Clasificar de manera segura el cliente Sophos SSL VPN en el inicio automático
El antiguo cliente Sophos SSL VPN para Windows puede iniciarse automáticamente al iniciar sesión en Windows y conectar una configuración específica de OpenVPN. Esto es técnicamente posible, pero no debe confundirse con una recomendación estándar segura. Especialmente crítico es el inicio de sesión automático con un password.txt, ya que el nombre de usuario y la contraseña se almacenan en texto claro en el cliente.
Para nuevas configuraciones de acceso remoto, primero se debe verificar si Sophos Connect, los perfiles SSL-VPN actuales, MFA o Microsoft Entra ID SSO son más adecuados. Esta guía está destinada principalmente a entornos antiguos, clientes especiales o excepciones controladas donde todavía se utiliza el antiguo cliente SSL VPN.
Diferenciar entre inicio automático, conexión automática e inicio de sesión automático
Los tres términos a menudo se confunden, pero implican riesgos diferentes:
| Función | Significado | Riesgo |
|---|---|---|
| Inicio automático | El cliente VPN se inicia al iniciar sesión en Windows. | bajo a medio |
| Conexión automática | El cliente se inicia directamente con un archivo .ovpn específico. | medio |
| Inicio de sesión automático | El nombre de usuario y la contraseña se pasan automáticamente. | alto |
El inicio automático y la conexión automática pueden ser útiles en ciertos entornos si un dispositivo debe establecer una conexión inmediatamente después de iniciar sesión. El inicio de sesión automático es un caso especial. Una vez que la contraseña se almacena como un archivo en el cliente, la seguridad depende en gran medida del dispositivo Windows, el perfil de usuario, los permisos de archivo, los permisos de VPN y la protección contra robos.
⚠️ El inicio de sesión automático con
password.txtalmacena las credenciales en texto claro. No debe usarse para cuentas de usuario normales, administradores, dispositivos compartidos o perfiles VPN con amplios permisos.
Cuándo puede ser útil este enfoque
El enfoque de inicio automático puede ser útil como solución de transición si un cliente de Windows debe abrir automáticamente una conexión SSL-VPN conocida después de iniciar sesión y el entorno aún no se ha migrado a Sophos Connect u otro modelo de acceso remoto.
Casos típicos:
- un cliente de mantenimiento dedicado con permisos limitados
- un sistema de laboratorio o de prueba
- un dispositivo especial que necesita una conexión fija después de iniciar sesión
- un entorno antiguo donde Sophos Connect aún no se ha implementado
Este enfoque no es adecuado para dispositivos utilizados por varias personas, para accesos de administrador privilegiados, para clientes de Windows no cifrados o mal gestionados y para entornos donde se debe aplicar MFA de manera estricta.
Requisitos previos
Antes de implementar, deben estar claros estos puntos:
- El antiguo cliente Sophos SSL VPN está instalado en Windows.
- Hay una configuración
.ovpnfuncional disponible localmente. - El usuario de VPN afectado solo tiene los accesos realmente necesarios.
- El dispositivo Windows está gestionado, cifrado y protegido contra accesos locales no autorizados.
- Está documentado por qué se necesita la conexión automática o el inicio de sesión automático.
- Para el uso productivo, existe un plan de reversión.
Si el cliente aún no está instalado, la guía Cliente Sophos SSL VPN en Windows con SFOS puede ser útil. Para versiones actuales del cliente, también es relevante Verificar y actualizar de manera segura la versión del cliente Sophos Connect.
Desactivar la entrada de inicio automático existente
El antiguo cliente SSL VPN a menudo crea una entrada de inicio automático durante la instalación. Si se utiliza una línea de inicio automático propia con parámetros, primero se debe desactivar la entrada existente para evitar que el cliente se inicie dos veces.

- Abrir el Administrador de tareas.
- Cambiar a la pestaña Inicio o Autostart.
- Seleccionar SSL VPN Client for Windows.
