Saltar para o conteudo
Avanet

Resolver o Timeout de Acesso Remoto IPsec do Sophos Firewall após 4 Horas

Se o Sophos Connect com Acesso Remoto IPsec desconectar após aproximadamente quatro horas ou se os usuários precisarem inserir um OTP novamente, a causa geralmente não está no cliente em si. Em muitos ambientes, esse comportamento está relacionado à duração da vida útil do IKE no perfil IPsec utilizado. Durante o re-keying ou nova autenticação, o cliente pode exigir um novo login.

Este artigo explica como entender esse comportamento, quais logs são relevantes e como ajustar o valor de forma eficaz através de um perfil IPsec personalizado. Para a configuração básica do Sophos Connect, comece com Configurar o Sophos Connect no Sophos Firewall. Para decidir entre IPsec, SSL VPN, clientes móveis e ZTNA, Sophos Connect ou SSL VPN: Qual solução de acesso remoto é a melhor? é um bom ponto de partida.

⚠️ Importante: Nem toda desconexão após algumas horas é automaticamente um problema de vida útil da chave. Primeiro, verifique se o acesso remoto IPsec atual, o perfil DefaultRemoteAccess ou um perfil derivado, OTP/MFA e logs de VPN relevantes estão envolvidos.

Sintomas Típicos

O problema geralmente é notado em casos de helpdesk ou operação:

  • O Sophos Connect desconecta regularmente após cerca de quatro horas.
  • Os usuários precisam confirmar OTP ou MFA novamente após a desconexão.
  • A conexão é estável antes e funciona novamente após o novo login.
  • Outros perfis de VPN ou conexões SSL-VPN não apresentam esse comportamento.
  • Nos logs de VPN, aparecem entradas relacionadas a IKE, SPI ou re-keying.

Se a conexão cair aleatoriamente, não funcionar em certas redes ou não transportar tráfego logo após a conexão, é necessário um Solução de Problemas de VPN IPsec mais geral.

Primeiro, Excluir o Acesso Remoto IPsec Legacy

Especialmente em ambientes mais antigos, deve-se primeiro esclarecer qual variante de acesso remoto IPsec está em uso. Este artigo aborda a configuração atual de acesso remoto IPsec com Sophos Connect e perfis IPsec. Não é o ponto de partida correto se ainda houver Acesso Remoto IPsec Legacy ou se uma atualização para SFOS 22.0 MR1 estiver bloqueada.

Classificação prática:

Essa distinção é importante porque um ajuste de vida útil da chave não substitui um conceito de migração. Se uma configuração antiga de legado ainda estiver no firewall, ela deve ser documentada, substituída e removida antes de uma atualização de firmware maior.

Por que o Timeout Ocorre

O Sophos Connect usa um perfil IPsec para acesso remoto IPsec. Em muitos ambientes, este é baseado em DefaultRemoteAccess. Lá, a duração da vida útil da Associação de Segurança IKE é definida. Quando essa duração é atingida, a conexão precisa ser renegociada. Dependendo do método de autenticação e do comportamento do cliente, pode ser necessário inserir um OTP novamente.

O valor técnico frequentemente mencionado é ikekeylife. Um valor de 18000 segundos corresponde a cinco horas. Na prática, a nova negociação pode ser visível mais cedo, razão pela qual os usuários frequentemente falam de cerca de quatro horas.

É importante a decisão técnica: um valor mais longo reduz as reautenticações, mas também prolonga a vida útil da IKE-SA. Isso é uma decisão operacional e de segurança, não apenas um ajuste de conforto.

Verificar Logs

No Log Viewer ou nos logs de VPN, podem aparecer mensagens sobre valores SPI inválidos. Tais entradas podem indicar que uma sessão IKE Fase 1 antiga ou expirada está sendo abordada.

