Sophos Firewall IPsec Remote Access Timeout nach 4 Stunden beheben
Wenn Sophos Connect mit IPsec Remote Access nach ungefähr vier Stunden trennt oder Benutzer erneut ein OTP eingeben müssen, liegt die Ursache häufig nicht am Client selbst. In vielen Umgebungen hängt das Verhalten mit der IKE-Lebensdauer im verwendeten IPsec-Profil zusammen. Beim Re-Keying oder bei erneuter Authentifizierung kann der Client eine neue Anmeldung auslösen.
Der Artikel erklärt, wie man das Verhalten einordnet, welche Logs dazu passen und wie man den Wert sauber über ein eigenes IPsec-Profil anpasst. Für die Grundkonfiguration von Sophos Connect passt zuerst Sophos Connect auf Sophos Firewall konfigurieren. Für die Entscheidung zwischen IPsec, SSL VPN, mobilen Clients und ZTNA ist Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt? der bessere Einstieg.
⚠️ Wichtig: Nicht jede Trennung nach einigen Stunden ist automatisch ein Key-Life-Problem. Zuerst sollte geprüft werden, ob wirklich aktuelles IPsec Remote Access, das Profil
DefaultRemoteAccessoder ein davon abgeleitetes Profil, OTP/MFA und passende VPN-Logs beteiligt sind.
Typisches Fehlerbild
Das Thema fällt meistens in Helpdesk- oder Betriebsfällen auf:
- Sophos Connect trennt regelmässig nach ungefähr vier Stunden.
- Benutzer müssen nach der Trennung erneut OTP oder MFA bestätigen.
- Die Verbindung ist vorher stabil und funktioniert nach erneuter Anmeldung wieder.
- Andere VPN-Profile oder SSL-VPN-Verbindungen zeigen das Verhalten nicht.
- Im VPN-Log erscheinen Einträge rund um IKE, SPI oder Re-Keying.
Wenn die Verbindung dagegen zufällig abbricht, nur in bestimmten Netzen nicht funktioniert oder direkt nach dem Aufbau keinen Traffic transportiert, ist eher allgemeines IPsec VPN Troubleshooting nötig.
Zuerst Legacy Remote Access IPsec ausschliessen
Vor allem bei älteren Umgebungen sollte man zuerst klären, welche IPsec-Remote-Access-Variante überhaupt im Einsatz ist. Dieser Artikel behandelt die aktuelle Remote-Access-IPsec-Konfiguration mit Sophos Connect und IPsec-Profilen. Er ist nicht der richtige Einstieg, wenn noch Legacy Remote Access IPsec vorhanden ist oder ein Upgrade auf SFOS 22.0 MR1 blockiert wird.
Praktische Einordnung:
- Verbindung trennt nach ähnlicher Laufzeit und baut danach wieder auf: Dieser Artikel ist der richtige nächste Schritt.
- Upgrade auf SFOS 22.0 MR1 oder neuer wird wegen Legacy IPsec blockiert: Zuerst Legacy Remote Access IPsec vor SFOS 22 MR1 migrieren.
- Tunnel ist verbunden, aber interne Ziele sind nicht erreichbar: Besser mit Sophos Firewall IPsec VPN Troubleshooting weitermachen.
- Benutzer sollen von IPsec auf SSL VPN, ZTNA oder ein anderes Modell wechseln: Dafür passt Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt?.
Diese Abgrenzung ist wichtig, weil ein Key-Life-Tuning kein Migrationskonzept ersetzt. Wenn eine alte Legacy-Konfiguration noch auf der Firewall liegt, sollte sie vor einem grösseren Firmware-Upgrade sauber dokumentiert, ersetzt und entfernt werden.
Warum der Timeout entsteht
Sophos Connect verwendet für IPsec Remote Access ein IPsec-Profil. In vielen Umgebungen basiert dieses auf DefaultRemoteAccess. Dort ist die Lebensdauer der IKE Security Association definiert. Wenn diese Lebensdauer erreicht wird, muss die Verbindung neu ausgehandelt werden. Je nach Authentifizierungsmethode und Clientverhalten kann dabei eine erneute OTP-Eingabe nötig werden.
Der häufig genannte technische Wert ist ikekeylife. Ein Wert von 18000 Sekunden entspricht fünf Stunden. In der Praxis kann die neue Aushandlung früher sichtbar werden, weshalb Benutzer häufig von ungefähr vier Stunden sprechen.
Wichtig ist die fachliche Entscheidung: Ein längerer Wert reduziert Re-Authentifizierungen, verlängert aber auch die Lebensdauer der IKE-SA. Das ist ein Betriebs- und Sicherheitsentscheid, kein reiner Komfortschalter.
Logs prüfen
Im Log Viewer oder in den VPN-Logs können Meldungen zu ungültigen SPI-Werten auftauchen. Solche Einträge können darauf hinweisen, dass eine alte oder abgelaufene IKE-Phase-1-Sitzung angesprochen wird.
Beispiel:
VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050
Solche Einträge allein beweisen noch nicht die komplette Ursache. Man sollte Zeitstempel, betroffene Benutzer, Sophos-Connect-Status, Authentifizierungsmethode und Profiländerungen gemeinsam betrachten. Bei wiederkehrenden VPN-Problemen helfen zusätzlich Sophos Firewall Logs für Support und Analyse sichern und Sophos Firewall Troubleshooting: Services und Logs.
IPsec-Profil über die GUI anpassen
Die sauberere Methode ist, nicht direkt am Standardprofil zu arbeiten, sondern das Profil zu klonen und den neuen Wert bewusst für Remote Access zu verwenden.
