Zum Inhalt springen
Avanet

Sophos Firewall IPsec Remote Access Timeout nach 4 Stunden beheben

Wenn Sophos Connect mit IPsec Remote Access nach ungefähr vier Stunden trennt oder Benutzer erneut ein OTP eingeben müssen, liegt die Ursache häufig nicht am Client selbst. In vielen Umgebungen hängt das Verhalten mit der IKE-Lebensdauer im verwendeten IPsec-Profil zusammen. Beim Re-Keying oder bei erneuter Authentifizierung kann der Client eine neue Anmeldung auslösen.

Der Artikel erklärt, wie man das Verhalten einordnet, welche Logs dazu passen und wie man den Wert sauber über ein eigenes IPsec-Profil anpasst. Für die Grundkonfiguration von Sophos Connect passt zuerst Sophos Connect auf Sophos Firewall konfigurieren. Für die Entscheidung zwischen IPsec, SSL VPN, mobilen Clients und ZTNA ist Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt? der bessere Einstieg.

⚠️ Wichtig: Nicht jede Trennung nach einigen Stunden ist automatisch ein Key-Life-Problem. Zuerst sollte geprüft werden, ob wirklich aktuelles IPsec Remote Access, das Profil DefaultRemoteAccess oder ein davon abgeleitetes Profil, OTP/MFA und passende VPN-Logs beteiligt sind.

Typisches Fehlerbild

Das Thema fällt meistens in Helpdesk- oder Betriebsfällen auf:

  • Sophos Connect trennt regelmässig nach ungefähr vier Stunden.
  • Benutzer müssen nach der Trennung erneut OTP oder MFA bestätigen.
  • Die Verbindung ist vorher stabil und funktioniert nach erneuter Anmeldung wieder.
  • Andere VPN-Profile oder SSL-VPN-Verbindungen zeigen das Verhalten nicht.
  • Im VPN-Log erscheinen Einträge rund um IKE, SPI oder Re-Keying.

Wenn die Verbindung dagegen zufällig abbricht, nur in bestimmten Netzen nicht funktioniert oder direkt nach dem Aufbau keinen Traffic transportiert, ist eher allgemeines IPsec VPN Troubleshooting nötig.

Zuerst Legacy Remote Access IPsec ausschliessen

Vor allem bei älteren Umgebungen sollte man zuerst klären, welche IPsec-Remote-Access-Variante überhaupt im Einsatz ist. Dieser Artikel behandelt die aktuelle Remote-Access-IPsec-Konfiguration mit Sophos Connect und IPsec-Profilen. Er ist nicht der richtige Einstieg, wenn noch Legacy Remote Access IPsec vorhanden ist oder ein Upgrade auf SFOS 22.0 MR1 blockiert wird.

Praktische Einordnung:

Diese Abgrenzung ist wichtig, weil ein Key-Life-Tuning kein Migrationskonzept ersetzt. Wenn eine alte Legacy-Konfiguration noch auf der Firewall liegt, sollte sie vor einem grösseren Firmware-Upgrade sauber dokumentiert, ersetzt und entfernt werden.

Warum der Timeout entsteht

Sophos Connect verwendet für IPsec Remote Access ein IPsec-Profil. In vielen Umgebungen basiert dieses auf DefaultRemoteAccess. Dort ist die Lebensdauer der IKE Security Association definiert. Wenn diese Lebensdauer erreicht wird, muss die Verbindung neu ausgehandelt werden. Je nach Authentifizierungsmethode und Clientverhalten kann dabei eine erneute OTP-Eingabe nötig werden.

Der häufig genannte technische Wert ist ikekeylife. Ein Wert von 18000 Sekunden entspricht fünf Stunden. In der Praxis kann die neue Aushandlung früher sichtbar werden, weshalb Benutzer häufig von ungefähr vier Stunden sprechen.

Wichtig ist die fachliche Entscheidung: Ein längerer Wert reduziert Re-Authentifizierungen, verlängert aber auch die Lebensdauer der IKE-SA. Das ist ein Betriebs- und Sicherheitsentscheid, kein reiner Komfortschalter.

Logs prüfen

Im Log Viewer oder in den VPN-Logs können Meldungen zu ungültigen SPI-Werten auftauchen. Solche Einträge können darauf hinweisen, dass eine alte oder abgelaufene IKE-Phase-1-Sitzung angesprochen wird.

