Zum Inhalt springen
Avanet

Sophos SSL VPN mit Sophos Connect auf Windows einrichten

SSL VPN ist auf Sophos Firewall weiterhin ein wichtiger Remote-Access-Weg, besonders wenn IPsec in Hotels, Gastnetzen oder streng gefilterten Fremdnetzen Probleme macht. Auf Windows wird SSL VPN heute in vielen Umgebungen über Sophos Connect genutzt.

Der Artikel beschreibt die Installation auf Windows, den Import der .ovpn-Konfiguration und die wichtigsten Prüfungen nach dem Verbindungsaufbau. Für die grundsätzliche Entscheidung zwischen Sophos Connect, SSL VPN, IPsec, mobilen Clients und ZTNA passt zuerst Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt?.

Einordnung

Diese Anleitung gilt für Sophos Firewall mit SFOS. Je nach Plattform oder Ausgangslage passt ein anderer Einstieg:

Wichtig: Sophos Connect unterstützt SSL VPN nicht nur auf Windows. Seit Sophos Connect 2.0 ist Remote Access SSL VPN auch auf macOS möglich. Mobile Plattformen wie iOS und Android werden von Sophos Connect für IPsec und SSL VPN nicht direkt unterstützt; dort kommen OpenVPN-kompatible Clients oder Betriebssystemfunktionen zum Einsatz.

Voraussetzungen

  • Sophos Firewall mit eingerichteter SSL-VPN-Remote-Access-Konfiguration
  • Benutzer mit Berechtigung für SSL VPN
  • Zugriff auf das VPN Portal oder eine administrativ bereitgestellte .ovpn-Datei
  • Sophos Connect in einer aktuellen, zur Windows-Plattform passenden Version
  • Windows 10 oder Windows 11, bei Sophos Connect 2.5 oder neuer auch Windows ARM
  • MFA/OTP eingerichtet, falls Remote Access damit geschützt wird
  • Firewall-Regeln für Traffic aus der VPN-Zone
  • geklärter Prozess, wie neue .ovpn-Dateien nach Änderungen verteilt werden

Wenn die firewallseitige SSL-VPN-Konfiguration noch nicht steht, sollte zuerst Sophos Firewall SSL VPN Remote Access einrichten umgesetzt werden.

Vor einem SFOS-22-MR1-Upgrade sollte zusätzlich geprüft werden, ob noch alte Remote-Access-IPsec-Konfigurationen vorhanden sind. SSL VPN ist davon nicht direkt betroffen, aber viele Umgebungen bewerten Remote Access in diesem Moment neu. Der Ablauf steht in Legacy Remote Access IPsec vor SFOS 22 MR1 migrieren.

Vor dem Download planen

Bevor Benutzer den Client herunterladen, sollte klar sein, wie SSL VPN betrieben wird. Viele spätere Fehler entstehen nicht bei der Installation, sondern durch alte Profile, unklare Berechtigungen oder zu breite Firewall-Regeln.

Wichtige Planungsfragen:

  • Benutzer: Welche Benutzer oder Gruppen sind als Policy members für SSL VPN berechtigt?
  • Portal: Muss das VPN Portal aus dem Internet erreichbar sein oder wird die .ovpn-Datei administrativ verteilt?
  • Zertifikat: Passt das Zertifikat zum öffentlichen FQDN und erzeugt der Browser keine Warnung?
  • MFA: Wird OTP/MFA für Remote Access abgefragt und ist der Token-Rollout abgeschlossen?
  • DNS: Werden interne DNS-Server und Suchdomains benötigt?
  • Zugriff: Welche internen Netze und Dienste dürfen aus der VPN-Zone erreicht werden?
  • Betrieb: Wer aktualisiert Sophos Connect und verteilt neue Profile nach Änderungen?

Wenn das VPN Portal öffentlich erreichbar ist, sollte es nicht als reine Downloadseite betrachtet werden. Es ist ein Login-Dienst der Firewall und gehört zur Angriffsfläche. Device Access, Zertifikat, MFA, Logging und mögliche Quell- oder Länderbegrenzung sollten deshalb bewusst geprüft werden.

1. Am VPN Portal anmelden

Das VPN Portal der Sophos Firewall im Browser öffnen und mit dem VPN-Benutzer anmelden.

Sophos Firewall v20 VPN Portal Login Screen
Das VPN Portal ist der typische Einstieg für Benutzer, sollte aber mit gültigem Zertifikat, MFA und bewusstem Device Access betrieben werden.

