Sophos SSL VPN mit Sophos Connect auf macOS einrichten
SSL VPN auf macOS wurde früher häufig mit Tunnelblick oder anderen OpenVPN-Clients eingerichtet. Das ist weiterhin möglich, aber nicht mehr die einzige naheliegende Variante: Seit Sophos Connect 2.0 unterstützt Sophos auch Remote Access SSL VPN auf macOS.
Der Artikel beschreibt den aktuellen Standardweg mit Sophos Connect auf macOS und ordnet Tunnelblick als Alternative ein. Für die Entscheidung zwischen Sophos Connect, SSL VPN, IPsec, mobilen Clients und ZTNA passt zuerst Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt?.
Welcher macOS-VPN-Artikel passt?
Diese Anleitung gilt für Sophos Firewall mit SFOS und SSL VPN auf macOS. Je nach Aufgabe passt ein anderer Einstieg:
- Sophos Connect allgemein auf macOS installieren: Sophos Connect Client auf macOS installieren.
- SSL VPN firewallseitig konfigurieren: Sophos Firewall SSL VPN Remote Access einrichten.
- SSL VPN auf macOS mit Sophos Connect einrichten: Dieser Artikel.
- SSL VPN auf Windows einrichten: Sophos SSL VPN mit Sophos Connect auf Windows einrichten.
- SSL VPN auf iPhone, iPad oder Android einrichten: iPhone/iPad oder Android.
- Sophos Connect Clientversionen und Profile pflegen: Sophos Connect Client Version prüfen und sicher aktualisieren.
- VPN ist verbunden, aber Traffic funktioniert nicht: Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.
Mobile Plattformen wie iOS und Android werden von Sophos Connect für IPsec und SSL VPN nicht direkt unterstützt. Dort bleiben OpenVPN-kompatible Clients oder Betriebssystemfunktionen relevant.
Voraussetzungen
- Sophos Firewall mit eingerichteter SSL-VPN-Remote-Access-Konfiguration
- Benutzer mit Berechtigung für SSL VPN
- Zugriff auf das VPN Portal oder eine administrativ bereitgestellte
.ovpn-Datei - Sophos Connect 2.0 oder neuer
- macOS Ventura 13 oder neuer bei Sophos Connect 2.0+
- Mac mit Intel-Prozessor oder Apple Silicon über Rosetta 2
- MFA/OTP eingerichtet, falls Remote Access damit geschützt wird
- Firewall-Regeln für Traffic aus der
VPN-Zone
Wenn die firewallseitige SSL-VPN-Konfiguration noch nicht steht, sollte zuerst Sophos Firewall SSL VPN Remote Access einrichten umgesetzt werden.
Vor einem SFOS-22-MR1-Upgrade sollte zusätzlich geprüft werden, ob noch alte Remote-Access-IPsec-Konfigurationen vorhanden sind. SSL VPN ist davon nicht direkt betroffen, aber viele Umgebungen bewerten Remote Access in diesem Moment neu. Der Ablauf steht in Legacy Remote Access IPsec vor SFOS 22 MR1 migrieren.
Sophos Connect oder Tunnelblick?
Für neue macOS-Rollouts sollte Sophos Connect zuerst geprüft werden, weil Sophos Connect der Sophos-eigene Client ist und seit Version 2.0 SSL VPN auf macOS unterstützt. Tunnelblick bleibt eine OpenVPN-Alternative, sollte aber nicht nebenbei als zweiter ungeplanter Standard entstehen.
- Sophos Connect: Sinnvoll für verwaltete Macs, einen einheitlichen Supportprozess und aktuelle SFOS-Umgebungen. Wichtig sind Version, macOS-Voraussetzungen, Rosetta 2 bei Apple Silicon und ein aktuelles
.ovpn-Profil. - Tunnelblick oder anderer OpenVPN-Client: Sinnvoll bei bestehendem OpenVPN-Prozess, Sonderfällen oder bewusst gewollter Abweichung von Sophos Connect. Wichtig sind OpenVPN-Version, Profilpflege, DNS-Verhalten und sauber dokumentierte Supportzuständigkeit.
