Vai al contenuto
Avanet

Risoluzione del timeout di accesso remoto IPsec di Sophos Firewall dopo 4 ore

Se Sophos Connect con IPsec Remote Access si disconnette dopo circa quattro ore o gli utenti devono inserire nuovamente un OTP, la causa spesso non è il client stesso. In molte configurazioni, questo comportamento è legato alla durata della chiave IKE nel profilo IPsec utilizzato. Durante il re-keying o la ri-autenticazione, il client potrebbe richiedere un nuovo accesso.

L’articolo spiega come interpretare questo comportamento, quali log sono pertinenti e come adattare correttamente il valore tramite un profilo IPsec personalizzato. Per la configurazione di base di Sophos Connect, consultare prima Configurare Sophos Connect su Sophos Firewall. Per decidere tra IPsec, SSL VPN, client mobili e ZTNA, è meglio iniziare con Sophos Connect o SSL VPN: Quale soluzione di accesso remoto è adatta?.

⚠️ Importante: Non tutte le disconnessioni dopo alcune ore sono automaticamente un problema di durata della chiave. Verificare prima se sono coinvolti l’accesso remoto IPsec attuale, il profilo DefaultRemoteAccess o un profilo derivato, OTP/MFA e i log VPN pertinenti.

Scenario tipico di errore

Il problema si manifesta spesso in casi di helpdesk o operativi:

  • Sophos Connect si disconnette regolarmente dopo circa quattro ore.
  • Gli utenti devono confermare nuovamente OTP o MFA dopo la disconnessione.
  • La connessione è stabile prima e funziona di nuovo dopo il nuovo accesso.
  • Altri profili VPN o connessioni SSL-VPN non mostrano questo comportamento.
  • Nei log VPN compaiono voci relative a IKE, SPI o re-keying.

Se invece la connessione si interrompe casualmente, non funziona solo in determinate reti o non trasporta traffico subito dopo la connessione, è necessario un troubleshooting IPsec VPN più generale.

Escludere prima l’accesso remoto IPsec legacy

Soprattutto in ambienti più vecchi, è importante chiarire quale variante di accesso remoto IPsec è effettivamente in uso. Questo articolo tratta la configurazione attuale di accesso remoto IPsec con Sophos Connect e profili IPsec. Non è l’approccio corretto se è ancora presente Legacy Remote Access IPsec o se un aggiornamento a SFOS 22.0 MR1 è bloccato.

Valutazione pratica:

Questa distinzione è importante perché un tuning della durata della chiave non sostituisce un concetto di migrazione. Se una vecchia configurazione legacy è ancora presente sul firewall, dovrebbe essere documentata, sostituita e rimossa prima di un aggiornamento firmware significativo.

Perché si verifica il timeout

Sophos Connect utilizza un profilo IPsec per l’accesso remoto IPsec. In molte configurazioni, questo si basa su DefaultRemoteAccess. Qui è definita la durata della Security Association IKE. Quando questa durata viene raggiunta, la connessione deve essere rinegoziata. A seconda del metodo di autenticazione e del comportamento del client, potrebbe essere necessaria una nuova immissione OTP.

Il valore tecnico comunemente citato è ikekeylife. Un valore di 18000 secondi corrisponde a cinque ore. In pratica, la nuova negoziazione può essere visibile prima, motivo per cui gli utenti parlano spesso di circa quattro ore.

È importante la decisione tecnica: un valore più lungo riduce le ri-autenticazioni, ma prolunga anche la durata della IKE-SA. È una decisione operativa e di sicurezza, non solo un interruttore di comodità.

Verificare i log

Nel Log Viewer o nei log VPN possono apparire messaggi relativi a valori SPI non validi. Tali voci possono indicare che viene richiamata una vecchia sessione IKE fase 1 scaduta.

Esempio:

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Queste voci da sole non provano ancora la causa completa. Bisogna considerare insieme timestamp, utenti coinvolti, stato di Sophos Connect, metodo di autenticazione e modifiche al profilo. In caso di problemi VPN ricorrenti, è utile anche Salvare i log di Sophos Firewall per supporto e analisi e Troubleshooting di Sophos Firewall: Servizi e log.

