Ir al contenido
Avanet

Solucionar el tiempo de espera de acceso remoto IPsec de Sophos Firewall después de 4 horas

Si Sophos Connect con Acceso Remoto IPsec se desconecta después de aproximadamente cuatro horas o los usuarios deben ingresar un OTP nuevamente, la causa a menudo no se encuentra en el cliente mismo. En muchos entornos, este comportamiento está relacionado con la duración de vida de IKE en el perfil IPsec utilizado. Durante el re-keying o la reautenticación, el cliente puede desencadenar un nuevo inicio de sesión.

El artículo explica cómo interpretar este comportamiento, qué registros son relevantes y cómo ajustar correctamente el valor a través de un perfil IPsec personalizado. Para la configuración básica de Sophos Connect, primero configure Sophos Connect en Sophos Firewall. Para decidir entre IPsec, SSL VPN, clientes móviles y ZTNA, Sophos Connect o SSL VPN: ¿Qué solución de acceso remoto es adecuada? es un mejor punto de partida.

⚠️ Importante: No todas las desconexiones después de algunas horas son automáticamente un problema de vida útil de la clave. Primero debe verificarse si realmente están involucrados el acceso remoto IPsec actual, el perfil DefaultRemoteAccess o un perfil derivado de este, OTP/MFA y los registros VPN correspondientes.

Escenario típico de error

Este tema generalmente se detecta en casos de helpdesk o de operación:

  • Sophos Connect se desconecta regularmente después de aproximadamente cuatro horas.
  • Los usuarios deben confirmar OTP o MFA nuevamente después de la desconexión.
  • La conexión es estable antes y funciona nuevamente después de un nuevo inicio de sesión.
  • Otros perfiles VPN o conexiones SSL VPN no muestran este comportamiento.
  • En el registro VPN aparecen entradas relacionadas con IKE, SPI o re-keying.

Si la conexión se interrumpe aleatoriamente, no funciona en ciertas redes o no transporta tráfico inmediatamente después de establecerse, es necesario un solucionador de problemas de IPsec VPN más general.

Primero excluir el acceso remoto IPsec heredado

Especialmente en entornos más antiguos, primero debe aclararse qué variante de acceso remoto IPsec está en uso. Este artículo trata sobre la configuración actual de acceso remoto IPsec con Sophos Connect y perfiles IPsec. No es el punto de partida adecuado si todavía existe Acceso Remoto IPsec heredado o si una actualización a SFOS 22.0 MR1 está bloqueada.

Clasificación práctica:

Esta distinción es importante porque un ajuste de vida útil de la clave no reemplaza un concepto de migración. Si una configuración heredada antigua todavía está en el firewall, debe documentarse, reemplazarse y eliminarse antes de una actualización de firmware importante.

Por qué ocurre el tiempo de espera

Sophos Connect utiliza un perfil IPsec para el acceso remoto IPsec. En muchos entornos, este se basa en DefaultRemoteAccess. Allí se define la duración de vida de la Asociación de Seguridad IKE. Cuando se alcanza esta duración, la conexión debe renegociarse. Dependiendo del método de autenticación y el comportamiento del cliente, puede ser necesario ingresar OTP nuevamente.

El valor técnico comúnmente mencionado es ikekeylife. Un valor de 18000 segundos equivale a cinco horas. En la práctica, la nueva negociación puede ser visible antes, por lo que los usuarios a menudo hablan de aproximadamente cuatro horas.

Es importante la decisión técnica: un valor más largo reduce las reautenticaciones, pero también prolonga la duración de vida de la IKE-SA. Es una decisión operativa y de seguridad, no solo un ajuste de comodidad.

Verificar registros

En el Visor de registros o en los registros VPN pueden aparecer mensajes sobre valores SPI no válidos. Estas entradas pueden indicar que se está abordando una sesión IKE de fase 1 antigua o caducada.

