Sophos Connect oder SSL VPN: Welche Remote-Access-Lösung passt?
Sophos Firewall bietet mehrere Wege für Remote Access. In älteren Umgebungen trifft man häufig noch den klassischen SSL-VPN-Client oder alte IPsec-Profile an. In aktuellen SFOS-Versionen ist Sophos Connect der zentrale Client für viele Remote-Access-Szenarien, kann aber je nach Plattform, Protokoll und Betriebsmodell unterschiedlich gut passen.
Diese Entscheidungshilfe zeigt, wann Sophos Connect mit IPsec, Sophos Connect mit SSL VPN, ein OpenVPN-kompatibler Client oder ZTNA sinnvoll ist. Für Umgebungen mit SFOS 22.0 MR1 ist zusätzlich wichtig: Legacy Remote Access IPsec darf nicht mehr als Altlast liegen bleiben. Die Migration ist im Artikel Legacy Remote Access IPsec vor SFOS 22 MR1 migrieren beschrieben.
Welcher VPN-Artikel passt?
Remote Access und Site-to-Site-VPN werden in Sophos Firewall an unterschiedlichen Stellen konfiguriert. Für Admins ist deshalb zuerst wichtig, ob es um Benutzerzugriff, Standortvernetzung, Clientbetrieb, Identität oder Troubleshooting geht.
- Remote Access für Benutzer planen: Dieser Artikel ist der passende Einstieg.
- Sophos Connect auf der Firewall konfigurieren: Dafür passt Sophos Connect Client auf der Sophos Firewall konfigurieren.
- SSL VPN für Remote Access einrichten: Dafür passt Sophos Firewall SSL VPN Remote Access einrichten.
- SSL-VPN-Client auf Windows oder macOS einrichten: Dafür passen die Anleitungen für Windows und macOS.
- SSL VPN auf iPhone, iPad oder Android einrichten: Dafür passen die Anleitungen für iPhone und iPad und Android.
- Site-to-Site-IPsec zwischen Standorten aufbauen: Dafür passt Sophos Firewall Site-to-Site IPsec VPN einrichten.
- IPsec-Tunnel ist verbunden, aber Traffic funktioniert nicht: Dafür passt Sophos Firewall IPsec VPN Troubleshooting.
- VPN ist verbunden, aber grosse Transfers hängen: Dafür passt Sophos Firewall MTU und MSS bei VPN-Problemen prüfen.
- Microsoft Entra ID SSO oder Conditional Access nutzen: Dafür passt Microsoft Entra ID SSO für Sophos Connect und VPN Portal einrichten.
- Legacy Remote Access IPsec vor SFOS 22 MR1 entfernen: Dafür passt Legacy Remote Access IPsec vor SFOS 22 MR1 migrieren.
- Sophos Connect Clientversionen und Profile pflegen: Dafür passt Sophos Connect Client Version prüfen und sicher aktualisieren.
Diese Trennung verhindert viele Fehlentscheidungen. Ein grüner VPN-Status beweist noch keinen funktionierenden Zugriff, ein Clientupdate ersetzt keine Firewall-Regel, und ein Remote-Access-Problem ist nicht automatisch ein IPsec-Problem.
Kurze Entscheidungshilfe
- Windows-Clients mit zentraler Verteilung: Sophos Connect mit IPsec oder SSL VPN ist meist sinnvoll.
- macOS-Clients ab Sophos Connect 2.0: Sophos Connect mit IPsec oder SSL VPN ist je nach Firewall-Konfiguration möglich.
- Windows ARM: Sophos Connect ab Version 2.5 verwenden.
- iOS, iPadOS, Android oder andere mobile Plattformen: OpenVPN-kompatiblen Client oder Betriebssystem-Bordmittel je nach Protokoll prüfen.
- Fremdnetze mit blockiertem IPsec: SSL VPN oder ZTNA prüfen.
- Zugriff nur auf einzelne Anwendungen: ZTNA oder Clientless Access prüfen.
- Legacy Remote Access IPsec vor SFOS 22 MR1: Migrieren und entfernen.
Die Tabelle ist bewusst vereinfacht. In der Praxis entscheidet nicht nur der Client, sondern auch das Authentifizierungsmodell, MFA, die Netzumgebung der Benutzer, die benötigten internen Ziele und die Frage, wie Profile verteilt und aktualisiert werden.
Plattform- und Profilgrenzen
Vor der Entscheidung sollte man nicht nur “IPsec oder SSL VPN” fragen. Genauso wichtig ist, ob die gewünschte Plattform den passenden Profiltyp und die gewünschte Verteilung unterstützt.
- Windows 10/11 64-bit: Sophos Connect unterstützt IPsec, SSL VPN und Provisioning-Dateien.
- Windows ARM: Sophos Connect unterstützt IPsec, SSL VPN und Provisioning-Dateien ab Version 2.5.
- Alte 32-bit-Windows-Clients: Nur ältere Sophos-Connect-Versionen bis 2.4 unterstützen diese Plattform noch. Für neue Rollouts sollte man solche Clients nicht als Zielarchitektur planen.
