# Google-diensten worden geblokkeerd door een firewall

## Symptomen van een firewall die Google blokkeert

Gebruikers melden dat Gmail niet laadt, Google Drive onbereikbaar is, Meet-gesprekken wegvallen of niet starten, of dat de Google Admin-console een time-out geeft. Thuis of op 4G of 5G werkt alles normaal. Dat patroon wijst direct naar een blokkade op netwerkniveau op kantoor.

De meest voorkomende oorzaken zijn:

- Een next-generation firewall (NGFW) met SSL-inspectie die Google-certificaten onderschept.
- Een proxy of content-filter die Google-domeinen op een blocklist heeft staan.
- IP-reputatiefilters die Google-IP-ranges als verdacht markeren.
- Geo-IP-blokkering die Amerikaans verkeer weert.

## Welke domeinen en IP-ranges heeft Google nodig

Google gebruikt tientallen domeinen voor Workspace. De kernlijst voor basiswerking:

| Dienst | Vereiste domeinen |
|---|---|
| Gmail en Workspace algemeen | `*.google.com`, `*.googleapis.com`, `*.gstatic.com` |
| Google Drive | `*.drive.google.com`, `*.docs.google.com` |
| Google Meet | `meet.google.com`, `meetings.googleapis.com`, `stream.meet.google.com` |
| Authenticatie | `accounts.google.com`, `oauth2.googleapis.com`, `apis.google.com` |
| Inhoud en media | `*.googleusercontent.com`, `*.googlevideo.com` |

De volledige en actuele IP-ranges publiceert Google via een JSON-feed:

```
https://www.gstatic.com/ipranges/goog.json
```

Deze feed bevat alle Google-IP-prefixes (IPv4 en IPv6) en wordt regelmatig bijgewerkt. Gebruik hem in scripts die je firewallregels automatisch onderhouden.

:::tip title="Automatiseer je IP-lijst"
Configureer je firewall om de `goog.json`-feed periodiek op te halen en de IP-ranges automatisch bij te werken. Handmatig beheer van IP-ranges leidt vroeg of laat tot uitval bij een Google-infra-update.
:::

## SSL-inspectie en Google

De grootste probleemmaker is SSL-inspectie (ook wel TLS-interceptie of deep packet inspection genoemd). Je firewall ontsleutelt het HTTPS-verkeer, inspecteert het en versleutelt het opnieuw met een eigen certificaat. Google Workspace-clients herkennen dit en weigeren de verbinding vanwege certificate pinning of HSTS.

De oplossing is een SSL-inspectie-bypass voor Google-domeinen. In de meeste NGFW-oplossingen (Palo Alto, Fortinet, Cisco Umbrella) doe je dat via een decryption exclusion of een SSL-inspectie-uitzondering op basis van domein.

:::howto title="SSL-inspectie bypass instellen (generiek)"
1. Open de beheerinterface van je firewall of proxy.
2. Ga naar de instellingen voor SSL-inspectie of HTTPS-decryptie.
3. Maak een uitzondering (exclusion of bypass) voor de Google-domeinen: `*.google.com`, `*.googleapis.com`, `*.gstatic.com`.
4. Sla op en test of Gmail en Drive weer laden.
5. Controleer de certificaatketen in de browser: die moet nu een Google-certificaat tonen en niet een certificaat van je firewall.
:::

## Poorten die open moeten zijn

Naast TCP 443 (HTTPS) vereist Google Meet ook UDP-poorten voor real-time media. Zonder die poorten valt Meet terug op TCP, wat hogere latency en slechter geluid geeft. Sinds 2022 vraagt Google naast de bestaande mediapoorten ook UDP 3478 expliciet vrij te geven.

| Poort en protocol | Gebruik |
|---|---|
| TCP 443 | Alle Workspace-diensten (web en authenticatie) |
| UDP 443 | Web en authenticatie via QUIC |
| UDP 3478 | Google Meet media (STUN/TURN) |
| UDP 19302 tot 19309 | Google Meet media (audio en video) |

Blokkeer UDP 3478 en 19302 tot 19309 niet. Zijn die poorten dicht, dan schakelt Meet over op TCP, wat altijd slechtere kwaliteit oplevert.

:::warn title="Vergeet UDP 3478 niet"
Veel oudere firewallregels openen alleen UDP 19302 tot 19309 en missen UDP 3478. Meet werkt dan nog wel, maar valt vaker terug op TCP. Voeg 3478 toe voor stabiele audio en video.
:::

## Testen of het firewall-issue opgelost is

Na het doorvoeren van de wijzigingen test je de bereikbaarheid van de webdiensten:

```bash
curl -I https://mail.google.com
curl -I https://drive.google.com
```

Een respons met statuscode 200 of 302 zonder certificaatfout bevestigt dat TCP 443 werkt. Voor Meet gebruik je de Admin-console onder Apps, Google Workspace, Google Meet, en daarna de diagnostics, of de netwerkcheck op meet.google.com. Let bij Meet specifiek op of de mediapoorten worden gebruikt en niet de TCP-fallback.

:::faq
### Werkt Google Workspace via een proxy?
Ja, maar de proxy moet Google-domeinen ongewijzigd doorlaten. SSL-inspectie op Google-domeinen veroorzaakt verbindingsfouten. Stel een bypass in voor alle `*.google.com`- en `*.googleapis.com`-domeinen.

### Hoe weet ik welke Google-IP-ranges actueel zijn?
Gebruik de gstatic-feed op `https://www.gstatic.com/ipranges/goog.json`. Die bevat IPv4- en IPv6-prefixes en wordt bijgewerkt bij infrastructuurwijzigingen. Abonneer je ook op de Google Workspace Updates-blog voor aankondigingen van veranderingen.

### Mijn firewall ondersteunt geen wildcard-domeinen, wat nu?
Voeg de domeinen toe als categorieën, of gebruik de IP-ranges uit de goog.json-feed als alternatief. De meeste moderne firewalls ondersteunen FQDN-objecten met wildcards. Controleer de firmware-versie, want oudere versies missen die functie soms.

### Welke poorten heeft Google Meet precies nodig?
Voor de beste kwaliteit moeten uitgaand TCP 443, UDP 443, UDP 3478 en UDP 19302 tot 19309 open zijn. UDP 3478 is door Google toegevoegd voor media; blokkeer je die, dan valt Meet vaker terug op TCP met slechtere audio en video.

### Waarom werkt Meet thuis wel maar op kantoor niet?
Thuisnetwerken hebben zelden SSL-inspectie of strikte UDP-blokkades. Op kantoor onderscheppen NGFW's of proxy's vaak het Google-verkeer of sluiten ze de UDP-mediapoorten. Stel een SSL-inspectie-bypass in en geef de mediapoorten vrij om dit verschil weg te nemen.
:::