Przejdz do tresci
Avanet

Rozwiązywanie problemu z timeoutem zdalnego dostępu IPsec Sophos Firewall po 4 godzinach

Jeśli Sophos Connect z IPsec Remote Access rozłącza się po około czterech godzinach lub użytkownicy muszą ponownie wprowadzić OTP, przyczyna często nie leży po stronie samego klienta. W wielu środowiskach zachowanie to jest związane z czasem życia IKE w używanym profilu IPsec. Podczas ponownego kluczowania lub ponownej autoryzacji klient może wywołać nowe logowanie.

Artykuł wyjaśnia, jak zrozumieć to zachowanie, jakie logi są z tym związane i jak dostosować wartość poprzez własny profil IPsec. Dla podstawowej konfiguracji Sophos Connect najpierw skonfiguruj Sophos Connect na Sophos Firewall. Dla decyzji między IPsec, SSL VPN, klientami mobilnymi a ZTNA, Sophos Connect czy SSL VPN: Które rozwiązanie zdalnego dostępu jest odpowiednie? jest lepszym punktem wyjścia.

⚠️ Ważne: Nie każde rozłączenie po kilku godzinach jest automatycznie problemem z czasem życia klucza. Najpierw należy sprawdzić, czy rzeczywiście dotyczy to aktualnego zdalnego dostępu IPsec, profilu DefaultRemoteAccess lub profilu pochodnego, OTP/MFA i odpowiednich logów VPN.

Typowy obraz błędu

Temat ten zazwyczaj pojawia się w przypadkach helpdesku lub operacyjnych:

  • Sophos Connect regularnie rozłącza się po około czterech godzinach.
  • Użytkownicy muszą po rozłączeniu ponownie potwierdzić OTP lub MFA.
  • Połączenie jest wcześniej stabilne i działa ponownie po ponownym zalogowaniu.
  • Inne profile VPN lub połączenia SSL-VPN nie wykazują tego zachowania.
  • W logach VPN pojawiają się wpisy dotyczące IKE, SPI lub ponownego kluczowania.

Jeśli połączenie przerywa się losowo, działa tylko w określonych sieciach lub nie przesyła ruchu bezpośrednio po nawiązaniu, konieczne jest bardziej ogólne rozwiązywanie problemów z IPsec VPN.

Najpierw wyklucz IPsec Legacy Remote Access

Szczególnie w starszych środowiskach należy najpierw ustalić, która wersja IPsec Remote Access jest w użyciu. Ten artykuł dotyczy aktualnej konfiguracji IPsec Remote Access z Sophos Connect i profilami IPsec. Nie jest to właściwy punkt wyjścia, jeśli nadal istnieje Legacy Remote Access IPsec lub aktualizacja do SFOS 22.0 MR1 jest blokowana.

Praktyczne rozróżnienie:

To rozróżnienie jest ważne, ponieważ dostosowanie czasu życia klucza nie zastępuje koncepcji migracji. Jeśli na firewallu nadal znajduje się stara konfiguracja Legacy, powinna być ona dokładnie udokumentowana, zastąpiona i usunięta przed większą aktualizacją oprogramowania.

Dlaczego występuje timeout

Sophos Connect używa profilu IPsec dla zdalnego dostępu IPsec. W wielu środowiskach opiera się on na DefaultRemoteAccess. Tam zdefiniowany jest czas życia IKE Security Association. Gdy ten czas życia zostanie osiągnięty, połączenie musi zostać ponownie wynegocjowane. W zależności od metody uwierzytelniania i zachowania klienta może być konieczne ponowne wprowadzenie OTP.

Często wspominana wartość techniczna to ikekeylife. Wartość 18000 sekund odpowiada pięciu godzinom. W praktyce nowa negocjacja może być widoczna wcześniej, dlatego użytkownicy często mówią o około czterech godzinach.

Ważna jest decyzja fachowa: Dłuższa wartość zmniejsza liczbę ponownych uwierzytelnień, ale także wydłuża czas życia IKE-SA. To decyzja operacyjna i dotycząca bezpieczeństwa, a nie tylko kwestia wygody.

Sprawdzanie logów

W Log Viewer lub w logach VPN mogą pojawić się komunikaty o nieprawidłowych wartościach SPI. Takie wpisy mogą wskazywać, że odwołuje się do starej lub wygasłej sesji IKE fazy 1.

