Oplossen van Sophos Firewall IPsec Remote Access Timeout na 4 Uur
Als Sophos Connect met IPsec Remote Access na ongeveer vier uur verbreekt of gebruikers opnieuw een OTP moeten invoeren, ligt de oorzaak vaak niet bij de client zelf. In veel omgevingen hangt dit gedrag samen met de IKE-levensduur in het gebruikte IPsec-profiel. Bij het opnieuw onderhandelen of bij herauthenticatie kan de client een nieuwe aanmelding vereisen.
Dit artikel legt uit hoe je het gedrag kunt begrijpen, welke logs erbij horen en hoe je de waarde netjes kunt aanpassen via een eigen IPsec-profiel. Voor de basisconfiguratie van Sophos Connect is Sophos Connect op Sophos Firewall configureren de eerste stap. Voor de keuze tussen IPsec, SSL VPN, mobiele clients en ZTNA is Sophos Connect of SSL VPN: Welke Remote-Access-oplossing past? een betere start.
⚠️ Belangrijk: Niet elke verbreking na enkele uren is automatisch een Key-Life-probleem. Controleer eerst of daadwerkelijk de huidige IPsec Remote Access, het profiel
DefaultRemoteAccessof een daarvan afgeleid profiel, OTP/MFA en bijbehorende VPN-logs betrokken zijn.
Typisch Foutbeeld
Het probleem valt meestal op in helpdesk- of operationele gevallen:
- Sophos Connect verbreekt regelmatig na ongeveer vier uur.
- Gebruikers moeten na de verbreking opnieuw OTP of MFA bevestigen.
- De verbinding is daarvoor stabiel en werkt na opnieuw aanmelden weer.
- Andere VPN-profielen of SSL-VPN-verbindingen vertonen dit gedrag niet.
- In het VPN-log verschijnen vermeldingen rond IKE, SPI of opnieuw onderhandelen.
Als de verbinding daarentegen willekeurig verbreekt, alleen in bepaalde netwerken niet werkt of direct na het opzetten geen verkeer transporteert, is eerder algemeen IPsec VPN Troubleshooting nodig.
Eerst Legacy Remote Access IPsec uitsluiten
Vooral in oudere omgevingen moet eerst worden vastgesteld welke IPsec-Remote-Access-variant überhaupt in gebruik is. Dit artikel behandelt de huidige Remote-Access-IPsec-configuratie met Sophos Connect en IPsec-profielen. Het is niet de juiste start als er nog Legacy Remote Access IPsec aanwezig is of een upgrade naar SFOS 22.0 MR1 wordt geblokkeerd.
Praktische indeling:
- Verbinding verbreekt na vergelijkbare looptijd, bouwt daarna weer op: dit artikel verder gebruiken.
- Upgrade naar SFOS 22.0 MR1 of nieuwer wordt geblokkeerd door Legacy IPsec: Legacy Remote Access IPsec voor SFOS 22 MR1 migreren
- Tunnel is verbonden, maar interne doelen zijn niet bereikbaar: Sophos Firewall IPsec VPN Troubleshooting
- Gebruikers moeten van IPsec naar SSL VPN, ZTNA of een ander model overstappen: Sophos Connect of SSL VPN: Welke Remote-Access-oplossing past?
Deze afbakening is belangrijk omdat een Key-Life-tuning geen migratieconcept vervangt. Als er nog een oude Legacy-configuratie op de firewall staat, moet deze voor een grotere firmware-upgrade goed worden gedocumenteerd, vervangen en verwijderd.
Waarom de Timeout ontstaat
Sophos Connect gebruikt voor IPsec Remote Access een IPsec-profiel. In veel omgevingen is dit gebaseerd op DefaultRemoteAccess. Daarin is de levensduur van de IKE Security Association gedefinieerd. Wanneer deze levensduur wordt bereikt, moet de verbinding opnieuw worden onderhandeld. Afhankelijk van de authenticatiemethode en het clientgedrag kan daarbij een nieuwe OTP-invoer nodig zijn.
De vaak genoemde technische waarde is ikekeylife. Een waarde van 18000 seconden komt overeen met vijf uur. In de praktijk kan de nieuwe onderhandeling eerder zichtbaar worden, waardoor gebruikers vaak spreken van ongeveer vier uur.
Belangrijk is de zakelijke beslissing: Een langere waarde vermindert herauthenticaties, maar verlengt ook de levensduur van de IKE-SA. Dit is een operationele en veiligheidsbeslissing, geen pure comfortschakelaar.
Logs controleren
In de Log Viewer of in de VPN-logs kunnen meldingen over ongeldige SPI-waarden verschijnen. Dergelijke vermeldingen kunnen erop wijzen dat een oude of verlopen IKE-fase-1-sessie wordt aangesproken.
Voorbeeld:
VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050
Dergelijke vermeldingen alleen bewijzen nog niet de volledige oorzaak. Men moet tijdstempels, betrokken gebruikers, Sophos-Connect-status, authenticatiemethode en profielwijzigingen gezamenlijk bekijken. Bij terugkerende VPN-problemen helpen daarnaast Sophos Firewall Logs voor Support en Analyse opslaan en Sophos Firewall Troubleshooting: Services en Logs.
IPsec-profiel via de GUI aanpassen
De nettere methode is om niet direct aan het standaardprofiel te werken, maar het profiel te klonen en de nieuwe waarde bewust voor Remote Access te gebruiken.