Beispiel:

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Solche Einträge allein beweisen noch nicht die komplette Ursache. Man sollte Zeitstempel, betroffene Benutzer, Sophos-Connect-Status, Authentifizierungsmethode und Profiländerungen gemeinsam betrachten. Bei wiederkehrenden VPN-Problemen helfen zusätzlich Sophos Firewall Logs für Support und Analyse sichern und Sophos Firewall Troubleshooting: Services und Logs.

IPsec-Profil über die GUI anpassen

Die sauberere Methode ist, nicht direkt am Standardprofil zu arbeiten, sondern das Profil zu klonen und den neuen Wert bewusst für Remote Access zu verwenden.

Der Menüpfad lautet:

Configure > VPN > IPsec profiles

Vorgehen:

  1. Bestehendes Profil DefaultRemoteAccess öffnen.
  2. Profil klonen.
  3. Neues Profil eindeutig benennen, zum Beispiel RemoteAccess_OTP_10h.
  4. Key life beziehungsweise IKE-Lebensdauer auf den gewünschten Wert setzen.
  5. Speichern.
  6. In den IPsec Remote Access Einstellungen das neue Profil auswählen.
  7. Sophos-Connect-Konfiguration neu exportieren oder verteilen.
  8. Mit Pilotbenutzer testen.
Sophos Firewall IPsec Profiles DefaultRemoteAccess
Das bestehende DefaultRemoteAccess-Profil sollte als Vorlage geprüft und geklont werden.
Sophos Firewall IPsec Profiles DefaultRemoteAccess Key Life
Die IKE-Lebensdauer wird im IPsec-Profil angepasst und danach gezielt dem Remote-Access-Profil zugewiesen.

Nach der Änderung reicht es nicht, nur die Firewall zu speichern. Die betroffenen Sophos-Connect-Profile müssen neu verteilt oder neu importiert werden. Für Clientbetrieb und Versionen passt Sophos Connect Client Version prüfen und sicher aktualisieren. Für Windows-Installationen passt Sophos Connect Client auf Windows installieren, für macOS Sophos Connect Client auf macOS installieren.

Wert für längere OTP-Intervalle berechnen

Wenn Benutzer ungefähr alle n Stunden erneut OTP eingeben sollen, wird oft mit folgender Faustformel gearbeitet:

ikekeylife = (n + 1) * 3600

Beispiel für etwa zehn Stunden:

ikekeylife = (10 + 1) * 3600
ikekeylife = 39600

Der Wert sollte nicht einfach maximal gesetzt werden. In produktiven Umgebungen sollte man zuerst klären:

  • Welche maximale Sitzungsdauer ist aus Security-Sicht akzeptiert?
  • Passt der Wert zu Arbeitszeiten, Schichtbetrieb und Helpdesk-Prozess?
  • Wird OTP, RADIUS-MFA, Entra ID SSO oder eine andere Authentifizierung verwendet?
  • Gibt es Compliance-Vorgaben für erneute Authentifizierung?
  • Funktioniert Reconnect mit dem aktuellen Sophos-Connect-Client zuverlässig?

Für MFA-Grundlagen auf der Firewall passt MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren. Wenn Microsoft Entra ID SSO im Einsatz ist, sollte zusätzlich Microsoft Entra ID SSO für Sophos Connect und VPN Portal einrichten berücksichtigt werden.

Warum keine direkte Datenbankänderung empfohlen wird

Ältere Runbooks enthalten teilweise direkte Änderungen in der Advanced Shell oder SQL-Befehle gegen die Firewall-Datenbank. Für den normalen Betrieb ist das nicht empfehlenswert.

Gründe:

  • Der Eingriff umgeht die normale WebAdmin-Validierung.
  • Fehlerhafte Werte können VPN-Profile oder Remote Access stören.
  • Änderungen sind schlechter nachvollziehbar.
  • Bei Supportfällen ist ein sauberer GUI-Change leichter zu erklären.
  • Nach Updates kann sich internes Verhalten ändern.

Deshalb sollte man den Wert über ein eigenes IPsec-Profil im WebAdmin setzen. Direkte Datenbankänderungen gehören höchstens in einen klaren Sophos-Support-Kontext und nicht in eine normale Admin-Anleitung.

Änderung testen

Nach der Anpassung sollte ein kleiner Test mit Pilotbenutzern erfolgen.

