Falha no teste de streaming do exame: como corrigir WebRTC/WebSocket da Wowza (portas 80/443/1935)

O teste de sistema do seu exame on‑line está falhando com alerta sobre filtragem de rede e bloqueio de WebRTC/WebSocket? Este guia prático mostra como isolar a causa em minutos e ajustar Windows, antivírus, VPN/proxy e roteador/ISP para liberar *.cloud.wowza.com nas portas TCP 80, 443 e 1935.

Visão geral rápida do problema

Durante o “teste de streaming de vídeo do exame”, o sistema tenta abrir conexões WebSocket (WS/WSS) com a infraestrutura da Wowza (padrão de domínio *.cloud.wowza.com) e, em alguns cenários, utilizar a porta TCP 1935, tradicional no ecossistema de streaming (RTMP/RTMPS). Se houver qualquer bloqueio ou inspeção que atrapalhe o handshake do WebSocket (o famoso HTTP 101 Switching Protocols) ou o tráfego dessas portas, o teste reprova e exibe mensagens pedindo para desativar filtragem de rede e permitir WebRTC/WebSocket.

Tradução para a prática: algo no seu caminho de rede — Firewall do Windows, antivírus com “Web Shield”, VPN/proxy, controle parental do roteador, política do provedor (ISP) ou regras corporativas — está impedindo a conexão segura via wss://…cloud.wowza.com nas portas 80, 443 e/ou 1935.

O que exatamente precisa estar liberado

Para funcionar, seu navegador precisa conseguir estabelecer, a partir do seu computador (tráfego de saída), conexões com os servidores da Wowza:

Item	Destino	Porta	Protocolo	Uso típico	Direção	Observações
WSS	*.cloud.wowza.com	443	TCP (TLS)	WebSocket seguro	Saída	Crítico; exige que proxies não quebrem o upgrade HTTP→WS.
WS	*.cloud.wowza.com	80	TCP	WebSocket sem TLS	Saída	Geralmente menos usado; 443 é preferido.
RTMP	*.cloud.wowza.com	1935	TCP	Streaming/RTMP	Saída	Muitos ISPs/roteadores bloqueiam; se 1935 falhar, 443 costuma ser suficiente, desde que sem inspeção TLS agressiva.

Dica: em uso doméstico, não é necessário abrir portas de entrada no roteador; o cliente (seu navegador) só precisa sair para a internet nas portas citadas.

Checklist rápido: isole a causa em minutos

1. Troque de rede: conecte o computador a um hotspot do celular.
   Se o teste passar no 4G/5G, o bloqueio está no seu roteador/ISP ou em algum controle da sua rede doméstica.
2. Desligue temporariamente VPN/proxy e módulos “Web Shield” do antivírus de terceiros (apenas para o teste).
   Se passar, crie exceções permanentes.
3. Teste outro navegador atualizado (Chrome/Edge/Firefox).
   Navegadores diferentes podem contornar interferências pontuais de extensões e perfis corrompidos.
4. Reinicie roteador e PC para limpar estados de NAT/Firewall e aplicar políticas recentes.

Se ainda falhar, siga o passo a passo detalhado para Windows a seguir.

Passo a passo detalhado (Windows)

Verifique e permita tráfego de saída no Firewall do Windows

Por padrão, o Firewall do Windows permite conexões de saída; porém, softwares de segurança podem alterar esse comportamento. O ideal é garantir explicitamente que as portas estejam liberadas.

1. Abrir: Painel de Controle → Sistema e Segurança → Firewall do Windows Defender → Configurações avançadas.
2. Em Regras de Saída → Nova Regra… → Porta.
3. Selecione TCP → Portas locais específicas: 80,443,1935.
4. Escolha Permitir a conexão → marque Domínio/Particular/Público.
5. Dê um nome claro, por exemplo: “Wowza TCP (80/443/1935)” e conclua.

Observação: crie regra de Entrada apenas se você previamente tiver imposto bloqueios que impeçam o retorno de conexões; em ambientes domésticos, regra de entrada geralmente não é necessária.