- Desactivar la entrada.
En versiones antiguas de Windows, la carpeta clásica de inicio automático también puede ser relevante. En entornos gestionados, también se debe verificar si un proceso de distribución de software o GPO restaura la entrada más tarde.
Preparar el comando para la conexión automática
Para la conexión automática, se inicia openvpn-gui.exe con la ruta al directorio de configuración y el nombre del archivo .ovpn deseado.
Esquema:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn
Dependiendo de la instalación de Windows y del cliente, las rutas pueden variar:
| Componente | Ruta típica |
|---|---|
openvpn-gui.exe en Windows de 64 bits | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
openvpn-gui.exe en Windows de 32 bits | C:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
| Directorio de configuración en Windows de 64 bits | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\ |
| Directorio de configuración en Windows de 32 bits | C:\Program Files\Sophos\Sophos SSL VPN Client\config\ |

Ejemplo:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn
Es importante el nombre exacto del archivo .ovpn. Si hay espacios o caracteres especiales en el nombre del archivo, el comando debe probarse con especial cuidado. En muchos entornos, un nombre de perfil corto sin espacios es más fácil de mantener.
Crear entrada de inicio automático en el registro
La entrada se puede agregar en Run bajo el usuario actual de Windows. Esto hace que el cliente se inicie al iniciar sesión este usuario, no a nivel del sistema antes de cada inicio de sesión de usuario.

- Abrir el Editor del registro.
- Navegar a esta ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Crear un nuevo Valor de cadena en la columna derecha.
- Asignar un nombre único, por ejemplo,
sophos-ssl-vpn. - Insertar el comando
openvpn-gui.exepreparado como valor. - Cerrar sesión y volver a iniciar sesión en Windows.
- Verificar si el cliente se inicia y selecciona la conexión deseada.
Si solo se necesita el inicio automático y la conexión automática, se debe detener aquí. En este estado, el usuario aún debe ingresar la contraseña de VPN. Desde el punto de vista de la seguridad, esta suele ser la mejor opción.
Usar el inicio de sesión automático solo como excepción
El inicio de sesión automático en el antiguo cliente basado en OpenVPN se controla mediante la línea auth-user-pass en el archivo .ovpn. Si se especifica un archivo allí, el cliente lee el nombre de usuario y la contraseña de ese archivo.
Ejemplo en el archivo .ovpn:
auth-user-pass password.txt
El archivo password.txt se encuentra en la misma carpeta que el archivo .ovpn y contiene dos líneas:
supportuser
MuySecretaContraseña
Este método es técnicamente simple, pero débil en términos de seguridad. Quien tenga acceso al archivo tiene las credenciales de acceso VPN. Por lo tanto, esta variante solo debe usarse si el riesgo se acepta y limita conscientemente.
Controles mínimos para una excepción:
- usuario de VPN propio solo para este propósito
- sin credenciales de administrador o administrador compartido
- política de VPN y reglas de firewall fuertemente limitadas
- sin acceso a redes de gestión, controladores de dominio o sistemas de respaldo, a menos que sea absolutamente necesario
- dispositivo Windows con BitLocker o cifrado comparable
- sin usuarios estándar locales con acceso al archivo
- fecha de vencimiento o revisión documentada para la excepción
Configurar el inicio de sesión automático
Si se necesita el inicio de sesión automático a pesar del riesgo, el cambio debe documentarse y probarse adecuadamente.
- Iniciar el editor como administrador.
- Abrir el archivo
.ovpnutilizado en el directorio de configuración de Sophos SSL VPN. - Buscar la línea
auth-user-pass. - Cambiar la línea a
auth-user-pass password.txt. - Crear un archivo
password.txten la misma carpeta. - Ingresar el nombre de usuario en la primera línea.
- Ingresar la contraseña en la segunda línea.
- Guardar el archivo.
- Verificar los permisos del archivo y eliminar accesos innecesarios.
- Volver a iniciar sesión en Windows y probar la conexión VPN.
