Naar de inhoud
Avanet

Oplossen van Sophos Firewall IPsec Remote Access Timeout na 4 Uur

Als Sophos Connect met IPsec Remote Access na ongeveer vier uur verbreekt of gebruikers opnieuw een OTP moeten invoeren, ligt de oorzaak vaak niet bij de client zelf. In veel omgevingen hangt dit gedrag samen met de IKE-levensduur in het gebruikte IPsec-profiel. Bij het opnieuw onderhandelen of bij herauthenticatie kan de client een nieuwe aanmelding vereisen.

Dit artikel legt uit hoe je het gedrag kunt begrijpen, welke logs erbij horen en hoe je de waarde netjes kunt aanpassen via een eigen IPsec-profiel. Voor de basisconfiguratie van Sophos Connect is Sophos Connect op Sophos Firewall configureren de eerste stap. Voor de keuze tussen IPsec, SSL VPN, mobiele clients en ZTNA is Sophos Connect of SSL VPN: Welke Remote-Access-oplossing past? een betere start.

⚠️ Belangrijk: Niet elke verbreking na enkele uren is automatisch een Key-Life-probleem. Controleer eerst of daadwerkelijk de huidige IPsec Remote Access, het profiel DefaultRemoteAccess of een daarvan afgeleid profiel, OTP/MFA en bijbehorende VPN-logs betrokken zijn.

Typisch Foutbeeld

Het probleem valt meestal op in helpdesk- of operationele gevallen:

  • Sophos Connect verbreekt regelmatig na ongeveer vier uur.
  • Gebruikers moeten na de verbreking opnieuw OTP of MFA bevestigen.
  • De verbinding is daarvoor stabiel en werkt na opnieuw aanmelden weer.
  • Andere VPN-profielen of SSL-VPN-verbindingen vertonen dit gedrag niet.
  • In het VPN-log verschijnen vermeldingen rond IKE, SPI of opnieuw onderhandelen.

Als de verbinding daarentegen willekeurig verbreekt, alleen in bepaalde netwerken niet werkt of direct na het opzetten geen verkeer transporteert, is eerder algemeen IPsec VPN Troubleshooting nodig.

Eerst Legacy Remote Access IPsec uitsluiten

Vooral in oudere omgevingen moet eerst worden vastgesteld welke IPsec-Remote-Access-variant überhaupt in gebruik is. Dit artikel behandelt de huidige Remote-Access-IPsec-configuratie met Sophos Connect en IPsec-profielen. Het is niet de juiste start als er nog Legacy Remote Access IPsec aanwezig is of een upgrade naar SFOS 22.0 MR1 wordt geblokkeerd.

Praktische indeling:

Deze afbakening is belangrijk omdat een Key-Life-tuning geen migratieconcept vervangt. Als er nog een oude Legacy-configuratie op de firewall staat, moet deze voor een grotere firmware-upgrade goed worden gedocumenteerd, vervangen en verwijderd.

Waarom de Timeout ontstaat

Sophos Connect gebruikt voor IPsec Remote Access een IPsec-profiel. In veel omgevingen is dit gebaseerd op DefaultRemoteAccess. Daarin is de levensduur van de IKE Security Association gedefinieerd. Wanneer deze levensduur wordt bereikt, moet de verbinding opnieuw worden onderhandeld. Afhankelijk van de authenticatiemethode en het clientgedrag kan daarbij een nieuwe OTP-invoer nodig zijn.

De vaak genoemde technische waarde is ikekeylife. Een waarde van 18000 seconden komt overeen met vijf uur. In de praktijk kan de nieuwe onderhandeling eerder zichtbaar worden, waardoor gebruikers vaak spreken van ongeveer vier uur.

Belangrijk is de zakelijke beslissing: Een langere waarde vermindert herauthenticaties, maar verlengt ook de levensduur van de IKE-SA. Dit is een operationele en veiligheidsbeslissing, geen pure comfortschakelaar.

Logs controleren

In de Log Viewer of in de VPN-logs kunnen meldingen over ongeldige SPI-waarden verschijnen. Dergelijke vermeldingen kunnen erop wijzen dat een oude of verlopen IKE-fase-1-sessie wordt aangesproken.