Teste com o Firewall/antivírus desligado (com segurança)

Desative brevemente o Firewall do Windows e o antivírus de terceiros apenas para executar o teste do exame. Se funcionar com tudo desligado:

• Crie uma exceção permanente no antivírus e no Firewall para seu navegador (Chrome/Edge/Firefox) e para as portas 80, 443 e 1935.
• Desative módulos de inspeção HTTPS como “SSL/TLS Inspection”, “HTTPS Scanning” ou “Web Shield” especificamente para o domínio do exame e para *.cloud.wowza.com.

Confirme host e portas pelo DevTools do navegador

1. Abra a página de teste do exame.
2. Pressione F12 → guia Network (Rede) → aplique o filtro WS (WebSocket).
3. Procure chamadas a wss://<subdomínio>.cloud.wowza.com.
4. Verifique se o status chega a 101 Switching Protocols (sucesso do handshake).
   Se aparecer erro (p. ex., conexão negada, “blocked” ou queda após Client Hello), há bloqueio na rede.

Elimine interferências de VPN, proxy e inspeção TLS

• Desative VPNs durante o teste.
• Em Configurações de Internet → Proxy, deixe Desativado, salvo se sua rede exigir.
• Se sua empresa usa proxy com inspeção SSL/TLS, solicite allowlist para *.cloud.wowza.com e desabilite reescrita de certificados para esse domínio, pois o WebSocket seguro (WSS) falha quando o upgrade HTTP é bloqueado ou modificado.

Cheque o roteador e o provedor (ISP)

• No roteador, desative temporariamente controles parentais, “DNS seguro”/“Family Shield” e filtros de saída.
• Se o roteador permitir regras por FQDN, crie uma regra permitindo TCP 80/443/1935 para *.cloud.wowza.com.
• Alguns ISPs bloqueiam a porta 1935. Em muitos casos, a plataforma faz fallback via 443; garanta que 443 esteja livre e sem inspeção TLS agressiva.

(Opcional) Valide portas com PowerShell

Descubra o host exato pelo DevTools (ex.: abc123.cloud.wowza.com) e teste:

Test-NetConnection -ComputerName abc123.cloud.wowza.com -Port 443
Test-NetConnection -ComputerName abc123.cloud.wowza.com -Port 80
Test-NetConnection -ComputerName abc123.cloud.wowza.com -Port 1935

Leitura do resultado: se TcpTestSucceeded retornar True para 443 e 80, e False para 1935, prossiga com o teste (a menos que sua prova exija 1935). Se tudo der False, há bloqueio amplo (roteador, ISP, VPN/proxy ou endpoint protection).

Diagnóstico guiado por sintomas

Use esta tabela para mapear mensagens e comportamentos às causas mais prováveis e às ações de correção:

Sintoma	Causa provável	Correção rápida
Mensagem: “Desative filtragem de rede” e teste não inicia	Antivírus com “Web Shield” ou inspeção HTTPS; proxy corporativo	Desligue inspeção SSL/TLS para o navegador e *.cloud.wowza.com; crie exceção
No DevTools, o WebSocket não chega a 101	Bloqueio de WebSocket por proxy/firewall	Permita HTTP Upgrade e tráfego WS/WSS; teste em outra rede para confirmar
Funciona no 4G/5G, falha no Wi‑Fi de casa	Bloqueio no roteador/ISP ou controle parental	Desative filtros; libere 80/443/1935; atualize firmware do roteador
Test-NetConnection em 443/80 passa; 1935 falha	Porta 1935 bloqueada	Use 443 (WSS) como principal; solicite liberação de 1935 apenas se exigido
Apenas um usuário da casa falha; outros OK	Antivírus/perfis de navegador/extensões do PC afetado	Teste outro navegador; desative extensões; crie exceções no antivírus
Falha intermitente, principalmente em horários de pico	Proxy/ISP saturado, timeout em handshake	Use rede móvel; reinicie roteador; evite VPN; reduza carga (feche apps que usam banda)

Configurações recomendadas no Windows e no navegador

Firewall do Windows

• Garanta uma regra de saída permitindo TCP 80/443/1935 para qualquer destino (ou especifique *.cloud.wowza.com se seu firewall aceitar nomes FQDN em regras).
• Evite regras de entrada desnecessárias; não ajudam no cliente Web.