Prüfpunkte:

  1. Neues Profil ist in Remote Access IPsec ausgewählt.
  2. Sophos-Connect-Konfiguration wurde neu importiert.
  3. Verbindung baut erfolgreich auf.
  4. Interne Ziele sind erreichbar.
  5. DNS, Routing und Firewall-Regeln funktionieren.
  6. Reconnect nach dem erwarteten Zeitraum verhält sich wie geplant.
  7. VPN-Logs zeigen keine unerwarteten Fehler.

Wenn die Verbindung zwar aufgebaut wird, aber kein Traffic fliesst, liegt das Problem eher bei Routen, Firewall-Regeln, NAT oder DNS. Dann hilft Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.

Typische Fehler

Typische Stolperfallen:

  • Standardprofil direkt geändert: Andere Remote-Access-Szenarien können unbeabsichtigt betroffen sein. Besser ist ein geklontes Profil, das gezielt zugewiesen wird.
  • Clientprofil nicht neu verteilt: Benutzer verwenden weiterhin alte Einstellungen. Die Sophos-Connect-Konfiguration muss neu exportiert und importiert werden.
  • Zu langer Key-Life-Wert: Weniger Re-Authentifizierung bedeutet auch eine längere Sitzung. Security- und Betriebsanforderungen sollten gemeinsam bewertet werden.
  • Nur Client neu installiert: Das Firewall-Profil bleibt unverändert. Firewall-Profil und Clientkonfiguration müssen zusammen geprüft werden.
  • Logs nicht geprüft: Dann wird schnell die falsche Ursache angenommen. Zeitstempel, Benutzer, SPI-/IKE-Logs und MFA-Verhalten sollten verglichen werden.
  • Datenbank direkt geändert: Das erhöht das Risiko für Support- und Konfigurationsprobleme. Für den normalen Betrieb sollte das GUI-Profil verwendet werden.

Betriebscheckliste

  • Betroffene Benutzer und Zeitpunkte erfassen.
  • Prüfen, ob IPsec Remote Access mit Sophos Connect verwendet wird.
  • VPN-Logs auf IKE-, SPI- und Re-Keying-Hinweise prüfen.
  • Verwendetes IPsec-Profil identifizieren.
  • DefaultRemoteAccess klonen statt direkt ändern.
  • Zielwert für IKE Key Life fachlich festlegen.
  • Neues Profil in Remote Access IPsec zuweisen.
  • Clientkonfiguration neu verteilen.
  • Pilotbenutzer testen und Helpdesk informieren.
  • Nach einigen Tagen prüfen, ob weniger OTP-Reconnect-Fälle auftreten.

FAQ

Warum trennt Sophos Connect IPsec nach ungefähr 4 Stunden?

Häufig hängt das mit der IKE-Lebensdauer im verwendeten IPsec-Profil zusammen. Beim Re-Keying oder bei erneuter Authentifizierung kann Sophos Connect je nach Setup eine neue OTP-Eingabe verlangen.

Sollte man DefaultRemoteAccess direkt ändern?

Besser ist ein geklontes Profil mit eindeutigem Namen. Dadurch bleibt nachvollziehbar, welche Remote-Access-Konfiguration bewusst abweicht, und andere Verbindungen werden nicht versehentlich beeinflusst.

Ist Legacy Remote Access IPsec dasselbe Problem?

Nein. Legacy Remote Access IPsec ist ein anderes Thema und kann ab SFOS 22.0 MR1 ein Upgrade blockieren. Wenn die Firewall auf diese Altlast hinweist, sollte zuerst die Legacy-Remote-Access-IPsec-Konfiguration migriert und danach entfernt werden.

Muss die Sophos-Connect-Konfiguration neu verteilt werden?

Ja. Nach Änderungen am Remote-Access-Profil sollten die betroffenen Sophos-Connect-Konfigurationen neu exportiert, verteilt oder importiert werden. Sonst testen Benutzer möglicherweise weiterhin alte Einstellungen.

Ist ein längerer Timeout automatisch sicherer oder besser?

Nein. Ein längerer Wert reduziert Re-Authentifizierungen, verlängert aber auch die Lebensdauer der Sitzung. Der Wert sollte zu Sicherheitsanforderungen, MFA-Konzept, Arbeitsweise und Supportprozess passen.

Sollte man den Wert per Advanced Shell oder SQL ändern?

Für den normalen Betrieb nein. Direkte Datenbankänderungen umgehen die WebAdmin-Validierung und sind schlechter nachvollziehbar. Der bessere Weg ist ein eigenes IPsec-Profil über die GUI.