Risoluzione del timeout di accesso remoto IPsec di Sophos Firewall dopo 4 ore
Se Sophos Connect con IPsec Remote Access si disconnette dopo circa quattro ore o gli utenti devono inserire nuovamente un OTP, la causa spesso non è il client stesso. In molte configurazioni, questo comportamento è legato alla durata della chiave IKE nel profilo IPsec utilizzato. Durante il re-keying o la ri-autenticazione, il client potrebbe richiedere un nuovo accesso.
L’articolo spiega come interpretare questo comportamento, quali log sono pertinenti e come adattare correttamente il valore tramite un profilo IPsec personalizzato. Per la configurazione di base di Sophos Connect, consultare prima Configurare Sophos Connect su Sophos Firewall. Per decidere tra IPsec, SSL VPN, client mobili e ZTNA, è meglio iniziare con Sophos Connect o SSL VPN: Quale soluzione di accesso remoto è adatta?.
⚠️ Importante: Non tutte le disconnessioni dopo alcune ore sono automaticamente un problema di durata della chiave. Verificare prima se sono coinvolti l’accesso remoto IPsec attuale, il profilo
DefaultRemoteAccesso un profilo derivato, OTP/MFA e i log VPN pertinenti.
Scenario tipico di errore
Il problema si manifesta spesso in casi di helpdesk o operativi:
- Sophos Connect si disconnette regolarmente dopo circa quattro ore.
- Gli utenti devono confermare nuovamente OTP o MFA dopo la disconnessione.
- La connessione è stabile prima e funziona di nuovo dopo il nuovo accesso.
- Altri profili VPN o connessioni SSL-VPN non mostrano questo comportamento.
- Nei log VPN compaiono voci relative a IKE, SPI o re-keying.
Se invece la connessione si interrompe casualmente, non funziona solo in determinate reti o non trasporta traffico subito dopo la connessione, è necessario un troubleshooting IPsec VPN più generale.
Escludere prima l’accesso remoto IPsec legacy
Soprattutto in ambienti più vecchi, è importante chiarire quale variante di accesso remoto IPsec è effettivamente in uso. Questo articolo tratta la configurazione attuale di accesso remoto IPsec con Sophos Connect e profili IPsec. Non è l’approccio corretto se è ancora presente Legacy Remote Access IPsec o se un aggiornamento a SFOS 22.0 MR1 è bloccato.
Valutazione pratica:
- La connessione si disconnette dopo un tempo simile, poi si riconnette: continuare con questo articolo.
- L’aggiornamento a SFOS 22.0 MR1 o successivo è bloccato a causa di Legacy IPsec: Migrare Legacy Remote Access IPsec prima di SFOS 22 MR1
- Il tunnel è connesso, ma le destinazioni interne non sono raggiungibili: Troubleshooting IPsec VPN di Sophos Firewall
- Gli utenti devono passare da IPsec a SSL VPN, ZTNA o un altro modello: Sophos Connect o SSL VPN: Quale soluzione di accesso remoto è adatta?
Questa distinzione è importante perché un tuning della durata della chiave non sostituisce un concetto di migrazione. Se una vecchia configurazione legacy è ancora presente sul firewall, dovrebbe essere documentata, sostituita e rimossa prima di un aggiornamento firmware significativo.
Perché si verifica il timeout
Sophos Connect utilizza un profilo IPsec per l’accesso remoto IPsec. In molte configurazioni, questo si basa su DefaultRemoteAccess. Qui è definita la durata della Security Association IKE. Quando questa durata viene raggiunta, la connessione deve essere rinegoziata. A seconda del metodo di autenticazione e del comportamento del client, potrebbe essere necessaria una nuova immissione OTP.
Il valore tecnico comunemente citato è ikekeylife. Un valore di 18000 secondi corrisponde a cinque ore. In pratica, la nuova negoziazione può essere visibile prima, motivo per cui gli utenti parlano spesso di circa quattro ore.
È importante la decisione tecnica: un valore più lungo riduce le ri-autenticazioni, ma prolunga anche la durata della IKE-SA. È una decisione operativa e di sicurezza, non solo un interruttore di comodità.
Verificare i log
Nel Log Viewer o nei log VPN possono apparire messaggi relativi a valori SPI non validi. Tali voci possono indicare che viene richiamata una vecchia sessione IKE fase 1 scaduta.
Esempio:
VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050
Queste voci da sole non provano ancora la causa completa. Bisogna considerare insieme timestamp, utenti coinvolti, stato di Sophos Connect, metodo di autenticazione e modifiche al profilo. In caso di problemi VPN ricorrenti, è utile anche Salvare i log di Sophos Firewall per supporto e analisi e Troubleshooting di Sophos Firewall: Servizi e log.
Adattare il profilo IPsec tramite GUI
Il metodo più pulito è non lavorare direttamente sul profilo standard, ma clonare il profilo e utilizzare il nuovo valore consapevolmente per l’accesso remoto.
Il percorso del menu è:
Configure > VPN > IPsec profiles
Procedura:
- Aprire il profilo esistente
DefaultRemoteAccess. - Clonare il profilo.