Ejemplo:

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Estas entradas por sí solas no prueban completamente la causa. Se deben considerar conjuntamente las marcas de tiempo, los usuarios afectados, el estado de Sophos Connect, el método de autenticación y los cambios de perfil. En caso de problemas recurrentes de VPN, también ayudan Guardar registros de Sophos Firewall para soporte y análisis y Solucionador de problemas de Sophos Firewall: Servicios y registros.

Ajustar el perfil IPsec a través de la GUI

El método más limpio es no trabajar directamente en el perfil estándar, sino clonar el perfil y usar el nuevo valor conscientemente para el acceso remoto.

La ruta del menú es:

Configure > VPN > IPsec profiles

Procedimiento:

  1. Abra el perfil existente DefaultRemoteAccess.
  2. Clone el perfil.
  3. Asigne un nombre único al nuevo perfil, por ejemplo, RemoteAccess_OTP_10h.
  4. Establezca Key life o la duración de vida de IKE en el valor deseado.
  5. Guarde.
  6. En la configuración de acceso remoto IPsec, seleccione el nuevo perfil.
  7. Exporte o distribuya nuevamente la configuración de Sophos Connect.
  8. Pruebe con un usuario piloto.
Perfiles IPsec de Sophos Firewall DefaultRemoteAccess
El perfil existente DefaultRemoteAccess debe revisarse y clonarse como plantilla.
Perfiles IPsec de Sophos Firewall DefaultRemoteAccess Key Life
La duración de vida de IKE se ajusta en el perfil IPsec y luego se asigna específicamente al perfil de acceso remoto.

Después del cambio, no basta con guardar solo el firewall. Los perfiles de Sophos Connect afectados deben redistribuirse o importarse nuevamente. Para la operación del cliente y las versiones, consulte Verificar y actualizar de manera segura la versión del cliente Sophos Connect. Para instalaciones en Windows, consulte Instalar el cliente Sophos Connect en Windows, para macOS Instalar el cliente Sophos Connect en macOS.

Calcular el valor para intervalos de OTP más largos

Si los usuarios deben ingresar OTP nuevamente aproximadamente cada n horas, a menudo se utiliza la siguiente regla general:

ikekeylife = (n + 1) * 3600

Ejemplo para aproximadamente diez horas:

ikekeylife = (10 + 1) * 3600
ikekeylife = 39600

El valor no debe establecerse simplemente al máximo. En entornos productivos, primero debe aclararse:

  • ¿Qué duración máxima de sesión es aceptable desde el punto de vista de la seguridad?
  • ¿El valor se ajusta a los horarios de trabajo, turnos y procesos de helpdesk?
  • ¿Se utiliza OTP, RADIUS-MFA, Entra ID SSO u otra autenticación?
  • ¿Existen requisitos de cumplimiento para la reautenticación?
  • ¿La reconexión funciona de manera confiable con el cliente Sophos Connect actual?

Para los fundamentos de MFA en el firewall, consulte Activar MFA para Sophos Firewall WebAdmin, VPN Portal y Acceso Remoto. Si se utiliza Microsoft Entra ID SSO, también debe considerarse Configurar Microsoft Entra ID SSO para Sophos Connect y VPN Portal.

Por qué no se recomienda un cambio directo en la base de datos

Algunos manuales antiguos incluyen cambios directos en la Advanced Shell o comandos SQL contra la base de datos del firewall. Para la operación normal, esto no es recomendable.

Razones:

  • La intervención elude la validación normal de WebAdmin.
  • Los valores incorrectos pueden interrumpir los perfiles VPN o el acceso remoto.
  • Los cambios son menos rastreables.
  • En casos de soporte, un cambio limpio en la GUI es más fácil de explicar.
  • Después de las actualizaciones, el comportamiento interno puede cambiar.

Por lo tanto, el valor debe establecerse a través de un perfil IPsec propio en WebAdmin. Los cambios directos en la base de datos solo deben realizarse en un contexto claro de soporte de Sophos y no en una guía de administración normal.

Probar el cambio

Después del ajuste, debe realizarse una pequeña prueba con usuarios piloto.

