Sophos Connect Client Version prüfen und sicher aktualisieren
Sophos Connect ist bei vielen Sophos-Firewall-Umgebungen der wichtigste Client für Remote Access. Trotzdem wird die Clientversion im Alltag oft weniger bewusst gepflegt als die Firewall-Firmware. Das führt zu unnötigen Supportfällen: Verbindungen bauen nicht auf, DNS funktioniert auf macOS nicht sauber, SSO zeigt einen falschen Status oder Benutzer werden bei OTP-Reconnects anders gefragt als erwartet.
Der Artikel erklärt, wie man Sophos Connect Versionen prüft, Updates plant und nach dem Update validiert. Er ersetzt nicht die Installationsanleitungen für Windows oder macOS, sondern ergänzt sie um den Betrieb und die Aktualisierung des Clients.
Für die grundsätzliche Entscheidung zwischen IPsec, SSL VPN, mobilen Clients und ZTNA passt zuerst Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt?.
Wann ein Update geprüft werden sollte
Ein Sophos-Connect-Update sollte nicht nur bei akuten Fehlern geprüft werden. Gerade bei Remote Access hängt die Clientversion direkt mit Plattformunterstützung, VPN-Protokoll, MFA, SSO und Profilimport zusammen.
Typische Auslöser:
- neue Windows- oder macOS-Versionen im Unternehmen
- Umstieg von IPsec auf SSL VPN oder umgekehrt
- Einsatz von Windows ARM
- Einführung von Microsoft Entra ID SSO
- Wechsel auf Sophos Connect mit SSL VPN auf macOS
- wiederkehrende Reconnect-, DNS- oder OTP-Probleme
- Verteilung neuer
.scx,.tgb,.ovpnoder.proDateien - grössere Firewall-Updates, zum Beispiel auf SFOS 22 oder neuer
Wenn Remote Access geschäftskritisch ist, sollte der Client nicht nebenbei aktualisiert werden. Besser ist ein kleiner Pilot mit klarer Testliste, bevor die Version breit verteilt wird.
Aktuelle Versionspunkte einordnen
Stand 20. Juni 2026 ist Sophos Connect 2.5 MR1 die aktuelle Version in den offiziellen Sophos Connect Release Notes. Als Release-Datum ist der 18. Juni 2026 dokumentiert.
Wichtige Punkte aus den aktuellen Release Notes:
| Version | Relevanz für Admins |
|---|---|
| Sophos Connect 2.5 MR1 | behebt mehrere praktische Probleme rund um Windows-Autostart, SSO-Status, OTP-Reconnect und SSL-VPN-Provisioning |
| Sophos Connect 2.5 | unterstützt Windows ARM und setzt bei aktuellen Windows-Clients auf 64-Bit-Windows 10 oder 11 |
| Sophos Connect 2.4 | bringt Microsoft Entra ID SSO für Sophos Connect auf Windows mit SFOS 21.5 oder neuer |
| Sophos Connect 2.0 für macOS | unterstützt Remote Access SSL VPN auf macOS |
| Sophos Connect 2.0 MR1 für macOS | behebt unter anderem DNS-Probleme bei SSL VPN und stellt das Speichern von Zugangsdaten für SSL VPN wieder bereit |
Diese Tabelle ist keine komplette Release-Historie. Gezeigt werden die Punkte, die in der Praxis bei Sophos-Firewall-Admins besonders häufig zu Rollout- oder Supportfragen führen.
Unterstützte Plattformen prüfen
Vor einem Update sollte man nicht nur die neueste Version herunterladen. Zuerst muss klar sein, welche Plattformen und Profile in der Umgebung vorhanden sind.
Windows
Für aktuelle Sophos-Connect-Versionen sollte man mit Windows 10 oder Windows 11 planen. Windows ARM wird ab Sophos Connect 2.5 unterstützt. Wenn noch alte 32-Bit-Windows-Installationen im Einsatz sind, sollte nicht blind auf die aktuelle Clientlinie gewechselt werden, sondern zuerst geprüft werden, ob diese Geräte überhaupt noch als unterstützte Remote-Access-Plattform betrieben werden sollen.
