Impostazioni minime del firewall per l’app GoTo
Di seguito sono riportate le opzioni di configurazione del firewall e del proxy necessarie per avviare una sessione e utilizzare con successo la condivisione di audio, video e schermo sulla nostra app GoTo (versione desktop e browser).
Esistono impostazioni avanzate e personalizzate che possono essere applicate a seconda del prodotto, ma anche in questo caso l'articolo tratta le impostazioni minime necessarie per eseguire con successo l'app GoTo. Se utilizzi la nostra applicazione legacy, vedi le impostazioni minime necessarie qui. Se sei interessato a impostazioni personalizzate più avanzate, consulta le nostre impostazioni generali di allowlist e firewall qui (che possono essere filtrate per un prodotto specifico, a seconda delle esigenze).
Versione 2.3
Domini
# | Dominio | Utilizzo | Protocollo | Punta agli indirizzi IP in |
---|---|---|---|---|
1 | *.goto.com | Dominio principale | TCP | — |
2 | *.goto-rtc.com | Server Audio e video – utilizza WebSocket per alcune connessioni | UDP/TCP | GoTo/AWS/OCI |
3 | *.jive.com | Connessioni generali utilizzate dalla soluzione GoTo per chiamate, riunioni e messaggi | UDP/TCP | — |
4 | *.getgo.com | Vari servizi | TCP | AWS/OCI |
5 | *.gotomeeting.com | Vari servizi | TCP | GoTo/AWS/OCI |
6 | *.logmeininc.com | Autenticazione (critica) | — | AWS/OCI |
7 | *.expertcity.com | Server di condivisione audio e schermo | TCP | GoTo |
# | Dominio | Utilizzo | Protocollo | Punta agli indirizzi IP in |
---|---|---|---|---|
1 | *.gototraining.com | Dominio centrale (richiesto solo per GoTo Training) | TCP | GoTo |
2 | *.firebase.app | Editor per la creazione di sondaggi; può essere avviato in sessione | TCP | |
3 | apis.google.com | Condivisione Google Drive | TCP | |
4 | *.youtube.com *.googlevideo.com | Condivisione video su YouTube | TCP |
# | Dominio | Utilizzo | Protocollo | Punta agli indirizzi IP in |
---|---|---|---|---|
1 | *.gotowebinar.com | Condivisione video su YouTube | TCP | GoTo/AWS/OCI |
2 | *.recordingassets.logmeininc.com *.lmiinc.test.expertcity.com | Riavvio Video nel webinar | TCP | — |
Utilizzo delle porte: Connessioni di segnalazione e connessioni multimediali
- Connessioni di segnalazione -
- Porta TCP 443. A seconda della funzione, il protocollo utilizzato è HTTPS/TLS/SSL/WS.
- Connessioni di trasporto multimediale (per VOIP, fotocamera e condivisione dello schermo)-
- Porta UDP 45000-65535 o
- Porta UDP 3478 o
- Porta TCP 3478 o porta 443
Esistono 4 scenari generali di configurazione per il traffico GoTo, come indicato di seguito in Scenari di configurazione.
Intervalli IP di proprietà di GoTo per il traffico multimediale
- 68.64.0.0/19
- 173.199.0.0/18
- 78.108.124.0/23
- 202.173.24.0/21
- 23.239.224.0/19
Scenari di configurazione
I seguenti scenari sono forniti dal team Engineering di GoTo. Scegli l’opzione più adatta alle tue esigenze (ciascuna opzione è descritta sotto questo elenco):
- Traffico se non sono presenti limitazioni — Consigliata per le prestazioni migliori
- UDP su TURN – Consigliata per le prestazioni migliori
- TCP 3478/443 su TURN
- TCP 443 su TURN: quella con maggiore limitazione della qualità delle chiamate a causa di fattori quali la Deep Packet Inspection.
Traffico se non sono presenti limitazioni
In questa configurazione, comune a un tipico utente domestico, il traffico UDP verso la porta 45000-65535 può essere limitato agli intervalli IP sopra elencati GoTo. Il traffico TCP verso la porta 443 non è limitato. Gli intervalli IP di destinazione di queste connessioni TCP appartengono allo spazio degli indirizzi GoTo/AWS/OCI, quindi non è utile eseguire restrizioni basate sugli indirizzi IP. Questa impostazione offrirà anche ritardi inferiori e una correzione di errore ottimale nel caso di una perdita di pacchetti rispetto agli scenari riportati di seguito. Tuttavia, richiede un’impostazione del firewall senza limitazioni che si avvale dell’ispezione stateful per aprire le porte UDP in entrata secondo le necessità. Tutto il traffico viene avviato dall'interno della rete GoTo client.
