Impostazioni minime del firewall per l’app GoTo

Di seguito sono riportate le opzioni di configurazione del firewall e del proxy necessarie per avviare una sessione e utilizzare con successo la condivisione di audio, video e schermo sulla nostra app GoTo (versione desktop e browser).

Esistono impostazioni avanzate e personalizzate che possono essere applicate a seconda del prodotto, ma anche in questo caso l'articolo tratta le impostazioni minime necessarie per eseguire con successo l'app GoTo. Se utilizzi la nostra applicazione legacy, vedi le impostazioni minime necessarie qui. Se sei interessato a impostazioni personalizzate più avanzate, consulta le nostre impostazioni generali di allowlist e firewall qui (che possono essere filtrate per un prodotto specifico, a seconda delle esigenze).

Versione 2.3

Domini

Esistono diversi domini utilizzati dalla GoTo, ma non tutte le riunioni necessarie. I seguenti elenchi di domini sono essenziali per lo svolgimento delle riunioni e dovranno pertanto essere aggiunti al tuo elenco di elementi consentiti:

**Domini DNS essenziali**
#	Dominio	Utilizzo	Protocollo	Punta agli indirizzi IP in
1	`.goto.com`*	Dominio principale	TCP	—
2	`.goTo-rtc.com`*	Server Audio e video – utilizza WebSocket per alcune connessioni	UDP/TCP	GoTo/AWS/OCI
3	`.jive.com`*	Connessioni generali utilizzate dalla soluzione GoTo per chiamate, riunioni e messaggi	UDP/TCP	—
4	`.getgo.com`*	Vari servizi	TCP	AWS/OCI
5	`.gotomeeting.com`*	Vari servizi	TCP	GoTo/AWS/OCI
6	`.logmeininc.com`*	Autenticazione (critica)	—	AWS/OCI
7	`.expertcity.com`*	Server di condivisione audio e schermo	TCP	GoTo

**Domini aggiuntivi richiesti per GoTo Training**
#	Dominio	Utilizzo	Protocollo	Punta agli indirizzi IP in
1	`.gototraining.com`*	Dominio centrale (richiesto solo per GoTo Training)	TCP	GoTo
2	`.firebase.app`*	Editor per la creazione di sondaggi; può essere avviato in sessione	TCP	Google
3	`apis.google.com`	Condivisione Google Drive	TCP	Google
4	`.youtube.com .googlevideo.com`	Condivisione video su YouTube	TCP	Google

**I domini aggiuntivi richiesti per GoTo Webinar**
#	Dominio	Utilizzo	Protocollo	Punta agli indirizzi IP in
1	`.gotowebinar.com`*	Condivisione video su YouTube	TCP	GoTo/AWS/OCI
2	`.recordingassets.logmeininc.com .lmiinc.test.expertcity.com`	Riavvio Video nel webinar	TCP	—

Nota: Poiché i segnali vengono sempre gestiti tramite la porta 443 TCP, consigliamo di escludere i domini sopra da qualsiasi tipo di interazione del traffico. Instradare loro tramite un https Il proxy di solito funziona, ma l'indagine approfondita dei pacchetti può interrompere la produzione del certificato per l'impostazione TLS o il ritardo dei pacchetti al punto in cui sarà risentirne la qualità.

Utilizzo delle porte: Connessioni di segnalazione e connessioni multimediali

Esistono due distinte connessioni di rete utilizzate da GoTo:

Connessioni di segnalazione -
- Porta TCP 443. A seconda della funzione, il protocollo utilizzato è HTTPS/TLS/SSL/WS.
Connessioni di trasporto multimediale (per VOIP, fotocamera e condivisione dello schermo)-
- Porta UDP 45000-65535 o
- Porta UDP 3478 o
- Porta TCP 3478 o porta 443

Esistono 4 scenari generali di configurazione per il traffico GoTo, come indicato di seguito in Scenari di configurazione.

Intervalli IP di proprietà di GoTo per il traffico multimediale

Tutti i server Media e TURN sono distribuiti nei seguenti intervalli IPv4, di proprietà di GoTo Group, Inc:

68.64.0.0/19
173.199.0.0/18
78.108.124.0/23
202.173.24.0/21
23.239.224.0/19

Scenari di configurazione

I seguenti scenari sono forniti dal team Engineering di GoTo. Scegli l’opzione più adatta alle tue esigenze (ciascuna opzione è descritta sotto questo elenco):

Traffico se non sono presenti limitazioni — Consigliata per le prestazioni migliori
UDP su TURN – Consigliata per le prestazioni migliori
TCP 3478/443 su TURN
TCP 443 su TURN: quella con maggiore limitazione della qualità delle chiamate a causa di fattori quali la Deep Packet Inspection.

Traffico se non sono presenti limitazioni

In questa configurazione, comune a un tipico utente domestico, il traffico UDP verso la porta 45000-65535 può essere limitato agli intervalli IP sopra elencati GoTo. Il traffico TCP verso la porta 443 non è limitato. Gli intervalli IP di destinazione di queste connessioni TCP appartengono allo spazio degli indirizzi GoTo/AWS/OCI, quindi non è utile eseguire restrizioni basate sugli indirizzi IP. Questa impostazione offrirà anche ritardi inferiori e una correzione di errore ottimale nel caso di una perdita di pacchetti rispetto agli scenari riportati di seguito. Tuttavia, richiede un’impostazione del firewall senza limitazioni che si avvale dell’ispezione stateful per aprire le porte UDP in entrata secondo le necessità. Tutto il traffico viene avviato dall'interno della rete GoTo client.