Przykład:

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Takie wpisy same w sobie nie dowodzą całkowitej przyczyny. Należy rozważyć znaczniki czasu, dotkniętych użytkowników, status Sophos Connect, metodę uwierzytelniania i zmiany profilu. W przypadku powtarzających się problemów z VPN pomocne są również Zabezpieczanie logów Sophos Firewall dla wsparcia i analizy i Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.

Dostosowanie profilu IPsec przez GUI

Czystszą metodą jest niepraca bezpośrednio na profilu standardowym, ale sklonowanie profilu i świadome użycie nowej wartości dla zdalnego dostępu.

Ścieżka menu to:

Configure > VPN > IPsec profiles

Procedura:

  1. Otwórz istniejący profil DefaultRemoteAccess.
  2. Sklonuj profil.
  3. Nazwij nowy profil jednoznacznie, na przykład RemoteAccess_OTP_10h.
  4. Ustaw Key life lub czas życia IKE na pożądaną wartość.
  5. Zapisz.
  6. W ustawieniach zdalnego dostępu IPsec wybierz nowy profil.
  7. Ponownie wyeksportuj lub rozprowadź konfigurację Sophos Connect.
  8. Przetestuj z użytkownikiem pilotażowym.
Domyślne profile zdalnego dostępu IPsec Sophos Firewall
Istniejący profil DefaultRemoteAccess powinien być sprawdzony i sklonowany jako wzór.
Czas życia klucza w profilach IPsec Sophos Firewall DefaultRemoteAccess
Czas życia IKE jest dostosowywany w profilu IPsec, a następnie przypisywany do profilu zdalnego dostępu.

Po zmianie nie wystarczy tylko zapisać firewall. Dotknięte profile Sophos Connect muszą być ponownie rozprowadzone lub zaimportowane. Dla działania klienta i wersji pasuje Sprawdzenie wersji klienta Sophos Connect i bezpieczna aktualizacja. Dla instalacji Windows pasuje Instalacja klienta Sophos Connect na Windows, dla macOS Instalacja klienta Sophos Connect na macOS.

Obliczanie wartości dla dłuższych interwałów OTP

Jeśli użytkownicy mają wprowadzać OTP co około n godzin, często stosuje się następującą regułę:

ikekeylife = (n + 1) * 3600

Przykład dla około dziesięciu godzin:

ikekeylife = (10 + 1) * 3600
ikekeylife = 39600

Wartość nie powinna być ustawiana maksymalnie. W środowiskach produkcyjnych należy najpierw ustalić:

  • Jaka maksymalna długość sesji jest akceptowalna z punktu widzenia bezpieczeństwa?
  • Czy wartość pasuje do godzin pracy, trybu zmianowego i procesu helpdesku?
  • Czy używane jest OTP, RADIUS-MFA, Entra ID SSO lub inna metoda uwierzytelniania?
  • Czy istnieją wymagania dotyczące zgodności dla ponownego uwierzytelniania?
  • Czy ponowne połączenie działa niezawodnie z aktualnym klientem Sophos Connect?

Dla podstaw MFA na firewallu pasuje Aktywacja MFA dla Sophos Firewall WebAdmin, VPN Portal i Remote Access. Jeśli używane jest Microsoft Entra ID SSO, należy również rozważyć Konfiguracja Microsoft Entra ID SSO dla Sophos Connect i VPN Portal.

Dlaczego nie zaleca się bezpośredniej zmiany bazy danych

Starsze runbooki czasami zawierają bezpośrednie zmiany w Advanced Shell lub polecenia SQL przeciwko bazie danych firewall. Dla normalnej pracy nie jest to zalecane.

Powody:

  • Interwencja omija normalną walidację WebAdmin.
  • Błędne wartości mogą zakłócić profile VPN lub zdalny dostęp.
  • Zmiany są trudniejsze do śledzenia.
  • W przypadku problemów z wsparciem czysta zmiana GUI jest łatwiejsza do wyjaśnienia.
  • Po aktualizacjach wewnętrzne zachowanie może się zmienić.

Dlatego wartość powinna być ustawiona przez własny profil IPsec w WebAdmin. Bezpośrednie zmiany bazy danych należą najwyżej do kontekstu wsparcia Sophos i nie do normalnej instrukcji administracyjnej.

Testowanie zmiany

Po dostosowaniu należy przeprowadzić mały test z użytkownikami pilotażowymi.

