Impostazioni minime del firewall per l’utilizzo dell’app desktop GoTo Meeting, GoTo Webinar e GoTo Training V10
Controlla le impostazioni minime per la configurazione di firewall/proxy che descrivono gli intervalli IP e i domini DNS che devono essere consentiti sul firewall/proxy rispettivamente e esclusi da qualsiasi controllo approfondito dei pacchetti. Vale per la versione 10 delle app desktop classiche GoTo Meeting, GoTo Webinar e GoTo Training.
Stato: verificato
GoTo IP Ranges
Tutti i servizi multimediali critici sono associati a questi intervalli. Idealmente, dovrebbero passare direttamente attraverso qualsiasi perimetro della rete e non tramite un proxy.
L’ipotesi è che tutto il traffico di GoTo Meeting non diretto a questi intervalli utilizzi HTTPS o WebSocket semplici e possa essere facilmente reindirizzato attraverso un proxy HTTPS di ispezione.
Intervallo | Utilizzo |
---|---|
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23 |
VCS (server video) |
67.217.64.0/19 | VGW (server audio) |
68.64.0.0/19 | VCS (server video), VGW e Edge (server audio) |
78.108.112.0/20 | VCS (server video) |
173.199.0.0/18 | VCS (server video), VGW e Edge (server audio), attendee.gotowebinar.com, global.gotowebinar.com, global.gototraining.com |
202.173.24.0/21 | MCS (server di condivisione dello schermo) |
216.115.208.0/20 | VGW (server audio), egwglobal.gotomeeting.com, egw.gotomeeting.com (rilevamento connessione) |
Intervallo | Utilizzo |
---|---|
23.239.228.0/22 23.239.232.0/23 23.239.234.0/23 23.239.236.0/23 |
VCS (server video) |
67.217.64.0/19 | VGW (server audio) |
68.64.0.0/19 | VCS (server video), VGW (server audio), vedi TCP |
78.108.112.0/20 | VCS (server video) |
173.199.0.0/18 | VCS (server video), VGW (server audio), vedi TCP |
216.115.208.0/20 | VGW (server audio) |
Domini
Dominio | Utilizzo | Punta agli indirizzi IP in | |
---|---|---|---|
1 | *.goto.com | Dominio centrale per avviare le sessioni | AWS |
2 | *.getgo.com | Vari servizi | AWS |
3 | *.gotomeeting.com | Vari servizi | GoTo/AWS |
4 | *.expertcity.com | Server di condivisione audio e schermo | GoTo |
5 | *.goto-rtc.com | Server audio e video | GoTo |
6 | *.logmeininc.com | Autenticazione (critica) | AWS |
7 | *.gotowebinar.com | Dominio centrale (richiesto solo per GoTo Webinar) | GoTo/AWS |
8 | *.gototraining.com | Dominio centrale (richiesto solo per GoTo Training) | GoTo |
9 | *.launchdarkly.com | Provider di servizi esterni per l’abilitazione delle funzionalità (non funziona tramite proxy, non critico) | Google Cloud |
10 | api-pub.mltree.net | GoTo Marketing (not critical) | AWS |
GoTo Opener
Dominio | Utilizzo | Punta agli indirizzi IP in |
---|---|---|
launch.getgo.com | Servizio Conference Launch | GoTo |
join.servers.getgo.com | Servizio Conference Launch | AWS |
builds.cdn.getgo.com | Scarica CDN per le build di GoTo Meeting | AWS |
builds.getgocdn.com | Scarica CDN per le build di GoTo Meeting | GoTo |
Modalità di configurazione generica della rete
In una rete senza limitazioni, GoTo Meeting aprirà una serie di connessioni TCP e UDP su varie porte, alcune delle quali essenziali, ad esempio, per trasmettere dati audio e altre non essenziali, ad esempio quella per i pop-up di marketing. I primi otto (8) domini nell’elenco di cui sopra devono essere esclusi dal deep packet inspection, se esistenti sul percorso di rete.
