Minimal Firewall Mes paramètres d'utilisation du V10 GoTo Webinar Applications de bureau

État vérifié

Ce document et les exemples de scénarios sont des recommandations fournies par l’équipe d’ingénierie GoTo. Il existe d’autres facteurs et configurations dans lesquelles le trafic passe par un proxy ou directement par un pare-feu.

Remarque : Cette configuration a été testée pour fonctionner dans GoTo le laboratoire réseau, mais ne couvre pas tous les environnements et scénarios.

GoTo Plages IP

Tous les services multimédias critiques sont liés à ces plages. Idéalement, ils doivent passer directement par un périmètre réseau et non pas par un proxy.

L’hypothèse est que tout trafic GoTo Meeting n’accédant pas à ces plages utilise HTTPS ou WebSocket et peut facilement être redirigé par un proxy HTTPS d’inspection.

Port TCP 443 (connexion)

Configuration de connexion pour tout le multimédia, le téléchargement des différentes parties de l’application et la télémétrie – nous utilisons TLS sur TCP, HTTPS ainsi que WebSocket.

Plage	Usage
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23	VCS (serveurs vidéo)
67.217.64.0/19	VGW (serveurs audio)
68.64.0.0/19	VCS (serveurs vidéo), VGW et Edge (serveurs audio)
78.108.112.0/20	VCS (serveurs vidéo)
173.199.0.0/18	VCS (serveurs vidéo), VGW et Edge (serveurs audio), attendee.gotowebinar.com, global.gotowebinar.com, global.gototraining.com
202.173.24.0/21	MCS (serveurs de partage d’écran)
216.115.208.0/20	VGW (serveurs audio), egwglobal.gotomeeting.com, egw.gotomeeting.com (détection de connexion)

Port UDP 1853, 8200 (audio/vidéo)

Si ces ports UDP ne sont pas ouverts, GoTo Meeting revient à TCP (ce qui peut affecter la qualité des médias et de la connexion). Nous exécutons un trafic chiffré et non standard sur ces connexions afin que tous les pare-feu tentent de détecter quelque chose de intelligent.

Plage	Usage
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23	VCS (serveurs vidéo)
67.217.64.0/19	VGW (serveurs audio)
68.64.0.0/19	VCS (serveurs vidéo), VGW (serveurs audio), voir TCP
78.108.112.0/20	VCS (serveurs vidéo)
173.199.0.0/18	VCS (serveurs vidéo), VGW (serveurs audio), voir TCP
216.115.208.0/20	VGW (serveurs audio)

Domaines

La liste des domaines utilisés par l'application GoTo Webinar comprend actuellement (mais sans s'y limiter) les domaines suivants :

	Domaine	Usage	Pointe vers des adresses IP dans
1	*.goto.com	Domaine central pour démarrer des sessions	AWS
2	*.getgo.com	Différents services	AWS
3	*.gotomeeting.com	Différents services	GoTo/AWS
4	*.expertcity.com	Serveurs audio et de partage d’écran	GoTo
5	*.goto-rtc.com	Serveurs audio et vidéo	GoTo
6	*.logmeininc.com	Authentification (critique)	AWS
7	*.gotowebinar.com	Domaine central (requis pour GoTo Webinar uniquement)	GoTo/AWS
8	*.gototraining.com	Domaine central (requis pour GoTo Training uniquement)	GoTo
9	*.launchdarkly.com	Fournisseur de service externe pour l’activation de la fonctionnalité (ne fonctionne pas via un proxy, non critique)	Google Cloud
10	api-pub.mltree.net	GoTo Marketing (non critique)	AWS

GoTo Opener

Il s’agit d’un programme distinct utilisé pour télécharger et démarrer l’application GoTo Meeting native. Il utilise les domaines suivants (HTTPS, port TCP 443).

Domaine	Usage	Pointe vers des adresses IP dans
launch.getgo.com	Service de lancement de conférence	GoTo
join.servers.getgo.com	Service de lancement de conférence	AWS
builds.cdn.getgo.com	Télécharger le CDN pour la version GoTo Meeting	AWS
builds.getgocdn.com	Télécharger le CDN pour la version GoTo Meeting	GoTo

Modes de configuration générale du réseau

Dans un réseau sans restriction, GoTo Meeting ouvre un certain nombre de connexions TCP et UDP sur divers ports, certaines d’entre elles étant essentielles, par exemple pour transmettre des données audio, et d’autres non essentielles, par exemple pour les pop-ups marketing. Les huit premiers domaines de la liste ci-dessus doivent être exclus de l’inspection profonde de paquets, au cas où il y en aurait sur le chemin du réseau.

Par ailleurs, les connexions initiées par GoTo Meeting peuvent être classées en trois (3) catégories :

TCP vers des plages d’adresses IP GoTo
UDP vers des plages d’adresses IP GoTo
TCP vers d’autres plages d’adresses IP (actuellement, ce sont les espaces d’adresses AWS et Google Cloud)

Compte tenu de cette distinction, il existe quatre (4) façons différentes de configurer votre réseau.

