Przejdz do tresci
Avanet

IPsec Remote Access rozłącza się po 4 godzinach

Sophos Firewall

W tym artykule wyjaśniamy, dlaczego przy IPsec Remote Access po 4 godzinach pojawia się timeout i jak można rozwiązać ten problem.

Na Sophos Firewall dla IPsec Remote Access domyślnie ustawiony jest timeout 4 godzin. W takim przypadku Sophos Connect Client traci połączenie z firewallem, a użytkownik musi zestawić połączenie ponownie.

Jeżeli użytkownik Sophos Connect Client ma skonfigurowane jednorazowe hasło (OTP), domyślnie co 4 godziny zostanie poproszony o wpisanie nowego OTP. Wynika to z tego, że Sophos Connect Client używa polityki DefaultRemoteAccess, którą można zmienić przez graficzny interfejs. Domyślna wartość ikekeylife to 18000.

Log Sophos Firewall

Te błędy w logu VPN pokazują, że połączenie zostało przerwane z powodu wygasłego klucza IKE. Nieprawidłowy SPI (Security Parameter Index) wskazuje na wygasłą lub nieprawidłową sesję IKE Phase 1.

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Dostosowanie timeoutu IPsec VPN przez GUI Sophos Firewall

W profilach VPN znajdziesz certyfikat DefaultRemoteAccess. Można go sklonować i odpowiednio dostosować wartość.

Sophos Firewall - IPsec Profiles DefaultRemoteAccess
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess

Następnie w ustawieniach Remote Access IPsec wystarczy wybrać nowy certyfikat i rozesłać nową konfigurację użytkownikom.

Dostosowanie timeoutu IPsec VPN przez konsolę Sophos Firewall

Przy wartości czasu życia IKE_SA 18000 ponowne szyfrowanie IKE_SA następuje mniej więcej co 4 godziny. Ponowna autoryzacja odbywa się razem z tym procesem, dlatego użytkownicy są proszeni o wpisanie nowego OTP.

Jeżeli wymaganie klienta brzmi, że użytkownik ma być proszony o nowe OTP co „n” godzin, użyj poniższego równania do obliczenia odpowiedniej wartości ikekeylife, na przykład dla n=10, czyli 10 godzin:

ikekeylife = (n +1) * 3600
ikekeylife = (10 +1) * 3600 = 39600
ikekeylife = 39600

Wskazówka: Maksymalna wartość „n” nie powinna być większa niż 23.

Połącz się przez SSH z Sophos Firewall, na przykład przez PuTTY. Wpisując 5, a następnie 3, przejdziesz do Advanced Shell.

psql -U nobody -d corporate -c "update tblvpnpolicy set ikekeylife=39600 where policyid=5;"

Następnie wystarczy ponownie uruchomić usługę IPsec VPN na firewallu i rozesłać plik konfiguracyjny klientom.