Hoppa till innehållet
Avanet

Sophos Firewall - IPsec Remote Access timeout efter 4 timmar

Sophos Firewall

Den här artikeln förklarar varför ett IPsec Remote Access-timeout efter 4 timmar uppstår och hur problemet kan lösas.

För IPsec Remote Access är Sophos Firewall som standard inställd med ett timeoutvärde på 4 timmar. I det fallet tappar Sophos Connect Client anslutningen till firewallen och användaren behöver ansluta på nytt.

Om användaren i Sophos Connect Client är konfigurerad med engångslösenord (OTP) ombeds användaren som standard att ange ett nytt OTP var fjärde timme. Orsaken är att Sophos Connect Client använder policyn DefaultRemoteAccess, som kan ändras via det grafiska gränssnittet. Standardvärdet för ikekeylife är 18000.

Sophos Firewall-logg

Felen i VPN-loggen visar att anslutningen avbröts på grund av en utgången IKE-nyckel. Den ogiltiga SPI:n (Security Parameter Index) pekar på en utgången eller ogiltig IKE phase 1-session.

VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050

Justera IPsec VPN-timeout via Sophos Firewall GUI

I VPN-profilerna hittar du certifikatet DefaultRemoteAccess. Klona det och justera värdet därefter.

Sophos Firewall - IPsec Profiles DefaultRemoteAccess
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - Key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess - Key life
Sophos Firewall - IPsec Profiles DefaultRemoteAccess

Därefter behöver du bara välja det nya certifikatet i inställningarna för Remote Access IPsec och distribuera den nya konfigurationen till användarna.

Justera IPsec VPN-timeout via Sophos Firewall Console

Med ett IKE_SA-livstidsvärde på 18000 sker omkryptering av IKE_SA ungefär var fjärde timme, och återautentisering sker samtidigt med omkrypteringen av IKE_SA. Därför uppmanas användarna att ange ett nytt OTP.

Om kundkravet är att användaren ska behöva ange ett nytt OTP var “n”:te timme använder du följande ekvation för att räkna fram motsvarande ikekeylife-värde. I exemplet är n=10, alltså 10 timmar.

ikekeylife = (n +1) * 3600
ikekeylife = (10 +1) * 3600 = 39600
ikekeylife = 39600

Obs: Högsta värdet för “n” bör inte vara större än 23.

Anslut till Sophos Firewall via SSH, till exempel med Putty. Genom att ange 5 och därefter 3 kommer du till Advanced Shell.

psql -U nobody -d corporate -c "update tblvpnpolicy set ikekeylife=39600 where policyid=5;"

Därefter behöver du bara starta om IPsec VPN-tjänsten på firewallen och distribuera config-filen på nytt till klienterna.