Wenn der Browser vor dem Zertifikat warnt, sollte die Ursache geprüft werden. In produktiven Umgebungen ist ein gültiges Zertifikat für das VPN Portal sauberer als eine dauerhafte Browser-Ausnahme. Für öffentliche Portale sind Zertifikat, MFA und Device Access keine Nebensache, sondern Teil der Remote-Access-Sicherheit. Zur Härtung passt Device Access und Local Service ACL auf Sophos Firewall.

Wenn der Benutzer nach erfolgreicher Anmeldung keine SSL-VPN-Konfiguration sieht, ist das selten ein Windows-Problem. Dann sollte man zuerst prüfen, ob der Benutzer oder seine Gruppe in der passenden SSL-VPN-Policy als Policy members enthalten ist und ob das richtige Portal erreicht wird.

2. Sophos Connect und SSL-VPN-Konfiguration herunterladen

Im VPN Portal in den Bereich VPN wechseln. Dort werden der Sophos Connect Client und die SSL-VPN-Konfiguration bereitgestellt. Für SSL VPN ist die .ovpn-Datei relevant.

Sophos Firewall VPN Portal - Client und Config Download
Im VPN Portal werden Client und .ovpn-Konfiguration bereitgestellt; die Datei sollte zur aktuellen Firewall-Konfiguration passen.

Der Sophos Connect Client kann auch direkt von der Sophos Webseite heruntergeladen werden: Sophos Connect Client herunterladen.

In verwalteten Umgebungen sollte der Client nicht zufällig installiert werden. Besser ist ein definiertes Softwarepaket mit klarer Version, Testgruppe und Updateprozess. Die freigegebene Version sollte aus den offiziellen Release Notes, dem VPN Portal oder dem internen Softwarepaket abgeleitet werden, nicht aus einzelnen Downloads auf Benutzergeräten. Aktuelle Sophos-Connect-Versionen enthalten auch Sicherheits- und Komponentenupdates, zum Beispiel für OpenVPN oder OpenSSL.

Wenn auf dem Windows-Gerät noch ein alter SSL-VPN-Client oder ein anderer OpenVPN-basierter Client für dieselbe Verbindung installiert ist, sollte dieser Zustand vor dem Rollout bereinigt werden. Mehrere parallel gepflegte VPN-Clients führen sonst schnell zu falschen Adaptern, alten Profilen und unklaren Supportfällen.

3. Sophos Connect installieren

Das Setup ausführen und den Installationsschritten folgen.

Sophos Connect SSL VPN Client installieren unter Windows
Die Installation richtet Sophos Connect und den benötigten VPN-Adapter ein; in verwalteten Umgebungen sollte dieser Schritt paketiert sein.

Wenn während der Installation ein Netzwerkadapter bestätigt werden muss, gehört das zum VPN-Client. In verwalteten Windows-Umgebungen sollte dieser Schritt über Softwareverteilung oder lokale Adminrechte sauber vorbereitet sein.

Nach der Installation sollte man die Sophos-Connect-Version dokumentieren. Das hilft später bei Supportfällen, weil Clientfehler, Profilfehler und Firewallfehler sonst schnell vermischt werden. Für den laufenden Betrieb passt Sophos Connect Client Version prüfen und sicher aktualisieren.

4. SSL-VPN-Konfiguration importieren

Nach der Installation erscheint das Sophos-Connect-Symbol im Infobereich der Windows-Taskleiste. Sophos Connect öffnen und die heruntergeladene .ovpn-Datei importieren.

Sophos Connect Client SSL VPN Konfiguration importieren
Nach der Installation ist Sophos Connect noch ohne Verbindung; erst der Profilimport macht den Client nutzbar.
Sophos Connect SSL VPN Client config importieren unter Windows
Die SSL-VPN-Konfiguration wird gezielt importiert; alte oder doppelte Profile sollten vor dem Rollout bereinigt werden.
Unter Windows am Sophos SSL VPN Client anmelden
Nach dem Import sollte der Verbindungsname eindeutig sein, damit Benutzer und Helpdesk das richtige Profil auswählen.

Bei mehreren Profilen sollte der Verbindungsname eindeutig sein. Alte oder doppelte Profile führen sonst schnell zu Supportfällen, weil Benutzer das falsche Ziel auswählen.

Nach Änderungen an der SSL-VPN-Policy, am Zertifikat, Gateway, DNS, Benutzerkreis oder an der Provisioning-Logik sollte die Verbindung neu importiert werden. Ein Clientupdate ersetzt nicht automatisch ein altes .ovpn-Profil. Wenn Sophos Connect eine Policy- oder Kompressionsabweichung meldet, ist häufig genau dieser Profilstand das Problem.