Für Entra ID SSO mit Sophos Connect nennt Sophos Windows-Geräte mit Sophos Connect 2.4 oder neuer. Die Identity-Konfiguration auf der Firewall ist im Artikel Microsoft Entra ID SSO für Sophos Connect und VPN Portal einrichten beschrieben.
macOS
Auf macOS ist besonders wichtig, welches Protokoll verwendet wird. IPsec wird von Sophos Connect schon länger unterstützt. SSL VPN über Sophos Connect auf macOS ist dagegen erst ab Sophos Connect 2.0 relevant.
Für Sophos Connect 2.0 und neuer nennt Sophos macOS Ventura 13 oder neuer, sowohl für Intel-Macs als auch für Apple Silicon über Rosetta 2. Wenn ältere macOS-Versionen im Einsatz sind, sollte man vor dem Rollout prüfen, ob die betroffenen Geräte aktualisiert oder anders angebunden werden müssen.
Mobile Plattformen
Sophos Connect ist nicht der Client für iOS und Android. Für mobile Plattformen werden je nach Remote-Access-Design Betriebssystemfunktionen oder OpenVPN-kompatible Apps verwendet. Die Entscheidung zwischen Sophos Connect, SSL VPN, OpenVPN-Clients und ZTNA ist in Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt? zusammengefasst.
VPN-Profiltyp vor dem Update klären
Viele Fehler entstehen nicht durch den Client selbst, sondern durch alte oder falsche Profile. Vor einem Update sollte dokumentiert werden, welche Verbindungsarten verteilt sind:
| Profiltyp | Typische Datei | Hinweis |
|---|---|---|
| IPsec Remote Access | .scx oder .tgb | Profil muss zur Firewall-Konfiguration und Benutzergruppe passen |
| SSL VPN | .ovpn | Zertifikat, Benutzerberechtigung und DNS-Einstellungen prüfen |
| Provisioning | .pro | automatische Bereitstellung, aber abhängig von Gateway, Portal und Clientunterstützung |
Nach Änderungen an VPN-Portal, Gateway, Zertifikaten, Entra SSO, Benutzergruppen, IP-Pools oder DNS sollte man davon ausgehen, dass Profile neu importiert oder neu verteilt werden müssen. Alte Profile im Umlauf sind eine der häufigsten Ursachen für schwer nachvollziehbare Remote-Access-Probleme.
Für die firewallseitige IPsec-Grundkonfiguration passt Sophos Connect auf Sophos Firewall konfigurieren. Für SSL VPN ist Sophos Firewall SSL VPN Remote Access einrichten der passendere Einstieg.
Update sauber vorbereiten
Ein kontrolliertes Sophos-Connect-Update besteht aus mehr als dem neuen Installer.
Vor dem Rollout prüfen:
- Welche Sophos-Connect-Version ist aktuell installiert?
- Welche Betriebssysteme sind betroffen?
- Werden IPsec, SSL VPN oder beide Protokolle verwendet?
- Werden
.proProvisioning-Dateien eingesetzt? - Gibt es Entra SSO, RADIUS, AD oder lokale Benutzer?
- Ist MFA aktiv, und wie verhält sich der Client bei Reconnects?
- Gibt es bekannte Benutzer mit Sonderzeichen in Benutzernamen, Passwörtern oder Zertifikaten?
- Sind alte Profile noch im Umlauf?
- Gibt es eine Pilotgruppe und einen Rückfallweg?
Bei verwalteten Clients sollte die Version über die normale Softwareverteilung gesteuert werden. Einzelne manuelle Updates durch Benutzer sind nur dann sinnvoll, wenn der Supportprozess dafür vorbereitet ist.
Empfohlener Ablauf
1. Ist-Zustand aufnehmen
Zuerst sollte man die vorhandenen Clientversionen erfassen. In kleinen Umgebungen reicht oft eine manuelle Prüfung auf wenigen Geräten. In grösseren Umgebungen sollte die Softwareverteilung oder das Endpoint-Management die installierten Versionen auswerten.