Attenzione: Se utilizzi il filtro https, assicurati che i domini sopra elencati siano esclusi dalla deep packet inspection. In caso contrario, potrebbero verificarsi problemi di connessione a causa dei certificati modificati.

**Impostazioni del filtro dei pacchetti**
Protocollo	Porta Dst	Indirizzo Dst	Azione
UDP	45000-65535	GoTo Intervalli IP	Consenti
TCP	443	Tutti	Consenti

UDP su TURN (è richiesta una sola porta)

In questa configurazione, tutto il traffico multimediale viene inviato attraverso un server TURN GoTo utilizzando UDP. Traffico TCP 443 è usato solo per le indicazioni, per cui https il proxy non avrà alcun effetto sulle prestazioni.

Attenzione: Se utilizzi https filtrando, assicurati che i domini elencati sopra siano esclusi dal controllo approfondito dei pacchetti, altrimenti potrebbero verificarsi problemi di connessione a causa di certificati modificati.

Ecco le impostazioni richieste per il firewall:

**Impostazioni del filtro dei pacchetti**
Protocollo	Porta DST	Ind. DST	Azione
UDP	`3478`	GoTo Intervalli IP	Consenti
TCP	`443`	Tutti	Consenti

TCP 3478/443 su TURN

In questa configurazione, TCP viene utilizzato per i file multimediali con il server TURN. Dietro al server TURN, UDP viene utilizzato per l’infrastruttura GoTo. Poiché i server TURN sono nella stessa geolocalizzazione dell’utente, questo aiuta a mitigare alcuni degli svantaggi del TCP su lunghe distanze. Tuttavia, non è efficiente nella gestione della perdita di pacchetti come UDP, il che significa che ci si può aspettare un numero maggiore di audio interrotto e un ritardo più elevato rispetto alla configurazione precedente. L'invio o meno del traffico TCP 443 attraverso un proxy è a tua discrezione.

**Impostazioni del filtro dei pacchetti**
Protocollo	Porta DST	Ind. DST	Azione
TCP	`3478`	GoTo Intervalli IP	Consenti
TCP	`443`	Tutti	Consenti

TCP 443 su TURN

Si tratta dello scenario con più limitazioni. È possibile eseguire o meno il traffico 443 TCP attraverso un proxy. In tal modo verrà ad aggiungersi ulteriore latenza alla connessione. Richiede anche un proxy dalle prestazioni elevate per gestire l’elevato volume di traffico, specialmente per il video.

**Impostazioni del filtro dei pacchetti**
Protocollo	Porta DST	Ind. DST	Azione
TCP	`443`	Tutti	Consenti

Note sulla configurazione del proxy

Se il proxy esegue un'indagine approfondita dei pacchetti (DPI), assicurati che tutti i domini elencati sopra siano consentiti. Il DPI può influire sulla connessione TLS iniziale e rallentare i flussi multimediali a causa dei ritardi di elaborazione.
È meno problematico inserire il DPI nel percorso per le connessioni di trasmissione di segnali se i file multimediali vengono inviati tramite UDP. L'unico problema potenziale è la mancata corrispondenza dei certificati, che non dovrebbe verificarsi con una configurazione corretta dei certificati sugli endpoint.
GoTo in genere utilizza il proxy configurato dal sistema operativo. Se è configurato un proxy, tutto il traffico TCP verrà instradato attraverso tale proxy. GoTo cercherà comunque di stabilire connessioni UDP per i media. Solo quando queste connessioni UDP falliscono, verranno utilizzate le connessioni multimediali TCP attraverso il proxy.
Per poter inviare GoTo traffico a un proxy specifico diverso da quello per altri traffico, puoi usare una standard proxy.pac file In base ai domini DNS elencati sopra.

Note sulla configurazione della VPN

In generale, il WebRTC utilizzato in GoTo sonderà tutte le interfacce di rete del sistema alla ricerca di connessioni multimediali e, in caso di connessione, potrebbe decidere un percorso diverso dai percorsi della tabella di routing locale. Questo può essere un problema con le soluzioni VPN come Cisco AnyConnect, che si basano sulle modifiche della tabella di routing per inviare i pacchetti nel tunnel VPN. Tuttavia, può accadere anche il contrario, quando il tunnel VPN viene selezionato in una VPN a tunnel diviso nonostante sia disponibile una connessione diretta. Questo è dovuto in genere alle metriche di interfaccia più basse impostate sulle interfacce VPN.

L'unico modo per forzare WebRTC a utilizzare un determinato percorso è quello di bloccare completamente gli altri percorsi per UDP sui suddetti intervalli IP GoTo.

Configurazioni specifiche di Zscaler

Se utilizzi Zscaler per filtrare il traffico, è necessario configurare GoTo per ottenere le migliori prestazioni. Poiché la configurazione di Zscaler è estremamente complessa e individuale, questo è solo un punto di partenza per la tua configurazione. In caso di problemi, seleziona Contatto con Support per metterti in contatto direttamente con il nostro team di ingegneri.

Visualizza il passaggio di configurazione nel sito Zscaler config qui. Questo escluderà i domini e gli intervalli IP conosciuti GoTo come indicato qui da alcuni tipi di ispezioni.

Importante: Tieni presente che mentre GoTo può essere utilizzato come applicazione autonoma, è anche disponibile dai browser supportati; quindi, mentre puoi definire delle eccezioni basate sul binario (GoTo.exe su MS Windows), non sarà efficace per gli utenti del browser. Se stai distribuendo Zscaler Internet Access e utilizzi il tunnel diviso, è meglio separare il traffico UDP GoTo dal client per farlo andare direttamente a Internet.

Articolo Ultimo aggiornamento: 29 March, 2024

You are viewing the latest version of this article.