Zum Inhalt springen
Avanet

Sophos SSL VPN Client im Autostart sicher einordnen

Der alte Sophos SSL VPN Client for Windows kann beim Windows-Login automatisch starten und eine bestimmte OpenVPN-Konfiguration verbinden. Das ist technisch möglich, sollte aber nicht mit einer sicheren Standardempfehlung verwechselt werden. Besonders kritisch ist Auto-Login mit einer password.txt, weil Benutzername und Passwort dabei im Klartext auf dem Client liegen.

Für neue Remote-Access-Setups sollte zuerst geprüft werden, ob Sophos Connect, aktuelle SSL-VPN-Profile, MFA oder Microsoft Entra ID SSO besser passen. Diese Anleitung ist vor allem für Altumgebungen, Spezialclients oder kontrollierte Ausnahmen gedacht, in denen der alte SSL VPN Client noch betrieben wird.

Autostart, Auto-Connect und Auto-Login unterscheiden

Die drei Begriffe werden oft vermischt, bedeuten aber unterschiedliche Risiken:

FunktionBedeutungRisiko
AutostartDer VPN Client startet beim Windows-Login.niedrig bis mittel
Auto-ConnectDer Client startet direkt mit einer bestimmten .ovpn-Datei.mittel
Auto-LoginBenutzername und Passwort werden automatisch übergeben.hoch

Autostart und Auto-Connect können in bestimmten Umgebungen sinnvoll sein, wenn ein Gerät direkt nach der Anmeldung eine Verbindung aufbauen soll. Auto-Login ist dagegen ein Sonderfall. Sobald das Passwort als Datei auf dem Client liegt, hängt die Sicherheit stark vom Windows-Gerät, Benutzerprofil, Dateiberechtigungen, VPN-Berechtigungen und Diebstahlschutz ab.

⚠️ Auto-Login mit password.txt speichert Zugangsdaten im Klartext. Das sollte nicht für normale Benutzerkonten, Administratoren, geteilte Geräte oder breit berechtigte VPN-Profile verwendet werden.

Wann dieser Weg sinnvoll sein kann

Der Autostart-Ansatz kann als Übergangslösung sinnvoll sein, wenn ein Windows-Client nach der Anmeldung automatisch eine bekannte SSL-VPN-Verbindung öffnen soll und die Umgebung noch nicht auf Sophos Connect oder ein anderes Remote-Access-Modell umgestellt wurde.

Typische Fälle:

  • ein dedizierter Wartungsclient mit begrenzten Berechtigungen
  • ein Labor- oder Testsystem
  • ein Spezialgerät, das nach Benutzeranmeldung eine feste Verbindung braucht
  • eine Altumgebung, in der Sophos Connect noch nicht eingeführt wurde

Nicht geeignet ist der Ansatz für Geräte, die von mehreren Personen genutzt werden, für privilegierte Admin-Zugänge, für unverschlüsselte oder schlecht verwaltete Windows-Clients und für Umgebungen, in denen MFA konsequent erzwungen werden soll.

Voraussetzungen

Vor der Umsetzung sollten diese Punkte klar sein:

  • Der alte Sophos SSL VPN Client ist auf Windows installiert.
  • Eine funktionierende .ovpn-Konfiguration liegt lokal vor.
  • Der betroffene VPN-Benutzer hat nur die wirklich nötigen Zugriffe.
  • Das Windows-Gerät ist verwaltet, verschlüsselt und gegen lokale Fremdzugriffe geschützt.
  • Es ist dokumentiert, warum Auto-Connect oder Auto-Login benötigt wird.
  • Für produktive Nutzung ist ein Rückbauplan vorhanden.

Wenn der Client noch nicht installiert ist, hilft die bestehende Anleitung für Sophos SSL VPN Client auf Windows mit SFOS. Für aktuelle Client-Versionen passt zusätzlich Sophos Connect Client Version prüfen und sicher aktualisieren.

Vorhandenen Autostart-Eintrag deaktivieren

Der alte SSL VPN Client legt bei der Installation häufig bereits einen Autostart-Eintrag an. Wenn eine eigene Autostart-Zeile mit Parametern verwendet wird, sollte der vorhandene Eintrag zuerst deaktiviert werden, damit der Client nicht doppelt startet.

Sophos SSL VPN Client Autostart-Eintrag im Windows Task-Manager deaktivieren
Der vorhandene Autostart-Eintrag sollte deaktiviert werden, bevor ein eigener Startbefehl mit OpenVPN-Parametern hinterlegt wird.
  1. Task Manager öffnen.
  2. Zum Tab Startup beziehungsweise Autostart wechseln.
  3. SSL VPN Client for Windows auswählen.
  4. Den Eintrag deaktivieren.

Bei älteren Windows-Versionen kann zusätzlich der klassische Autostart-Ordner relevant sein. In verwalteten Umgebungen sollte auch geprüft werden, ob ein Softwareverteilungs- oder GPO-Prozess den Eintrag später wiederherstellt.