Zusätzlich dokumentieren:
- verwendete Verbindung pro Benutzergruppe
- IPsec oder SSL VPN
- Profilquelle: Firewall-Export, VPN Portal oder Provisioning-Datei
- Authentifizierung: lokal, AD, RADIUS, Entra ID SSO
- MFA-Verhalten
- bekannte Sonderfälle wie Windows ARM oder Apple Silicon
2. Testgruppe definieren
Die Testgruppe sollte nicht nur aus IT-Admins bestehen. Sinnvoll sind ein bis drei normale Benutzer mit typischem Remote-Access-Profil und mindestens ein Gerät pro Plattform, die produktiv vorkommt.
Mindestens testen:
- Windows 10 oder 11 mit Standardprofil
- Windows ARM, falls vorhanden
- macOS mit IPsec, falls vorhanden
- macOS mit SSL VPN, falls vorhanden
- Entra SSO, falls verwendet
- OTP/MFA-Reconnect, falls verwendet
3. Client aktualisieren
Den aktuellen Installer aus der freigegebenen Quelle installieren. In vielen SFOS-Umgebungen wird Sophos Connect über Firewall-Pattern-Updates bereitgestellt oder über die Sophos-Downloadseite bezogen. Entscheidend ist, dass intern klar ist, welche Version freigegeben wurde.
Nach der Installation:
- Sophos Connect öffnen.
- Version prüfen.
- Bestehende Verbindung anzeigen.
- Verbindung testen.
- Bei Profil- oder SSO-Änderungen die Verbindung neu importieren.
4. Verbindung neu importieren, wenn nötig
Ein Clientupdate allein aktualisiert nicht automatisch jedes VPN-Profil. Wenn sich die Firewall-Konfiguration, das Gateway, DNS, Zertifikate, SSO oder die Provisioning-Datei geändert haben, sollte die Verbindung bewusst neu importiert werden.
Bei macOS ist das besonders wichtig, wenn die Option zum Speichern von Zugangsdaten für SSL VPN nach einem Update genutzt werden soll. Sophos weist bei Sophos Connect 2.0 MR1 darauf hin, dass die Konfigurationsdatei nach dem Upgrade erneut importiert werden muss, damit diese Option verwendet werden kann.
5. Nach dem Update validieren
Ein grüner Verbindungsstatus reicht nicht. Nach dem Update sollte man prüfen, ob Remote Access wirklich wie geplant funktioniert.
Prüfliste:
- Verbindung wird aufgebaut.
- MFA oder SSO wird wie erwartet abgefragt.
- Client erhält die richtige VPN-IP.
- Interne DNS-Namen werden aufgelöst.
- Zentrale interne Systeme sind erreichbar.
- Firewall-Regel in der
VPN-Zone wird im Log Viewer getroffen. - Split Tunnel oder Full Tunnel verhält sich wie dokumentiert.
- Reconnect nach Netzwerkwechsel funktioniert.
- Abmeldung und erneute Anmeldung funktionieren.
- Helpdesk weiss, welche neue Version freigegeben ist.
Wenn die Verbindung steht, aber kein Traffic fliesst, ist häufig nicht der Client die Ursache. Dann helfen Sophos Firewall IPsec VPN Troubleshooting und Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.
Typische Fehler nach Updates
Sophos Connect startet nicht automatisch
Bei Sophos Connect 2.5 MR1 ist ein Autostart-Problem für zusätzliche Windows-Benutzer behoben, wenn der Client durch einen anderen Benutzer installiert wurde. Wenn solche Fälle auftreten, sollte zuerst geprüft werden, ob tatsächlich die aktuelle Version installiert ist und wie die Softwareverteilung den Client installiert.
