Rozwiązywanie problemu z timeoutem zdalnego dostępu IPsec Sophos Firewall po 4 godzinach
Jeśli Sophos Connect z IPsec Remote Access rozłącza się po około czterech godzinach lub użytkownicy muszą ponownie wprowadzić OTP, przyczyna często nie leży po stronie samego klienta. W wielu środowiskach zachowanie to jest związane z czasem życia IKE w używanym profilu IPsec. Podczas ponownego kluczowania lub ponownej autoryzacji klient może wywołać nowe logowanie.
Artykuł wyjaśnia, jak zrozumieć to zachowanie, jakie logi są z tym związane i jak dostosować wartość poprzez własny profil IPsec. Dla podstawowej konfiguracji Sophos Connect najpierw skonfiguruj Sophos Connect na Sophos Firewall. Dla decyzji między IPsec, SSL VPN, klientami mobilnymi a ZTNA, Sophos Connect czy SSL VPN: Które rozwiązanie zdalnego dostępu jest odpowiednie? jest lepszym punktem wyjścia.
⚠️ Ważne: Nie każde rozłączenie po kilku godzinach jest automatycznie problemem z czasem życia klucza. Najpierw należy sprawdzić, czy rzeczywiście dotyczy to aktualnego zdalnego dostępu IPsec, profilu
DefaultRemoteAccesslub profilu pochodnego, OTP/MFA i odpowiednich logów VPN.
Typowy obraz błędu
Temat ten zazwyczaj pojawia się w przypadkach helpdesku lub operacyjnych:
- Sophos Connect regularnie rozłącza się po około czterech godzinach.
- Użytkownicy muszą po rozłączeniu ponownie potwierdzić OTP lub MFA.
- Połączenie jest wcześniej stabilne i działa ponownie po ponownym zalogowaniu.
- Inne profile VPN lub połączenia SSL-VPN nie wykazują tego zachowania.
- W logach VPN pojawiają się wpisy dotyczące IKE, SPI lub ponownego kluczowania.
Jeśli połączenie przerywa się losowo, działa tylko w określonych sieciach lub nie przesyła ruchu bezpośrednio po nawiązaniu, konieczne jest bardziej ogólne rozwiązywanie problemów z IPsec VPN.
Najpierw wyklucz IPsec Legacy Remote Access
Szczególnie w starszych środowiskach należy najpierw ustalić, która wersja IPsec Remote Access jest w użyciu. Ten artykuł dotyczy aktualnej konfiguracji IPsec Remote Access z Sophos Connect i profilami IPsec. Nie jest to właściwy punkt wyjścia, jeśli nadal istnieje Legacy Remote Access IPsec lub aktualizacja do SFOS 22.0 MR1 jest blokowana.
Praktyczne rozróżnienie:
- Połączenie rozłącza się po podobnym czasie, a następnie ponownie się łączy: kontynuuj korzystanie z tego artykułu.
- Aktualizacja do SFOS 22.0 MR1 lub nowszej jest blokowana z powodu Legacy IPsec: Migracja Legacy Remote Access IPsec przed SFOS 22 MR1
- Tunel jest połączony, ale wewnętrzne cele są niedostępne: Rozwiązywanie problemów z IPsec VPN Sophos Firewall
- Użytkownicy mają przejść z IPsec na SSL VPN, ZTNA lub inny model: Sophos Connect czy SSL VPN: Które rozwiązanie zdalnego dostępu jest odpowiednie?
To rozróżnienie jest ważne, ponieważ dostosowanie czasu życia klucza nie zastępuje koncepcji migracji. Jeśli na firewallu nadal znajduje się stara konfiguracja Legacy, powinna być ona dokładnie udokumentowana, zastąpiona i usunięta przed większą aktualizacją oprogramowania.
Dlaczego występuje timeout
Sophos Connect używa profilu IPsec dla zdalnego dostępu IPsec. W wielu środowiskach opiera się on na DefaultRemoteAccess. Tam zdefiniowany jest czas życia IKE Security Association. Gdy ten czas życia zostanie osiągnięty, połączenie musi zostać ponownie wynegocjowane. W zależności od metody uwierzytelniania i zachowania klienta może być konieczne ponowne wprowadzenie OTP.
Często wspominana wartość techniczna to ikekeylife. Wartość 18000 sekund odpowiada pięciu godzinom. W praktyce nowa negocjacja może być widoczna wcześniej, dlatego użytkownicy często mówią o około czterech godzinach.
Ważna jest decyzja fachowa: Dłuższa wartość zmniejsza liczbę ponownych uwierzytelnień, ale także wydłuża czas życia IKE-SA. To decyzja operacyjna i dotycząca bezpieczeństwa, a nie tylko kwestia wygody.
Sprawdzanie logów
W Log Viewer lub w logach VPN mogą pojawić się komunikaty o nieprawidłowych wartościach SPI. Takie wpisy mogą wskazywać, że odwołuje się do starej lub wygasłej sesji IKE fazy 1.
Przykład:
VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050
Takie wpisy same w sobie nie dowodzą całkowitej przyczyny. Należy rozważyć znaczniki czasu, dotkniętych użytkowników, status Sophos Connect, metodę uwierzytelniania i zmiany profilu. W przypadku powtarzających się problemów z VPN pomocne są również Zabezpieczanie logów Sophos Firewall dla wsparcia i analizy i Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.
Dostosowanie profilu IPsec przez GUI
Czystszą metodą jest niepraca bezpośrednio na profilu standardowym, ale sklonowanie profilu i świadome użycie nowej wartości dla zdalnego dostępu.
Ścieżka menu to:
Configure > VPN > IPsec profiles
Procedura:
- Otwórz istniejący profil
DefaultRemoteAccess. - Sklonuj profil.
