{"id":161432,"date":"2024-09-03T10:07:44","date_gmt":"2024-09-03T09:07:44","guid":{"rendered":"https:\/\/www.avanet.com\/?post_type=kb&p=161432"},"modified":"2024-09-03T10:08:39","modified_gmt":"2024-09-03T09:08:39","slug":"sophos-firewall-tiempo-de-espera-de-acceso-remoto-ipsec-despues-de-4-horas","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/es\/kb\/sophos-firewall-tiempo-de-espera-de-acceso-remoto-ipsec-despues-de-4-horas\/","title":{"rendered":"Sophos Firewall – Tiempo de espera de acceso remoto IPsec despu\u00e9s de 4 horas"},"content":{"rendered":"\n

Este art\u00edculo explica por qu\u00e9 se produce un tiempo de espera de acceso remoto IPsec despu\u00e9s de 4 horas y c\u00f3mo se puede solucionar este problema.<\/p>\n\n

Para el Acceso Remoto IPsec, se establece por defecto un tiempo de espera de 4 horas en el Sophos Firewall.\nEn este caso, el Cliente Sophos Connect pierde la conexi\u00f3n con el cortafuegos y el usuario debe restablecer la conexi\u00f3n. <\/p>\n\n

Si el Cliente de Sophos Connect ha configurado a los usuarios con una contrase\u00f1a de un solo uso (OTP), se pedir\u00e1 al usuario que introduzca una nueva OTP cada 4 horas por defecto.\nEsto se debe a que el Cliente de Sophos Connect utiliza la pol\u00edtica DefaultRemoteAccess, que puede cambiarse mediante la interfaz gr\u00e1fica de usuario.\nEl valor por defecto de ikekeylife es 18000 <\/p>\n\n

Registro de Sophos Firewall<\/h2>\n\n

Estos errores en el registro VPN muestran que la conexi\u00f3n se interrumpi\u00f3 debido a una clave IKE caducada.\nEl SPI (\u00cdndice de Par\u00e1metros de Seguridad) no v\u00e1lido se refiere a una sesi\u00f3n IKE fase 1 caducada o no v\u00e1lida. <\/p>\n\n

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050\nVPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050\nVPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050<\/code><\/pre>\n\n
Ajustar el tiempo de espera de IPsec VPN mediante la GUI de Sophos Firewall<\/h2>\n\n
El certificado DefautlRemoteAccess se encuentra en los perfiles VPN y se puede clonar y ajustar el valor en consecuencia.<\/p>\n\n
\n
\"Sophos<\/a>
Sophos Firewall – Perfiles IPsec DefaultRemoteAccess – Duraci\u00f3n de la clave<\/figcaption><\/figure>\n\n\n\n
\"Sophos<\/a>
Sophos Firewall – Perfiles IPsec DefaultRemoteAccess<\/figcaption><\/figure>\n<\/figure>\n\n
Luego s\u00f3lo tienes que seleccionar el nuevo certificado en la configuraci\u00f3n IPsec de Acceso Remoto y distribuir la nueva configuraci\u00f3n a los usuarios.<\/p>\n\n
Ajustar el tiempo de espera de IPsec VPN mediante la consola de Sophos Firewall<\/h2>\n\n
Con un valor de vida de IKE_SA de 18000, la recodificaci\u00f3n de IKE_SA se produce aproximadamente cada 4 horas y la reautenticaci\u00f3n tambi\u00e9n se produce junto con la recodificaci\u00f3n de IKE_SA, de modo que se pide a los usuarios que introduzcan una nueva OTP.<\/p>\n\n
Si el requisito del cliente es que se pida al usuario que introduzca una nueva OTP cada \u00abn\u00bb horas, utiliza la siguiente ecuaci\u00f3n para determinar el valor de ikekeylife adecuado cuando n=10 (es decir, 10 horas)<\/p>\n\n
ikekeylife = (n +1) * 3600\nikekeylife = (10 +1) * 3600 = 39600\nikekeylife = 39600<\/strong><\/code><\/pre>\n\n
\n
Nota: El valor m\u00e1ximo de \u00abn\u00bb no debe ser superior a 23.<\/p>\n<\/blockquote>\n\n
Con\u00e9ctate al Sophos Firewall mediante SSH, por ejemplo a trav\u00e9s de Putty, e introduce 5 y luego 3 para acceder a la Shell Avanzada.<\/p>\n\n
psql -U nobody -d corporate -c \"update tblvpnpolicy set ikekeylife=<\/em>39600<\/em><\/strong>\u00a0where policyid=5;\"<\/em><\/code><\/pre>\n\n
Despu\u00e9s, s\u00f3lo tienes que reiniciar el servicio VPN IPsec en el cortafuegos y redistribuir el archivo de configuraci\u00f3n a los clientes.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[408],"class_list":["post-161432","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb\/161432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/media?parent=161432"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/es\/wp-json\/wp\/v2\/kb_kategorie?post=161432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}