Typische Hinweise auf ein veraltetes oder falsches Profil:

  • Verbindung zeigt alten Standortnamen: Meist ist ein altes Profil noch importiert. Alte Verbindung entfernen und aktuelles .ovpn neu importieren.
  • Zertifikats- oder Gateway-Warnung: FQDN, Zertifikat oder Override Hostname wurden möglicherweise geändert. Profil aus aktuellem VPN Portal neu herunterladen.
  • DNS funktioniert nur bei einzelnen Clients nicht: Alte DNS-Werte im Profil oder lokales DNS-Verhalten prüfen. Profil neu importieren und Windows-DNS kontrollieren.
  • Benutzer sieht im Portal keine Konfiguration: Policy-Zuordnung oder Benutzerkontext prüfen. SSL-VPN-Policy und Gruppenmitgliedschaft kontrollieren.

5. VPN-Verbindung aufbauen

Die importierte Verbindung auswählen und Connect anklicken. Danach mit dem VPN-Benutzer anmelden. Wenn MFA oder OTP aktiv ist, muss der zweite Faktor gemäss Firewall-Konfiguration bestätigt werden.

Nach dem Verbindungsaufbau sollte nicht nur der Status im Client geprüft werden. Entscheidend ist, ob die benötigten internen Ziele erreichbar sind.

Nach der Installation prüfen

Mindestens diese Punkte sollten mit einem Testbenutzer geprüft werden:

  • Sophos Connect zeigt die Verbindung als verbunden an.
  • Benutzer erhält eine IP-Adresse aus dem erwarteten SSL-VPN-Pool.
  • Interne DNS-Namen werden korrekt aufgelöst.
  • Benötigte Server und Anwendungen sind erreichbar.
  • Internetverhalten entspricht dem Design: Split Tunnel oder Full Tunnel.
  • Im Log Viewer ist die erwartete Firewall-Regel für Traffic aus der VPN-Zone sichtbar.
  • MFA wird wie geplant abgefragt.
  • Ein bewusst nicht erlaubtes Ziel bleibt blockiert.
  • Verbindungsabbruch und erneute Anmeldung funktionieren.

Wenn die Verbindung steht, aber kein Zugriff funktioniert, liegt die Ursache oft nicht beim Client, sondern bei Firewall-Regeln, DNS, Routing oder NAT. Für die Analyse passt Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.

Windows-seitige Schnellprüfung

Auf dem Windows-Client helfen einfache Prüfungen, bevor man die Firewallkonfiguration ändert:

ipconfig /all
route print
nslookup intranet.example.local
ping 10.10.10.10

Dabei geht es nicht darum, jeden Ping zu erlauben. Entscheidend ist, ob der Client eine SSL-VPN-Adresse erhalten hat, ob eine Route zum internen Zielnetz existiert und ob DNS über den erwarteten Server auflöst. Wenn der Zugriff per IP-Adresse funktioniert, per Name aber nicht, ist DNS wahrscheinlicher als die Firewall-Regel.

Betrieb und Sicherheit

SSL VPN ist ein öffentlich erreichbarer Remote-Access-Dienst. Deshalb sollte man nicht nur die Installation dokumentieren, sondern auch den Betrieb:

  • Sophos Connect regelmässig aktualisieren.
  • MFA für Remote Access aktivieren und testen.
  • VPN-Gruppen regelmässig prüfen.
  • Portalzugriffe über Device Access und Local Service ACL begrenzen, soweit möglich.
  • Firewall-Regeln für die VPN-Zone eng halten und loggen.
  • Alte .ovpn-Dateien und veraltete Profile entfernen.
  • Bei längerer Log-Aufbewahrung Syslog oder zentrale Auswertung einplanen.

Für MFA-Grundlagen passt MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren. Für Logdateien und Service-Logs ist Sophos Firewall Troubleshooting: Services und Logs hilfreich.

Troubleshooting

Anmeldung am VPN Portal funktioniert nicht

Benutzer, Passwort, MFA, Gruppenmitgliedschaft und Authentifizierungsserver prüfen. Wenn AD, RADIUS oder Microsoft Entra ID SSO beteiligt ist, sollte die Authentifizierung getrennt vom VPN getestet werden.

