{"id":161431,"date":"2024-09-03T10:07:44","date_gmt":"2024-09-03T09:07:44","guid":{"rendered":"https:\/\/www.avanet.com\/?post_type=kb&p=161431"},"modified":"2024-09-03T10:08:40","modified_gmt":"2024-09-03T09:08:40","slug":"sophos-firewall-timeout-dellaccesso-remoto-ipsec-dopo-4-ore","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/it\/kb\/sophos-firewall-timeout-dellaccesso-remoto-ipsec-dopo-4-ore\/","title":{"rendered":"Sophos Firewall – Timeout dell’accesso remoto IPsec dopo 4 ore"},"content":{"rendered":"\n

Questo articolo spiega perch\u00e9 il timeout dell’accesso remoto IPsec si verifica dopo 4 ore e come si pu\u00f2 risolvere il problema.<\/p>\n\n

Per l’accesso remoto IPsec, il firewall Sophos ha impostato per impostazione predefinita un timeout di 4 ore.\nIn questo caso, il client Sophos Connect perde la connessione al firewall e l’utente deve ristabilire la connessione. <\/p>\n\n

Se il client Sophos Connect ha configurato gli utenti con una password monouso (OTP), all’utente viene richiesto di inserire una nuova OTP ogni 4 ore per impostazione predefinita.\nQuesto perch\u00e9 il client Sophos Connect utilizza il criterio DefaultRemoteAccess, che pu\u00f2 essere modificato tramite l’interfaccia grafica.\nIl valore predefinito per ikekeylife \u00e8 18000. <\/p>\n\n

Registro di Sophos Firewall<\/h2>\n\n

Questi errori nel registro VPN indicano che la connessione \u00e8 stata interrotta a causa di una chiave IKE scaduta.\nL’SPI (Security Parameter Index) non valido si riferisce a una sessione IKE fase 1 scaduta o non valida. <\/p>\n\n

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050\nVPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050\nVPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050<\/code><\/pre>\n\n
Regola il timeout della VPN IPsec tramite la GUI di Sophos Firewall<\/h2>\n\n
Il certificato DefautlRemoteAccess si trova nei profili VPN e pu\u00f2 essere clonato e il valore modificato di conseguenza.<\/p>\n\n
\n
\"Sophos<\/a>
Sophos Firewall – Profili IPsec DefaultRemoteAccess – Vita della chiave<\/figcaption><\/figure>\n\n\n\n
\"Sophos<\/a>
Sophos Firewall – Profili IPsec DefaultRemoteAccess<\/figcaption><\/figure>\n<\/figure>\n\n
A questo punto non ti resta che selezionare il nuovo certificato nelle impostazioni IPsec dell’accesso remoto e distribuire la nuova configurazione agli utenti.<\/p>\n\n
Regola il timeout della VPN IPsec tramite la console di Sophos Firewall<\/h2>\n\n
Con un valore di durata di IKE_SA pari a 18000, la ricodifica di IKE_SA avviene ogni 4 ore circa e la ri-autenticazione avviene insieme alla ricodifica di IKE_SA in modo che agli utenti venga richiesto di inserire un nuovo OTP.<\/p>\n\n
Se l’esigenza del cliente \u00e8 che all’utente venga richiesto di inserire un nuovo OTP ogni “n” ore, usa la seguente equazione per determinare il valore ikekeylife appropriato quando n=10 (cio\u00e8 10 ore)<\/p>\n\n
ikekeylife = (n +1) * 3600\nikekeylife = (10 +1) * 3600 = 39600\nikekeylife = 39600<\/strong><\/code><\/pre>\n\n
\n
Nota: il valore massimo di “n” non deve essere superiore a 23.<\/p>\n<\/blockquote>\n\n
Collegati al Sophos Firewall via SSH, ad esempio tramite Putty, e digita 5 e poi 3 per accedere alla Advanced Shell.<\/p>\n\n
psql -U nobody -d corporate -c \"update tblvpnpolicy set ikekeylife=<\/em>39600<\/em><\/strong>\u00a0where policyid=5;\"<\/em><\/code><\/pre>\n\n
In seguito, dovrai solo riavviare il servizio VPN IPsec sul firewall e ridistribuire il file di configurazione ai client.<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[409],"class_list":["post-161431","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb\/161431","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media?parent=161431"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb_kategorie?post=161431"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}