Mode	Avantages et inconvénients	Étapes de configuration
Tout TCP, en utilisant le port 443 sur le proxy HTTPS, sans utiliser UDP	Avantages Il s’agit du mode de configuration le plus simple. Inconvénients L’utilisation exclusive de TCP pour les médias peut entraîner une mauvaise qualité audio et vidéo et des interruptions (en cas de perte de paquets sur la connexion IP sous-jacente entre la machine cliente et les serveurs GoTo). Étant donné que la majorité des serveurs sont basés aux États-Unis, cela aura un impact sur les clients en dehors des États-Unis. L’établissement de la connexion prend plus de temps dans les réseaux non restreints en raison du sondage approfondi.	Dans votre pare-feu, bloquez les éléments suivants : Tout le trafic TCP sortant vers les ports 443, 80 et 8200. Tout le trafic UDP sortant vers les ports 1853 et 8200. Sur les ordinateurs client, configurez un proxy HTTPS pour le port 443.
Tout le trafic TCP utilise le port 443 via le proxy HTTPS, le trafic UDP passe directement par le pare-feu	Avantages Le trafic multimédia peut utiliser UDP, qui permet d’améliorer la qualité audio et vidéo. La configuration et le débogage sont comparativement plus faciles lorsque le trafic TCP et UDP sont clairement séparés. Inconvénients L’établissement de la connexion prend plus de temps que dans les réseaux non restreints en raison du sondage approfondi.	Dans votre pare-feu, configurez les éléments suivants : Bloquez tout le trafic TCP sortant vers les ports 443, 80 et 8200. Autorisez le trafic UDP sortant vers les ports 1853 et 8200 (vous pouvez également restreindre les plages d’adresses aux plages d’adresses IP GoTo dédiées à UDP énumérées ci-dessus. Sur les ordinateurs client, configurez un proxy HTTPS.
Le trafic TCP et UDP vers les plages d’adresses IP GoTo va directement à travers le pare-feu, le trafic TCP vers d’autres plages d’adresses IP passe par le proxy HTTPS	Avantages Meilleures performances de partage de multimédia et d’écran, établissement de connexion rapide. Inconvénients La configuration est plus complexe et plus difficile à déboguer.	Dans votre pare-feu, configurez les éléments suivants : Autorisez le trafic TCP sortant vers le port 443 uniquement pour les plages d’adresses correspondant aux plages d’adresses IP GoTo pour TCP ci-dessus. Bloquez tout autre trafic TCP sortant vers les ports 443, 80 et 8200. Autorisez le trafic UDP sortant vers le port 1853 et 8200 – vous pouvez également restreindre les plages d'adresses au GoTo Plages d'adresses IP pour la liste UDP ci-dessus. Remarque : Assurez-vous que le trafic retour entrant est également transféré (avec état). Sur les ordinateurs client, configurez un proxy HTTPS.
Recourez à un pare-feu avec état et autorisez tout trafic TCP et UDP sortant, et le trafic de retour en fonction de l’état	Avantages Aucune configuration requise car tout le trafic est initié par le client. Le pare-feu ouvre automatiquement les connexions entrantes nécessaires. Inconvénients Bien qu’il s’agisse de la configuration par défaut pour de nombreux pare-feux, elle est rarement utilisée dans des réseaux plus complexes en raison des exigences de sécurité supplémentaires.	N’a pas besoin d’une configuration supplémentaire.

Configuration du VPN

Si vous utilisez un VPN, il existe plusieurs manières d’acheminer les différents flux. Les options reflètent les modes répertoriés dans le tableau ci-dessus ; cependant, vous devrez utiliser le routage pour déterminer quel trafic accède à quel endroit (ce qui rend difficile la séparation du trafic UDP et TCP).

C’est pourquoi nous recommandons l’une des options suivantes :

Acheminez tout via le tunnel VPN.
Autorisez toutes les plages d’adresses IP GoTo à accéder directement à Internet (TCP et UDP), envoyez tout autre trafic à travers le VPN.
Envoyez uniquement le trafic interne (par ex. 10.X.X.X et 192.168.X.X) à travers le tunnel VPN, et envoyez le reste directement vers Internet.

Le trafic TCP envoyé à travers le tunnel VPN peut ou non passer par un proxy après avoir traversé le tunnel. Il existe d’autres configurations qui peuvent être discutées au cas par cas avec l’équipe d’ingénierie GoTo.

Notes de configuration du proxy

Si votre proxy procède à une inspection profonde de paquets, assurez-vous que tous les domaines énumérés ci-dessus sont autorisés. L’inspection profonde de paquets peut avoir un impact sur la connexion TLS initiale et ralentir les flux multimédias en raison des délais de traitement.

Bien que GoTo Meeting puisse lire de nombreuses sources pour la configuration du proxy (par exemple proxy système, proxy Firefox, fichiers PAC, WPAD), la détection du proxy peut générer des résultats inattendus. Un des aspects est que la logique utilisée pour analyser les fichiers PAC ne prend pas en charge toutes les variations des règles possibles. L’autre aspect est que les proxies stockés dans le registre de GoTo Meeting sont parfois utilisés dans la détection de la connexion. Dès que GoTo Meeting détecte qu’il peut établir une connexion par le biais d’un proxy stocké, il peut également l’utiliser, même si d’autres configurations indiquent un autre proxy.

La manière la plus simple de vérifier l’utilisation du proxy est de consulter le fichier journal de GoTo Meeting.

macOS et Mac OS X

Les fichiers journaux sont stockés ici : /Utilisateurs/nom_utilisateur/Library/Logs/com.logmein.GoToMeeting.

Pour effacer les entrées de proxy existantes, supprimez ces clés : defaults -currentHost read com.logmein.GoToMeeting |grep ConnectionInfo.

Windows

Les fichiers journaux sont stockés ici : %Temp%\LogMeInLogs\GoToMeeting. Recherchez le dossier ayant la date la plus récente.

Pour effacer les entrées de proxy existantes, supprimez ces clés : HKEY_CURRENT_USER\SOFTWARE\LogMeInInc\GoToMeeting\ConnectionInfo.