Netzwerk für FCM konfigurieren

In diesem Dokument werden die Netzwerkkonfigurationen beschrieben, die für die korrekte Funktion von FCM in Ihrer Netzwerkumgebung erforderlich sind.

Netzwerk für das Senden von Nachrichten an FCM konfigurieren

Bevor Sie beginnen, müssen Sie dafür sorgen, dass Ihr System mit den FCM-Servern kommuniziert, um Nachrichten zu senden und Abos zu verwalten.

Wenn du FCM-Nachrichten senden oder Abos verwalten möchtest, muss dein Netzwerk über HTTPS mit den folgenden Servern kommunizieren:

  • fcm.googleapis.com (Nachrichtensendung)
  • accounts.google.com (Authentifizierung für das Senden von Nachrichten)
  • iid.googleapis.com (Themenabo und Verwaltung von Gerätegruppen)

Diese Liste kann sich im Laufe der Zeit ändern. Wir können für diese Endpunkte keine IP-basierte Zulassungsliste bereitstellen.

Netzwerk für Android-Geräte mit FCM konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Ihr Netzwerk für die Unterstützung von FCM-Traffic für Android-Geräte konfigurieren.

FCM-Ports und Ihre Firewall

Bei den meisten Netzwerken wird die Verbindung von Geräten mit dem Rest des Internets nicht eingeschränkt. Im Allgemeinen empfehlen wir das. Einige Organisationen benötigen jedoch Firewalls als Teil ihres Perimeter-Sicherheitsplans.

Firewalloptionen

Option Was wir tun Spezifische Regeln Hinweise
Keine (bevorzugt) - - -
Portbasierte Filterung (zweite Wahl) Traffic auf bestimmte Ports beschränken

Zu öffnende TCP-Ports:

  • 5228
  • 5229
  • 5230
  • 443
 Dies ist die einfachste Regel und verhindert die Abhängigkeit von Dingen, die sich im Laufe der Zeit eher ändern.
Filterung anhand des Hostnamens Verwenden einer speziellen Firewallkonfiguration, um bestimmte TLS-SNI-Einträge auf die Zulassungsliste zu setzen, damit sie die Firewall passieren können. Dies kann mit der portbasierten Filterung kombiniert werden.

Zu öffnende Hostnamen:

  • mtalk.google.com
  • mtalk4.google.com
  • mtalk-staging.google.com
  • mtalk-dev.google.com
  • alt1-mtalk.google.com
  • alt2-mtalk.google.com
  • alt3-mtalk.google.com
  • alt4-mtalk.google.com
  • alt5-mtalk.google.com
  • alt6-mtalk.google.com
  • alt7-mtalk.google.com
  • alt8-mtalk.google.com
  • android.apis.google.com
  • device-provisioning.googleapis.com
  • firebaseinstallations.googleapis.com
 Nicht alle Firewall-Software unterstützt dies, aber viele. Diese Liste ist relativ stabil, aber wir benachrichtigen Sie nicht proaktiv, wenn sich etwas ändert.
IP-basierte Filterung (dringend nicht empfohlen) Verwenden Sie eine sehr große statische Liste von IP-Adressen. Setzen Sie alle in goog.json aufgeführten IP-Adressen auf die Zulassungsliste. Diese Liste wird regelmäßig aktualisiert. Wir empfehlen Ihnen, Ihre Regeln monatlich zu aktualisieren. Probleme, die durch IP-Einschränkungen der Firewall verursacht werden, treten oft nur zeitweise auf und sind schwer zu diagnostizieren. Wir ändern unsere IP-Adressliste sehr häufig und ohne Vorwarnung. Sie müssen diese lange Liste also eingeben und regelmäßig aktualisieren.

Außerdem sehen wir häufig Tippfehler, wenn Nutzer versuchen, IP-Zulassungslisten in ihre Firewallregeln einzugeben.

Wir raten davon ab, da die Informationen unweigerlich veralten und nicht gepflegt werden.

Außerdem kann die Größe der Liste für einige Router unhandlich sein.

Firewalls mit Netzwerkadressübersetzung oder Stateful Packet Inspection

Wenn in Ihrem Netzwerk Network Address Translation (NAT) oder Stateful Packet Inspection (SPI) implementiert ist, implementieren Sie ein Zeitlimit von 30 Minuten oder länger für unsere Verbindungen über die Ports 5228–5230. So können wir eine zuverlässige Verbindung bereitstellen und gleichzeitig den Akkuverbrauch der Mobilgeräte Ihrer Nutzer reduzieren.

FCM und Proxys

Das Protokoll von FCM zum Senden von Push-Benachrichtigungen an Geräte kann nicht über Netzwerkproxys geleitet werden. Daher müssen Sie dafür sorgen, dass die FCM-Verbindung von Geräten in Ihrem Netzwerk direkt mit unseren Servern hergestellt werden kann.

VPN-Interaktionen und Umgehbarkeit

Firebase Cloud Messaging ergreift verschiedene Maßnahmen, um sicherzustellen, dass die Push-Messaging-Verbindung vom Smartphone zum Server zuverlässig und so oft wie möglich verfügbar ist. Die Verwendung eines VPN erschwert dies.

VPNs verschleiern die zugrunde liegenden Informationen, die FCM benötigt, um die Verbindung zu optimieren und die Zuverlässigkeit und Akkulaufzeit zu maximieren. In einigen Fällen werden langlebige Verbindungen durch VPNs aktiv unterbrochen, was zu einer schlechten Nutzererfahrung führt, da Nachrichten verpasst oder verzögert werden oder der Akku stark beansprucht wird. Wenn das VPN so konfiguriert ist, dass wir dies tun dürfen, umgehen wir das VPN über eine verschlüsselte Verbindung (über das Basisnetzwerk – WLAN oder LTE), um eine zuverlässige und akkusparende Nutzung zu ermöglichen. Die Verwendung von umgehbaren VPNs durch FCM ist spezifisch für den FCM-Push-Benachrichtigungskanal. Anderer FCM-Traffic, z. B. Registrierungstraffic, verwendet das VPN, wenn es aktiv ist. Wenn die FCM-Verbindung das VPN umgeht, gehen zusätzliche Vorteile verloren, die das VPN möglicherweise bietet, z. B. das Maskieren der IP-Adresse.

Bei verschiedenen VPNs gibt es unterschiedliche Methoden, um zu steuern, ob sie umgangen werden können. Eine Anleitung finden Sie in der Dokumentation Ihres VPN.

Wenn das VPN nicht so konfiguriert ist, dass es umgangen werden kann, verwendet Firebase Cloud Messaging das VPN-Netzwerk, um eine Verbindung zum Server herzustellen. Dies kann dazu führen, dass Nachrichten verzögert werden und der Akku stärker beansprucht wird, da Cloud Messaging versucht, die Verbindung über die VPN-Verbindung aufrechtzuerhalten.