Configurações mínimas de firewall para o aplicativo GoTo
Abaixo estão as opções de configuração de firewall e proxy necessárias para que você inicie uma sessão e use áudio, vídeo e compartilhamento de tela com êxito em nosso aplicativo GoTo (versões para desktop e navegador).
Há configurações mais avançadas e personalizadas que podem ser aplicadas dependendo do seu produto, mas, novamente, este artigo aborda as configurações mínimas necessárias para que você execute o aplicativo GoTo com êxito. Se você estiver usando nosso aplicativo legado, veja as configurações mínimas necessárias aqui. Se você estiver interessado em configurações personalizadas mais avançadas, consulte nossas configurações gerais de lista de permissões e firewall aqui (que podem ser filtradas por um produto específico, conforme desejado).
Versão 2.3
Domínios
# | Domínio | Uso | Protocol (Protocolo) | Aponta para endereços no |
---|---|---|---|---|
1 | *.goto.com | Domínio principal | TCP | — |
2 | *.goto-rtc.com | Servidores de áudio e vídeo – O WebSocket é usado em algumas conexões | UDP/TCP | GoTo/AWS/OCI |
3 | *.jive.com | Conexões gerais usadas por GoTo Connect | UDP/TCP | — |
4 | *.getgo.com | Diversos serviços | TCP | AWS/OCI |
5 | *.gotomeeting.com | Diversos serviços | TCP | GoTo/AWS/OCI |
6 | *.logmeininc.com | Autenticação (crítico) | — | AWS/OCI |
7 | *.expertcity.com | Servidores de compartilhamento de áudio e tela | TCP | GoTo |
# | Domínio | Uso | Protocol (Protocolo) | Aponta para endereços no |
---|---|---|---|---|
1 | *.gototraining.com | Domínio central (necessário somente para o GoTo Training) | TCP | GoTo |
2 | *.firebase.app | Editor para criar consultas, pode ser iniciado na sessão | TCP | |
3 | apis.google.com | Compartilhamento no Google Drive | TCP | |
4 | *.youtube.com *.googlevideo.com | Compartilhamento de vídeo do YouTube | TCP |
# | Domínio | Uso | Protocol (Protocolo) | Aponta para endereços no |
---|---|---|---|---|
1 | *.gotowebinar.com | Compartilhamento de vídeo do YouTube | TCP | GoTo/AWS/OCI |
2 | *.recordingassets.logmeininc.com *.lmiinc.test.expertcity.com | Votações de vídeo no webinar | TCP | — |
Uso da porta: Sinalização vs. conexões de mídia
- Conexões de sinalização - - Você pode usar as conexões de sinalização que estão disponíveis.
- Porta TCP 443. Dependendo da função, o protocolo usado é HTTPS/TLS/SSL/WS.
- Conexões de transporte de mídia (para VOIP, câmera e compartilhamento de tela)
- Porta UDP 45000-65535 ou
- Porta UDP 3478 ou
- Porta TCP 3478 ou porta 443
Há quatro cenários gerais de configuração para o tráfego GoTo, conforme descrito abaixo em Cenários de configuração.
Você possui intervalos de IP da GoTo para tráfego de mídia
- 68.64.0.0/19
- 173.199.0.0/18
- 78.108.124.0/23
- 202.173.24.0/21
- 23.239.224.0/19
Cenários de configuração
Os seguintes cenários são fornecidos pela equipe de engenharia da GoTo. Escolha a opção mais adequada para suas necessidades (cada opção é detalhada abaixo desta lista):
- Tráfego no caso de nenhuma restrição — Recomendado para melhor desempenho
- UDP sobre TURN — Recomendado para melhor desempenho
- TCP 3478/443 sobre TURN
- TCP 443 sobre TURN — Maior restrição quanto à qualidade de chamadas devido a aspectos como inspeção profunda de pacotes
Tráfego no caso de nenhuma restrição
Nessa configuração, comum a um usuário doméstico típico, o tráfego UDP para o intervalo de portas 45000-65535 pode ser restrito aos intervalos de IP GoTo listados acima. O tráfego TCP para a porta 443 não é restrito. Os intervalos de IP de destino para essas conexões TCP pertencem ao espaço de endereços GoTo/AWS/OCI, portanto, não é útil executar restrições com base nos intervalos de IP. Esta configuração também oferecerá os menores atrasos e a melhor correção de erros no caso da perda de pacotes em comparação aos cenários abaixo. No entanto, exige uma configuração de firewall sem restrição que depende da inspeção com status para abrir portas UDP de entrada conforme necessário. Todo o tráfego é iniciado de dentro da rede do cliente GoTo para fora.
