Naar de inhoud
Avanet

Sophos Firewall - IPsec Remote Access Timeout na 4 uur

Sophos Firewall

In dit artikel leggen we uit waarom een IPsec Remote Access Timeout na 4 uur optreedt en hoe dit probleem kan worden opgelost.

Voor IPsec Remote Access is op Sophos Firewall standaard een timeout van 4 uur ingesteld. In dat geval verliest de Sophos Connect Client de verbinding met de firewall en moet de gebruiker opnieuw verbinden.

Als de Sophos Connect Client-gebruiker met een eenmalig wachtwoord (OTP) is geconfigureerd, wordt de gebruiker standaard elke 4 uur gevraagd een nieuwe OTP in te voeren. Dit komt doordat Sophos Connect Client de policy DefaultRemoteAccess gebruikt, die via de grafische gebruikersinterface kan worden gewijzigd. De standaardwaarde voor ikekeylife is 18000

Sophos Firewall Log

Deze fouten in de VPN-log laten zien dat de verbinding vanwege een verlopen IKE-sleutel is onderbroken. De ongeldige SPI (Security Parameter Index) verwijst naar een verlopen of ongeldige IKE Phase 1-sessie.

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

IPsec VPN Timeout via Sophos Firewall GUI aanpassen

In de VPN-profielen vind je het DefaultRemoteAccess-certificaat. Je kunt dit klonen en de waarde overeenkomstig aanpassen.

Sophos Firewall - IPsec Profiles DefaultRemoteAccess
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - Key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - Key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess

Daarna hoef je in de Remote Access IPsec-instellingen alleen nog het nieuwe certificaat te selecteren en de nieuwe config aan de users te distribueren.

IPsec VPN Timeout via Sophos Firewall Console aanpassen

Bij een IKE_SA-lifetimewaarde van 18000 vindt her-versleuteling van IKE_SA ongeveer elke 4 uur plaats en de herauthenticatie gebeurt eveneens samen met de her-versleuteling van IKE_SA, waardoor gebruikers worden gevraagd een nieuwe OTP in te voeren.

Als de klantwens is dat de gebruiker elke “n” uur om een nieuwe OTP moet worden gevraagd, gebruik dan de volgende vergelijking om de juiste ikekeylife-waarde te bepalen, als n=10 (dus 10 uur)

ikekeylife = (n +1) * 3600
ikekeylife = (10 +1) * 3600 = 39600
ikekeylife = 39600

Opmerking: De maximale waarde voor “n” mag niet groter zijn dan 23.

Via SSH met Sophos Firewall verbinden, bijvoorbeeld met Putty. Door 5 en daarna 3 in te voeren kom je in de Advanced Shell.

psql -U nobody -d corporate -c "update tblvpnpolicy set ikekeylife=39600 where policyid=5;"

Daarna hoef je alleen nog de IPsec VPN Service op de firewall opnieuw te starten en het configbestand opnieuw aan de clients te distribueren.