Exemplo:

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Essas entradas por si só não provam a causa completa. Deve-se considerar os carimbos de data/hora, usuários afetados, status do Sophos Connect, método de autenticação e alterações de perfil em conjunto. Para problemas recorrentes de VPN, também ajudam Salvar Logs do Sophos Firewall para Suporte e Análise e Solução de Problemas do Sophos Firewall: Serviços e Logs.

Ajustar o Perfil IPsec pela GUI

O método mais limpo é não trabalhar diretamente no perfil padrão, mas clonar o perfil e usar o novo valor conscientemente para acesso remoto.

O caminho do menu é:

Configure > VPN > IPsec profiles

Procedimento:

  1. Abra o perfil existente DefaultRemoteAccess.
  2. Clone o perfil.
  3. Nomeie o novo perfil de forma clara, por exemplo, RemoteAccess_OTP_10h.
  4. Defina Key life ou a duração da vida útil do IKE para o valor desejado.
  5. Salve.
  6. Nas configurações de Acesso Remoto IPsec, selecione o novo perfil.
  7. Exporte ou distribua novamente a configuração do Sophos Connect.
  8. Teste com usuários piloto.
Perfis IPsec do Sophos Firewall DefaultRemoteAccess
O perfil DefaultRemoteAccess existente deve ser revisado e clonado como modelo.
Perfis IPsec do Sophos Firewall DefaultRemoteAccess Key Life
A duração da vida útil do IKE é ajustada no perfil IPsec e depois atribuída especificamente ao perfil de acesso remoto.

Após a alteração, não basta apenas salvar o firewall. Os perfis do Sophos Connect afetados devem ser redistribuídos ou reimportados. Para operação do cliente e versões, veja Verificar e Atualizar com Segurança a Versão do Cliente Sophos Connect. Para instalações no Windows, veja Instalar o Cliente Sophos Connect no Windows, para macOS Instalar o Cliente Sophos Connect no macOS.

Calcular o Valor para Intervalos de OTP Mais Longos

Se os usuários devem inserir OTP novamente aproximadamente a cada n horas, muitas vezes é usada a seguinte regra prática:

ikekeylife = (n + 1) * 3600

Exemplo para cerca de dez horas:

ikekeylife = (10 + 1) * 3600
ikekeylife = 39600

O valor não deve ser simplesmente definido como máximo. Em ambientes produtivos, deve-se primeiro esclarecer:

  • Qual é a duração máxima da sessão aceitável do ponto de vista de segurança?
  • O valor se ajusta aos horários de trabalho, turnos e processos de helpdesk?
  • Está sendo usado OTP, RADIUS-MFA, Entra ID SSO ou outra autenticação?
  • Existem requisitos de conformidade para reautenticação?
  • A reconexão funciona de forma confiável com o cliente Sophos Connect atual?

Para fundamentos de MFA no firewall, veja Ativar MFA para Sophos Firewall WebAdmin, Portal VPN e Acesso Remoto. Se o Microsoft Entra ID SSO estiver em uso, considere também Configurar Microsoft Entra ID SSO para Sophos Connect e Portal VPN.

Por que Não é Recomendado Alterar Diretamente o Banco de Dados

Runbooks mais antigos às vezes contêm alterações diretas na Advanced Shell ou comandos SQL contra o banco de dados do firewall. Para operação normal, isso não é recomendado.

Razões:

  • A intervenção ignora a validação normal do WebAdmin.
  • Valores incorretos podem perturbar perfis de VPN ou acesso remoto.
  • As alterações são menos rastreáveis.
  • Em casos de suporte, uma alteração limpa na GUI é mais fácil de explicar.
  • Após atualizações, o comportamento interno pode mudar.

Portanto, o valor deve ser definido através de um perfil IPsec próprio no WebAdmin. Alterações diretas no banco de dados só devem ocorrer em um contexto claro de suporte Sophos e não em um guia de administração normal.

Testar a Alteração

Após o ajuste, deve ser realizado um pequeno teste com usuários piloto.