Het menupad is:
Configure > VPN > IPsec profiles
Stappen:
- Bestaand profiel
DefaultRemoteAccessopenen. - Profiel klonen.
- Nieuw profiel een duidelijke naam geven, bijvoorbeeld
RemoteAccess_OTP_10h. Key lifeof IKE-levensduur op de gewenste waarde instellen.- Opslaan.
- In de IPsec Remote Access-instellingen het nieuwe profiel selecteren.
- Sophos-Connect-configuratie opnieuw exporteren of distribueren.
- Testen met pilotgebruikers.


Na de wijziging is het niet voldoende om alleen de firewall op te slaan. De betrokken Sophos-Connect-profielen moeten opnieuw worden gedistribueerd of geïmporteerd. Voor clientbeheer en versies past Sophos Connect Client Versie controleren en veilig bijwerken. Voor Windows-installaties past Sophos Connect Client op Windows installeren, voor macOS Sophos Connect Client op macOS installeren.
Waarde voor langere OTP-intervallen berekenen
Als gebruikers ongeveer elke n uur opnieuw OTP moeten invoeren, wordt vaak met de volgende vuistregel gewerkt:
ikekeylife = (n + 1) * 3600
Voorbeeld voor ongeveer tien uur:
ikekeylife = (10 + 1) * 3600
ikekeylife = 39600
De waarde moet niet zomaar maximaal worden ingesteld. In productieve omgevingen moet eerst worden vastgesteld:
- Welke maximale sessieduur is vanuit beveiligingsoogpunt acceptabel?
- Past de waarde bij werktijden, ploegendienst en helpdeskproces?
- Wordt OTP, RADIUS-MFA, Entra ID SSO of een andere authenticatie gebruikt?
- Zijn er compliance-eisen voor herauthenticatie?
- Werkt herverbinden met de huidige Sophos-Connect-client betrouwbaar?
Voor MFA-grondslagen op de firewall past MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren. Als Microsoft Entra ID SSO in gebruik is, moet ook Microsoft Entra ID SSO voor Sophos Connect en VPN Portal instellen worden overwogen.
Waarom geen directe databasewijziging wordt aanbevolen
Oudere runbooks bevatten soms directe wijzigingen in de Advanced Shell of SQL-commando’s tegen de firewall-database. Voor normaal gebruik is dit niet aan te raden.
Redenen:
- De ingreep omzeilt de normale WebAdmin-validatie.
- Foutieve waarden kunnen VPN-profielen of Remote Access verstoren.
- Wijzigingen zijn minder goed te traceren.
- Bij supportgevallen is een schone GUI-wijziging makkelijker uit te leggen.
- Na updates kan intern gedrag veranderen.
Daarom moet de waarde via een eigen IPsec-profiel in WebAdmin worden ingesteld. Directe databasewijzigingen horen hoogstens in een duidelijke Sophos-supportcontext en niet in een normale adminhandleiding.
Wijziging testen
Na de aanpassing moet een kleine test met pilotgebruikers worden uitgevoerd.
Controlepunten:
- Nieuw profiel is geselecteerd in Remote Access IPsec.
- Sophos-Connect-configuratie is opnieuw geïmporteerd.
- Verbinding wordt succesvol opgebouwd.
- Interne doelen zijn bereikbaar.
- DNS, routing en firewallregels werken.
- Herverbinden na de verwachte periode gedraagt zich zoals gepland.
- VPN-logs tonen geen onverwachte fouten.
Als de verbinding wel wordt opgebouwd, maar er geen verkeer stroomt, ligt het probleem eerder bij routes, firewallregels, NAT of DNS. Dan helpt Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.
Typische Fouten
- Standaardprofiel direct gewijzigd: Andere Remote-Access-scenario’s kunnen onbedoeld worden beïnvloed Profiel klonen en gericht toewijzen.
- Clientprofiel niet opnieuw verdeeld: Gebruikers blijven oude instellingen gebruiken Sophos-Connect-configuratie opnieuw exporteren en importeren.
- Te lange Key-Life-waarde: Minder herauthenticatie, maar langere sessie Beveiligings- en operationele eisen gezamenlijk beoordelen.
- Alleen client opnieuw geïnstalleerd: Firewall-profiel blijft ongewijzigd Firewall-profiel en clientconfiguratie samen controleren.
- Logs niet gecontroleerd: Verkeerde oorzaak wordt aangenomen Tijdstempels, gebruikers, SPI-/IKE-logs en MFA-gedrag vergelijken.
- Database direct gewijzigd: Risico voor support- en configuratieproblemen GUI-profiel gebruiken.
Operationele Checklist
- Betrokken gebruikers en tijdstippen vastleggen.
- Controleren of IPsec Remote Access met Sophos Connect wordt gebruikt.
- VPN-logs op IKE-, SPI- en opnieuw onderhandelen-hints controleren.
- Gebruikt IPsec-profiel identificeren.
DefaultRemoteAccessklonen in plaats van direct wijzigen.- Doelwaarde voor IKE Key Life zakelijk vaststellen.
- Nieuw profiel in Remote Access IPsec toewijzen.
- Clientconfiguratie opnieuw distribueren.
- Pilotgebruikers testen en helpdesk informeren.
- Na enkele dagen controleren of minder OTP-herverbindingen optreden.