Adattare il profilo IPsec tramite GUI

Il metodo più pulito è non lavorare direttamente sul profilo standard, ma clonare il profilo e utilizzare il nuovo valore consapevolmente per l’accesso remoto.

Il percorso del menu è:

Configure > VPN > IPsec profiles

Procedura:

  1. Aprire il profilo esistente DefaultRemoteAccess.
  2. Clonare il profilo.
  3. Assegnare un nome univoco al nuovo profilo, ad esempio RemoteAccess_OTP_10h.
  4. Impostare Key life o durata della chiave IKE sul valore desiderato.
  5. Salvare.
  6. Selezionare il nuovo profilo nelle impostazioni di accesso remoto IPsec.
  7. Esportare o distribuire nuovamente la configurazione di Sophos Connect.
  8. Testare con utenti pilota.
Profili IPsec di Sophos Firewall DefaultRemoteAccess
Il profilo DefaultRemoteAccess esistente dovrebbe essere verificato e clonato come modello.
Profili IPsec di Sophos Firewall DefaultRemoteAccess Key Life
La durata della chiave IKE viene adattata nel profilo IPsec e successivamente assegnata specificamente al profilo di accesso remoto.

Dopo la modifica, non basta salvare solo il firewall. I profili Sophos Connect interessati devono essere ridistribuiti o reimportati. Per il funzionamento del client e le versioni, consultare Verificare e aggiornare in sicurezza la versione del client Sophos Connect. Per le installazioni su Windows, consultare Installare il client Sophos Connect su Windows, per macOS Installare il client Sophos Connect su macOS.

Calcolare il valore per intervalli OTP più lunghi

Se gli utenti devono inserire nuovamente OTP circa ogni n ore, spesso si utilizza la seguente formula empirica:

ikekeylife = (n + 1) * 3600

Esempio per circa dieci ore:

ikekeylife = (10 + 1) * 3600
ikekeylife = 39600

Il valore non dovrebbe essere semplicemente impostato al massimo. In ambienti produttivi, è importante chiarire prima:

  • Qual è la durata massima della sessione accettabile dal punto di vista della sicurezza?
  • Il valore si adatta agli orari di lavoro, ai turni e al processo di helpdesk?
  • Viene utilizzata OTP, RADIUS-MFA, Entra ID SSO o un’altra autenticazione?
  • Ci sono requisiti di conformità per la ri-autenticazione?
  • La riconnessione funziona in modo affidabile con l’attuale client Sophos Connect?

Per le basi MFA sul firewall, consultare Abilitare MFA per Sophos Firewall WebAdmin, VPN Portal e Remote Access. Se è in uso Microsoft Entra ID SSO, considerare anche Configurare Microsoft Entra ID SSO per Sophos Connect e VPN Portal.

Perché non è consigliato modificare direttamente il database

Alcuni vecchi runbook contengono modifiche dirette nella Advanced Shell o comandi SQL contro il database del firewall. Per il normale funzionamento, ciò non è consigliabile.

Motivi:

  • L’intervento bypassa la normale validazione di WebAdmin.
  • Valori errati possono disturbare i profili VPN o l’accesso remoto.
  • Le modifiche sono meno tracciabili.
  • In caso di supporto, una modifica pulita tramite GUI è più facile da spiegare.
  • Dopo gli aggiornamenti, il comportamento interno può cambiare.

Pertanto, il valore dovrebbe essere impostato tramite un profilo IPsec personalizzato in WebAdmin. Le modifiche dirette al database dovrebbero essere fatte solo in un contesto di supporto Sophos chiaro e non in una normale guida per amministratori.

Testare la modifica

Dopo l’adattamento, dovrebbe essere effettuato un piccolo test con utenti pilota.

