Aller au contenu
Avanet

Résoudre le problème de timeout de l'accès distant IPsec de Sophos Firewall après 4 heures

Si Sophos Connect avec IPsec Remote Access se déconnecte après environ quatre heures ou si les utilisateurs doivent saisir à nouveau un OTP, la cause n’est souvent pas le client lui-même. Dans de nombreux environnements, ce comportement est lié à la durée de vie de l’IKE dans le profil IPsec utilisé. Lors du renouvellement de la clé ou lors d’une nouvelle authentification, le client peut déclencher une nouvelle connexion.

Cet article explique comment interpréter ce comportement, quels journaux y correspondent et comment ajuster correctement la valeur via un profil IPsec personnalisé. Pour la configuration de base de Sophos Connect, commencez par Configurer Sophos Connect sur Sophos Firewall. Pour choisir entre IPsec, SSL VPN, clients mobiles et ZTNA, Sophos Connect ou SSL VPN : Quelle solution d’accès distant choisir ? est un meilleur point de départ.

⚠️ Important : Toute déconnexion après quelques heures n’est pas automatiquement un problème de durée de vie de la clé. Vérifiez d’abord si l’accès distant IPsec actuel, le profil DefaultRemoteAccess ou un profil dérivé, OTP/MFA et les journaux VPN pertinents sont impliqués.

Symptômes typiques

Ce problème est généralement remarqué dans les cas de helpdesk ou d’exploitation :

  • Sophos Connect se déconnecte régulièrement après environ quatre heures.
  • Les utilisateurs doivent confirmer à nouveau OTP ou MFA après la déconnexion.
  • La connexion est stable avant et fonctionne à nouveau après une nouvelle connexion.
  • D’autres profils VPN ou connexions SSL VPN ne présentent pas ce comportement.
  • Les journaux VPN affichent des entrées concernant IKE, SPI ou le renouvellement de clé.

Si la connexion se coupe de manière aléatoire, ne fonctionne pas dans certains réseaux ou ne transporte pas de trafic immédiatement après l’établissement, un dépannage général IPsec VPN est nécessaire.

Exclure d’abord l’accès distant IPsec hérité

Surtout dans les environnements plus anciens, il est important de clarifier d’abord quelle variante d’accès distant IPsec est utilisée. Cet article traite de la configuration actuelle de l’accès distant IPsec avec Sophos Connect et les profils IPsec. Il n’est pas le bon point de départ si l’accès distant IPsec hérité est encore présent ou si une mise à niveau vers SFOS 22.0 MR1 est bloquée.

Évaluation pratique :

Cette distinction est importante car un ajustement de la durée de vie de la clé ne remplace pas un concept de migration. Si une ancienne configuration héritée est encore sur le pare-feu, elle doit être correctement documentée, remplacée et supprimée avant une mise à niveau majeure du firmware.

Pourquoi le timeout se produit

Sophos Connect utilise un profil IPsec pour l’accès distant IPsec. Dans de nombreux environnements, celui-ci est basé sur DefaultRemoteAccess. C’est là que la durée de vie de l’association de sécurité IKE est définie. Lorsque cette durée de vie est atteinte, la connexion doit être renégociée. Selon la méthode d’authentification et le comportement du client, une nouvelle saisie OTP peut être nécessaire.

La valeur technique souvent mentionnée est ikekeylife. Une valeur de 18000 secondes correspond à cinq heures. En pratique, la nouvelle négociation peut être visible plus tôt, c’est pourquoi les utilisateurs parlent souvent d’environ quatre heures.

Il est important de prendre une décision professionnelle : une valeur plus longue réduit les ré-authentifications, mais prolonge également la durée de vie de l’IKE-SA. C’est une décision d’exploitation et de sécurité, pas un simple interrupteur de confort.

Vérifier les journaux

Dans le Log Viewer ou dans les journaux VPN, des messages concernant des valeurs SPI invalides peuvent apparaître. Ces entrées peuvent indiquer qu’une ancienne session IKE phase 1 ou expirée est sollicitée.

