Zum Inhalt springen
Avanet

Sophos Firewall User-ID-Limit und VPN-Portal-Downloads prüfen

Sophos Firewall

Wenn Benutzer im VPN Portal keine .ovpn-Konfiguration herunterladen können oder einzelne Portal- und Authentifizierungsfunktionen unerwartet fehlschlagen, denkt man meistens zuerst an SSL VPN, Gruppenmitgliedschaft, MFA oder ein Zertifikatproblem. Das ist oft richtig. Es gibt aber einen weniger offensichtlichen Punkt: die internen User IDs der Sophos Firewall.

Sophos Firewall verwendet ein Limit von 65'535 User IDs, die sich Benutzer und Gruppen teilen. Benutzer können zwar über dieses Limit hinaus angelegt werden, aber Benutzer mit einer höheren zugewiesenen ID können funktionale Probleme bekommen. Ein typisches Beispiel sind .ovpn-Konfigurationsdateien, die sich aus dem VPN Portal nicht mehr herunterladen lassen.

Dieser Artikel hilft, das Thema einzuordnen, ohne vorschnell Benutzer zu löschen oder die VPN-Konfiguration umzubauen.

Wann dieses Problem verdächtig ist

Das User-ID-Limit ist kein Standardfehler in kleinen Umgebungen. Relevant wird es vor allem, wenn über Jahre viele Benutzer, Gruppen oder externe Verzeichnisobjekte auf der Firewall entstanden sind.

Typische Hinweise:

  • Ein Benutzer kann sich am VPN Portal anmelden, aber die .ovpn-Datei nicht herunterladen.
  • Nur einzelne Benutzer sind betroffen, andere Benutzer mit gleicher VPN-Konfiguration nicht.
  • Die SSL-VPN-Policy, Gruppenmitgliedschaft und MFA wirken korrekt.
  • In Authentication > Users sind sehr viele Benutzer vorhanden.
  • Es wurden über lange Zeit AD-, LDAP-, RADIUS- oder Entra-ID-Anmeldungen verwendet.
  • Alte Benutzer oder Gruppen wurden nie bereinigt.
  • Ein Problem tritt nach Migration, Verzeichnisumbau oder vielen Testbenutzern auf.

Wenn der VPN-Tunnel aufgebaut wird, aber danach kein Traffic fliesst, ist das ein anderes Fehlerbild. Dann sind DNS, Firewall-Regeln, Routing, NAT oder Rückweg wahrscheinlicher. Für diesen Ablauf passt Sophos SSL VPN mit Sophos Connect auf Windows einrichten oder die jeweilige Plattformanleitung.

Was User IDs auf der Sophos Firewall sind

Die Sophos Firewall verwaltet Benutzer und Gruppen intern mit IDs. Diese IDs sind nicht dasselbe wie ein Active-Directory-SID, eine Entra Object ID oder ein Benutzername, sondern eine interne Zuordnung der Firewall.

Wichtig ist:

  • Das Limit gilt gemeinsam für Benutzer und Gruppen.
  • Externe Verzeichnisbenutzer erscheinen nicht zwingend sofort als lokale Benutzer.
  • Benutzer aus externen Verzeichnissen tauchen unter Authentication > Users oft erst auf, wenn sie sich an einem Firewall-Dienst anmelden, zum Beispiel User Portal oder VPN Portal.
  • Gelöschte oder inaktive Benutzer und Gruppen sollten regelmässig bereinigt werden, damit IDs wiederverwendet werden können.

In Umgebungen mit Active Directory sollte die AD-Anbindung selbst zuerst sauber sein. Der Ablauf steht in Active Directory mit Sophos Firewall verbinden. Wenn Benutzer transparent über Windows-Logons erkannt werden, ist zusätzlich STAS auf Sophos Firewall einrichten relevant.

Vor dem Löschen prüfen

Benutzer- und Gruppenbereinigung ist ein administrativer Eingriff. Vorher sollte klar sein, welche Objekte wirklich nicht mehr gebraucht werden.

Prüfen sollte man:

BereichWarum wichtig
Remote AccessBenutzer oder Gruppen können in SSL-VPN- oder IPsec-Policies verwendet werden
Firewall-RegelnBenutzer- oder Gruppenobjekte können in Regeln referenziert sein
User Portal und VPN PortalPortalberechtigungen hängen oft an Gruppen
MFA und OTPGelöschte Benutzer verlieren unter Umständen Token-Zuordnungen
ReportingHistorische Auswertungen können Benutzernamen weiterhin enthalten
Externe VerzeichnisseBenutzer können beim nächsten Login wieder auftauchen, wenn sie weiterhin berechtigt sind

⚠️ Benutzer und Gruppen sollten nicht blind gelöscht werden, nur weil viele Einträge vorhanden sind. Zuerst prüfen, ob das Objekt noch in Policies, Regeln, Portalzugriffen oder Authentifizierungsabläufen verwendet wird.

