TDR Host Sensor kann TDR Cloud nicht erreichen

Kürzlich bei einem Kunden aufgetreten: der TDR Host Sensor konnte installiert werden, war aber in der Cloud Instanz nicht sichtbar.

Im Logfile des TDR Host Sensors (c:\windows\temp\host_sensor.log) findet sich folgendes:

2017-07-10 18:50:01.839 [Error] [thread:2564] [Communications] Connection timed out to Controller 52.59.71.126:443
2017-07-10 18:50:01.839 [Error] [thread:2564] [Communications] Failed to connect to any Controller in known list

Lösung: in den Releases Fireware 11.12.1 und 11.12.2 gab es ein Problem, falls man die Aktivierung von TDR auf der Firebox via Web-UI vorgenommen hat. Dann wurden nämlich in der automatisch hinzugefügten Policy für “WatchGuard Threat Detection and Response” leider die Häkchen für NAT weggelassen. Ausgehende Verbindungen zu der TDR Cloud wurden daher nicht mit der öffentlichen IP des External Interfaces als Source IP hergestellt, sondern mit der privaten IP-Adresse des internen Client-PC. So konnte natürlich keine erfolgreiche Verbindung aufgebaut werden.

Abhilfe im Policy Manager:

1. Firewall > Firewall Policies.
2. WatchGuard Threat Detection and Response Policy auswählen
3. Action > Edit Policy
4. Advanced Tab auswählen
5. Häkchen bei den Checkboxen 1-to-1 NAT und Dynamic NAT setzen
6. Save to Firebox