Punkty kontrolne:

  1. Nowy profil jest wybrany w zdalnym dostępie IPsec.
  2. Konfiguracja Sophos Connect została ponownie zaimportowana.
  3. Połączenie jest nawiązywane pomyślnie.
  4. Wewnętrzne cele są osiągalne.
  5. DNS, routing i zasady firewall działają.
  6. Ponowne połączenie po oczekiwanym czasie zachowuje się zgodnie z planem.
  7. Logi VPN nie pokazują nieoczekiwanych błędów.

Jeśli połączenie jest nawiązywane, ale nie ma ruchu, problem leży raczej w trasach, zasadach firewall, NAT lub DNS. Wtedy pomocne jest Testowanie zasad firewall za pomocą Log Viewer, Policy Test i Packet Capture.

Typowe błędy

  • Zmieniono bezpośrednio profil standardowy: Inne scenariusze zdalnego dostępu mogą być nieumyślnie dotknięte Sklonuj profil i przypisz go celowo.
  • Profil klienta nie został ponownie rozprowadzony: Użytkownicy nadal używają starych ustawień Ponownie wyeksportuj i zaimportuj konfigurację Sophos Connect.
  • Zbyt długi czas życia klucza: Mniej ponownych uwierzytelnień, ale dłuższa sesja Oceń wymagania dotyczące bezpieczeństwa i operacji wspólnie.
  • Tylko klient został ponownie zainstalowany: Profil firewall pozostaje niezmieniony Sprawdź profil firewall i konfigurację klienta razem.
  • Logi nie zostały sprawdzone: Przyjęto błędną przyczynę Porównaj znaczniki czasu, użytkowników, logi SPI/IKE i zachowanie MFA.
  • Bezpośrednio zmieniono bazę danych: Ryzyko problemów z wsparciem i konfiguracją Użyj profilu GUI.

Lista kontrolna operacji

  • Zbierz dotkniętych użytkowników i czas.
  • Sprawdź, czy używany jest zdalny dostęp IPsec z Sophos Connect.
  • Sprawdź logi VPN pod kątem wskazówek IKE, SPI i ponownego kluczowania.
  • Zidentyfikuj używany profil IPsec.
  • Sklonuj DefaultRemoteAccess zamiast zmieniać bezpośrednio.
  • Ustal docelową wartość dla czasu życia klucza IKE fachowo.
  • Przypisz nowy profil w zdalnym dostępie IPsec.
  • Ponownie rozprowadź konfigurację klienta.
  • Przetestuj z użytkownikiem pilotażowym i poinformuj helpdesk.
  • Po kilku dniach sprawdź, czy występuje mniej przypadków ponownego połączenia OTP.

FAQ

Dlaczego Sophos Connect IPsec rozłącza się po około 4 godzinach?

Często jest to związane z czasem życia IKE w używanym profilu IPsec. Podczas ponownego kluczowania lub ponownej autoryzacji Sophos Connect może w zależności od ustawień wymagać ponownego wprowadzenia OTP.

Czy powinno się bezpośrednio zmieniać DefaultRemoteAccess?

Lepiej jest użyć sklonowanego profilu z jednoznaczną nazwą. Dzięki temu pozostaje jasne, która konfiguracja zdalnego dostępu świadomie się różni, a inne połączenia nie są przypadkowo wpływane.

Czy Legacy Remote Access IPsec to ten sam problem?

Nie. Legacy Remote Access IPsec to inny temat i może blokować aktualizację od SFOS 22.0 MR1. Jeśli firewall wskazuje na tę starą konfigurację, najpierw należy zmigrować konfigurację Legacy Remote Access IPsec i następnie ją usunąć.

Czy konfiguracja Sophos Connect musi być ponownie rozprowadzona?

Tak. Po zmianach w profilu zdalnego dostępu należy ponownie wyeksportować, rozprowadzić lub zaimportować dotknięte konfiguracje Sophos Connect. W przeciwnym razie użytkownicy mogą nadal testować stare ustawienia.

Czy dłuższy timeout jest automatycznie bezpieczniejszy lub lepszy?

Nie. Dłuższa wartość zmniejsza liczbę ponownych uwierzytelnień, ale także wydłuża czas życia sesji. Wartość powinna pasować do wymagań bezpieczeństwa, koncepcji MFA, sposobu pracy i procesu wsparcia.

Czy wartość powinna być zmieniana przez Advanced Shell lub SQL?

Dla normalnej pracy nie. Bezpośrednie zmiany bazy danych omijają walidację WebAdmin i są trudniejsze do śledzenia. Lepszym sposobem jest użycie własnego profilu IPsec przez GUI.