Puntos de verificación:

  1. El nuevo perfil está seleccionado en Acceso Remoto IPsec.
  2. La configuración de Sophos Connect se ha importado nuevamente.
  3. La conexión se establece con éxito.
  4. Los objetivos internos son accesibles.
  5. DNS, enrutamiento y reglas de firewall funcionan.
  6. La reconexión después del período esperado se comporta como se planeó.
  7. Los registros VPN no muestran errores inesperados.

Si la conexión se establece pero no fluye tráfico, el problema probablemente esté en las rutas, reglas de firewall, NAT o DNS. En ese caso, consulte Probar regla de firewall con Visor de registros, Prueba de políticas y Captura de paquetes.

Errores típicos

  • Perfil estándar modificado directamente: Otros escenarios de acceso remoto pueden verse afectados involuntariamente Clonar perfil y asignar específicamente.
  • Perfil del cliente no redistribuido: Los usuarios continúan usando configuraciones antiguas Exportar e importar nuevamente la configuración de Sophos Connect.
  • Valor de vida útil de clave demasiado largo: Menos reautenticaciones, pero sesiones más largas Evaluar conjuntamente los requisitos de seguridad y operación.
  • Solo cliente reinstalado: Perfil de firewall permanece sin cambios Revisar perfil de firewall y configuración del cliente juntos.
  • Registros no verificados: Se asume una causa incorrecta Comparar marcas de tiempo, usuarios, registros SPI/IKE y comportamiento de MFA.
  • Cambio directo en la base de datos: Riesgo de problemas de soporte y configuración Usar perfil GUI.

Lista de verificación operativa

  • Registrar usuarios y momentos afectados.
  • Verificar si se utiliza acceso remoto IPsec con Sophos Connect.
  • Verificar registros VPN en busca de indicios de IKE, SPI y re-keying.
  • Identificar el perfil IPsec utilizado.
  • Clonar DefaultRemoteAccess en lugar de modificar directamente.
  • Establecer el valor objetivo para la vida útil de la clave IKE técnicamente.
  • Asignar el nuevo perfil en Acceso Remoto IPsec.
  • Redistribuir la configuración del cliente.
  • Probar con usuarios piloto e informar al helpdesk.
  • Después de algunos días, verificar si ocurren menos casos de reconexión OTP.

FAQ

¿Por qué se desconecta Sophos Connect IPsec después de aproximadamente 4 horas?

A menudo está relacionado con la duración de vida de IKE en el perfil IPsec utilizado. Durante el re-keying o la reautenticación, Sophos Connect puede requerir una nueva entrada OTP dependiendo de la configuración.

¿Debería cambiarse directamente DefaultRemoteAccess?

Es mejor un perfil clonado con un nombre único. Esto mantiene claro qué configuración de acceso remoto difiere intencionalmente y evita afectar involuntariamente otras conexiones.

¿Es el acceso remoto IPsec heredado el mismo problema?

No. El acceso remoto IPsec heredado es un tema diferente y puede bloquear una actualización a partir de SFOS 22.0 MR1. Si el firewall señala esta carga heredada, primero debe migrarse la configuración de acceso remoto IPsec heredada y luego eliminarse.

¿Debe redistribuirse la configuración de Sophos Connect?

Sí. Después de los cambios en el perfil de acceso remoto, las configuraciones de Sophos Connect afectadas deben exportarse, distribuirse o importarse nuevamente. De lo contrario, los usuarios pueden seguir probando configuraciones antiguas.

¿Es un tiempo de espera más largo automáticamente más seguro o mejor?

No. Un valor más largo reduce las reautenticaciones, pero también prolonga la duración de la sesión. El valor debe ajustarse a los requisitos de seguridad, el concepto de MFA, la forma de trabajo y el proceso de soporte.

¿Debería cambiarse el valor mediante Advanced Shell o SQL?

Para la operación normal, no. Los cambios directos en la base de datos eluden la validación de WebAdmin y son menos rastreables. El mejor camino es un perfil IPsec propio a través de la GUI.