Voorbeeld:

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Dergelijke vermeldingen alleen bewijzen nog niet de volledige oorzaak. Men moet tijdstempels, betrokken gebruikers, Sophos-Connect-status, authenticatiemethode en profielwijzigingen gezamenlijk bekijken. Bij terugkerende VPN-problemen helpen daarnaast Sophos Firewall Logs voor Support en Analyse opslaan en Sophos Firewall Troubleshooting: Services en Logs.

IPsec-profiel via de GUI aanpassen

De nettere methode is om niet direct aan het standaardprofiel te werken, maar het profiel te klonen en de nieuwe waarde bewust voor Remote Access te gebruiken.

Het menupad is:

Configure > VPN > IPsec profiles

Stappen:

  1. Bestaand profiel DefaultRemoteAccess openen.
  2. Profiel klonen.
  3. Nieuw profiel een duidelijke naam geven, bijvoorbeeld RemoteAccess_OTP_10h.
  4. Key life of IKE-levensduur op de gewenste waarde instellen.
  5. Opslaan.
  6. In de IPsec Remote Access-instellingen het nieuwe profiel selecteren.
  7. Sophos-Connect-configuratie opnieuw exporteren of distribueren.
  8. Testen met pilotgebruikers.
Sophos Firewall IPsec Profielen DefaultRemoteAccess
Het bestaande DefaultRemoteAccess-profiel moet als sjabloon worden gecontroleerd en gekloond.
Sophos Firewall IPsec Profielen DefaultRemoteAccess Key Life
De IKE-levensduur wordt in het IPsec-profiel aangepast en daarna specifiek aan het Remote-Access-profiel toegewezen.

Na de wijziging is het niet voldoende om alleen de firewall op te slaan. De betrokken Sophos-Connect-profielen moeten opnieuw worden gedistribueerd of geïmporteerd. Voor clientbeheer en versies past Sophos Connect Client Versie controleren en veilig bijwerken. Voor Windows-installaties past Sophos Connect Client op Windows installeren, voor macOS Sophos Connect Client op macOS installeren.

Waarde voor langere OTP-intervallen berekenen

Als gebruikers ongeveer elke n uur opnieuw OTP moeten invoeren, wordt vaak met de volgende vuistregel gewerkt:

ikekeylife = (n + 1) * 3600

Voorbeeld voor ongeveer tien uur:

ikekeylife = (10 + 1) * 3600
ikekeylife = 39600

De waarde moet niet zomaar maximaal worden ingesteld. In productieve omgevingen moet eerst worden vastgesteld:

  • Welke maximale sessieduur is vanuit beveiligingsoogpunt acceptabel?
  • Past de waarde bij werktijden, ploegendienst en helpdeskproces?
  • Wordt OTP, RADIUS-MFA, Entra ID SSO of een andere authenticatie gebruikt?
  • Zijn er compliance-eisen voor herauthenticatie?
  • Werkt herverbinden met de huidige Sophos-Connect-client betrouwbaar?

Voor MFA-grondslagen op de firewall past MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren. Als Microsoft Entra ID SSO in gebruik is, moet ook Microsoft Entra ID SSO voor Sophos Connect en VPN Portal instellen worden overwogen.

Waarom geen directe databasewijziging wordt aanbevolen

Oudere runbooks bevatten soms directe wijzigingen in de Advanced Shell of SQL-commando’s tegen de firewall-database. Voor normaal gebruik is dit niet aan te raden.

Redenen:

  • De ingreep omzeilt de normale WebAdmin-validatie.
  • Foutieve waarden kunnen VPN-profielen of Remote Access verstoren.
  • Wijzigingen zijn minder goed te traceren.
  • Bij supportgevallen is een schone GUI-wijziging makkelijker uit te leggen.
  • Na updates kan intern gedrag veranderen.

Daarom moet de waarde via een eigen IPsec-profiel in WebAdmin worden ingesteld. Directe databasewijzigingen horen hoogstens in een duidelijke Sophos-supportcontext en niet in een normale adminhandleiding.

Wijziging testen

Na de aanpassing moet een kleine test met pilotgebruikers worden uitgevoerd.