- Nazwij nowy profil jednoznacznie, na przykład
RemoteAccess_OTP_10h. - Ustaw
Key lifelub czas życia IKE na pożądaną wartość. - Zapisz.
- W ustawieniach zdalnego dostępu IPsec wybierz nowy profil.
- Ponownie wyeksportuj lub rozprowadź konfigurację Sophos Connect.
- Przetestuj z użytkownikiem pilotażowym.


Po zmianie nie wystarczy tylko zapisać firewall. Dotknięte profile Sophos Connect muszą być ponownie rozprowadzone lub zaimportowane. Dla działania klienta i wersji pasuje Sprawdzenie wersji klienta Sophos Connect i bezpieczna aktualizacja. Dla instalacji Windows pasuje Instalacja klienta Sophos Connect na Windows, dla macOS Instalacja klienta Sophos Connect na macOS.
Obliczanie wartości dla dłuższych interwałów OTP
Jeśli użytkownicy mają wprowadzać OTP co około n godzin, często stosuje się następującą regułę:
ikekeylife = (n + 1) * 3600
Przykład dla około dziesięciu godzin:
ikekeylife = (10 + 1) * 3600
ikekeylife = 39600
Wartość nie powinna być ustawiana maksymalnie. W środowiskach produkcyjnych należy najpierw ustalić:
- Jaka maksymalna długość sesji jest akceptowalna z punktu widzenia bezpieczeństwa?
- Czy wartość pasuje do godzin pracy, trybu zmianowego i procesu helpdesku?
- Czy używane jest OTP, RADIUS-MFA, Entra ID SSO lub inna metoda uwierzytelniania?
- Czy istnieją wymagania dotyczące zgodności dla ponownego uwierzytelniania?
- Czy ponowne połączenie działa niezawodnie z aktualnym klientem Sophos Connect?
Dla podstaw MFA na firewallu pasuje Aktywacja MFA dla Sophos Firewall WebAdmin, VPN Portal i Remote Access. Jeśli używane jest Microsoft Entra ID SSO, należy również rozważyć Konfiguracja Microsoft Entra ID SSO dla Sophos Connect i VPN Portal.
Dlaczego nie zaleca się bezpośredniej zmiany bazy danych
Starsze runbooki czasami zawierają bezpośrednie zmiany w Advanced Shell lub polecenia SQL przeciwko bazie danych firewall. Dla normalnej pracy nie jest to zalecane.
Powody:
- Interwencja omija normalną walidację WebAdmin.
- Błędne wartości mogą zakłócić profile VPN lub zdalny dostęp.
- Zmiany są trudniejsze do śledzenia.
- W przypadku problemów z wsparciem czysta zmiana GUI jest łatwiejsza do wyjaśnienia.
- Po aktualizacjach wewnętrzne zachowanie może się zmienić.
Dlatego wartość powinna być ustawiona przez własny profil IPsec w WebAdmin. Bezpośrednie zmiany bazy danych należą najwyżej do kontekstu wsparcia Sophos i nie do normalnej instrukcji administracyjnej.
Testowanie zmiany
Po dostosowaniu należy przeprowadzić mały test z użytkownikami pilotażowymi.
Punkty kontrolne:
- Nowy profil jest wybrany w zdalnym dostępie IPsec.
- Konfiguracja Sophos Connect została ponownie zaimportowana.
- Połączenie jest nawiązywane pomyślnie.
- Wewnętrzne cele są osiągalne.
- DNS, routing i zasady firewall działają.
- Ponowne połączenie po oczekiwanym czasie zachowuje się zgodnie z planem.
- Logi VPN nie pokazują nieoczekiwanych błędów.
Jeśli połączenie jest nawiązywane, ale nie ma ruchu, problem leży raczej w trasach, zasadach firewall, NAT lub DNS. Wtedy pomocne jest Testowanie zasad firewall za pomocą Log Viewer, Policy Test i Packet Capture.
Typowe błędy
- Zmieniono bezpośrednio profil standardowy: Inne scenariusze zdalnego dostępu mogą być nieumyślnie dotknięte Sklonuj profil i przypisz go celowo.
- Profil klienta nie został ponownie rozprowadzony: Użytkownicy nadal używają starych ustawień Ponownie wyeksportuj i zaimportuj konfigurację Sophos Connect.
- Zbyt długi czas życia klucza: Mniej ponownych uwierzytelnień, ale dłuższa sesja Oceń wymagania dotyczące bezpieczeństwa i operacji wspólnie.
- Tylko klient został ponownie zainstalowany: Profil firewall pozostaje niezmieniony Sprawdź profil firewall i konfigurację klienta razem.
- Logi nie zostały sprawdzone: Przyjęto błędną przyczynę Porównaj znaczniki czasu, użytkowników, logi SPI/IKE i zachowanie MFA.
- Bezpośrednio zmieniono bazę danych: Ryzyko problemów z wsparciem i konfiguracją Użyj profilu GUI.
Lista kontrolna operacji
- Zbierz dotkniętych użytkowników i czas.
- Sprawdź, czy używany jest zdalny dostęp IPsec z Sophos Connect.
- Sprawdź logi VPN pod kątem wskazówek IKE, SPI i ponownego kluczowania.
- Zidentyfikuj używany profil IPsec.
- Sklonuj
DefaultRemoteAccesszamiast zmieniać bezpośrednio. - Ustal docelową wartość dla czasu życia klucza IKE fachowo.
- Przypisz nowy profil w zdalnym dostępie IPsec.
- Ponownie rozprowadź konfigurację klienta.
- Przetestuj z użytkownikiem pilotażowym i poinformuj helpdesk.
- Po kilku dniach sprawdź, czy występuje mniej przypadków ponownego połączenia OTP.