Protocol (Protocolo) | Porta Dst | Endereço Dst | Ação |
---|---|---|---|
UDP | 45000-65535 | GoTo IP ranges | Permitir |
TCP | 443 | Tudo | Permitir |
UDP sobre TURN (apenas uma porta é necessária)
Protocol (Protocolo) | Porta de destino | Endereço do destino | Ação |
---|---|---|---|
UDP | 3478 | GoTo IP ranges | Permitir |
TCP | 443 | Tudo | Permitir |
TCP 3478/443 sobre TURN
Nesta configuração, o TCP é usado para transporte de mídia para o servidor TURN. Atrás do servidor de TURN, o UDP é usado no caminho para a infraestrutura da GoTo. Como os servidores TURN estão na mesma delimitação geográfica do usuário, isso ajuda a mitigar algumas das desvantagens do TCP para longas distâncias. No entanto, ele não é tão eficiente para lidar com perda de pacotes quanto o UDP e, portanto, você perceberá uma quantidade mais alta de desconexão de áudio e um atraso maior em comparação à configuração acima. Se o tráfego TCP 443 é enviado por meio de um proxy ou não, fica a seu critério.
Protocol (Protocolo) | Porta de destino | Endereço do destino | Ação |
---|---|---|---|
TCP | 3478 | GoTo IP ranges | Permitir |
TCP | 443 | Tudo | Permitir |
TCP 443 sobre TURN
Este é o cenário mais restrito. Talvez você não envie o tráfego TCP 443 por meio de um proxy. Fazer isso causará mais latência na conexão. Além disso, exige um proxy com bom desempenho para lidar com a alta quantidade de tráfego, especialmente para vídeo.
Protocolo | Porta de destino | Endereço do destino | Ação |
---|---|---|---|
TCP | 443 | Tudo | Permitir |
Notas de configuração do proxy
- Se seu proxy estiver com inspeção profunda de pacotes (DPI), verifique se todos os domínios listados acima estão disponíveis. O DPI pode impactar a conexão inicial de TLS e desacelerar os fluxos de mídia devido a atrasos de processamento.
- É um problema menor ter o DPI no caminho para as conexões de sinalização se a mídia for enviada via UDP. O único possível problema com isso é a incompatibilidade de certificados, o que não deve acontecer com a configuração correta dos certificados em seus pontos de extremidade.
- GoTo generally uses the configured proxy from the operating system. Se um proxy estiver configurado, todo o tráfego TCP será encaminhado por meio dele. GoTo will nevertheless try to establish UDP connections for media. É somente quando essas conexões UDP falham que as conexões de mídia TCP pelo proxy serão usadas.
- Para enviar GoTo tráfego para um proxy específico diferente do para outro tráfego, você pode usar um padrão proxy.pac arquivo com base nos domínios DNS listados acima.
Notas sobre a configuração da VPN
Em geral, o WebRTC usado em GoTo sondará todas as interfaces de rede do seu sistema em busca de conexões de mídia e poderá decidir um caminho diferente das rotas na tabela de roteamento local se ele se conectar. Isso pode ser um problema com soluções VPN como o Cisco AnyConnect, que dependem de alterações na tabela de roteamento para enviar pacotes para o túnel VPN. No entanto, o oposto também pode acontecer quando o túnel VPN é selecionado em uma VPN de túnel dividido, apesar de uma conexão direta estar disponível. Normalmente, isso se deve às métricas de interface mais baixas definidas nas interfaces VPN.
A única maneira de forçar o WebRTC a usar um determinado caminho é bloquear completamente os outros caminhos para UDP nos intervalos de IP GoTo mencionados acima.
Configurações específicas do Zscaler
Se você usar o Zscaler para filtrar o tráfego, ele precisará ser configurado para GoTo para funcionar com o melhor desempenho. Como a configuração do Zscaler é extremamente complexa e individual, este é apenas um ponto de partida para você configurar. Se você tiver algum problema, peça à nossa GoTo equipe de suporte para entrar em contato diretamente com nossa equipe de engenharia.
Veja a chave de configuração na configuração do Zscaler aqui. Isso excluirá domínios GoTo e intervalos de IP conhecidos, conforme estabelecido aqui, de alguns tipos de inspeções.