WSA と GoToMeeting の接続に関する問題

はじめに

このドキュメントでは、Citrix GoToMeeting が Cisco Web セキュリティ アプライアンス（WSA）経由で接続しない問題について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco WSA
• Citrix GoToMeeting

注：このドキュメントでは、Cisco WSAがトランスペアレントモードで導入されていることを前提としています。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づいています。

• Cisco WSA バージョン 7.x および 8.x 
• Citrix GoToMeeting バージョン 5 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

注：このドキュメントでは、シスコによる保守およびサポートの対象でないソフトウェアを参照しています。この情報は、利便性のために無償で提供されています。さらにサポートが必要な場合は、ソフトウェアのベンダーに連絡してください。

問題

Cisco WSA が透過型プロキシ導入で使用されている場合は、Citrix GoToMeeting が WSA 経由で接続しません。また、GoToMeeting が復号化ポリシーで HTTPS パススルー アクション用に設定されている場合は、その影響を受けません。

Citrix ホワイト ペーパーに記載されているように、GoToMeeting は接続するために次のアクションを実行します。

GoToMeeting エンドポイント ソフトウェアは、起動時に、ポート 8200、443、または 80 上で 1 つ以上の発信 SSL 保護 TCP 接続を開始することによって、エンドポイント ゲートウェイ（EGW）経由で GoToMeeting サービス ブローカーに接続しようとします。早い方の接続応答が使用され、その他の応答はドロップされます。

明確なプロキシ環境では、GoToMeeting が HTTP CONNECT 要求を使って接続し、WSA がクライアントとサーバ間でデータをトンネリングします。この種の接続では問題が発生しません。ただし、トランスペアレント モードでは、GoToMeeting クライアントが認証を実行できません。

解決方法

この問題を効率的に解決するために、クライアントの IP アドレス ベース（サブネット）ID を使用して認証プロセスをバイパスすることをお勧めします。ただし、復号化が有効になっていても、認証が無効になっていると、GoToMeeting が機能することに注意してください。

ここでは、WSA で GoToMeeting トラフィックの認証プロセスをバイパスする方法について説明します。次の手順を実行して、新しいカスタム URL カテゴリのリストに GoToMeeting サーバの IP アドレスを追加します。

1. Web 管理 GUI から、[Web Security Services] > [Custom URL Category] に移動して [Add Custom Category] をクリックします。
   
   
2. サイト リストに以下の IP アドレス範囲を追加します。
   
   
   • 216.115.208.0/20
   • 216.219.112.0/20
   • 66.151.158.0/24
   • 66.151.150.160/27
   • 66.151.115.128/26
   • 64.74.80.0/24
   • 202.173.24.0/21
   • 67.217.64.0/19
   • 78.108.112.0/20
   • 68.64.0.0/19
   • 206.183.100.0/22

注：これらのIPアドレスはいつでも変更できます。Citrix IP アドレス リストで現在の IP アドレス範囲を確認することをお勧めします。

注意：このドキュメントで参照されているCitrixリンクは参考情報としてのみ提供されています。それらの正確性や有効性を保証することはできません。