Pontos de verificação:

  1. Novo perfil está selecionado no Acesso Remoto IPsec.
  2. A configuração do Sophos Connect foi reimportada.
  3. A conexão é estabelecida com sucesso.
  4. Destinos internos são alcançáveis.
  5. DNS, roteamento e regras de firewall funcionam.
  6. Reconexão após o período esperado se comporta conforme planejado.
  7. Logs de VPN não mostram erros inesperados.

Se a conexão for estabelecida, mas não houver tráfego, o problema está mais relacionado a rotas, regras de firewall, NAT ou DNS. Nesse caso, veja Testar Regras de Firewall com Log Viewer, Teste de Política e Captura de Pacotes.

Erros Comuns

  • Perfil padrão alterado diretamente: Outros cenários de acesso remoto podem ser afetados inadvertidamente Clonar perfil e atribuir especificamente.
  • Perfil do cliente não redistribuído: Usuários continuam usando configurações antigas Exportar e importar novamente a configuração do Sophos Connect.
  • Valor de vida útil da chave muito longo: Menos reautenticação, mas sessão mais longa Avaliar requisitos de segurança e operação em conjunto.
  • Apenas cliente reinstalado: Perfil do firewall permanece inalterado Verificar perfil do firewall e configuração do cliente juntos.
  • Logs não verificados: Causa errada é assumida Comparar carimbos de data/hora, usuários, logs SPI/IKE e comportamento MFA.
  • Banco de dados alterado diretamente: Risco para suporte e problemas de configuração Usar perfil GUI.

Lista de Verificação Operacional

  • Registrar usuários afetados e horários.
  • Verificar se o acesso remoto IPsec está sendo usado com Sophos Connect.
  • Verificar logs de VPN para dicas de IKE, SPI e re-keying.
  • Identificar o perfil IPsec usado.
  • Clonar DefaultRemoteAccess em vez de alterar diretamente.
  • Definir valor alvo para vida útil da chave IKE tecnicamente.
  • Atribuir novo perfil no Acesso Remoto IPsec.
  • Redistribuir configuração do cliente.
  • Testar com usuários piloto e informar o helpdesk.
  • Após alguns dias, verificar se há menos casos de reconexão OTP.

FAQ

Por que o Sophos Connect IPsec desconecta após cerca de 4 horas?

Frequentemente, isso está relacionado à vida útil do IKE no perfil IPsec usado. Durante o re-keying ou nova autenticação, o Sophos Connect pode exigir uma nova entrada de OTP, dependendo da configuração.

Deve-se alterar o DefaultRemoteAccess diretamente?

É melhor usar um perfil clonado com um nome claro. Isso mantém claro qual configuração de acesso remoto é intencionalmente diferente e outras conexões não são afetadas inadvertidamente.

O Acesso Remoto IPsec Legacy é o mesmo problema?

Não. O Acesso Remoto IPsec Legacy é um tema diferente e pode bloquear uma atualização a partir do SFOS 22.0 MR1. Se o firewall indicar essa herança, a configuração de Acesso Remoto IPsec Legacy deve ser migrada e depois removida.

A configuração do Sophos Connect precisa ser redistribuída?

Sim. Após alterações no perfil de acesso remoto, as configurações do Sophos Connect afetadas devem ser exportadas, distribuídas ou importadas novamente. Caso contrário, os usuários podem continuar testando configurações antigas.

Um timeout mais longo é automaticamente mais seguro ou melhor?

Não. Um valor mais longo reduz as reautenticações, mas também prolonga a vida útil da sessão. O valor deve corresponder aos requisitos de segurança, conceito de MFA, modo de trabalho e processo de suporte.

Deve-se alterar o valor via Advanced Shell ou SQL?

Para operação normal, não. Alterações diretas no banco de dados ignoram a validação do WebAdmin e são menos rastreáveis. O melhor caminho é um perfil IPsec próprio através da GUI.