Controlepunten:

  1. Nieuw profiel is geselecteerd in Remote Access IPsec.
  2. Sophos-Connect-configuratie is opnieuw geïmporteerd.
  3. Verbinding wordt succesvol opgebouwd.
  4. Interne doelen zijn bereikbaar.
  5. DNS, routing en firewallregels werken.
  6. Herverbinden na de verwachte periode gedraagt zich zoals gepland.
  7. VPN-logs tonen geen onverwachte fouten.

Als de verbinding wel wordt opgebouwd, maar er geen verkeer stroomt, ligt het probleem eerder bij routes, firewallregels, NAT of DNS. Dan helpt Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.

Typische Fouten

  • Standaardprofiel direct gewijzigd: Andere Remote-Access-scenario’s kunnen onbedoeld worden beïnvloed Profiel klonen en gericht toewijzen.
  • Clientprofiel niet opnieuw verdeeld: Gebruikers blijven oude instellingen gebruiken Sophos-Connect-configuratie opnieuw exporteren en importeren.
  • Te lange Key-Life-waarde: Minder herauthenticatie, maar langere sessie Beveiligings- en operationele eisen gezamenlijk beoordelen.
  • Alleen client opnieuw geïnstalleerd: Firewall-profiel blijft ongewijzigd Firewall-profiel en clientconfiguratie samen controleren.
  • Logs niet gecontroleerd: Verkeerde oorzaak wordt aangenomen Tijdstempels, gebruikers, SPI-/IKE-logs en MFA-gedrag vergelijken.
  • Database direct gewijzigd: Risico voor support- en configuratieproblemen GUI-profiel gebruiken.

Operationele Checklist

  • Betrokken gebruikers en tijdstippen vastleggen.
  • Controleren of IPsec Remote Access met Sophos Connect wordt gebruikt.
  • VPN-logs op IKE-, SPI- en opnieuw onderhandelen-hints controleren.
  • Gebruikt IPsec-profiel identificeren.
  • DefaultRemoteAccess klonen in plaats van direct wijzigen.
  • Doelwaarde voor IKE Key Life zakelijk vaststellen.
  • Nieuw profiel in Remote Access IPsec toewijzen.
  • Clientconfiguratie opnieuw distribueren.
  • Pilotgebruikers testen en helpdesk informeren.
  • Na enkele dagen controleren of minder OTP-herverbindingen optreden.

FAQ

Waarom verbreekt Sophos Connect IPsec na ongeveer 4 uur?

Dit hangt vaak samen met de IKE-levensduur in het gebruikte IPsec-profiel. Bij opnieuw onderhandelen of herauthenticatie kan Sophos Connect afhankelijk van de setup een nieuwe OTP-invoer vereisen.

Moet men DefaultRemoteAccess direct wijzigen?

Beter is een gekloond profiel met een duidelijke naam. Hierdoor blijft het duidelijk welke Remote-Access-configuratie bewust afwijkt, en andere verbindingen worden niet per ongeluk beïnvloed.

Is Legacy Remote Access IPsec hetzelfde probleem?

Nee. Legacy Remote Access IPsec is een ander onderwerp en kan vanaf SFOS 22.0 MR1 een upgrade blokkeren. Als de firewall op deze oude configuratie wijst, moet eerst de Legacy-Remote-Access-IPsec-configuratie worden gemigreerd en daarna worden verwijderd.

Moet de Sophos-Connect-configuratie opnieuw worden verdeeld?

Ja. Na wijzigingen aan het Remote-Access-profiel moeten de betrokken Sophos-Connect-configuraties opnieuw worden geëxporteerd, verdeeld of geïmporteerd. Anders testen gebruikers mogelijk nog steeds oude instellingen.

Is een langere timeout automatisch veiliger of beter?

Nee. Een langere waarde vermindert herauthenticaties, maar verlengt ook de levensduur van de sessie. De waarde moet passen bij beveiligingseisen, MFA-concept, werkwijze en supportproces.

Moet men de waarde via Advanced Shell of SQL wijzigen?

Voor normaal gebruik niet. Directe databasewijzigingen omzeilen de WebAdmin-validatie en zijn minder goed te traceren. De betere manier is een eigen IPsec-profiel via de GUI.