Saltar para o conteudo
Avanet

Sophos Firewall - timeout IPsec Remote Access após 4 horas

Sophos Firewall

Neste artigo explicamos porque ocorre um timeout IPsec Remote Access após 4 horas e como este problema pode ser resolvido.

Para IPsec Remote Access, a Sophos Firewall tem por predefinição um timeout de 4 horas. Neste caso, o Sophos Connect Client perde a ligação à firewall e o utilizador tem de estabelecer a ligação novamente.

Se o utilizador do Sophos Connect Client estiver configurado com uma One-Time Password (OTP), por predefinição será solicitado a introduzir uma nova OTP a cada 4 horas. Isto acontece porque o Sophos Connect Client usa a policy DefaultRemoteAccess, que pode ser alterada através da interface gráfica. O valor predefinido de ikekeylife é 18000.

Log da Sophos Firewall

Estes erros no VPN log mostram que a ligação foi interrompida devido a uma chave IKE expirada. O SPI inválido (Security Parameter Index) aponta para uma sessão IKE Phase 1 expirada ou inválida.

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Ajustar IPsec VPN Timeout através do GUI da Sophos Firewall

Nos perfis VPN encontra-se o certificado DefaultRemoteAccess, que pode ser clonado e ajustado com o valor correspondente.

Sophos Firewall - IPsec Profiles DefaultRemoteAccess
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - Key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - Key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess

Depois basta selecionar o novo certificado nas definições Remote Access IPsec e distribuir a nova configuração aos utilizadores.

Ajustar IPsec VPN Timeout através da consola da Sophos Firewall

Com um valor de tempo de vida IKE_SA de 18000, a nova encriptação de IKE_SA ocorre aproximadamente a cada 4 horas, e a reautenticação ocorre também juntamente com a nova encriptação de IKE_SA. Por isso, os utilizadores são solicitados a introduzir uma nova OTP.

Se o requisito do cliente for pedir ao utilizador uma nova OTP a cada “n” horas, use a seguinte equação para determinar o valor ikekeylife correspondente, se n=10 (ou seja, 10 horas)

ikekeylife = (n +1) * 3600
ikekeylife = (10 +1) * 3600 = 39600
ikekeylife = 39600

Nota: O valor máximo para “n” não deve ser superior a 23.

Ligar à Sophos Firewall via SSH, por exemplo com Putty. Introduzindo 5 e depois 3, chega à Advanced Shell.

psql -U nobody -d corporate -c "update tblvpnpolicy set ikekeylife=39600 where policyid=5;"

Depois basta reiniciar o serviço IPsec VPN na firewall e voltar a distribuir o ficheiro de configuração aos clientes.