Åtgärda Sophos Firewall IPsec Remote Access Timeout efter 4 timmar
Om Sophos Connect med IPsec Remote Access kopplar från efter ungefär fyra timmar eller om användare måste ange ett OTP igen, beror det ofta inte på klienten själv. I många miljöer är beteendet kopplat till IKE-livslängden i den använda IPsec-profilen. Vid omnyckling eller vid ny autentisering kan klienten utlösa en ny inloggning.
Artikeln förklarar hur man kategoriserar beteendet, vilka loggar som är relevanta och hur man justerar värdet korrekt via en egen IPsec-profil. För grundkonfigurationen av Sophos Connect, börja med Konfigurera Sophos Connect på Sophos Firewall. För att välja mellan IPsec, SSL VPN, mobila klienter och ZTNA, är Sophos Connect eller SSL VPN: Vilken fjärråtkomstlösning passar? en bättre start.
⚠️ Viktigt: Inte varje frånkoppling efter några timmar är automatiskt ett Key-Life-problem. Kontrollera först om det verkligen är aktuellt IPsec Remote Access, profilen
DefaultRemoteAccesseller en härledd profil, OTP/MFA och relevanta VPN-loggar som är inblandade.
Typiskt felmönster
Problemet märks oftast i helpdesk- eller driftfall:
- Sophos Connect kopplar regelbundet från efter ungefär fyra timmar.
- Användare måste bekräfta OTP eller MFA igen efter frånkopplingen.
- Anslutningen är stabil innan och fungerar igen efter ny inloggning.
- Andra VPN-profiler eller SSL-VPN-anslutningar visar inte detta beteende.
- I VPN-loggen visas poster kring IKE, SPI eller omnyckling.
Om anslutningen däremot bryts slumpmässigt, inte fungerar i vissa nätverk eller inte transporterar trafik direkt efter upprättandet, behövs mer allmän IPsec VPN-felsökning.
Uteslut först Legacy Remote Access IPsec
Särskilt i äldre miljöer bör man först klargöra vilken IPsec-Remote-Access-variant som används. Denna artikel behandlar den aktuella Remote-Access-IPsec-konfigurationen med Sophos Connect och IPsec-profiler. Den är inte rätt start om Legacy Remote Access IPsec fortfarande finns eller om en uppgradering till SFOS 22.0 MR1 blockeras.
Praktisk avgränsning:
- Anslutningen kopplar från efter liknande tid, återupprättas sedan: fortsätt använda denna artikel.
- Uppgradering till SFOS 22.0 MR1 eller senare blockeras på grund av Legacy IPsec: Migrera Legacy Remote Access IPsec före SFOS 22 MR1
- Tunneln är ansluten, men interna mål är inte nåbara: Sophos Firewall IPsec VPN-felsökning
- Användare ska byta från IPsec till SSL VPN, ZTNA eller en annan modell: Sophos Connect eller SSL VPN: Vilken fjärråtkomstlösning passar?
Denna avgränsning är viktig eftersom en Key-Life-justering inte ersätter ett migrationskoncept. Om en gammal Legacy-konfiguration fortfarande finns på brandväggen bör den dokumenteras, ersättas och tas bort innan en större firmware-uppgradering.
Varför timeouten uppstår
Sophos Connect använder ett IPsec-profil för IPsec Remote Access. I många miljöer baseras detta på DefaultRemoteAccess. Där definieras livslängden för IKE Security Association. När denna livslängd uppnås måste anslutningen förhandlas om. Beroende på autentiseringsmetod och klientbeteende kan en ny OTP-inmatning behövas.
Det ofta nämnda tekniska värdet är ikekeylife. Ett värde på 18000 sekunder motsvarar fem timmar. I praktiken kan den nya förhandlingen bli synlig tidigare, vilket gör att användare ofta talar om ungefär fyra timmar.
Det är viktigt att fatta ett affärsmässigt beslut: Ett längre värde minskar återautentiseringar, men förlänger också livslängden för IKE-SA. Det är ett drift- och säkerhetsbeslut, inte bara en komfortinställning.
Kontrollera loggar
I Log Viewer eller i VPN-loggar kan meddelanden om ogiltiga SPI-värden dyka upp. Sådana poster kan indikera att en gammal eller utgången IKE-fas-1-session adresseras.
Exempel:
VPN 2023-12-12 06:33:48 IPSec Deny Received IKE message with invalid SPI (421B67D8) from the remote gateway. 18050
VPN 2022-12-12 06:33:47 IPSec Deny Received IKE message with invalid SPI (13B56627) from the remote gateway.18050
VPN 2022-12-12 06:33:46 IPSec Deny Received IKE message with invalid SPI (EDA41714) from the remote gateway.18050
Sådana poster bevisar inte hela orsaken. Man bör betrakta tidsstämplar, berörda användare, Sophos-Connect-status, autentiseringsmetod och profiländringar tillsammans. Vid återkommande VPN-problem hjälper det också att Säkra Sophos Firewall-loggar för support och analys och Sophos Firewall-felsökning: Tjänster och loggar.
