Résoudre le problème de timeout de l'accès distant IPsec de Sophos Firewall après 4 heures
Si Sophos Connect avec IPsec Remote Access se déconnecte après environ quatre heures ou si les utilisateurs doivent saisir à nouveau un OTP, la cause n’est souvent pas le client lui-même. Dans de nombreux environnements, ce comportement est lié à la durée de vie de l’IKE dans le profil IPsec utilisé. Lors du renouvellement de la clé ou lors d’une nouvelle authentification, le client peut déclencher une nouvelle connexion.
Cet article explique comment interpréter ce comportement, quels journaux y correspondent et comment ajuster correctement la valeur via un profil IPsec personnalisé. Pour la configuration de base de Sophos Connect, commencez par Configurer Sophos Connect sur Sophos Firewall. Pour choisir entre IPsec, SSL VPN, clients mobiles et ZTNA, Sophos Connect ou SSL VPN : Quelle solution d’accès distant choisir ? est un meilleur point de départ.
⚠️ Important : Toute déconnexion après quelques heures n’est pas automatiquement un problème de durée de vie de la clé. Vérifiez d’abord si l’accès distant IPsec actuel, le profil
DefaultRemoteAccessou un profil dérivé, OTP/MFA et les journaux VPN pertinents sont impliqués.
Symptômes typiques
Ce problème est généralement remarqué dans les cas de helpdesk ou d’exploitation :
- Sophos Connect se déconnecte régulièrement après environ quatre heures.
- Les utilisateurs doivent confirmer à nouveau OTP ou MFA après la déconnexion.
- La connexion est stable avant et fonctionne à nouveau après une nouvelle connexion.
- D’autres profils VPN ou connexions SSL VPN ne présentent pas ce comportement.
- Les journaux VPN affichent des entrées concernant IKE, SPI ou le renouvellement de clé.
Si la connexion se coupe de manière aléatoire, ne fonctionne pas dans certains réseaux ou ne transporte pas de trafic immédiatement après l’établissement, un dépannage général IPsec VPN est nécessaire.
Exclure d’abord l’accès distant IPsec hérité
Surtout dans les environnements plus anciens, il est important de clarifier d’abord quelle variante d’accès distant IPsec est utilisée. Cet article traite de la configuration actuelle de l’accès distant IPsec avec Sophos Connect et les profils IPsec. Il n’est pas le bon point de départ si l’accès distant IPsec hérité est encore présent ou si une mise à niveau vers SFOS 22.0 MR1 est bloquée.
Évaluation pratique :
- La connexion se coupe après une durée similaire, puis se rétablit: continuer avec cet article.
- La mise à niveau vers SFOS 22.0 MR1 ou plus récent est bloquée en raison de l’IPsec hérité: Migrer l’accès distant IPsec hérité avant SFOS 22 MR1
- Le tunnel est connecté, mais les cibles internes ne sont pas accessibles: Dépannage VPN IPsec de Sophos Firewall
- Les utilisateurs doivent passer de l’IPsec au SSL VPN, ZTNA ou un autre modèle: Sophos Connect ou SSL VPN : Quelle solution d’accès distant choisir ?
Cette distinction est importante car un ajustement de la durée de vie de la clé ne remplace pas un concept de migration. Si une ancienne configuration héritée est encore sur le pare-feu, elle doit être correctement documentée, remplacée et supprimée avant une mise à niveau majeure du firmware.
Pourquoi le timeout se produit
Sophos Connect utilise un profil IPsec pour l’accès distant IPsec. Dans de nombreux environnements, celui-ci est basé sur DefaultRemoteAccess. C’est là que la durée de vie de l’association de sécurité IKE est définie. Lorsque cette durée de vie est atteinte, la connexion doit être renégociée. Selon la méthode d’authentification et le comportement du client, une nouvelle saisie OTP peut être nécessaire.
La valeur technique souvent mentionnée est ikekeylife. Une valeur de 18000 secondes correspond à cinq heures. En pratique, la nouvelle négociation peut être visible plus tôt, c’est pourquoi les utilisateurs parlent souvent d’environ quatre heures.
Il est important de prendre une décision professionnelle : une valeur plus longue réduit les ré-authentifications, mais prolonge également la durée de vie de l’IKE-SA. C’est une décision d’exploitation et de sécurité, pas un simple interrupteur de confort.
Vérifier les journaux
Dans le Log Viewer ou dans les journaux VPN, des messages concernant des valeurs SPI invalides peuvent apparaître. Ces entrées peuvent indiquer qu’une ancienne session IKE phase 1 ou expirée est sollicitée.
Exemple :
VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050
Ces entrées seules ne prouvent pas la cause complète. Il faut examiner les horodatages, les utilisateurs concernés, le statut de Sophos Connect, la méthode d’authentification et les modifications de profil ensemble. En cas de problèmes VPN récurrents, il est également utile de sauvegarder les journaux de Sophos Firewall pour le support et l’analyse et de dépanner Sophos Firewall : Services et journaux.
Adapter le profil IPsec via l’interface graphique
La méthode la plus propre est de ne pas travailler directement sur le profil standard, mais de cloner le profil et d’utiliser la nouvelle valeur spécifiquement pour l’accès distant.
Le chemin de menu est :
Configure > VPN > IPsec profiles
Procédure :
- Ouvrir le profil existant
DefaultRemoteAccess. - Cloner le profil.
