Kaspersky Security Center Agent - out of office endpoints

Hola!
Ik hoop dat er hier iemand is die ervaring heeft met de zakelijke Kaspersky installaties.
Een tijdje terug hebben wij zakelijk Kaspersky Security Center (12) + Endpoint Protection (11) aangeschaft. De endpoints verbinden via de Agent met de Administration server.
Binnen kantoor was het relatief makkelijk om de boel te setuppen, maar ik loop vast met de out of office users. We hebben een aantal mensen die vaste computers thuis hebben staan en/of een laptop hebben die niet altijd via VPN met kantoor is verbonden. Niet erg, want Kaspersky heeft daar een voorziening voor.

Dit is het diagram dat ik daarvoor heb gevonden:
https://support.kaspersky.com/ksc/12/en-US/183041.htm
De administration server heeft via NAT een inkomende verbinding op de standaardpoorten TCP13000/14000. Ik kan deze ook daadwerkelijk van extern bereiken (krijg een SOAP pagina te zien op 13000)

Vervolgens heb ik in de agent policy een tweetal connection profiles en locaties aangemaakt. Om te kijken hoe de computer reageert heb ik ook een tweetal profielen (active en out of office) voor de endpoint protection gemaakt, die verschillen in het toestaan van lokale taken (niet vs wel).
https://support.kaspersky.com/ksc/12/en-US/10807.htm
https://support.kaspersky.com/ksc/12/en-US/92485_1.htm

De policy heb ik getest met één client. Wanneer ik wifi (office netwerk) switch naar een directe externe verbinding (netwerkkabel) dan zie ik dat de endpoint client vrijwel direct omschakelt naar het tonen van de lokale taken. Ik haal hieruit dat 'ie in ieder geval 1) de policy geapplied heeft gekregen 2) succesvol detecteert dat er naar het out-of-office profiel moet worden geschakeld; in het in-office profiel staat dat namelijk uit.

Echter, er wordt volgens de administration server geen verbinding gemaakt door de client. En als ik klnagchk.exe uitvoer, zie ik alleen maar dat 'ie het interne adres van de administration server probeert te benaderen (https://support.kaspersky.com/ksc/12/en-US/3912.htm)

Iemand een idee waar mijn fout zou kunnen zitten en hoe ik dit vlottrek?

Thanks alvast!

Thanks voor de suggesties!

MAX3400 schreef op donderdag 13 augustus 2020 @ 20:54:
Domme opmerking: jouw netwerkkabel is zeeeer waarschijnlijk geen externe verbinding. Maar die is "loopback" op je internet-outbreak en wordt dus nog steeds niet als "internet" gezien door je AS?

Yes, het is echt een andere internetverbinding (we gaan verhuizen van ISP) en de kabel hangt verder nergens aan dan direct aan de enige LAN-poort van de nieuwe router Er zit zelfs nog geen switch tussen Ik heb het gedoublecheckt met een traceroute.

Allicht een net zo makkelijke test: hang je laptop eens via je smartphone hotspot aan de 4G?

Zou ook een prima test kunnen zijn, als ik bovenstaande niet beschikbaar had.

/edit: die tool om te checken, kan ook een logfile uitspugen, las ik? Staat daar iets in?

Ja, eigenlijk alleen maar dat 'ie direct met het interne adres probeert te connecten. Verder geen mislukte poging

En, allicht, heb je te maken met een certificaat op/voor de AS?

Hmm dat zou heel goed kunnen. Ik begrijp het ook niet helemaal, want ik kan maar één certificaat aan de AS hangen. Dat is een SSL-certificaat voor de hostname waarop 'ie draait, gegenereerd door de lokale CA. Binnen het domein is die geldig, daarbuiten uiteraard niet. Wanneer ik met een browser verbind met https://externe_ip:13000 dan krijg ik ook dat certificaat te zien. De agent heeft dat echter al bij de eerste verbinding intern ook voor z'n kiezen gehad en vertrouwt dat certificaat. Maar of het dan logisch is dat 'ie datzelfde certificaat ook simpelweg slikt wanneer 'ie extern connect, lijkt mij raar. Maar ik zie ook geen andere manier