Systematisch eingrenzen

1. Betroffenen Benutzer vergleichen

Zuerst sollte man einen funktionierenden und einen betroffenen Benutzer vergleichen:

  • gleicher Authentifizierungsserver
  • gleiche VPN- oder Portalgruppe
  • gleiche MFA-Anforderung
  • gleiche SSL-VPN-Policy
  • gleicher Zugriff auf das VPN Portal
  • gleicher Client- und Browserpfad

Wenn nur ein neuer oder selten verwendeter Benutzer betroffen ist, während ältere Benutzer funktionieren, wird die interne User-ID-Zuordnung interessanter.

2. Benutzerliste prüfen

Im WebAdmin:

Authentication > Users

Dort sollte man prüfen:

  • Wie viele Benutzer sind sichtbar?
  • Gibt es viele alte lokale Benutzer?
  • Gibt es Testkonten, ehemalige Mitarbeitende oder technische Konten ohne Zweck?
  • Werden Benutzer aus externen Verzeichnissen automatisch bei Portal-Logins erzeugt?
  • Sind Gruppen importiert, die auf der Firewall gar nicht verwendet werden?

Je nach Umgebung kann auch ein Export oder eine dokumentierte Liste helfen, damit Bereinigungen nicht aus dem Bauch heraus passieren.

3. Gruppenimport begrenzen

Viele Probleme entstehen nicht durch einzelne Benutzer, sondern durch zu breite Gruppenimporte. Wenn aus Active Directory oder einem anderen Verzeichnis sehr viele Gruppen importiert werden, landen schnell Objekte auf der Firewall, die für Regeln, VPN oder Portal nie gebraucht werden.

Unter:

Authentication > Servers

sollte man prüfen, welche externen Server angebunden sind und welche Gruppen importiert wurden. Für Firewall- und VPN-Zwecke reicht meistens eine kleine Zahl klar benannter Gruppen, zum Beispiel für Remote Access, Adminzugriff oder Benutzerregeln.

4. Inaktive Objekte bereinigen

Wenn klar ist, welche Benutzer oder Gruppen nicht mehr gebraucht werden, kann die Bereinigung geplant werden.

Sinnvoller Ablauf:

  1. Betroffene Benutzer, Gruppen und Policies dokumentieren.
  2. Alte lokale Testbenutzer und nicht mehr benötigte Gruppen identifizieren.
  3. Vor dem Löschen prüfen, ob Objekte in Firewall-Regeln, VPN-Policies oder Portalzugriffen verwendet werden.
  4. Kleine Bereinigung durchführen, nicht hunderte Objekte ohne Kontrolle löschen.
  5. Mit einem betroffenen Benutzer erneut am VPN Portal testen.
  6. Ergebnis dokumentieren.

Wenn externe Verzeichnisbenutzer beim nächsten Login wieder erzeugt werden, muss die Quelle angepasst werden. Sonst wird die Firewall nur kurzfristig bereinigt.

VPN-Portal-Download separat prüfen

Das User-ID-Limit ist nur eine mögliche Ursache. Für .ovpn-Downloadprobleme sollte man zusätzlich die normalen Remote-Access-Punkte prüfen:

  • Benutzer darf SSL VPN verwenden.
  • Benutzer ist Mitglied der richtigen Gruppe.
  • VPN Portal ist über Administration > Device access erreichbar.
  • MFA oder OTP funktioniert.
  • Zertifikat des Portals ist vertrauenswürdig.
  • SSL-VPN-Konfiguration ist aktuell.
  • Browser blockiert den Download nicht.
  • Der Benutzer lädt die aktuelle Datei herunter, nicht eine alte Kopie.

Für die Einordnung von User Portal, VPN Portal und anderen Sophos-Zugängen hilft Sophos Portale: SophosID, Central, Support und Firewall-Zugänge. Für die Härtung der Portalzugriffe passt Device Access und Local Service ACL auf Sophos Firewall.

Wenn Entra ID SSO beteiligt ist

Bei Microsoft Entra ID SSO sollte man das User-ID-Thema nicht mit Conditional Access, OAuth oder Redirect-URI-Fehlern vermischen. Wenn Anmeldung, Redirect und MFA bereits scheitern, liegt das Problem wahrscheinlich vor dem eigentlichen VPN-Download.

Eine saubere Abgrenzung spart viel Zeit:

BeobachtungZuerst prüfen
Login, Redirect oder MFA scheitertEntra-App, Redirect URI, Client Secret, Conditional Access, Zertifikat, Uhrzeit und oauth_sso_vpn.log
Login funktioniert, aber der Benutzer darf Remote Access nicht nutzenimportierte Entra-Gruppe, Allowed users and groups, SSL-VPN-Policy oder IPsec-Remote-Access-Berechtigung
Login funktioniert, aber nur bestimmte Portal- oder Downloadfunktionen scheiterninternes Benutzerobjekt, User ID, Portalberechtigung und Browserpfad vergleichen
Tunnel verbindet, aber interne Ziele sind nicht erreichbarFirewall-Regel, Routing, DNS, NAT und VPN-Pool prüfen

Erst wenn die Anmeldung grundsätzlich funktioniert, aber bestimmte Portal- oder Downloadfunktionen fehlschlagen, lohnt sich der Blick auf interne Benutzerobjekte und User IDs. Die Entra-spezifische Einrichtung steht in Microsoft Entra ID SSO für Sophos Connect und VPN Portal einrichten.