Befehl für Auto-Connect vorbereiten

Für Auto-Connect wird openvpn-gui.exe mit dem Pfad zum Konfigurationsordner und dem Namen der gewünschten .ovpn-Datei gestartet.

Schema:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn

Je nach Windows- und Client-Installation können die Pfade abweichen:

BestandteilTypischer Pfad
openvpn-gui.exe auf 64-Bit-WindowsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
openvpn-gui.exe auf 32-Bit-WindowsC:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
Konfigurationsordner auf 64-Bit-WindowsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\
Konfigurationsordner auf 32-Bit-WindowsC:\Program Files\Sophos\Sophos SSL VPN Client\config\
Sophos SSL VPN Client Konfigurationsordner mit OpenVPN-Profil
Der Startbefehl muss auf den richtigen Konfigurationsordner und die richtige OVPN-Datei zeigen.

Beispiel:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn

Wichtig ist der exakte Dateiname der .ovpn-Datei. Wenn Leerzeichen oder Sonderzeichen im Dateinamen vorkommen, sollte der Befehl besonders sorgfältig getestet werden. In vielen Umgebungen ist ein kurzer Profilname ohne Leerzeichen wartungsfreundlicher.

Autostart in der Registry erstellen

Der Eintrag kann unter dem aktuellen Windows-Benutzer in Run hinterlegt werden. Dadurch startet der Client beim Login dieses Benutzers, nicht systemweit vor jeder Benutzeranmeldung.

Sophos SSL VPN Client Autostart-Eintrag in der Windows Registry erstellen
Ein HKCU-Run-Eintrag startet den Client beim Login des aktuellen Windows-Benutzers.
  1. Registry Editor öffnen.
  2. Zu diesem Pfad wechseln:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  1. In der rechten Spalte eine neue String Value erstellen.
  2. Einen eindeutigen Namen vergeben, zum Beispiel sophos-ssl-vpn.
  3. Als Wert den vorbereiteten openvpn-gui.exe-Befehl einfügen.
  4. Windows-Benutzer abmelden und neu anmelden.
  5. Prüfen, ob der Client startet und die gewünschte Verbindung auswählt.

Wenn nur Autostart und Auto-Connect benötigt werden, sollte man hier stoppen. In diesem Zustand muss der Benutzer das VPN-Passwort weiterhin eingeben. Das ist aus Sicherheitssicht meistens die bessere Variante.

Auto-Login nur als Ausnahme verwenden

Auto-Login wird beim alten OpenVPN-basierten Client über die Zeile auth-user-pass in der .ovpn-Datei gesteuert. Wenn dort eine Datei angegeben wird, liest der Client Benutzername und Passwort aus dieser Datei.

Beispiel in der .ovpn-Datei:

auth-user-pass password.txt

Die Datei password.txt liegt dann im selben Ordner wie die .ovpn-Datei und enthält zwei Zeilen:

supportuser
SehrGeheimesPasswort

Diese Methode ist technisch einfach, aber sicherheitlich schwach. Wer Zugriff auf die Datei bekommt, hat die VPN-Zugangsdaten. Darum sollte diese Variante nur verwendet werden, wenn das Risiko bewusst akzeptiert und begrenzt wurde.

Mindestkontrollen für eine Ausnahme:

  • eigener VPN-Benutzer nur für diesen Zweck
  • keine Administrator- oder Shared-Admin-Zugangsdaten
  • stark begrenzte VPN Policy und Firewall-Regeln
  • kein Zugriff auf Management-Netze, Domain Controller oder Backup-Systeme, wenn nicht zwingend nötig
  • Windows-Gerät mit BitLocker oder vergleichbarer Verschlüsselung
  • keine lokalen Standardbenutzer mit Zugriff auf die Datei
  • dokumentiertes Ablaufdatum oder Review-Datum für die Ausnahme

Auto-Login konfigurieren

Wenn Auto-Login trotz Risiko benötigt wird, sollte die Änderung sauber dokumentiert und getestet werden.

  1. Editor als Administrator starten.
  2. Die verwendete .ovpn-Datei im Sophos-SSL-VPN-Konfigurationsordner öffnen.
  3. Die Zeile auth-user-pass suchen.
  4. Die Zeile auf auth-user-pass password.txt ändern.
  5. Im selben Ordner eine Datei password.txt erstellen.
  6. In der ersten Zeile den Benutzernamen eintragen.
  7. In der zweiten Zeile das Passwort eintragen.
  8. Datei speichern.
  9. Dateiberechtigungen prüfen und unnötige Zugriffe entfernen.
  10. Windows neu anmelden und VPN-Verbindung testen.

Nach dem Test sollte geprüft werden, ob der VPN-Benutzer nur die vorgesehenen Ziele erreicht. Wenn das Profil zu breite interne Netze erlaubt, wird aus einem Komfort-Workaround schnell ein unnötig grosser Sicherheitszugang.