Exemple :

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Ces entrées seules ne prouvent pas la cause complète. Il faut examiner les horodatages, les utilisateurs concernés, le statut de Sophos Connect, la méthode d’authentification et les modifications de profil ensemble. En cas de problèmes VPN récurrents, il est également utile de sauvegarder les journaux de Sophos Firewall pour le support et l’analyse et de dépanner Sophos Firewall : Services et journaux.

Adapter le profil IPsec via l’interface graphique

La méthode la plus propre est de ne pas travailler directement sur le profil standard, mais de cloner le profil et d’utiliser la nouvelle valeur spécifiquement pour l’accès distant.

Le chemin de menu est :

Configure > VPN > IPsec profiles

Procédure :

  1. Ouvrir le profil existant DefaultRemoteAccess.
  2. Cloner le profil.
  3. Nommer le nouveau profil de manière unique, par exemple RemoteAccess_OTP_10h.
  4. Définir la Key life ou durée de vie IKE sur la valeur souhaitée.
  5. Enregistrer.
  6. Dans les paramètres d’accès distant IPsec, sélectionner le nouveau profil.
  7. Exporter ou distribuer à nouveau la configuration Sophos Connect.
  8. Tester avec un utilisateur pilote.
Profils IPsec de Sophos Firewall DefaultRemoteAccess
Le profil DefaultRemoteAccess existant doit être vérifié et cloné comme modèle.
Durée de vie de la clé des profils IPsec de Sophos Firewall DefaultRemoteAccess
La durée de vie IKE est ajustée dans le profil IPsec et ensuite assignée spécifiquement au profil d’accès distant.

Après la modification, il ne suffit pas de simplement enregistrer le pare-feu. Les profils Sophos Connect concernés doivent être redistribués ou réimportés. Pour le fonctionnement et les versions des clients, consultez Vérifier et mettre à jour en toute sécurité la version du client Sophos Connect. Pour les installations Windows, consultez Installer le client Sophos Connect sur Windows, pour macOS Installer le client Sophos Connect sur macOS.

Calculer la valeur pour des intervalles OTP plus longs

Si les utilisateurs doivent saisir à nouveau un OTP environ toutes les n heures, on utilise souvent la formule empirique suivante :

ikekeylife = (n + 1) * 3600

Exemple pour environ dix heures :

ikekeylife = (10 + 1) * 3600
ikekeylife = 39600

La valeur ne doit pas être simplement définie au maximum. Dans les environnements de production, il faut d’abord clarifier :

  • Quelle est la durée maximale de session acceptable du point de vue de la sécurité ?
  • La valeur correspond-elle aux horaires de travail, aux équipes et au processus de helpdesk ?
  • Utilise-t-on OTP, RADIUS-MFA, Entra ID SSO ou une autre méthode d’authentification ?
  • Existe-t-il des exigences de conformité pour une nouvelle authentification ?
  • La reconnexion fonctionne-t-elle de manière fiable avec le client Sophos Connect actuel ?

Pour les bases de MFA sur le pare-feu, consultez Activer MFA pour Sophos Firewall WebAdmin, VPN Portal et Remote Access. Si Microsoft Entra ID SSO est utilisé, il convient également de configurer Microsoft Entra ID SSO pour Sophos Connect et VPN Portal.

Pourquoi une modification directe de la base de données n’est pas recommandée

Les anciens runbooks contiennent parfois des modifications directes dans l’Advanced Shell ou des commandes SQL contre la base de données du pare-feu. Pour le fonctionnement normal, cela n’est pas recommandé.

Raisons :

  • L’intervention contourne la validation normale de WebAdmin.
  • Des valeurs incorrectes peuvent perturber les profils VPN ou l’accès distant.
  • Les modifications sont moins traçables.
  • En cas de support, un changement propre via l’interface graphique est plus facile à expliquer.
  • Après les mises à jour, le comportement interne peut changer.

Par conséquent, la valeur doit être définie via un profil IPsec personnalisé dans WebAdmin. Les modifications directes de la base de données ne doivent être effectuées que dans un contexte de support Sophos clair et non dans un guide d’administration normal.

Tester la modification

Après l’ajustement, un petit test avec des utilisateurs pilotes doit être effectué.