- macOS Intel: Sophos Connect unterstützt IPsec und ab Version 2.0 auch SSL VPN. Provisioning-Dateien werden nicht unterstützt.
- macOS Apple Silicon: Sophos Connect unterstützt IPsec über Rosetta 2 und ab Version 2.0 auch SSL VPN über Rosetta 2. Provisioning-Dateien werden nicht unterstützt.
- iOS, iPadOS und Android: Sophos Connect ist dafür nicht der passende Client für IPsec oder SSL VPN.
Für macOS bedeutet das praktisch: Sophos Connect kann SSL VPN inzwischen verwenden, aber nicht mit derselben Provisioning-Logik wie Windows. Profile müssen bewusst importiert und nach relevanten Änderungen neu bereitgestellt werden. Für mobile Plattformen bleibt Sophos Connect nicht der direkte Client; dort braucht es je nach Protokoll OpenVPN-kompatible Apps oder Betriebssystemfunktionen.
Eine zweite Grenze betrifft SSO: Microsoft Entra ID SSO mit Sophos Connect ist ein Windows-Szenario mit Sophos Connect 2.4 oder neuer und passender SFOS-Version. Wer macOS, mobile Plattformen oder klassische Credential-Logins betreibt, sollte SSO, MFA und Profilverteilung deshalb getrennt planen statt eine einzige Clientlogik für alle Geräte anzunehmen.
Sophos Connect mit IPsec
Sophos Connect mit IPsec ist häufig die erste Wahl, wenn klassische Client-VPNs für Windows- oder macOS-Geräte benötigt werden. IPsec ist meist performant und eignet sich gut für verwaltete Firmenclients, bei denen Profile kontrolliert verteilt werden können.
Vorteile:
- gute Performance in vielen Umgebungen
- geeignet für verwaltete Windows- und macOS-Clients
- zentrale Firewall-Regeln über die
VPN-Zone möglich - klare Trennung von Remote-Access- und Site-to-Site-VPN
- sinnvoll, wenn Sophos Connect ohnehin als Standardclient genutzt wird
Grenzen:
- IPsec kann in Hotels, Gastnetzen, Mobilfunknetzen oder streng gefilterten Fremdnetzen blockiert werden.
- Profile und Benutzerzuordnung müssen sauber gepflegt werden.
- Nach Änderungen an Pools, DNS oder Zielnetzen müssen Clients neu getestet werden.
- Legacy Remote Access IPsec darf nicht mit der aktuellen Remote-Access-IPsec-Konfiguration verwechselt werden.
Für die Einrichtung auf der Firewall ist Sophos Connect Client auf der Sophos Firewall konfigurieren der passende Anschlussartikel.
Sophos Connect mit SSL VPN
Sophos Connect kann auch SSL-VPN-Verbindungen verwenden. Auf Windows ist das schon länger relevant, und seit Sophos Connect 2.0 unterstützt Sophos auch SSL VPN auf macOS. Das ist besonders wichtig, weil ältere Avanet- und Sophos-Connect-Anleitungen teilweise noch aus einer Zeit stammen, in der macOS mit Sophos Connect nur IPsec konnte.
Vorteile:
- oft besser nutzbar in restriktiven Fremdnetzen als IPsec
- Windows und macOS werden mit aktuellen Sophos-Connect-Versionen unterstützt
- OpenVPN-Technik ist im Betrieb gut nachvollziehbar
- sinnvoll, wenn bestehende SSL-VPN-Prozesse bereits etabliert sind
Grenzen:
- Performance und Skalierung hängen stärker von Appliance, Protokoll, Verschlüsselung und Last ab.
- Benutzerprofile und Zertifikate müssen sauber verwaltet werden.
- Alte SSL-VPN-Clients und alte OpenVPN-Stände sollten nicht ungeprüft weiterverwendet werden.
- Mobilgeräte verwenden weiterhin typischerweise andere OpenVPN-kompatible Clients.
Die firewallseitige Konfiguration steht in Sophos Firewall SSL VPN Remote Access einrichten. Für Windows gibt es die Schritt-für-Schritt-Anleitung Sophos SSL VPN mit Sophos Connect auf Windows einrichten. Für macOS sollte man bei Neuinstallationen die aktuelle Sophos-Connect-Version prüfen, weil sich die Plattformunterstützung 2026 geändert hat. Der passende Betriebsartikel dazu ist Sophos Connect Client Version prüfen und sicher aktualisieren.
OpenVPN-Clients und mobile Plattformen
Sophos Connect unterstützt nicht alle Plattformen direkt. Mobile Plattformen wie iOS und Android werden für IPsec und SSL VPN nicht direkt durch Sophos Connect abgedeckt. In solchen Fällen kommen je nach Protokoll die Betriebssystem-Bordmittel oder OpenVPN-kompatible Clients zum Einsatz.