Protocollo | Porta Dst | Indirizzo Dst | Azione |
---|---|---|---|
UDP | 45000-65535 | GoTo IP ranges | Consenti |
TCP | 443 | Tutti | Consenti |
UDP su TURN (è richiesta una sola porta)
Protocollo | Porta DST | Ind. DST | Azione |
---|---|---|---|
UDP | 3478 | GoTo IP ranges | Consenti |
TCP | 443 | Tutti | Consenti |
TCP 3478/443 su TURN
In questa configurazione, TCP viene utilizzato per i file multimediali con il server TURN. Dietro al server TURN, UDP viene utilizzato per l’infrastruttura GoTo. Poiché i server TURN sono nella stessa geolocalizzazione dell’utente, questo aiuta a mitigare alcuni degli svantaggi del TCP su lunghe distanze. Tuttavia, non è efficiente nella gestione della perdita di pacchetti come UDP, il che significa che ci si può aspettare un numero maggiore di audio interrotto e un ritardo più elevato rispetto alla configurazione precedente. L'invio o meno del traffico TCP 443 attraverso un proxy è a tua discrezione.
Protocollo | Porta DST | Ind. DST | Azione |
---|---|---|---|
TCP | 3478 | GoTo IP ranges | Consenti |
TCP | 443 | Tutti | Consenti |
TCP 443 su TURN
Si tratta dello scenario con più limitazioni. È possibile eseguire o meno il traffico 443 TCP attraverso un proxy. In tal modo verrà ad aggiungersi ulteriore latenza alla connessione. Richiede anche un proxy dalle prestazioni elevate per gestire l’elevato volume di traffico, specialmente per il video.
Protocollo | Porta DST | Ind. DST | Azione |
---|---|---|---|
TCP | 443 | Tutti | Consenti |
Note sulla configurazione del proxy
- Se il proxy esegue un'indagine approfondita dei pacchetti (DPI), assicurati che tutti i domini elencati sopra siano consentiti. Il DPI può influire sulla connessione TLS iniziale e rallentare i flussi multimediali a causa dei ritardi di elaborazione.
- È meno problematico inserire il DPI nel percorso per le connessioni di trasmissione di segnali se i file multimediali vengono inviati tramite UDP. L'unico problema potenziale è la mancata corrispondenza dei certificati, che non dovrebbe verificarsi con una configurazione corretta dei certificati sugli endpoint.
- GoTo generally uses the configured proxy from the operating system. Se è configurato un proxy, tutto il traffico TCP verrà instradato attraverso tale proxy. GoTo will nevertheless try to establish UDP connections for media. Solo quando queste connessioni UDP falliscono, verranno utilizzate le connessioni multimediali TCP attraverso il proxy.
- Per poter inviare GoTo traffico a un proxy specifico diverso da quello per altri traffico, puoi usare una standard proxy.pac file In base ai domini DNS elencati sopra.
Note sulla configurazione della VPN
In generale, il WebRTC utilizzato in GoTo sonderà tutte le interfacce di rete del sistema alla ricerca di connessioni multimediali e, in caso di connessione, potrebbe decidere un percorso diverso dai percorsi della tabella di routing locale. Questo può essere un problema con le soluzioni VPN come Cisco AnyConnect, che si basano sulle modifiche della tabella di routing per inviare i pacchetti nel tunnel VPN. Tuttavia, può accadere anche il contrario, quando il tunnel VPN viene selezionato in una VPN a tunnel diviso nonostante sia disponibile una connessione diretta. Questo è dovuto in genere alle metriche di interfaccia più basse impostate sulle interfacce VPN.
L'unico modo per forzare WebRTC a utilizzare un determinato percorso è quello di bloccare completamente gli altri percorsi per UDP sui suddetti intervalli IP GoTo.
Configurazioni specifiche di Zscaler
Se utilizzi Zscaler per filtrare il traffico, è necessario configurare GoTo per ottenere le migliori prestazioni. Poiché la configurazione di Zscaler è estremamente complessa e individuale, questo è solo un punto di partenza per la tua configurazione. In caso di problemi, chiedi al nostro GoTo team di supporto di metterti in contatto direttamente con il nostro team di ingegneri.
Visualizza l'interruttore di configurazione nella configurazione di Zscaler qui. Questo escluderà i domini e gli intervalli IP conosciuti GoTo come indicato qui da alcuni tipi di ispezioni.