Después de la prueba, se debe verificar si el usuario de VPN solo alcanza los objetivos previstos. Si el perfil permite redes internas demasiado amplias, un atajo de comodidad puede convertirse rápidamente en un acceso de seguridad innecesariamente grande.
Validación después de la configuración
Después de la configuración, no basta con mirar solo el símbolo verde de VPN. Es importante verificar si se ha establecido exactamente la conexión esperada y si los permisos son correctos.
Verificar:
- ¿El cliente se inicia solo una vez?
- ¿Se utiliza el archivo
.ovpncorrecto? - ¿La conexión se establece solo después de iniciar sesión en Windows?
- ¿Funcionan la resolución DNS y los sistemas de destino internos?
- ¿La regla de acceso remoto esperada se aplica en el firewall?
- ¿Son visibles en el Log Viewer los eventos de usuario y VPN esperados?
- ¿El usuario de VPN solo puede acceder a las redes necesarias?
Para problemas de conexión después de un inicio de sesión exitoso, ayudan Probar regla de firewall con Log Viewer, Policy Test y Packet Capture y Solución de problemas de Sophos Firewall: Servicios y registros. Si solo algunas aplicaciones se bloquean a través de VPN, también se debe verificar MTU y MSS en problemas de VPN.
Errores típicos
| Síntoma | Causa probable | Verificación |
|---|---|---|
| El cliente no se inicia | Ruta del registro o comando incorrecto | Verificar entrada Run y rutas |
| El cliente se inicia dos veces | Entrada de inicio automático antigua aún activa | Verificar Administrador de tareas y carpeta de inicio automático |
| No se encuentra el perfil | Nombre de archivo incorrecto o config_dir incorrecto | Comparar nombre de .ovpn exactamente |
| Se sigue solicitando la contraseña | auth-user-pass password.txt no está en el archivo OVPN activo | Verificar perfil utilizado y ruta del archivo |
| El inicio de sesión funciona, pero los objetivos internos no son accesibles | La política de VPN, regla de firewall, DNS o enrutamiento no son correctos | Verificar Log Viewer, regla de firewall y DNS |
| El inicio de sesión automático no funciona después de cambiar la contraseña | password.txt contiene la contraseña antigua | Actualizar archivo de contraseña o eliminar inicio de sesión automático |
Reversión
Si ya no se necesita el inicio de sesión automático, debe eliminarse por completo.
- Eliminar o desactivar la entrada del registro en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. - Cambiar
auth-user-pass password.txtaauth-user-passen el archivo.ovpn. - Eliminar
password.txt. - Cambiar la contraseña de VPN del usuario afectado.
- Verificar en el firewall si el usuario o la regla aún son necesarios.
Si las credenciales se almacenaron en texto claro durante mucho tiempo, no solo se debe eliminar el archivo. La contraseña debe cambiarse y el acceso debe verificarse en los registros.
Lista de verificación
- Inicio automático sin inicio de sesión automático verificado.
- Evaluado un mejor modelo de acceso remoto como Sophos Connect, MFA o Entra ID SSO.
- Usuario de VPN dedicado utilizado si es necesario el inicio de sesión automático.
- Reglas de VPN y firewall limitadas al mínimo.
password.txtno utilizado para cuentas de administrador o compartidas.- Dispositivo Windows está cifrado y gestionado.
- Log Viewer muestra los eventos de VPN esperados.
- Reversión y fecha de revisión documentadas.
Preguntas frecuentes
¿Es seguro el inicio de sesión automático con el cliente Sophos SSL VPN?
password.txt almacena el nombre de usuario y la contraseña en texto claro. Esto puede aceptarse en casos especiales muy limitados, pero no debe usarse para accesos de usuario o administrador normales.¿Se puede iniciar automáticamente el cliente Sophos SSL VPN sin guardar la contraseña?
--connect con una configuración específica. Luego, el usuario debe seguir ingresando la contraseña.