- Assegnare un nome univoco al nuovo profilo, ad esempio
RemoteAccess_OTP_10h. - Impostare
Key lifeo durata della chiave IKE sul valore desiderato. - Salvare.
- Selezionare il nuovo profilo nelle impostazioni di accesso remoto IPsec.
- Esportare o distribuire nuovamente la configurazione di Sophos Connect.
- Testare con utenti pilota.


Dopo la modifica, non basta salvare solo il firewall. I profili Sophos Connect interessati devono essere ridistribuiti o reimportati. Per il funzionamento del client e le versioni, consultare Verificare e aggiornare in sicurezza la versione del client Sophos Connect. Per le installazioni su Windows, consultare Installare il client Sophos Connect su Windows, per macOS Installare il client Sophos Connect su macOS.
Calcolare il valore per intervalli OTP più lunghi
Se gli utenti devono inserire nuovamente OTP circa ogni n ore, spesso si utilizza la seguente formula empirica:
ikekeylife = (n + 1) * 3600
Esempio per circa dieci ore:
ikekeylife = (10 + 1) * 3600
ikekeylife = 39600
Il valore non dovrebbe essere semplicemente impostato al massimo. In ambienti produttivi, è importante chiarire prima:
- Qual è la durata massima della sessione accettabile dal punto di vista della sicurezza?
- Il valore si adatta agli orari di lavoro, ai turni e al processo di helpdesk?
- Viene utilizzata OTP, RADIUS-MFA, Entra ID SSO o un’altra autenticazione?
- Ci sono requisiti di conformità per la ri-autenticazione?
- La riconnessione funziona in modo affidabile con l’attuale client Sophos Connect?
Per le basi MFA sul firewall, consultare Abilitare MFA per Sophos Firewall WebAdmin, VPN Portal e Remote Access. Se è in uso Microsoft Entra ID SSO, considerare anche Configurare Microsoft Entra ID SSO per Sophos Connect e VPN Portal.
Perché non è consigliato modificare direttamente il database
Alcuni vecchi runbook contengono modifiche dirette nella Advanced Shell o comandi SQL contro il database del firewall. Per il normale funzionamento, ciò non è consigliabile.
Motivi:
- L’intervento bypassa la normale validazione di WebAdmin.
- Valori errati possono disturbare i profili VPN o l’accesso remoto.
- Le modifiche sono meno tracciabili.
- In caso di supporto, una modifica pulita tramite GUI è più facile da spiegare.
- Dopo gli aggiornamenti, il comportamento interno può cambiare.
Pertanto, il valore dovrebbe essere impostato tramite un profilo IPsec personalizzato in WebAdmin. Le modifiche dirette al database dovrebbero essere fatte solo in un contesto di supporto Sophos chiaro e non in una normale guida per amministratori.
Testare la modifica
Dopo l’adattamento, dovrebbe essere effettuato un piccolo test con utenti pilota.
Punti di controllo:
- Il nuovo profilo è selezionato in Remote Access IPsec.
- La configurazione di Sophos Connect è stata reimportata.
- La connessione si stabilisce con successo.
- Le destinazioni interne sono raggiungibili.
- DNS, routing e regole firewall funzionano.
- La riconnessione dopo il periodo previsto si comporta come pianificato.
- I log VPN non mostrano errori inaspettati.
Se la connessione viene stabilita ma non c’è traffico, il problema è probabilmente legato a rotte, regole firewall, NAT o DNS. In tal caso, consultare Testare la regola firewall con Log Viewer, Policy Test e Packet Capture.
Errori tipici
- Profilo standard modificato direttamente: Altri scenari di accesso remoto possono essere influenzati involontariamente Clonare il profilo e assegnarlo specificamente.
- Profilo client non ridistribuito: Gli utenti continuano a utilizzare le vecchie impostazioni Esportare e importare nuovamente la configurazione di Sophos Connect.
- Valore della durata della chiave troppo lungo: Meno ri-autenticazioni, ma sessione più lunga Valutare insieme requisiti di sicurezza e operativi.
- Solo client reinstallato: Profilo firewall rimane invariato Verificare insieme profilo firewall e configurazione client.
- Log non verificati: Causa errata presunta Confrontare timestamp, utenti, log SPI/IKE e comportamento MFA.
- Database modificato direttamente: Rischio di problemi di supporto e configurazione Utilizzare il profilo GUI.
Checklist operativa
- Registrare utenti e orari interessati.
- Verificare se viene utilizzato IPsec Remote Access con Sophos Connect.
- Controllare i log VPN per indizi su IKE, SPI e re-keying.
- Identificare il profilo IPsec utilizzato.
- Clonare
DefaultRemoteAccessanziché modificarlo direttamente. - Stabilire tecnicamente il valore obiettivo per la durata della chiave IKE.
- Assegnare il nuovo profilo in Remote Access IPsec.
- Ridistribuire la configurazione client.
- Testare con utenti pilota e informare l’helpdesk.
- Dopo alcuni giorni, verificare se si verificano meno casi di riconnessione OTP.