Sophos SSL VPN Client im Autostart sicher einordnen
Der alte Sophos SSL VPN Client for Windows kann beim Windows-Login automatisch starten und eine bestimmte OpenVPN-Konfiguration verbinden. Das ist technisch möglich, sollte aber nicht mit einer sicheren Standardempfehlung verwechselt werden. Besonders kritisch ist Auto-Login mit einer password.txt, weil Benutzername und Passwort dabei im Klartext auf dem Client liegen.
Für neue Remote-Access-Setups sollte zuerst geprüft werden, ob Sophos Connect, aktuelle SSL-VPN-Profile, MFA oder Microsoft Entra ID SSO besser passen. Diese Anleitung ist vor allem für Altumgebungen, Spezialclients oder kontrollierte Ausnahmen gedacht, in denen der alte SSL VPN Client noch betrieben wird.
Autostart, Auto-Connect und Auto-Login unterscheiden
Die drei Begriffe werden oft vermischt, bedeuten aber unterschiedliche Risiken:
| Funktion | Bedeutung | Risiko |
|---|---|---|
| Autostart | Der VPN Client startet beim Windows-Login. | niedrig bis mittel |
| Auto-Connect | Der Client startet direkt mit einer bestimmten .ovpn-Datei. | mittel |
| Auto-Login | Benutzername und Passwort werden automatisch übergeben. | hoch |
Autostart und Auto-Connect können in bestimmten Umgebungen sinnvoll sein, wenn ein Gerät direkt nach der Anmeldung eine Verbindung aufbauen soll. Auto-Login ist dagegen ein Sonderfall. Sobald das Passwort als Datei auf dem Client liegt, hängt die Sicherheit stark vom Windows-Gerät, Benutzerprofil, Dateiberechtigungen, VPN-Berechtigungen und Diebstahlschutz ab.
⚠️ Auto-Login mit
password.txtspeichert Zugangsdaten im Klartext. Das sollte nicht für normale Benutzerkonten, Administratoren, geteilte Geräte oder breit berechtigte VPN-Profile verwendet werden.
Wann dieser Weg sinnvoll sein kann
Der Autostart-Ansatz kann als Übergangslösung sinnvoll sein, wenn ein Windows-Client nach der Anmeldung automatisch eine bekannte SSL-VPN-Verbindung öffnen soll und die Umgebung noch nicht auf Sophos Connect oder ein anderes Remote-Access-Modell umgestellt wurde.
Typische Fälle:
- ein dedizierter Wartungsclient mit begrenzten Berechtigungen
- ein Labor- oder Testsystem
- ein Spezialgerät, das nach Benutzeranmeldung eine feste Verbindung braucht
- eine Altumgebung, in der Sophos Connect noch nicht eingeführt wurde
Nicht geeignet ist der Ansatz für Geräte, die von mehreren Personen genutzt werden, für privilegierte Admin-Zugänge, für unverschlüsselte oder schlecht verwaltete Windows-Clients und für Umgebungen, in denen MFA konsequent erzwungen werden soll.
Voraussetzungen
Vor der Umsetzung sollten diese Punkte klar sein:
- Der alte Sophos SSL VPN Client ist auf Windows installiert.
- Eine funktionierende
.ovpn-Konfiguration liegt lokal vor. - Der betroffene VPN-Benutzer hat nur die wirklich nötigen Zugriffe.
- Das Windows-Gerät ist verwaltet, verschlüsselt und gegen lokale Fremdzugriffe geschützt.
- Es ist dokumentiert, warum Auto-Connect oder Auto-Login benötigt wird.
- Für produktive Nutzung ist ein Rückbauplan vorhanden.
Wenn der Client noch nicht installiert ist, hilft die bestehende Anleitung für Sophos SSL VPN Client auf Windows mit SFOS. Für aktuelle Client-Versionen passt zusätzlich Sophos Connect Client Version prüfen und sicher aktualisieren.
Vorhandenen Autostart-Eintrag deaktivieren
Der alte SSL VPN Client legt bei der Installation häufig bereits einen Autostart-Eintrag an. Wenn eine eigene Autostart-Zeile mit Parametern verwendet wird, sollte der vorhandene Eintrag zuerst deaktiviert werden, damit der Client nicht doppelt startet.

- Task Manager öffnen.
- Zum Tab Startup beziehungsweise Autostart wechseln.
