Guía de red para el Escritorio remoto de Chrome

El objetivo de este documento es describir los requisitos de red para que el Escritorio remoto de Chrome funcione correctamente en tu red. En este documento, también se describen algunos detalles subyacentes del protocolo de Escritorio remoto de Chrome y el proceso de negociación de conexión entre pares (P2P).

Usa esta guía si tienes una red privada muy restrictiva o si tienes problemas para que el Escritorio remoto de Chrome funcione en tu red.

Lista de puertos y protocolos necesarios

Reglas de permiso de URLs para el Escritorio remoto de Chrome

Para acceder al Escritorio remoto de Chrome, los usuarios deben poder navegar a las URLs específicas que se indican a continuación. Tu red debe permitir el acceso saliente a estas URLs.

En la Consola del administrador de Google, en las páginas de configuración Usuarios y navegadores y Sesiones de invitado administradas, puedes usar el parámetro de configuración Bloqueo de URLs para controlar el acceso a las URLs. Para obtener información sobre cómo permitir o bloquear URLs, consulta Cómo establecer políticas de Chrome para usuarios o navegadores.

Lee sobre las políticas URLAllowlist y URLBlocklist.

Reglas de firewall genéricas necesarias para el Escritorio remoto de Chrome en redes privadas

Para obtener una lista de los rangos de IP de los servicios de Google, consulta la documentación de Google Cloud.

Las direcciones IP son dinámicas según la ubicación. Si bien es posible tener un dispositivo con conectividad solo a través de reglas de firewall explícitas basadas en IP, puertos o protocolos, estas reglas serán un objetivo en constante cambio debido al comportamiento dinámico de las asignaciones de direcciones IP. Google usa un servicio alojado en www.gstatic.com para buscar de forma dinámica IP localizadas para varios servicios.

La secuencia de comandos no devuelve una IP esencial para el Escritorio remoto de Chrome, ya que no tiene una URL de DNS: 74.125.247.128. Esta es la IP del servicio de señalización que se usa para facilitar las conexiones TURN/STUN, que se describen a continuación. Esto solo se usará en los siguientes casos:

1. Si el recorrido del firewall está configurado como Habilitar el recorrido del firewall.
2. Si está seleccionada la opción Habilitar el uso de los servidores de retransmisión.
   Para obtener información sobre el parámetro de configuración Firewall traversal, consulta Cómo establecer políticas de Chrome para usuarios o navegadores. Obtén más información sobre RemoteAccessHostAllowRelayedConnection y RemoteAccessHostFirewallTraversal.

Detalles del protocolo

Los tipos de conexión del Escritorio remoto de Chrome se pueden configurar a través de una política empresarial. Las conexiones entre el cliente y el host del Escritorio remoto de Chrome son, en principio, solicitudes web a los servicios de Google negociadas. Una vez que se crea una instancia de conexión, una conexión P2P facilita la sesión en vivo.

Tipos de conexión P2P

Las conexiones P2P se establecen con los protocolos Interactive Connectivity Establishment (ICE) y Web Real-Time Communication (WebRTC). El modo de conexión puede ser Directo, STUN o TURN/Relay.

• Directo
  • Los 2 dispositivos se comunican directamente a través de sus IPs reales.
• STUN: En la Consola del administrador; Recorrido del firewall está configurado como Habilitar el recorrido del firewall.
  • Los 2 dispositivos se comunican a través de las IPs direccionables de Internet o de la subred expuestas a través de sus respectivos routers o firewalls.
  • Para habilitar STUN, debes abrir el puerto 3478 y permitir los paquetes STUN.
• TURN/Retransmisión: En la Consola del administrador, se selecciona Habilitar el uso de los servidores de retransmisión.
  • Los paquetes se envían a un servicio de Google y se retransmiten a través de los centros de datos de Google hacia el otro extremo de la conexión.
  • Para habilitar TURN, también debes abrir el puerto 3478 para el tráfico de UDP o TCP (o ambos). Se prefiere UDP en lugar de TCP debido a su rendimiento superior. El Escritorio remoto de Chrome volverá a TCP si se bloquea UDP.

Flujo de la Consola del administrador

Cuando creas una sesión de Escritorio remoto de Chrome en la Consola del administrador, el flujo de trabajo es el siguiente:

1. En la Consola del administrador, el administrador selecciona la máquina a la que se conectará con el Escritorio remoto de Chrome.
2. La máquina cliente envía una solicitud a la API de Cloud a través de la IU de la consola del administrador para iniciar una sesión remota con el dispositivo seleccionado.
3. Los servicios de Google Cloud envían un comando al dispositivo ChromeOS del host administrado.
4. El servicio RemoteCommand del dispositivo ChromeOS host administrado registra una nueva instancia de host de asistencia con el servicio de Escritorio remoto de Chrome a través de un token de acceso de OAuth.
5. La instancia del host del Escritorio remoto de Chrome devuelve un código de acceso que es una combinación de su ID de host y un código secreto.
6. El servicio RemoteCommand envía el código de acceso del host a la Consola del administrador.
7. El servicio de Google Cloud devuelve información de conexión al cliente.
8. La Consola del administrador del cliente abre el sitio web del Escritorio remoto de Chrome con el código de acceso como parámetro de URL.
9. La conexión continúa con los pasos de configuración P2P según los métodos Direct/STUN/TURN, según la configuración de tu política.
10. La transmisión en vivo se realiza a través de UDP o TCP en un puerto asignado de forma dinámica, con un rango de puertos que se puede configurar a través de la política empresarial.

Diagrama de secuencia

Nota: Solo con fines ilustrativos. Los detalles de conexión reales son más detallados y complejos que estos.

Lista de políticas de Chrome Enterprise

Temas relacionados

• Cómo controlar el uso del Escritorio remoto de Chrome
• Cómo acceder a otra computadora con el Escritorio remoto de Chrome
• Cómo activar o desactivar el Escritorio remoto de Chrome para los usuarios