Praktisch sollte man einen betroffenen Benutzer mit einem funktionierenden Benutzer vergleichen: gleiche Entra-Gruppe, gleiche Remote-Access-Policy, gleiche Portal-Anmeldung, gleicher Clientweg und gleiche Berechtigung auf der Firewall. Wenn UPN, E-Mail-Adresse oder Gruppen-Mapping nicht zusammenpassen, wird zuerst die Entra-SSO-Spur bereinigt. Wenn diese Punkte passen und nur der .ovpn-Download oder eine Portalaktion ausfällt, wird das interne User-ID-Thema plausibler.

Wichtig ist auch die Bereinigung: Entra-Benutzer oder importierte Gruppen sollten nicht blind gelöscht werden, wenn sie weiterhin für Remote Access zugelassen sind. Sonst entstehen sie beim nächsten Portal-Login oder beim nächsten Gruppenimport wieder. Besser ist, zuerst die erlaubten Gruppen sauber einzugrenzen und danach nur wirklich nicht mehr benötigte Firewall-Objekte zu entfernen. Für Profil- und Provisioning-Themen passt ergänzend Sophos Connect auf Sophos Firewall konfigurieren.

Betriebsempfehlung

Für grössere Umgebungen sollte Benutzerhygiene Teil des Firewall-Betriebs sein:

  • Nur benötigte AD-/LDAP-/Entra-Gruppen auf die Firewall bringen.
  • Ehemalige lokale Benutzer regelmässig entfernen.
  • Testkonten nach Projekten löschen.
  • Gruppenmitgliedschaften für Remote Access regelmässig prüfen.
  • Dokumentieren, welche Gruppen für VPN, Firewall-Regeln und Portale produktiv verwendet werden.
  • Nach Verzeichnisumbauten einen kurzen Authentifizierungs- und VPN-Portal-Test einplanen.

Das Ziel ist nicht, die Firewall als vollständiges Identity-Management-System zu verwenden. Die Firewall sollte nur die Identitäten kennen, die sie für Policies, Portale, VPN und Reporting wirklich braucht.

Troubleshooting-Checkliste

SymptomWahrscheinliche Richtung
Nur ein Benutzer kann .ovpn nicht herunterladenBerechtigung, MFA, Benutzerobjekt oder User ID prüfen
Alle Benutzer können nichts herunterladenVPN Portal, Zertifikat, Device Access oder SSL-VPN-Konfiguration prüfen
Login ins VPN Portal scheitert schon vorherAuthentifizierungsserver, Passwort, MFA, Gruppen oder Portalzugriff prüfen
Login geht, Download geht nichtBenutzerobjekt, Browser, Portalrechte und User-ID-Limit prüfen
Benutzer erscheint nicht unter Authentication > UsersBenutzer hat sich eventuell noch nie an einem Firewall-Dienst angemeldet
Viele alte Benutzer sichtbarBereinigung planen und Gruppenimport begrenzen

FAQ

Was ist das Sophos Firewall User-ID-Limit?

Sophos Firewall verwendet ein Limit von 65'535 User IDs, die sich Benutzer und Gruppen teilen. Benutzer mit höheren IDs können funktionale Probleme bekommen.

Kann das Limit den OVPN-Download im VPN Portal verhindern?

Ja. Ausdrücklich dokumentiert ist, dass Benutzer mit einer zu hohen zugewiesenen User ID Probleme beim Download von .ovpn-Konfigurationsdateien aus dem VPN Portal haben können.

Muss man alle alten Benutzer sofort löschen?

Nein. Zuerst sollte geprüft werden, welche Benutzer und Gruppen noch in Regeln, VPN-Policies, Portalen oder MFA-Abläufen verwendet werden. Danach kann man gezielt bereinigen.

Warum erscheinen externe Benutzer erst später auf der Firewall?

Externe Verzeichnisbenutzer werden nicht immer schon beim Anbinden des Verzeichnisservers als lokale Firewall-Benutzer sichtbar. Häufig erscheinen sie erst, wenn sie sich an einem Firewall-Dienst anmelden, zum Beispiel User Portal oder VPN Portal.

Ist das ein SSL-VPN-Problem?

Nicht direkt. Das Fehlerbild zeigt sich oft beim SSL-VPN-Download, die Ursache kann aber in der internen Benutzerverwaltung oder im Authentifizierungsdesign liegen.