Punti di controllo:

  1. Il nuovo profilo è selezionato in Remote Access IPsec.
  2. La configurazione di Sophos Connect è stata reimportata.
  3. La connessione si stabilisce con successo.
  4. Le destinazioni interne sono raggiungibili.
  5. DNS, routing e regole firewall funzionano.
  6. La riconnessione dopo il periodo previsto si comporta come pianificato.
  7. I log VPN non mostrano errori inaspettati.

Se la connessione viene stabilita ma non c’è traffico, il problema è probabilmente legato a rotte, regole firewall, NAT o DNS. In tal caso, consultare Testare la regola firewall con Log Viewer, Policy Test e Packet Capture.

Errori tipici

  • Profilo standard modificato direttamente: Altri scenari di accesso remoto possono essere influenzati involontariamente Clonare il profilo e assegnarlo specificamente.
  • Profilo client non ridistribuito: Gli utenti continuano a utilizzare le vecchie impostazioni Esportare e importare nuovamente la configurazione di Sophos Connect.
  • Valore della durata della chiave troppo lungo: Meno ri-autenticazioni, ma sessione più lunga Valutare insieme requisiti di sicurezza e operativi.
  • Solo client reinstallato: Profilo firewall rimane invariato Verificare insieme profilo firewall e configurazione client.
  • Log non verificati: Causa errata presunta Confrontare timestamp, utenti, log SPI/IKE e comportamento MFA.
  • Database modificato direttamente: Rischio di problemi di supporto e configurazione Utilizzare il profilo GUI.

Checklist operativa

  • Registrare utenti e orari interessati.
  • Verificare se viene utilizzato IPsec Remote Access con Sophos Connect.
  • Controllare i log VPN per indizi su IKE, SPI e re-keying.
  • Identificare il profilo IPsec utilizzato.
  • Clonare DefaultRemoteAccess anziché modificarlo direttamente.
  • Stabilire tecnicamente il valore obiettivo per la durata della chiave IKE.
  • Assegnare il nuovo profilo in Remote Access IPsec.
  • Ridistribuire la configurazione client.
  • Testare con utenti pilota e informare l’helpdesk.
  • Dopo alcuni giorni, verificare se si verificano meno casi di riconnessione OTP.

FAQ

Perché Sophos Connect IPsec si disconnette dopo circa 4 ore?

Spesso è legato alla durata della chiave IKE nel profilo IPsec utilizzato. Durante il re-keying o la ri-autenticazione, Sophos Connect può richiedere una nuova immissione OTP a seconda della configurazione.

Si dovrebbe modificare direttamente DefaultRemoteAccess?

È meglio utilizzare un profilo clonato con un nome univoco. In questo modo, è possibile tracciare quali configurazioni di accesso remoto differiscono consapevolmente e altre connessioni non vengono influenzate accidentalmente.

L'accesso remoto IPsec legacy è lo stesso problema?

No. L’accesso remoto IPsec legacy è un altro argomento e può bloccare un aggiornamento a partire da SFOS 22.0 MR1. Se il firewall segnala questa eredità, prima dovrebbe essere migrata la configurazione legacy di accesso remoto IPsec e poi rimossa.

La configurazione di Sophos Connect deve essere ridistribuita?

Sì. Dopo le modifiche al profilo di accesso remoto, le configurazioni di Sophos Connect interessate devono essere esportate, distribuite o importate nuovamente. Altrimenti, gli utenti potrebbero continuare a testare le vecchie impostazioni.

Un timeout più lungo è automaticamente più sicuro o migliore?

No. Un valore più lungo riduce le ri-autenticazioni, ma prolunga anche la durata della sessione. Il valore dovrebbe adattarsi ai requisiti di sicurezza, al concetto MFA, al modo di lavorare e al processo di supporto.

Si dovrebbe modificare il valore tramite Advanced Shell o SQL?

Per il normale funzionamento no. Le modifiche dirette al database aggirano la validazione di WebAdmin e sono meno tracciabili. Il modo migliore è utilizzare un profilo IPsec personalizzato tramite GUI.