Wichtig ist weniger der Clientname als der Betrieb: Es sollte klar sein, welcher Client unterstützt wird, welche Version verteilt ist, woher das Profil stammt und wann Benutzer ein neues Profil importieren müssen.
1. Sophos Connect für macOS bereitstellen
Sophos Connect kann je nach Umgebung über die Sophos Firewall, das VPN Portal oder die Sophos Download Page bereitgestellt werden. In verwalteten Umgebungen sollte klar sein, welche Clientversion ausgerollt wird und ob Rosetta 2 auf Apple-Silicon-Geräten vorhanden ist.
Für SSL VPN auf macOS ist Sophos Connect 2.0 oder neuer erforderlich. Ältere interne Anleitungen oder Installationspakete sollten deshalb nicht ungeprüft weiterverwendet werden.
Sophos Connect 2.0 MR1 bringt mehrere macOS-spezifische Korrekturen, darunter DNS-Einstellungen für SSL-VPN-Verbindungen und die Option zum Speichern von Zugangsdaten. Nach einem Upgrade muss das Profil neu importiert werden, wenn diese Option genutzt werden soll.
2. OVPN-Konfiguration beziehen
Die SSL-VPN-Konfiguration wird als .ovpn-Datei bereitgestellt. Je nach Betriebsmodell laden Benutzer sie aus dem VPN Portal herunter oder erhalten sie kontrolliert über den Adminprozess.
Im VPN Portal typischer Ablauf:
- VPN Portal der Sophos Firewall öffnen.
- Mit dem VPN-Benutzer anmelden.
- In den Bereich
VPNwechseln. - SSL-VPN-Konfiguration für das Profil herunterladen.
.ovpn-Datei sicher ablegen und nur für den berechtigten Benutzer verwenden.
Wenn der Browser vor dem Zertifikat des Portals warnt, sollte die Ursache geprüft werden. In produktiven Umgebungen ist ein gültiges Zertifikat für das VPN Portal sauberer als eine dauerhafte Browser-Ausnahme. Für die Härtung passt Device Access und Local Service ACL auf Sophos Firewall.
Nach Änderungen an Gateway, Port, Zertifikat, DNS, Lease-Bereich, Authentifizierung oder SSL-VPN-Policy sollte das Profil neu heruntergeladen und importiert werden. Ein Clientupdate allein aktualisiert kein altes .ovpn-Profil.
3. Verbindung in Sophos Connect importieren
Sophos Connect öffnen und die .ovpn-Datei importieren. Danach sollte die Verbindung in der Verbindungsliste erscheinen. Bei mehreren Profilen ist ein eindeutiger Name wichtig, damit Benutzer und Support nicht versehentlich das falsche Profil verwenden.
Wenn der Import nicht funktioniert, zuerst Clientversion, Dateityp und Herkunft der Konfigurationsdatei prüfen. SSL VPN auf macOS setzt Sophos Connect 2.0 oder neuer voraus.
4. VPN-Verbindung aufbauen
Die importierte Verbindung auswählen und Connect anklicken. Danach mit dem VPN-Benutzer anmelden. Wenn MFA oder OTP aktiv ist, muss der zweite Faktor gemäss Firewall-Konfiguration bestätigt werden.
Nach dem Verbindungsaufbau sollte nicht nur der Status im Client geprüft werden. Entscheidend ist, ob die benötigten internen Ziele erreichbar sind.
Nach der Installation prüfen
Mindestens diese Punkte sollten mit einem Testbenutzer geprüft werden:
- Sophos Connect zeigt die Verbindung als verbunden an.
- Benutzer erhält eine IP-Adresse aus dem erwarteten SSL-VPN-Pool.
- Interne DNS-Namen werden korrekt aufgelöst.
