대교협 대입상담프로그램에 일부 교사가 접속이 안될 때 해결방법

어느 날 부터 선생님 몇 분이 대교협 대입상담프로그램에 접속이 안되는 현상이 발생했다.

문제는 다른 사람들은 다 문제없이 접속되는데, 딱 두 사람만 접속이 안되는 것.

원인을 찾을 수 없어 2시간을 헤메다가 겨우 알게 되었다.

1. 접속불가 증상

먼저 터미널을 켜서 핑을 확인해 보았다.

선생님의 ip는 100, 서버의 ip는 199였다.

ping xx.xx.xxx.199 # ping 뒤에 타겟의 ip 주소를 적으면 

그런데 핑이 아래 처럼 서버에서 선생님으로 단방향으로만 가능했다.

• 서버에서 ping xx.xx.xxx.199 : 응답

• 노트북에서 ping xx.xx.xxx.100 : 타임아웃

• 다른 노트북에서 ping xx.xx.xxx.199 : 응답

• 노트북끼리의 ping : 응답 (안되는 선생님들 노트북들, 그리고 다른 선생님 노트북)

• 노트북에서 curl -k https://xx.xx.xxx.199 : 응답

• 노트북에서 브라우저에서 접속 : 타임아웃 (ERR_CONNECTION_TIMED_OUT)

대교협에 접속이 불가능한 두 분의 선생님이 모두 동일한 증상이었다.

2. 2시간 동안의 사투

1) 방화벽 확인

처음엔 ping이 단방향으로만 되길래 라우팅 문제인 줄 알았다.

서버가 Windows라 방화벽에서 ICMP를 막고 있는 거 아닌가 싶어서 확인해봤는데, ping은 별로 중요한 게 아니었다.

2) 브라우저 프록시 의심

클라이언트에서 curl은 되고 브라우저만 안 되니까 프록시 설정을 의심했다.

자동 프록시가 설정되어 있었고, 프록시를 끄면 되나 싶었는데...

꺼도 똑같았다.

3) curl -vk로 자세히 보기

curl -vk https://10.51.100.189

결과에서 이게 눈에 띄었다.

* schannel: using IP address, SNI is not supported by OS.
* ALPN: server did not agree on a protocol. Uses default.
* Established connection to 10.51.100.189 port 443 from 10.51.100.111 port 55523

연결 자체는 되는데, SNI 협상이 제대로 안 되고 있었다.

3. 원인

두 선생님이 접속이 안되는 이유는 모두 SSL 인증서 문제였다.

curl은 -k 옵션으로 인증서 검증을 무시하고 그냥 연결한다.

그래서 되는 거고, 브라우저는 TLS 핸드셰이크를 엄격하게 처리하기 때문에 인증서가 이상하면 연결 자체를 끊어버린다.

IP로 직접 접속할 때 서버가 SNI를 제대로 처리 못 하는 상황이었고, 브라우저 입장에선 그냥 timeout으로 보이는 거였다.

4. 해결

두 선생님의 노트북에 클라이언트용 설치 파일을 재설치했다.

그 다음 클라이언트에서 curl -vk https://xx.xx.xxx.199 를 몇 번 날려보면서 연결 확인했다.

처음에 접속이 안되던 것도 크롬 시크릿 모드로 재접속하니까 정상적으로 들어가졌다.

시크릿 모드로 한 이유는 기존 브라우저 캐시나 설정이 남아있을 수 있어서다.

일반 탭에서 안 될 때 시크릿으로 먼저 테스트해보는 게 맞다.

5. 결론

AI에게 물어봐도 잘 몰라서 한참을 헤메었다.

내가 담당자인데, 이 문제를 해결할 수 없으니 답답하고 힘들었다.

혹시 학교에서 위와 비슷한 증상이면 이 순서로 확인해보자.

1. 시크릿 모드로 대교협 대입프로그램 접속해보기

2. curl -vk https://서버ip 로 실제 연결 되는지 확인

3. 연결은 되는데 브라우저만 안 되면 → SSL 인증서 문제 의심

4. schannel, SNI, ALPN 관련 메시지 나오면 → 인증서 재설치

5. 재설치 후 브라우저 시크릿 모드로 테스트

그럼 건투를 빈다.