- SSL VPN Client for Windows auswählen.
- Den Eintrag deaktivieren.
Bei älteren Windows-Versionen kann zusätzlich der klassische Autostart-Ordner relevant sein. In verwalteten Umgebungen sollte auch geprüft werden, ob ein Softwareverteilungs- oder GPO-Prozess den Eintrag später wiederherstellt.
Befehl für Auto-Connect vorbereiten
Für Auto-Connect wird openvpn-gui.exe mit dem Pfad zum Konfigurationsordner und dem Namen der gewünschten .ovpn-Datei gestartet.
Schema:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn
Je nach Windows- und Client-Installation können die Pfade abweichen:
| Bestandteil | Typischer Pfad |
|---|---|
openvpn-gui.exe auf 64-Bit-Windows | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
openvpn-gui.exe auf 32-Bit-Windows | C:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
| Konfigurationsordner auf 64-Bit-Windows | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\ |
| Konfigurationsordner auf 32-Bit-Windows | C:\Program Files\Sophos\Sophos SSL VPN Client\config\ |

Beispiel:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn
Wichtig ist der exakte Dateiname der .ovpn-Datei. Wenn Leerzeichen oder Sonderzeichen im Dateinamen vorkommen, sollte der Befehl besonders sorgfältig getestet werden. In vielen Umgebungen ist ein kurzer Profilname ohne Leerzeichen wartungsfreundlicher.
Autostart in der Registry erstellen
Der Eintrag kann unter dem aktuellen Windows-Benutzer in Run hinterlegt werden. Dadurch startet der Client beim Login dieses Benutzers, nicht systemweit vor jeder Benutzeranmeldung.

- Registry Editor öffnen.
- Zu diesem Pfad wechseln:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- In der rechten Spalte eine neue String Value erstellen.
- Einen eindeutigen Namen vergeben, zum Beispiel
sophos-ssl-vpn. - Als Wert den vorbereiteten
openvpn-gui.exe-Befehl einfügen. - Windows-Benutzer abmelden und neu anmelden.
- Prüfen, ob der Client startet und die gewünschte Verbindung auswählt.
Wenn nur Autostart und Auto-Connect benötigt werden, sollte man hier stoppen. In diesem Zustand muss der Benutzer das VPN-Passwort weiterhin eingeben. Das ist aus Sicherheitssicht meistens die bessere Variante.
Auto-Login nur als Ausnahme verwenden
Auto-Login wird beim alten OpenVPN-basierten Client über die Zeile auth-user-pass in der .ovpn-Datei gesteuert. Wenn dort eine Datei angegeben wird, liest der Client Benutzername und Passwort aus dieser Datei.
Beispiel in der .ovpn-Datei:
auth-user-pass password.txt
Die Datei password.txt liegt dann im selben Ordner wie die .ovpn-Datei und enthält zwei Zeilen:
supportuser
SehrGeheimesPasswort
Diese Methode ist technisch einfach, aber sicherheitlich schwach. Wer Zugriff auf die Datei bekommt, hat die VPN-Zugangsdaten. Darum sollte diese Variante nur verwendet werden, wenn das Risiko bewusst akzeptiert und begrenzt wurde.
Mindestkontrollen für eine Ausnahme:
- eigener VPN-Benutzer nur für diesen Zweck
- keine Administrator- oder Shared-Admin-Zugangsdaten
- stark begrenzte VPN Policy und Firewall-Regeln
- kein Zugriff auf Management-Netze, Domain Controller oder Backup-Systeme, wenn nicht zwingend nötig
- Windows-Gerät mit BitLocker oder vergleichbarer Verschlüsselung
- keine lokalen Standardbenutzer mit Zugriff auf die Datei
- dokumentiertes Ablaufdatum oder Review-Datum für die Ausnahme
Auto-Login konfigurieren
Wenn Auto-Login trotz Risiko benötigt wird, sollte die Änderung sauber dokumentiert und getestet werden.
- Editor als Administrator starten.
- Die verwendete
.ovpn-Datei im Sophos-SSL-VPN-Konfigurationsordner öffnen. - Die Zeile
auth-user-passsuchen. - Die Zeile auf
auth-user-pass password.txtändern. - Im selben Ordner eine Datei
password.txterstellen. - In der ersten Zeile den Benutzernamen eintragen.