- Benötigte Server und Anwendungen sind erreichbar.
- Internetverhalten entspricht dem Design: Split Tunnel oder Full Tunnel.
- Im Log Viewer ist die erwartete Firewall-Regel für Traffic aus der
VPN-Zone sichtbar. - MFA wird wie geplant abgefragt.
- Verbindungsabbruch und erneute Anmeldung funktionieren.
Wenn die Verbindung steht, aber kein Zugriff funktioniert, liegt die Ursache oft nicht beim Client, sondern bei Firewall-Regeln, DNS, Routing oder NAT. Für die Analyse passt Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.
Abnahmetest auf macOS
Nach der Einrichtung sollte man einen echten Testfall dokumentieren, nicht nur den grünen Clientstatus.
- Sophos Connect Version prüfen: Clientversion passt zur macOS-Version und zur SSL-VPN-Unterstützung.
- Apple Silicon testen: Rosetta 2 ist vorhanden und der Client startet zuverlässig.
- Profilimport prüfen:
.ovpn-Profil stammt aus der aktuellen Firewall-Konfiguration. - MFA testen: Login mit richtigem und falschem Faktor verhält sich nachvollziehbar.
- DNS testen: Interne Namen lösen korrekt auf, nicht nur IP-Adressen.
- Zugriff testen: Erlaubte Ziele funktionieren, nicht erlaubte Ziele bleiben blockiert.
- Log Viewer prüfen: Traffic aus der
VPN-Zone trifft die erwartete Firewall-Regel. - Reconnect testen: Trennen und erneutes Verbinden funktionieren ohne Profilwechsel.
Wenn mehrere macOS-Versionen im Unternehmen verwendet werden, sollte mindestens ein Intel-Mac und ein Apple-Silicon-Mac getestet werden. Bei gemischten Clients sollte zusätzlich geprüft werden, ob Sophos Connect und Tunnelblick nicht unterschiedliche Profile oder DNS-Ergebnisse verwenden.
Alternative: Tunnelblick oder anderer OpenVPN-Client
Tunnelblick kann weiterhin sinnvoll sein, wenn Sophos Connect nicht verwendet werden soll oder wenn ein bestehender OpenVPN-Prozess bewusst beibehalten wird. Diese Variante sollte aber als eigener Betriebsstandard dokumentiert werden, damit nicht parallel Sophos Connect, Tunnelblick und alte Profile im Umlauf sind.
Bei Tunnelblick wird die .ovpn-Datei importiert. Danach müssen OpenVPN-Version, Profil, Benutzeranmeldung und DNS-Verhalten geprüft werden. Alte pauschale Vorgaben zu einer bestimmten OpenVPN-Version sollten nicht ungeprüft übernommen werden; massgebend sind die aktuell eingesetzte Firewallversion, die Clientversion und das konkrete Profil.
Betrieb und Sicherheit
SSL VPN ist ein öffentlich erreichbarer Remote-Access-Dienst. Deshalb sollte man nicht nur die Installation dokumentieren, sondern auch den Betrieb:
- Sophos Connect oder OpenVPN-Client regelmässig aktualisieren.
- MFA für Remote Access aktivieren und testen.
- VPN-Gruppen regelmässig prüfen.
- Portalzugriffe über Device Access und Local Service ACL begrenzen, soweit möglich.
- Firewall-Regeln für die
VPN-Zone eng halten und loggen. - Alte
.ovpn-Dateien und veraltete Profile entfernen. - Bei längerer Log-Aufbewahrung Syslog oder zentrale Auswertung einplanen.
Für MFA-Grundlagen passt MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren. Für Logdateien und Service-Logs ist Sophos Firewall Troubleshooting: Services und Logs hilfreich.
Checkliste für den macOS-Rollout
- Unterstützter Standardclient ist definiert: Sophos Connect oder bewusst ein OpenVPN-Client.
- Sophos Connect Version ist für macOS Ventura 13 oder neuer geeignet.