Validierung nach der Einrichtung

Nach der Konfiguration reicht es nicht, nur auf das grüne VPN-Symbol zu schauen. Wichtig ist, ob genau die erwartete Verbindung aufgebaut wurde und ob die Rechte passen.

Prüfen:

  • Startet der Client nur einmal?
  • Wird die richtige .ovpn-Datei verwendet?
  • Wird die Verbindung erst nach Windows-Login aufgebaut?
  • Funktionieren DNS-Auflösung und interne Zielsysteme?
  • Greift auf der Firewall die erwartete Remote-Access-Regel?
  • Sind im Log Viewer die erwarteten Benutzer- und VPN-Ereignisse sichtbar?
  • Kann der VPN-Benutzer nur die benötigten Netze erreichen?

Für Verbindungsprobleme nach erfolgreichem Login helfen Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture und Sophos Firewall Troubleshooting: Services und Logs. Wenn nur einzelne Anwendungen über VPN hängen bleiben, sollte zusätzlich MTU und MSS bei VPN-Problemen geprüft werden.

Typische Fehler

SymptomWahrscheinliche UrsachePrüfung
Client startet nichtRegistry-Pfad oder Befehl falschRun-Eintrag und Pfade prüfen
Client startet doppeltalter Autostart-Eintrag noch aktivTask Manager und Autostart-Ordner prüfen
Profil wird nicht gefundenfalscher Dateiname oder falscher config_dir.ovpn-Name exakt vergleichen
Passwort wird weiter abgefragtauth-user-pass password.txt nicht in der aktiven OVPN-Dateiverwendetes Profil und Dateipfad prüfen
Login funktioniert, interne Ziele nichtVPN Policy, Firewall-Regel, DNS oder Routing passt nichtLog Viewer, Firewall-Regel und DNS prüfen
Auto-Login funktioniert nach Passwortwechsel nicht mehrpassword.txt enthält altes PasswortPasswortdatei aktualisieren oder Auto-Login entfernen

Rückbau

Wenn Auto-Login nicht mehr benötigt wird, sollte er vollständig entfernt werden.

  1. Registry-Eintrag unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run löschen oder deaktivieren.
  2. In der .ovpn-Datei auth-user-pass password.txt wieder auf auth-user-pass ändern.
  3. password.txt löschen.
  4. VPN-Passwort des betroffenen Benutzers ändern.
  5. Auf der Firewall prüfen, ob der Benutzer oder die Regel noch benötigt wird.

Wenn Zugangsdaten längere Zeit im Klartext gespeichert waren, sollte man nicht nur die Datei löschen. Das Passwort sollte gewechselt und der Zugriff in den Logs geprüft werden.

Checkliste

  • Autostart ohne Auto-Login geprüft.
  • Besseres Remote-Access-Modell wie Sophos Connect, MFA oder Entra ID SSO bewertet.
  • Dedizierter VPN-Benutzer verwendet, falls Auto-Login nötig ist.
  • VPN- und Firewall-Regeln auf das Minimum begrenzt.
  • password.txt nicht für Admin- oder Shared-Konten verwendet.
  • Windows-Gerät ist verschlüsselt und verwaltet.
  • Log Viewer zeigt erwartete VPN-Ereignisse.
  • Rückbau und Review-Datum sind dokumentiert.

FAQ

Ist Auto-Login mit dem Sophos SSL VPN Client sicher?

Nein, nicht als Standard. Auto-Login mit password.txt speichert Benutzername und Passwort im Klartext. Das kann in eng begrenzten Spezialfällen akzeptiert werden, sollte aber nicht für normale Benutzer- oder Admin-Zugänge verwendet werden.

Kann man den Sophos SSL VPN Client automatisch starten, ohne das Passwort zu speichern?

Ja. Der Client kann per Autostart und --connect mit einer bestimmten Konfiguration starten. Dann muss der Benutzer das Passwort weiterhin eingeben.

Was ist die bessere Alternative zu Auto-Login?

Für neue Setups sollte man Sophos Connect, aktuelle SSL-VPN-Profile, MFA, Entra ID SSO oder je nach Architektur ZTNA prüfen. Welche Variante passt, hängt von Betriebssystem, Authentifizierung, Benutzergruppen und Sicherheitsanforderungen ab.

Sollte man password.txt mit einem normalen Benutzerkonto verwenden?

Nur wenn das Risiko bewusst akzeptiert wurde. Besser ist ein dediziertes Konto mit minimalen Rechten, klar begrenzten Firewall-Regeln und dokumentiertem Ablaufdatum.

Warum verbindet sich der Client automatisch, aber interne Systeme sind nicht erreichbar?

Dann ist der VPN-Login nicht das eigentliche Problem. Häufig fehlen passende Firewall-Regeln, DNS-Einstellungen, Routen oder Berechtigungen in der Remote-Access-Policy.