Das ist kein Nachteil, wenn der Prozess sauber dokumentiert ist. Problematisch wird es erst, wenn Benutzer unterschiedliche Apps, alte Profile und unklare Anleitungen verwenden. Für Mobilgeräte sollte deshalb klar definiert sein:
- welches Protokoll verwendet wird
- welche App unterstützt wird
- wo die Konfigurationsdatei herkommt
- wie MFA oder Zertifikate funktionieren
- wer bei Gerätewechseln unterstützt
Konkrete Anleitungen gibt es für Sophos SSL VPN mit Sophos Connect auf Windows, Sophos SSL VPN mit Sophos Connect auf macOS, Sophos SSL VPN auf iPhone und iPad und Sophos SSL VPN auf Android.
Profilverteilung und Updates
Remote-Access-Probleme entstehen häufig nicht durch den gewählten Tunneltyp, sondern durch alte Profile. Wenn Gateway, Zertifikat, DNS, Benutzergruppe, IP-Pool, Portal oder Provisioning-Datei geändert werden, sollte man den Profilbestand aktiv bereinigen.
Praktische Regeln:
- Sophos-Connect-Versionen zentral verfolgen.
.scx,.tgb,.ovpnund.proDateien nicht unkontrolliert parallel verteilen.- Dateitypen bewusst unterscheiden:
.scxsteht typischerweise für Sophos-Connect-IPsec-Profile,.tgbfür IPsec-Profile für bestimmte Drittanbieter-/Mobile-Clients,.ovpnfür SSL-VPN-Konfigurationen und.profür Windows-Provisioning. - Profilnamen eindeutig halten, besonders bei mehreren Standorten.
- Nach Änderungen an SSL VPN oder IPsec einen Neuimport einplanen.
- Bei SSL VPN prüfen, ob Benutzer Update policy im Sophos Connect Client verwenden können oder die
.ovpn-Datei neu importieren müssen. - Bei Provisioning-Dateien verstehen, dass
.provor allem Konfigurationen automatisch bezieht. Die tatsächlichen SSL-VPN-Gateways kommen aus der importierten SSL-VPN-Konfiguration und können von der Portaladresse abweichen. - Windows, macOS und mobile Clients getrennt testen.
- Alte Profile bei Austritten, Gerätewechseln oder Migrationen entfernen.
Ein Neuimport ist nicht nur nach Firewall-Änderungen relevant. Auch Clientupdates können Verhalten ändern, zum Beispiel wenn gespeicherte Zugangsdaten, Profiloptionen oder neue Clientfunktionen erst nach erneutem Import der Konfiguration korrekt greifen. Deshalb sollte man Update policy, Neuimport und Helpdesk-Kommunikation vor grösseren Rollouts bewusst testen.
Der operative Ablauf für Clientupdates steht in Sophos Connect Client Version prüfen und sicher aktualisieren.
Wann ZTNA besser passt
Nicht jeder Remote-Access-Fall braucht ein klassisches VPN. Wenn Benutzer nur auf einzelne Webanwendungen oder definierte interne Dienste zugreifen müssen, ist ZTNA oft die sauberere Architektur. Der Client bekommt dann nicht pauschal Netzwerkzugriff, sondern nur Zugriff auf die benötigten Anwendungen.
ZTNA passt besonders gut, wenn:
- keine vollständige Netzwerkerreichbarkeit benötigt wird
- externe Benutzer nur einzelne Anwendungen verwenden
- Zugriff stärker an Identität, Gerät und Policy gebunden werden soll
- VPN-Regeln historisch gewachsen und zu breit geworden sind
ZTNA ersetzt nicht jedes VPN. Für Admin-Zugriffe, viele Protokolle, Spezialsoftware oder komplexe Netzpfade kann ein klassisches VPN weiterhin nötig sein. Als Einstieg dient Sophos ZTNA Gateway Connector.
Sicherheit und Betrieb
Unabhängig vom gewählten Client bleiben die Betriebsfragen ähnlich. Remote Access ist ein öffentlich erreichbarer Einstiegspunkt ins Netzwerk und sollte nicht nur technisch funktionieren, sondern auch sauber betrieben werden.
Wichtige Punkte:
- MFA für Remote Access aktivieren und testen.
- Bei Sophos Connect prüfen, ob das MFA-Verfahren zum Client passt. Challenge-basierte OTP-Verfahren funktionieren nicht gleich wie User Portal oder WebAdmin; Sophos Connect arbeitet mit Passwort-plus-OTP beziehungsweise Call-/Push-basierten Abläufen.
- Benutzergruppen regelmässig prüfen.
- Nur benötigte Zielnetze und Dienste freigeben.
- Firewall-Regeln für die
VPN-Zone sauber benennen und loggen. - VPN-Profile bei Austritten oder Gerätewechseln entfernen.
- Alte Legacy-Konfigurationen vor SFOS 22.0 MR1 bereinigen.
- Log Viewer und zentrale Logs für Anmelde- und Verbindungsfehler nutzen.
Für MFA passt Sophos Firewall MFA einrichten. Wenn Verbindungen zwar aufgebaut werden, aber kein Traffic fliesst, helfen Sophos Firewall IPsec VPN Troubleshooting und Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.
Wenn VPN Portal, User Portal oder SSL VPN aus dem Internet erreichbar sind, sollte man zusätzlich Device Access und Local Service ACL prüfen. Remote Access ist nicht nur ein Clientthema, sondern auch ein öffentlich erreichbarer Firewall-Dienst.