SSO-Status ist nach Internetunterbruch falsch
Bei Entra-SSO-Umgebungen kann ein Internetunterbruch zu irritierenden Statusanzeigen führen. Sophos Connect 2.5 MR1 enthält dazu eine Korrektur für SSO-Benutzer. Zusätzlich sollte geprüft werden, ob die Firewall auf einer passenden SFOS-Version läuft und die SSO-Konfiguration unter Authentication > Services sauber gesetzt ist.
OTP wird beim Reconnect unterschiedlich abgefragt
Wenn Benutzer mit klassischer MFA oder OTP arbeiten, sollte das Reconnect-Verhalten nach einem Update getestet werden. Sophos Connect 2.5 MR1 behebt einen Unterschied bei der Login-Verifikation zwischen IPsec und SSL VPN für Credential-Benutzer mit OTP.
Für die allgemeine Planung von Sophos-Firewall-MFA passt MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren.
SSL VPN mit Provisioning-Datei verbindet nicht
Für 2.5 MR1 ist ein Fix für SSO-Benutzer enthalten, die mit SSL VPN und Provisioning-Datei keine Verbindung aufbauen konnten, wenn Zertifikate Sonderzeichen enthielten. In solchen Fällen sollte man nicht nur den Client aktualisieren, sondern auch Zertifikatsnamen, Profilimport und Provisioning-Datei prüfen.
Interne DNS-Namen funktionieren auf macOS nicht
Bei macOS und SSL VPN sollte die Version besonders genau geprüft werden. Sophos Connect 2.0 MR1 behebt ein Problem, bei dem DNS-Einstellungen für SSL-VPN-Verbindungen nicht angewendet wurden und interne FQDNs dadurch nicht aufgelöst wurden.
Wenn DNS nach dem Update weiterhin nicht funktioniert, sollte man DNS-Server, Suchdomains, Firewall-Regeln und die tatsächlich importierte .ovpn-Konfiguration prüfen.
Betriebsempfehlung
Sophos Connect sollte wie andere sicherheitsrelevante Clientsoftware behandelt werden: mit Versionstracking, Pilotgruppe, dokumentiertem Rollout und Supportpfad.
In der Praxis haben sich diese Regeln bewährt:
- Eine freigegebene Zielversion definieren.
- Alte Installationspakete aus internen Downloadordnern entfernen.
- VPN-Profile versionieren oder eindeutig benennen.
- Nach Profiländerungen eine Neuverteilung erzwingen.
- Windows, macOS, SSO und OTP getrennt testen.
- Bekannte Fehler und Zielversion im Helpdesk dokumentieren.
- Nach grösseren Firewall-Updates auch den Clientstand prüfen.
Wichtig ist die Trennung von Clientproblem und Firewallproblem. Ein Update des Sophos Connect Clients löst keine fehlenden Firewall-Regeln, falschen VPN-Pools, abgelaufenen Zertifikate oder defekten Rückrouten. Deshalb gehört zur Prüfung immer auch ein Blick auf Log Viewer, Packet Capture und die betroffenen Remote-Access-Regeln.
Checkliste
Vor dem Update
- Installierte Sophos-Connect-Versionen erfasst.
- Unterstützte Betriebssysteme geprüft.
- IPsec-, SSL-VPN- und Provisioning-Profile dokumentiert.
- Entra SSO, RADIUS, AD oder lokale Authentifizierung geprüft.
- MFA/OTP-Verhalten bekannt.
- Pilotgruppe definiert.
- Rückfallweg dokumentiert.
Während des Updates
- Client aus freigegebener Quelle installiert.
- Version nach Installation geprüft.
- Verbindung neu importiert, falls Profil oder SSO betroffen ist.
- Windows und macOS separat getestet.
- Reconnect und Netzwerkwechsel getestet.
Nach dem Update
- DNS, interne Ziele und Firewall-Regel-Match geprüft.
- Helpdesk über Zielversion und bekannte Änderungen informiert.
- Alte Profile und Installationspakete entfernt oder klar markiert.
- Auffälligkeiten aus Log Viewer und Benutzerfeedback dokumentiert.