- TCP verso intervalli IP GoTo
- UDP verso intervalli IP GoTo
- TCP verso altri intervalli IP (attualmente gli spazi di indirizzi di AWS e Google Cloud)
Modalità | Pro e contro | Procedura di configurazione |
---|---|---|
Tutti i TCP utilizzano la porta 443 su proxy HTTPS, non viene utilizzato UDP | Pro Questa è la modalità di configurazione più semplice.
Contro
|
|
Tutto il traffico TCP che utilizza la porta 443 su proxy HTTPS, UDP passa direttamente attraverso il firewall | Pro
Contro L’instaurazione della connessione richiede più tempo nelle reti senza limitazioni a causa del prolungamento della ricerca. |
|
TCP e UDP verso gli intervalli IP di GoTo passano direttamente attraverso il firewall, il TCP verso altri intervalli IP passa attraverso il proxy HTTPS. | Pro Prestazioni ottimali di condivisione dello schermo e dei media, instaurazione rapida della connessione.Contro La configurazione è più complessa e più difficile da sottoporre a debugging. |
|
Esegui un firewall stateful e consenti tutto il traffico TCP e UDP in uscita e restituisci il traffico in base allo stato | Pro Nessuna configurazione richiesta perché il traffico viene avviato dal client. Il firewall apre automaticamente le connessioni in entrata richieste.Contro Questa è la configurazione predefinita per molti firewall, ma viene raramente utilizzata in reti più complesse a causa di ulteriori requisiti di sicurezza. |
Non hai bisogno di configurazione aggiuntiva. |
Configurazione della VPN
Se usi una VPN, esistono diversi modi per instradare i diversi flussi. Le opzioni riflettono le modalità elencate nella tabella precedenti; tuttavia, dovrai usare l’instradamento per decidere come smistare il traffico (il che rende difficile separare il traffico UDP dal traffico TCP).
- Instrada tutto tramite il tunnel VPN.
- Consenti a tutti gli intervalli IP di GoTo di passare direttamente a Internet (TCP e UDP) e instrada tutto il restante traffico attraverso la VPN.
- Invia solo il traffico aziendale (ovvero 10.X.X.X and 192.168.X.X) nel tunnel VPN e tutto il resto direttamente a Internet.
Il traffico TCP inviato attraverso il tunnel VPN potrebbe o potrebbe non passare da un proxy dopo aver eseguito l’accesso nel tunnel. Altre configurazioni possono essere sottoposte al vaglio del team Engineering di GoTo a seconda della situazione specifica.
Note sulla configurazione del proxy
Se il proxy esegue il DPI, assicurati che tutti i domini elencati sopra siano nell’elenco dei consentiti. Il DPI può influire sulla connessione TLS iniziale e rallentare i flussi multimediali a causa dei ritardi di elaborazione.
Sebbene GoTo Meeting legga molte fonti per la configurazione del proxy (ad esempio, proxy di sistema, proxy Firefox, file PAC, WPAD), il rilevamento del proxy potrebbe generare risultati imprevisti. Un fattore da considerare è che la logica utilizzata per analizzare i file PAC non supporta tutte le varianti delle regole possibili. L’altro fattore è che i proxy memorizzati registro di GoTo Meeting sono spesso utilizzati nel rilevamento della connessione. Non appena GoTo Meeting scopre di poter stabilire una connessione attraverso un proxy memorizzato, potrebbe utilizzarlo, anche se altre configurazioni potrebbero indicare un altro proxy.
Il modo più semplice per verificare l’utilizzo dei proxy consiste nell’esaminare il file di registro di GoTo Meeting.
I file di registro sono archiviati qui: /Users/username/Library/Logs/com.logmein.GoToMeeting.
Per cancellare le voci proxy esistenti, elimina queste chiavi: defaults -currentHost read com.logmein.GoToMeeting |grep ConnectionInfo.
I file di registro sono archiviati qui: %Temp%\LogMeInLogs\GoToMeeting. Cerca la cartella con la data più recente.
Per cancellare le voci proxy esistenti, elimina queste chiavi: HKEY_CURRENT_USER\SOFTWARE\LogMeInInc\GoToMeeting\ConnectionInfo.