- In der zweiten Zeile das Passwort eintragen.
- Datei speichern.
- Dateiberechtigungen prüfen und unnötige Zugriffe entfernen.
- Windows neu anmelden und VPN-Verbindung testen.
Nach dem Test sollte geprüft werden, ob der VPN-Benutzer nur die vorgesehenen Ziele erreicht. Wenn das Profil zu breite interne Netze erlaubt, wird aus einem Komfort-Workaround schnell ein unnötig grosser Sicherheitszugang.
Validierung nach der Einrichtung
Nach der Konfiguration reicht es nicht, nur auf das grüne VPN-Symbol zu schauen. Wichtig ist, ob genau die erwartete Verbindung aufgebaut wurde und ob die Rechte passen.
Prüfen:
- Startet der Client nur einmal?
- Wird die richtige
.ovpn-Datei verwendet? - Wird die Verbindung erst nach Windows-Login aufgebaut?
- Funktionieren DNS-Auflösung und interne Zielsysteme?
- Greift auf der Firewall die erwartete Remote-Access-Regel?
- Sind im Log Viewer die erwarteten Benutzer- und VPN-Ereignisse sichtbar?
- Kann der VPN-Benutzer nur die benötigten Netze erreichen?
Für Verbindungsprobleme nach erfolgreichem Login helfen Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture und Sophos Firewall Troubleshooting: Services und Logs. Wenn nur einzelne Anwendungen über VPN hängen bleiben, sollte zusätzlich MTU und MSS bei VPN-Problemen geprüft werden.
Typische Fehler
| Symptom | Wahrscheinliche Ursache | Prüfung |
|---|---|---|
| Client startet nicht | Registry-Pfad oder Befehl falsch | Run-Eintrag und Pfade prüfen |
| Client startet doppelt | alter Autostart-Eintrag noch aktiv | Task Manager und Autostart-Ordner prüfen |
| Profil wird nicht gefunden | falscher Dateiname oder falscher config_dir | .ovpn-Name exakt vergleichen |
| Passwort wird weiter abgefragt | auth-user-pass password.txt nicht in der aktiven OVPN-Datei | verwendetes Profil und Dateipfad prüfen |
| Login funktioniert, interne Ziele nicht | VPN Policy, Firewall-Regel, DNS oder Routing passt nicht | Log Viewer, Firewall-Regel und DNS prüfen |
| Auto-Login funktioniert nach Passwortwechsel nicht mehr | password.txt enthält altes Passwort | Passwortdatei aktualisieren oder Auto-Login entfernen |
Rückbau
Wenn Auto-Login nicht mehr benötigt wird, sollte er vollständig entfernt werden.
- Registry-Eintrag unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runlöschen oder deaktivieren. - In der
.ovpn-Dateiauth-user-pass password.txtwieder aufauth-user-passändern. password.txtlöschen.- VPN-Passwort des betroffenen Benutzers ändern.
- Auf der Firewall prüfen, ob der Benutzer oder die Regel noch benötigt wird.
Wenn Zugangsdaten längere Zeit im Klartext gespeichert waren, sollte man nicht nur die Datei löschen. Das Passwort sollte gewechselt und der Zugriff in den Logs geprüft werden.
Checkliste
- Autostart ohne Auto-Login geprüft.
- Besseres Remote-Access-Modell wie Sophos Connect, MFA oder Entra ID SSO bewertet.
- Dedizierter VPN-Benutzer verwendet, falls Auto-Login nötig ist.
- VPN- und Firewall-Regeln auf das Minimum begrenzt.
password.txtnicht für Admin- oder Shared-Konten verwendet.- Windows-Gerät ist verschlüsselt und verwaltet.
- Log Viewer zeigt erwartete VPN-Ereignisse.
- Rückbau und Review-Datum sind dokumentiert.
FAQ
Ist Auto-Login mit dem Sophos SSL VPN Client sicher?
password.txt speichert Benutzername und Passwort im Klartext. Das kann in eng begrenzten Spezialfällen akzeptiert werden, sollte aber nicht für normale Benutzer- oder Admin-Zugänge verwendet werden.Kann man den Sophos SSL VPN Client automatisch starten, ohne das Passwort zu speichern?
--connect mit einer bestimmten Konfiguration starten. Dann muss der Benutzer das Passwort weiterhin eingeben.