Der Menüpfad lautet:
Configure > VPN > IPsec profiles
Vorgehen:
- Bestehendes Profil
DefaultRemoteAccessöffnen. - Profil klonen.
- Neues Profil eindeutig benennen, zum Beispiel
RemoteAccess_OTP_10h. Key lifebeziehungsweise IKE-Lebensdauer auf den gewünschten Wert setzen.- Speichern.
- In den IPsec Remote Access Einstellungen das neue Profil auswählen.
- Sophos-Connect-Konfiguration neu exportieren oder verteilen.
- Mit Pilotbenutzer testen.


Nach der Änderung reicht es nicht, nur die Firewall zu speichern. Die betroffenen Sophos-Connect-Profile müssen neu verteilt oder neu importiert werden. Für Clientbetrieb und Versionen passt Sophos Connect Client Version prüfen und sicher aktualisieren. Für Windows-Installationen passt Sophos Connect Client auf Windows installieren, für macOS Sophos Connect Client auf macOS installieren.
Wert für längere OTP-Intervalle berechnen
Wenn Benutzer ungefähr alle n Stunden erneut OTP eingeben sollen, wird oft mit folgender Faustformel gearbeitet:
ikekeylife = (n + 1) * 3600
Beispiel für etwa zehn Stunden:
ikekeylife = (10 + 1) * 3600
ikekeylife = 39600
Der Wert sollte nicht einfach maximal gesetzt werden. In produktiven Umgebungen sollte man zuerst klären:
- Welche maximale Sitzungsdauer ist aus Security-Sicht akzeptiert?
- Passt der Wert zu Arbeitszeiten, Schichtbetrieb und Helpdesk-Prozess?
- Wird OTP, RADIUS-MFA, Entra ID SSO oder eine andere Authentifizierung verwendet?
- Gibt es Compliance-Vorgaben für erneute Authentifizierung?
- Funktioniert Reconnect mit dem aktuellen Sophos-Connect-Client zuverlässig?
Für MFA-Grundlagen auf der Firewall passt MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren. Wenn Microsoft Entra ID SSO im Einsatz ist, sollte zusätzlich Microsoft Entra ID SSO für Sophos Connect und VPN Portal einrichten berücksichtigt werden.
Warum keine direkte Datenbankänderung empfohlen wird
Ältere Runbooks enthalten teilweise direkte Änderungen in der Advanced Shell oder SQL-Befehle gegen die Firewall-Datenbank. Für den normalen Betrieb ist das nicht empfehlenswert.
Gründe:
- Der Eingriff umgeht die normale WebAdmin-Validierung.
- Fehlerhafte Werte können VPN-Profile oder Remote Access stören.
- Änderungen sind schlechter nachvollziehbar.
- Bei Supportfällen ist ein sauberer GUI-Change leichter zu erklären.
- Nach Updates kann sich internes Verhalten ändern.
Deshalb sollte man den Wert über ein eigenes IPsec-Profil im WebAdmin setzen. Direkte Datenbankänderungen gehören höchstens in einen klaren Sophos-Support-Kontext und nicht in eine normale Admin-Anleitung.
Änderung testen
Nach der Anpassung sollte ein kleiner Test mit Pilotbenutzern erfolgen.
Prüfpunkte:
- Neues Profil ist in Remote Access IPsec ausgewählt.
- Sophos-Connect-Konfiguration wurde neu importiert.
- Verbindung baut erfolgreich auf.
- Interne Ziele sind erreichbar.
- DNS, Routing und Firewall-Regeln funktionieren.
- Reconnect nach dem erwarteten Zeitraum verhält sich wie geplant.
- VPN-Logs zeigen keine unerwarteten Fehler.
Wenn die Verbindung zwar aufgebaut wird, aber kein Traffic fliesst, liegt das Problem eher bei Routen, Firewall-Regeln, NAT oder DNS. Dann hilft Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.
Typische Fehler
Typische Stolperfallen:
- Standardprofil direkt geändert: Andere Remote-Access-Szenarien können unbeabsichtigt betroffen sein. Besser ist ein geklontes Profil, das gezielt zugewiesen wird.
- Clientprofil nicht neu verteilt: Benutzer verwenden weiterhin alte Einstellungen. Die Sophos-Connect-Konfiguration muss neu exportiert und importiert werden.
- Zu langer Key-Life-Wert: Weniger Re-Authentifizierung bedeutet auch eine längere Sitzung. Security- und Betriebsanforderungen sollten gemeinsam bewertet werden.
- Nur Client neu installiert: Das Firewall-Profil bleibt unverändert. Firewall-Profil und Clientkonfiguration müssen zusammen geprüft werden.
- Logs nicht geprüft: Dann wird schnell die falsche Ursache angenommen. Zeitstempel, Benutzer, SPI-/IKE-Logs und MFA-Verhalten sollten verglichen werden.
- Datenbank direkt geändert: Das erhöht das Risiko für Support- und Konfigurationsprobleme. Für den normalen Betrieb sollte das GUI-Profil verwendet werden.
Betriebscheckliste
- Betroffene Benutzer und Zeitpunkte erfassen.
- Prüfen, ob IPsec Remote Access mit Sophos Connect verwendet wird.
- VPN-Logs auf IKE-, SPI- und Re-Keying-Hinweise prüfen.
- Verwendetes IPsec-Profil identifizieren.
DefaultRemoteAccessklonen statt direkt ändern.- Zielwert für IKE Key Life fachlich festlegen.
- Neues Profil in Remote Access IPsec zuweisen.
- Clientkonfiguration neu verteilen.
- Pilotbenutzer testen und Helpdesk informieren.
- Nach einigen Tagen prüfen, ob weniger OTP-Reconnect-Fälle auftreten.