Points de vérification :

  1. Le nouveau profil est sélectionné dans l’accès distant IPsec.
  2. La configuration Sophos Connect a été réimportée.
  3. La connexion s’établit avec succès.
  4. Les cibles internes sont accessibles.
  5. DNS, routage et règles de pare-feu fonctionnent.
  6. La reconnexion après la période attendue se comporte comme prévu.
  7. Les journaux VPN ne montrent pas d’erreurs inattendues.

Si la connexion est établie mais qu’aucun trafic ne circule, le problème est probablement lié aux routes, aux règles de pare-feu, au NAT ou au DNS. Dans ce cas, Tester la règle de pare-feu avec Log Viewer, Policy Test et Packet Capture peut aider.

Erreurs typiques

  • Profil standard modifié directement: D’autres scénarios d’accès distant peuvent être affectés involontairement Cloner le profil et l’assigner spécifiquement.
  • Profil client non redistribué: Les utilisateurs continuent d’utiliser les anciens paramètres Exporter et importer à nouveau la configuration Sophos Connect.
  • Valeur de durée de vie de clé trop longue: Moins de ré-authentification, mais session plus longue Évaluer les exigences de sécurité et d’exploitation ensemble.
  • Seul le client réinstallé: Le profil de pare-feu reste inchangé Vérifier ensemble le profil de pare-feu et la configuration du client.
  • Journaux non vérifiés: Mauvaise cause supposée Comparer les horodatages, utilisateurs, journaux SPI/IKE et comportement MFA.
  • Base de données modifiée directement: Risque de problèmes de support et de configuration Utiliser le profil GUI.

Liste de vérification opérationnelle

  • Identifier les utilisateurs et les moments concernés.
  • Vérifier si l’accès distant IPsec est utilisé avec Sophos Connect.
  • Vérifier les journaux VPN pour les indications IKE, SPI et de renouvellement de clé.
  • Identifier le profil IPsec utilisé.
  • Cloner DefaultRemoteAccess au lieu de le modifier directement.
  • Définir professionnellement la valeur cible pour la durée de vie de la clé IKE.
  • Assigner le nouveau profil dans l’accès distant IPsec.
  • Redistribuer la configuration du client.
  • Tester avec des utilisateurs pilotes et informer le helpdesk.
  • Après quelques jours, vérifier si moins de cas de reconnexion OTP se produisent.

FAQ

Pourquoi Sophos Connect IPsec se déconnecte-t-il après environ 4 heures ?

Cela est souvent lié à la durée de vie de l’IKE dans le profil IPsec utilisé. Lors du renouvellement de la clé ou lors d’une nouvelle authentification, Sophos Connect peut, selon la configuration, demander une nouvelle saisie OTP.

Faut-il modifier directement DefaultRemoteAccess ?

Il est préférable d’utiliser un profil cloné avec un nom unique. Cela permet de garder une trace des configurations d’accès distant qui diffèrent intentionnellement, et d’éviter d’affecter involontairement d’autres connexions.

L'accès distant IPsec hérité est-il le même problème ?

Non. L’accès distant IPsec hérité est un autre sujet et peut bloquer une mise à niveau à partir de SFOS 22.0 MR1. Si le pare-feu signale ce problème, la migration de la configuration d’accès distant IPsec hérité doit être effectuée et ensuite supprimée.

La configuration Sophos Connect doit-elle être redistribuée ?

Oui. Après des modifications du profil d’accès distant, les configurations Sophos Connect concernées doivent être exportées, distribuées ou importées à nouveau. Sinon, les utilisateurs peuvent continuer à tester d’anciennes configurations.

Un timeout plus long est-il automatiquement plus sûr ou meilleur ?

Non. Une valeur plus longue réduit les ré-authentifications, mais prolonge également la durée de vie de la session. La valeur doit correspondre aux exigences de sécurité, au concept MFA, à la méthode de travail et au processus de support.

Faut-il modifier la valeur via Advanced Shell ou SQL ?

Pour le fonctionnement normal, non. Les modifications directes de la base de données contournent la validation WebAdmin et sont moins traçables. La meilleure méthode est d’utiliser un profil IPsec personnalisé via l’interface graphique.