네트워크 액세스 강제 - vpn에 연결할 수 없음!

우리는 지금까지 몇 년 동안 Watchguard M390을 운영해 왔으며 최근에는 EDR Core 라이선스에 투자하여 네트워크 액세스 강제를 활용하고 있습니다.

이 모든 과정은 원활하게 진행되었고 어느 정도 시간 동안 잘 작동했지만, 지난 몇 주 동안 점차적으로 사용자가 격리 상태에 들어가 약 12-15초 동안 유지된 후 강제로 VPN 연결이 끊어지는 현상을 목격하고 있습니다. 현재 30명 중 5명의 사용자에게 영향을 미치며, 자연스럽게 "그냥 그런 것"처럼 보입니다.

다음 사항을 확인했습니다:
VPN 최신 버전, 에이전트 최신 버전, 지식 최신 버전, Windows 최신 버전.

시도한 방법:
에이전트 재설치, VPN 클라이언트 재설치, 방화벽에서 실행 파일 이름으로 모든 ‘Panda’ 서비스 비활성화(포트 전체 인그레스/이그레스 제한 없음), 방화벽 끄기, Defender 끄기.

M390 방화벽 로그를 검토한 결과, 내가 보는 오류는 "TDR 호스트 센서 강제 요구사항 충족 실패: 호스트 센서에서 읽기 실패"입니다. VPN 연결 짧은 시간 동안, 전송된 바이트 수는 증가하는 반면, 읽은 바이트는 약 3000에 도달한 후 멈추고 그 전에 연결이 끊어집니다. 이는 Watchguard가 이 장치를 진짜로 볼 수 없다는 것을 나타내지만, 무엇이 제한하는지 완전히 이해하지 못하겠습니다.

WG와 지원 케이스를 일주일 넘게 열어 두었지만, 점점 더 긴급해지고 있으며 제가 점검할 수 있는 것들이 점점 더 부족합니다. 이전에 유사한 문제를 경험하셨거나, 충돌을 유발할 수 있는 Windows 구성요소에 대한 제안이 있나요? 온프레미스의 유일한 안티바이러스/방화벽은 Watchguard이며, Windows 방화벽과 Windows Defender입니다.

최신 엔드포인트 업데이트가 특히 문제가 되고 있습니다. 여러 번 재부팅이 필요하며, 사용자에게 알림 없이 대기 중인 경우도 많습니다. EDR 대시보드에서 모든 것이 건강한지 확인하고, 재부팅이 pending된 장치가 없는지 확인하세요. 필요하다면 강제로 재부팅하세요.

또한, psinfo는 가장 유용한 도구입니다. URL 체커를 실행하여 차단된 것이 없는지 확인하세요. 일부 오류는 보고될 수 있지만 반드시 문제가 되는 것은 아닙니다. 판단력을 최대한 발휘하세요.

이 문제 해결 방법을 알 수 있을까요?

네, 죄송합니다 - 에이전트와 호스트 센서 모두입니다.

안녕하세요

저의 경우, 이는 로컬 Windows 방화벽 때문이었습니다 - 각 최종 사용자 장치는 Firebox와 TCP 포트 33000를 통해 통신해야 합니다.

이것은 Watchguard 내에서는 허용되었지만, 엔드포인트 방화벽에서는 허용되지 않았습니다.

가끔은 여전히 문제가 발생하는데, 같은 오류가 발생합니다. 다만, 이는 다음에 의해 발생합니다:

  1. EDR 서비스는 로그인 후 시작하는 데 시간이 좀 걸립니다. 저는 지금 사용자에게 로그인 후 2-5분 동안 VPN 연결을 시도하기 전에 기다리도록 권장하고 있습니다.

  2. EDR 업데이트가 실패하면, 업데이트 실패 루프에 갇히게 되고… 연결시 규정 준수 체크를 실패합니다. 이 문제는 드물게(50개 장치 중 1개 정도?) 발생하지만, 에이전트와 EDR 핵심 구성요소를 재설치하면 보통 해결됩니다.