- Apple-Silicon-Geräte haben Rosetta 2 im Rollout berücksichtigt.
.ovpn-Profil stammt aus der aktuellen SSL-VPN-Konfiguration.- VPN Portal verwendet ein gültiges Zertifikat.
- Benutzer ist in der richtigen SSL-VPN-Policy enthalten.
- MFA-Verhalten ist dokumentiert und mit einem Testbenutzer geprüft.
- DNS, Suchdomain und interne Zielsysteme wurden auf macOS getestet.
- Firewall-Regeln für die
VPN-Zone loggen den Testtraffic. - Nach Profiländerungen ist klar, wer Benutzer über den Neuimport informiert.
Troubleshooting
Sophos Connect importiert die OVPN-Datei nicht
Zuerst sollte geprüft werden, ob Sophos Connect 2.0 oder neuer installiert ist und ob die Datei wirklich aus der aktuellen SSL-VPN-Konfiguration stammt. Danach die Datei erneut aus dem VPN Portal laden oder administrativ neu bereitstellen.
Interne Namen werden nicht aufgelöst
DNS-Server, Suchdomains und SSL-VPN-Konfiguration auf der Firewall prüfen. Bei Sophos Connect auf macOS sollte zusätzlich der Clientstand geprüft werden, weil Sophos in Version 2.0 MR1 ein DNS-Problem mit SSL-VPN-Verbindungen auf macOS behoben hat.
Wenn IP-Adressen funktionieren, Namen aber nicht, ist das ein DNS- oder Suchdomain-Problem. Wenn auch IP-Adressen nicht funktionieren, sind Routing, Firewall-Regeln oder Rückweg wahrscheinlicher.
Verbindung steht, aber interne Systeme sind nicht erreichbar
Firewall-Regeln, Routing, NAT und Rückweg prüfen. Im Log Viewer sollte Traffic aus der VPN-Zone sichtbar sein. Wenn keine Logs erscheinen, erreicht der Traffic die erwartete Regel wahrscheinlich nicht oder Logging ist deaktiviert.
Wenn kleine Zugriffe funktionieren, grössere Dateiübertragungen oder bestimmte Anwendungen aber hängen, sollte zusätzlich MTU/MSS geprüft werden: Sophos Firewall MTU und MSS bei VPN-Problemen prüfen.
Verbindung funktioniert nach Profiländerung nicht mehr
Nach Änderungen an Gateway, Zertifikat, Port, DNS, Lease-Bereich oder Authentifizierung sollte das .ovpn-Profil neu importiert werden. Wenn nur der Client aktualisiert wurde, aber ein altes Profil im Einsatz bleibt, können weiterhin alte Ziele, Ports oder DNS-Werte verwendet werden.
Zugangsdaten speichern ist nicht sichtbar
Sophos hat die Option zum Speichern von Zugangsdaten in Sophos Connect 2.0 MR1 für macOS wieder aktiviert. Nach dem Update muss die Konfiguration neu importiert werden, damit die Option nutzbar ist. In Umgebungen mit MFA sollte trotzdem geprüft werden, ob das Speichern von Zugangsdaten zum Sicherheitskonzept passt.
Verbindung bricht in fremden Netzen ab
SSL VPN ist oft toleranter als IPsec, aber nicht immun gegen restriktive Netze, Captive Portals, Proxy-Zwang oder instabile WLANs. In solchen Fällen mit einem zweiten Netzwerk testen und prüfen, ob Split Tunnel, Port, Protokoll oder ZTNA besser passen.
Supportdaten sammeln
Wenn der Fehler nicht direkt sichtbar ist, sollte man Client-Logs, Zeitpunkt, Benutzer, Quellnetz und Zielsystem dokumentieren. Auf der Firewallseite helfen parallel Log Viewer, sslvpn.log, openvpn-status*.log und die passende Firewall-Regel. Die Zuordnung der Logdateien steht in Sophos Firewall Troubleshooting: Services und Logs.