Antivírus e segurança de endpoint

• Crie exceção para o aplicativo do navegador (Chrome/Edge/Firefox).
• Desative inspeção HTTPS (SSL/TLS inspection) para o domínio do exame e *.cloud.wowza.com.
• Se houver “Web Shield”/“Safe Browsing” que intercepta WSS, desative-o durante o teste.

VPN/Proxy

• Desative VPNs, split tunnel e redirecionamentos durante o exame.
• Em ambientes corporativos, solicite bypass no proxy para *.cloud.wowza.com e garanta suporte a HTTP Upgrade sem reescrita.

Navegador

• Mantenha-o atualizado.
• Limpe cache/estado do site do exame se houve várias tentativas.
• Desative extensões que interfiram em rede (bloqueadores, proxies, ferramentas de segurança) durante o teste.

Passos no roteador/ISP

1. Desative controles parentais e DNS filtrado temporariamente (ex.: “Proteção de Navegação”, “Family Shield”).
2. Verifique o firewall do roteador: se houver “filtragem de saída” ou “controle de aplicações”, crie regra permitindo TCP 80/443/1935.
3. Atualize o firmware do roteador; versões antigas podem ter bugs com WebSocket/TLS.
4. Troque o DNS (opcional): se o seu DNS estiver bloqueando o domínio, use um DNS neutro (sem filtros) para testar.
5. Confirme com o ISP se a porta 1935 é bloqueada. Muitas vezes não é necessária, mas saber evita perda de tempo.

Entendendo por que WebSocket/WSS falha

O WebSocket começa como uma requisição HTTP(s) padrão e, se o servidor aceitar, responde com 101 Switching Protocols, convertendo a conexão para um canal full‑duplex persistente. Middleboxes (proxies, IDS/IPS, WAFs, antivírus) que não entendem ou não permitem esse “upgrade” tendem a:

• bloquear ou encerrar a conexão logo após o Client Hello TLS;
• responder com erros genéricos (403/502) ou “connection closed”;
• inserir certificados próprios (MITM TLS), quebrando a verificação do navegador.

Como detectar: no DevTools → Network (WS), se você não vê o 101 ou há muitos retries/falhas de handshake, é forte indicativo de bloqueio intermediário.

Procedimento “à prova de bala” para ambientes corporativos

1. Solicite à TI allowlist para *.cloud.wowza.com (domínio e SNI), com isenção de inspeção TLS.
2. No proxy: habilite suporte a HTTP Upgrade (websocket) e keep‑alive longo; não faça rewrite de cabeçalhos.
3. No firewall de borda: permita saída TCP 80/443/1935 para internet; evite SSL Decryption nesses destinos.
4. Em antivírus/EDR: crie exceções por processo (navegador usado) e por domínio.
5. Se a instituição exigir WebRTC puro: confirme liberação para STUN/TURN (UDP 3478 e, se aplicável, portas dinâmicas). Nem sempre é necessário para o teste em questão, mas algumas plataformas de prova podem pedir.

Comandos úteis para suporte e validação

Use estes comandos para coletar evidências ou validar correções:

PowerShell

# Teste de portas
Test-NetConnection -ComputerName abc123.cloud.wowza.com -Port 443 -InformationLevel Detailed
Test-NetConnection -ComputerName abc123.cloud.wowza.com -Port 1935 -InformationLevel Detailed

Ver portas de saída bloqueadas por regras locais (quando aplicável)

Get-NetFirewallRule | Where-Object {\$.Direction -eq "Outbound" -and \$.Action -eq "Block"} | Format-Table Name,Enabled,Profile 

Trajeto de rede (para latência/rotas)

tracert abc123.cloud.wowza.com

Exemplos de políticas e exceções

Se precisa pedir liberação para o seu ISP, provedor de segurança ou TI, copie e ajuste um dos modelos:

Modelo 1 — Provedor/ISP

Assunto: Liberação de portas para exame on-line (streaming)

Olá, preciso realizar um exame on-line cuja plataforma usa Wowza (domínio \*.cloud.wowza.com).
Peço confirmar/liberar conexões de SAÍDA TCP para as portas 80, 443 e 1935.
Obrigad\@. 

Modelo 2 — TI corporativa

Assunto: Exceção de proxy/inspeção TLS para WebSocket (exame)

Favor incluir \*.cloud.wowza.com em allowlist com:

- Saída TCP 80, 443 e 1935 liberada
- Bypass de inspeção TLS / SSL Decryption
- Suporte a HTTP Upgrade (WebSocket) sem reescrita
  Obrigado. 