- Nommer le nouveau profil de manière unique, par exemple
RemoteAccess_OTP_10h. - Définir la
Key lifeou durée de vie IKE sur la valeur souhaitée. - Enregistrer.
- Dans les paramètres d’accès distant IPsec, sélectionner le nouveau profil.
- Exporter ou distribuer à nouveau la configuration Sophos Connect.
- Tester avec un utilisateur pilote.


Après la modification, il ne suffit pas de simplement enregistrer le pare-feu. Les profils Sophos Connect concernés doivent être redistribués ou réimportés. Pour le fonctionnement et les versions des clients, consultez Vérifier et mettre à jour en toute sécurité la version du client Sophos Connect. Pour les installations Windows, consultez Installer le client Sophos Connect sur Windows, pour macOS Installer le client Sophos Connect sur macOS.
Calculer la valeur pour des intervalles OTP plus longs
Si les utilisateurs doivent saisir à nouveau un OTP environ toutes les n heures, on utilise souvent la formule empirique suivante :
ikekeylife = (n + 1) * 3600
Exemple pour environ dix heures :
ikekeylife = (10 + 1) * 3600
ikekeylife = 39600
La valeur ne doit pas être simplement définie au maximum. Dans les environnements de production, il faut d’abord clarifier :
- Quelle est la durée maximale de session acceptable du point de vue de la sécurité ?
- La valeur correspond-elle aux horaires de travail, aux équipes et au processus de helpdesk ?
- Utilise-t-on OTP, RADIUS-MFA, Entra ID SSO ou une autre méthode d’authentification ?
- Existe-t-il des exigences de conformité pour une nouvelle authentification ?
- La reconnexion fonctionne-t-elle de manière fiable avec le client Sophos Connect actuel ?
Pour les bases de MFA sur le pare-feu, consultez Activer MFA pour Sophos Firewall WebAdmin, VPN Portal et Remote Access. Si Microsoft Entra ID SSO est utilisé, il convient également de configurer Microsoft Entra ID SSO pour Sophos Connect et VPN Portal.
Pourquoi une modification directe de la base de données n’est pas recommandée
Les anciens runbooks contiennent parfois des modifications directes dans l’Advanced Shell ou des commandes SQL contre la base de données du pare-feu. Pour le fonctionnement normal, cela n’est pas recommandé.
Raisons :
- L’intervention contourne la validation normale de WebAdmin.
- Des valeurs incorrectes peuvent perturber les profils VPN ou l’accès distant.
- Les modifications sont moins traçables.
- En cas de support, un changement propre via l’interface graphique est plus facile à expliquer.
- Après les mises à jour, le comportement interne peut changer.
Par conséquent, la valeur doit être définie via un profil IPsec personnalisé dans WebAdmin. Les modifications directes de la base de données ne doivent être effectuées que dans un contexte de support Sophos clair et non dans un guide d’administration normal.
Tester la modification
Après l’ajustement, un petit test avec des utilisateurs pilotes doit être effectué.
Points de vérification :
- Le nouveau profil est sélectionné dans l’accès distant IPsec.
- La configuration Sophos Connect a été réimportée.
- La connexion s’établit avec succès.
- Les cibles internes sont accessibles.
- DNS, routage et règles de pare-feu fonctionnent.
- La reconnexion après la période attendue se comporte comme prévu.
- Les journaux VPN ne montrent pas d’erreurs inattendues.
Si la connexion est établie mais qu’aucun trafic ne circule, le problème est probablement lié aux routes, aux règles de pare-feu, au NAT ou au DNS. Dans ce cas, Tester la règle de pare-feu avec Log Viewer, Policy Test et Packet Capture peut aider.
Erreurs typiques
- Profil standard modifié directement: D’autres scénarios d’accès distant peuvent être affectés involontairement Cloner le profil et l’assigner spécifiquement.
- Profil client non redistribué: Les utilisateurs continuent d’utiliser les anciens paramètres Exporter et importer à nouveau la configuration Sophos Connect.
- Valeur de durée de vie de clé trop longue: Moins de ré-authentification, mais session plus longue Évaluer les exigences de sécurité et d’exploitation ensemble.
- Seul le client réinstallé: Le profil de pare-feu reste inchangé Vérifier ensemble le profil de pare-feu et la configuration du client.
- Journaux non vérifiés: Mauvaise cause supposée Comparer les horodatages, utilisateurs, journaux SPI/IKE et comportement MFA.
- Base de données modifiée directement: Risque de problèmes de support et de configuration Utiliser le profil GUI.
Liste de vérification opérationnelle
- Identifier les utilisateurs et les moments concernés.
- Vérifier si l’accès distant IPsec est utilisé avec Sophos Connect.
- Vérifier les journaux VPN pour les indications IKE, SPI et de renouvellement de clé.
- Identifier le profil IPsec utilisé.
- Cloner
DefaultRemoteAccessau lieu de le modifier directement. - Définir professionnellement la valeur cible pour la durée de vie de la clé IKE.
- Assigner le nouveau profil dans l’accès distant IPsec.
- Redistribuer la configuration du client.
- Tester avec des utilisateurs pilotes et informer le helpdesk.
- Après quelques jours, vérifier si moins de cas de reconnexion OTP se produisent.