{"id":161430,"date":"2024-09-03T10:07:44","date_gmt":"2024-09-03T09:07:44","guid":{"rendered":"https:\/\/www.avanet.com\/?post_type=kb&p=161430"},"modified":"2024-09-03T10:08:41","modified_gmt":"2024-09-03T09:08:41","slug":"sophos-firewall-delai-dexpiration-de-lacces-distant-ipsec-au-bout-de-4-heures","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/fr\/kb\/sophos-firewall-delai-dexpiration-de-lacces-distant-ipsec-au-bout-de-4-heures\/","title":{"rendered":"Sophos Firewall – D\u00e9lai d’expiration de l’acc\u00e8s distant IPsec au bout de 4 heures"},"content":{"rendered":"\n

Cet article explique pourquoi un d\u00e9lai d’attente d’acc\u00e8s \u00e0 distance IPsec se produit apr\u00e8s 4 heures et comment r\u00e9soudre ce probl\u00e8me.<\/p>\n\n

Pour l’acc\u00e8s distant IPsec, un d\u00e9lai d’attente de 4 heures est d\u00e9fini par d\u00e9faut sur Sophos Firewall.\nDans ce cas, le client Sophos Connect perd la connexion avec le pare-feu et l’utilisateur doit se reconnecter. <\/p>\n\n

Si le client Sophos Connect a configur\u00e9 les utilisateurs avec un mot de passe \u00e0 usage unique (OTP), l’utilisateur est invit\u00e9 par d\u00e9faut \u00e0 saisir un nouvel OTP toutes les 4 heures.\nCela est d\u00fb au fait que le client Sophos Connect utilise la strat\u00e9gie DefaultRemoteAccess, qui peut \u00eatre modifi\u00e9e via l’interface graphique.\nLa valeur par d\u00e9faut de ikekeylife est 18000 <\/p>\n\n

Journal Sophos Firewall<\/h2>\n\n

Ces erreurs dans le journal VPN indiquent que la connexion a \u00e9t\u00e9 interrompue en raison de l’expiration d’une cl\u00e9 IKE.\nLe SPI (Security Parameter Index) invalide fait r\u00e9f\u00e9rence \u00e0 une session IKE phase 1 expir\u00e9e ou invalide. <\/p>\n\n

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050\nVPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050\nVPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050<\/code><\/pre>\n\n
R\u00e9glage du d\u00e9lai d’expiration du VPN IPsec via l’interface utilisateur de Sophos Firewall<\/h2>\n\n
Dans les profils VPN, on trouve le certificat DefautlRemoteAccess et on peut le cloner et adapter la valeur en cons\u00e9quence.<\/p>\n\n
\n
\"Sophos<\/a>
Sophos Firewall – Profils IPsec DefaultRemoteAccess – dur\u00e9e de vie des cl\u00e9s<\/figcaption><\/figure>\n\n\n\n
\"Sophos<\/a>
Sophos Firewall – Profils IPsec DefaultRemoteAccess<\/figcaption><\/figure>\n<\/figure>\n\n
Il suffit ensuite de s\u00e9lectionner le nouveau certificat dans les param\u00e8tres Remote Access IPsec et de distribuer la nouvelle config aux utilisateurs.<\/p>\n\n
R\u00e9glage du d\u00e9lai d’attente VPN IPsec via la console Sophos Firewall<\/h2>\n\n
Avec une valeur de dur\u00e9e de vie IKE_SA de 18000, le r\u00e9encodage de IKE_SA a lieu toutes les 4 heures environ et la r\u00e9authentification a \u00e9galement lieu en m\u00eame temps que le r\u00e9encodage de IKE_SA, de sorte que les utilisateurs sont invit\u00e9s \u00e0 saisir un nouvel OTP.<\/p>\n\n
Si la demande du client est que l’utilisateur soit invit\u00e9 \u00e0 saisir un nouvel OTP toutes les \u00ab\u00a0n\u00a0\u00bb heures, utilisez l’\u00e9quation suivante pour d\u00e9terminer la valeur ikekeylife correspondante si n=10 (c’est-\u00e0-dire 10 heures)<\/p>\n\n
ikekeylife = (n +1) * 3600\nikekeylife = (10 +1) * 3600 = 39600\nikekeylife = 39600<\/strong><\/code><\/pre>\n\n
\n
Remarque : la valeur maximale de \u00ab\u00a0n\u00a0\u00bb ne doit pas \u00eatre sup\u00e9rieure \u00e0 23.<\/p>\n<\/blockquote>\n\n
Connectez-vous en SSH \u00e0 Sophos Firewall, par exemple en utilisant Putty et en tapant 5 puis 3 pour acc\u00e9der \u00e0 Advanced Shell.<\/p>\n\n
psql -U nobody -d corporate -c \"update tblvpnpolicy set ikekeylife=<\/em>39600<\/em><\/strong>\u00a0where policyid=5;\"<\/em><\/code><\/pre>\n\n
Il suffit ensuite de red\u00e9marrer le service VPN IPsec sur le pare-feu et de redistribuer le fichier de configuration aux clients.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[407],"class_list":["post-161430","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb\/161430","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=161430"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb_kategorie?post=161430"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}