WPAD), la détection du proxy peut générer des résultats inattendus. Un des aspects est que la logique utilisée pour analyser les fichiers PAC ne prend pas en charge toutes les variations des règles possibles. L’autre aspect est que les proxies stockés dans le registre de GoTo Meeting sont parfois utilisés dans la détection de la connexion. Dès que GoTo Meeting détecte qu’il peut établir une connexion par le biais d’un proxy stocké, il peut également l’utiliser, même si d’autres configurations indiquent un autre proxy.
La manière la plus simple de vérifier l’utilisation du proxy est de consulter le fichier journal de GoTo Meeting.
Les fichiers journaux sont stockés ici : /Utilisateurs/nom_utilisateur/Library/Logs/com.logmein.GoToMeeting.
Pour effacer les entrées de proxy existantes, supprimez ces clés : defaults -currentHost read com.logmein.GoToMeeting |grep ConnectionInfo.
Les fichiers journaux sont stockés ici : %Temp%\LogMeInLogs\GoToMeeting. Recherchez le dossier ayant la date la plus récente.
Pour effacer les entrées de proxy existantes, supprimez ces clés : HKEY_CURRENT_USER\SOFTWARE\LogMeInInc\GoToMeeting\ConnectionInfo.