Perguntas frequentes (FAQ)

Preciso abrir portas de entrada no roteador?

Não. O navegador atua como cliente; apenas portas de saída devem estar liberadas.

A porta 1935 é obrigatória?

Na maioria dos cenários de teste de streaming do exame, não. 443/WSS costuma bastar, desde que não haja inspeção TLS que quebre o handshake do WebSocket.

Meu antivírus está atualizado; ainda assim devo criar exceções?

Sim, pois módulos de “proteção web” frequentemente interceptam WSS. Crie exceções por processo (navegador) e por domínio (*.cloud.wowza.com).

Trocar de navegador ajuda?

Muitas vezes, sim. Perfis corrompidos, extensões e configurações específicas podem afetar apenas um navegador.

O exame menciona WebRTC, STUN e TURN. Preciso abrir UDP?

Depende da prova. Para o teste específico citado aqui, o essencial é WS/WSS. Mas, se a instituição exigir WebRTC completo entre pares, confirme a liberação de UDP 3478 (STUN/TURN) e portas dinâmicas conforme política.

Roteiro final de validação

1. Conecte no hotspot do celular e execute o teste. Se passar, a culpa é da rede/roteador/ISP.
2. De volta à rede principal, desative VPN/proxy e “Web Shield”.
3. Crie regra de saída TCP 80/443/1935 no Firewall do Windows.
4. Confirme no DevTools que o WebSocket chega a 101 Switching Protocols.
5. Se 1935 seguir bloqueada, mantenha‑se em 443 e peça liberação ao ISP apenas se a plataforma exigir 1935.
6. Reative proteções, mantendo exceções permanentes.

Boas práticas de segurança (sem comprometer o exame)

• Desative temporariamente proteções apenas para testar; reative logo após e configure exceções.
• Prefira WSS em 443 ao invés de WS em 80, pois mantém o tráfego cifrado.
• Evite deixar roteador com controles desativados permanentemente; documente as exceções criadas.

Resumo prático

O teste falha porque algo está bloqueando WebSocket/WebRTC ou a porta 1935. Libere saída TCP 80, 443 e 1935 para *.cloud.wowza.com, desative inspeções TLS e verifique no DevTools o 101 Switching Protocols. Se tudo funcionar no hotspot, ajuste roteador/ISP.

Exemplo de passo‑a‑passo consolidado (Windows)

1. Chrome/Edge/Firefox atualizado, teste em perfil limpo.
2. Antivírus: desative “Web Shield/HTTPS scanning” para o navegador e *.cloud.wowza.com.
3. VPN/Proxy: desligado; em Configurações → Proxy, deixe desativado.
4. Firewall: crie regra de Saída TCP 80, 443, 1935 (todas as perfis).
5. Roteador: sem controle parental/DNS filtrado; libere 80/443/1935.
6. DevTools: confirme wss://…cloud.wowza.com → 101.
7. PowerShell: valide portas (443 deve passar).
8. Reative proteções mantendo exceções.

Apêndice: diferenças entre WS/WSS e RTMP (porta 1935)

• WS/WSS (80/443): conexões baseadas em HTTP(s) com upgrade para WebSocket; ideais para navegadores com segurança moderna, frequentemente preferindo 443.
• RTMP (1935): protocolo tradicional de streaming via TCP; muitos provedores e roteadores bloqueiam por padrão.

Para o exame, a estratégia mais confiável é WSS em 443 sem inspeção TLS.

Conclusão

Se você liberar saída TCP 80/443/1935 para *.cloud.wowza.com, remover interferências de VPN/proxy/antivírus e confirmar o 101 Switching Protocols no DevTools, o teste de streaming do exame tende a passar. A validação cruzada com um hotspot ajuda a cravar se o problema está no PC ou na rede.

---

Em uma frase: Abra (ou não bloqueie) TCP 80, 443 e 1935 para *.cloud.wowza.com, remova filtros (antivírus/VPN/proxy/roteador) que quebrem WebSocket/WSS e verifique no DevTools se a conexão wss://…cloud.wowza.com chega a 101; se só funcionar no hotspot, ajuste o roteador/ISP.