Anpassa IPsec-profil via GUI
Den renare metoden är att inte arbeta direkt med standardprofilen, utan att klona profilen och medvetet använda det nya värdet för Remote Access.
Menypath är:
Configure > VPN > IPsec profiles
Förfarande:
- Öppna befintlig profil
DefaultRemoteAccess. - Klona profilen.
- Namnge den nya profilen tydligt, till exempel
RemoteAccess_OTP_10h. - Ställ in
Key lifeeller IKE-livslängd till önskat värde. - Spara.
- Välj den nya profilen i IPsec Remote Access-inställningarna.
- Exportera eller distribuera Sophos-Connect-konfigurationen på nytt.
- Testa med pilotanvändare.


Efter ändringen räcker det inte att bara spara brandväggen. De berörda Sophos-Connect-profilerna måste distribueras eller importeras på nytt. För klientdrift och versioner, se Kontrollera och uppdatera Sophos Connect Client-versionen säkert. För Windows-installationer, se Installera Sophos Connect Client på Windows, för macOS Installera Sophos Connect Client på macOS.
Beräkna värde för längre OTP-intervall
Om användare ungefär var n timme ska ange OTP igen, används ofta följande tumregel:
ikekeylife = (n + 1) * 3600
Exempel för cirka tio timmar:
ikekeylife = (10 + 1) * 3600
ikekeylife = 39600
Värdet bör inte sättas maximalt utan vidare. I produktiva miljöer bör man först klargöra:
- Vilken maximal sessionstid är acceptabel ur säkerhetssynpunkt?
- Passar värdet med arbetstider, skiftarbete och helpdesk-process?
- Används OTP, RADIUS-MFA, Entra ID SSO eller annan autentisering?
- Finns det efterlevnadskrav för återautentisering?
- Fungerar återanslutning med den aktuella Sophos-Connect-klienten pålitligt?
För MFA-grunder på brandväggen, se Aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och Remote Access. Om Microsoft Entra ID SSO används, bör även Konfigurera Microsoft Entra ID SSO för Sophos Connect och VPN Portal beaktas.
Varför direkt databasändring inte rekommenderas
Äldre runbooks innehåller ibland direkta ändringar i Advanced Shell eller SQL-kommandon mot brandväggens databas. För normal drift är detta inte rekommenderat.
Anledningar:
- Ingreppet kringgår den normala WebAdmin-valideringen.
- Felaktiga värden kan störa VPN-profiler eller Remote Access.
- Ändringar är svårare att spåra.
- Vid supportfall är en ren GUI-ändring lättare att förklara.
- Efter uppdateringar kan internt beteende ändras.
Därför bör man sätta värdet via en egen IPsec-profil i WebAdmin. Direkta databasändringar hör högst hemma i ett tydligt Sophos-supportsammanhang och inte i en vanlig admininstruktion.
Testa ändringen
Efter justeringen bör ett litet test med pilotanvändare genomföras.
Kontrollpunkter:
- Ny profil är vald i Remote Access IPsec.
- Sophos-Connect-konfigurationen har importerats på nytt.
- Anslutningen upprättas framgångsrikt.
- Interna mål är nåbara.
- DNS, routing och brandväggsregler fungerar.
- Återanslutning efter förväntad tid fungerar som planerat.
- VPN-loggar visar inga oväntade fel.
Om anslutningen upprättas men ingen trafik flödar, ligger problemet troligen hos rutter, brandväggsregler, NAT eller DNS. Då hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.
Typiska fel
- Standardprofil ändrad direkt: Andra fjärråtkomstscenarier kan påverkas oavsiktligt Klona profil och tilldela specifikt.
- Klientprofil inte omdistribuerad: Användare använder fortfarande gamla inställningar Exportera och importera Sophos-Connect-konfigurationen på nytt.
- För långt Key-Life-värde: Mindre återautentisering, men längre session Utvärdera säkerhets- och driftkrav tillsammans.
- Endast klient nyinstallerad: Brandväggsprofil förblir oförändrad Kontrollera brandväggsprofil och klientkonfiguration tillsammans.
- Loggar inte kontrollerade: Fel orsak antas Jämför tidsstämplar, användare, SPI-/IKE-loggar och MFA-beteende.
- Databas ändrad direkt: Risk för support- och konfigurationsproblem Använd GUI-profil.
Driftchecklista
- Registrera berörda användare och tidpunkter.
- Kontrollera om IPsec Remote Access används med Sophos Connect.
- Kontrollera VPN-loggar för IKE-, SPI- och omnycklingsindikationer.
- Identifiera använd IPsec-profil.
- Klona
DefaultRemoteAccessistället för att ändra direkt. - Fastställ mål för IKE Key Life affärsmässigt.
- Tilldela ny profil i Remote Access IPsec.
- Distribuera klientkonfiguration på nytt.
- Testa med pilotanvändare och informera helpdesk.
- Kontrollera efter några dagar om färre OTP-återanslutningsfall uppstår.