Benutzer sieht keine SSL-VPN-Konfiguration im VPN Portal

Wenn die Anmeldung funktioniert, aber keine .ovpn-Datei oder kein SSL-VPN-Download sichtbar ist, sollte man nicht am Windows-Client suchen. Zuerst gehören SSL-VPN-Policy, Policy members, Gruppenmitgliedschaft, Portalzugriff und User-ID-Limit geprüft. Der firewallseitige Ablauf steht in Sophos Firewall SSL VPN Remote Access einrichten.

.ovpn-Datei lässt sich nicht importieren

Zuerst prüfen, ob die Datei wirklich zur aktuellen Firewall-Konfiguration gehört und ob Sophos Connect aktuell genug ist. Bei Sonderzeichen in Zertifikaten oder Benutzerdaten sollte ein aktueller Clientstand verwendet werden.

Wenn der Download der .ovpn-Datei im VPN Portal selbst fehlschlägt, obwohl Anmeldung und Berechtigung stimmen, sollte zusätzlich das Sophos Firewall User-ID-Limit geprüft werden.

Verbindung steht, aber interne Systeme sind nicht erreichbar

DNS, Firewall-Regeln, Routing, NAT und Rückweg prüfen. Im Log Viewer sollte Traffic aus der VPN-Zone sichtbar sein. Wenn keine Logs erscheinen, erreicht der Traffic die erwartete Regel wahrscheinlich nicht oder Logging ist deaktiviert.

Wenn kleine Zugriffe funktionieren, grössere Dateiübertragungen oder bestimmte Anwendungen aber hängen, sollte zusätzlich MTU/MSS geprüft werden: Sophos Firewall MTU und MSS bei VPN-Problemen prüfen.

Sophos Connect meldet Policy mismatch oder Compression mismatch

Solche Meldungen deuten oft darauf hin, dass die Firewall-Konfiguration geändert wurde, der Client aber noch ein altes SSL-VPN-Profil verwendet. In diesem Fall sollte die aktuelle .ovpn-Datei neu aus dem VPN Portal geladen oder administrativ neu verteilt und anschliessend erneut importiert werden.

Nach Profilwechsel verbindet Sophos Connect weiterhin zum alten Ziel

Dann ist häufig noch ein alter Verbindungseintrag vorhanden oder Benutzer wählen im Client den falschen Profilnamen. Man sollte alte Profile entfernen, das aktuelle .ovpn neu importieren und den Profilnamen so wählen, dass Standort, Umgebung oder Zweck eindeutig erkennbar sind.

Verbindung bricht in fremden Netzen ab

SSL VPN ist oft toleranter als IPsec, aber nicht immun gegen restriktive Netze, Captive Portals, Proxy-Zwang oder instabile WLANs. In solchen Fällen mit einem zweiten Netzwerk testen und prüfen, ob Split Tunnel, Port, Protokoll oder ZTNA besser passen.

Supportdaten sammeln

Wenn der Fehler nicht direkt sichtbar ist, kann Sophos Connect einen technischen Supportbericht erzeugen. Dieser enthält Verbindungsereignisse, VPN-Konfigurationen und Informationen zum Endpunkt. Vor der Weitergabe sollten sensible Daten wie Benutzernamen, interne Hostnamen, IP-Adressen und Gateway-FQDNs geprüft werden.

Auf der Firewallseite helfen parallel Log Viewer, sslvpn.log, openvpn-status*.log und die passende Firewall-Regel. Die Zuordnung der Logdateien steht in Sophos Firewall Troubleshooting: Services und Logs.

FAQ

Mit welchen Betriebssystemen ist der Sophos Connect Client kompatibel?

Aktuelle Sophos-Connect-Versionen unterstützen Windows 10 und 11 als 64-Bit-Systeme. Windows ARM wird ab Sophos Connect 2.5 unterstützt.

Wird macOS für SSL VPN unterstützt?

Ja. Seit Sophos Connect 2.0 kann der Sophos Connect Client auf macOS auch Remote Access SSL VPN verwenden.

Kann der Sophos Connect Client auf mobilen Plattformen genutzt werden?

Nein. Sophos Connect unterstützt Android und iOS für IPsec und SSL VPN nicht direkt. Für mobile Plattformen werden je nach Protokoll OpenVPN-kompatible Clients oder Betriebssystemfunktionen verwendet.

Unterstützt der Sophos Connect Client Windows ARM?

Ja. Windows ARM wird ab Sophos Connect 2.5 unterstützt.

Ist SSL VPN besser als IPsec?

Nicht pauschal. SSL VPN funktioniert oft besser in restriktiven Fremdnetzen. IPsec kann performanter sein. Entscheidend sind Benutzergeräte, Netzumgebungen, Sicherheitsanforderungen und Betriebsprozesse.