Controleer en update de Sophos Connect Client-versie veilig
Sophos Connect is de primaire client voor externe toegang voor veel Sophos-firewallomgevingen. Toch wordt de clientversie in het dagelijks leven vaak minder bewust onderhouden dan de firewallfirmware. Dit leidt tot onnodige support cases: verbindingen komen niet tot stand, DNS werkt niet goed op macOS, SSO geeft een onjuiste status weer of gebruikers worden anders gevraagd dan verwacht tijdens OTP-herverbindingen.
In het artikel wordt uitgelegd hoe u Sophos Connect-versies kunt controleren, updates kunt plannen en na de update kunt valideren. Het vervangt niet de installatie-instructies voor Ramen of macOS, maar vult deze aan met de bediening en het updaten van de client.
Voor de basisbeslissing tussen IPsec, SSL VPN, mobiele clients en ZTNA past Sophos Connect of SSL VPN: welke oplossing voor externe toegang is de juiste? als eerste.
Wanneer een update moet worden gecontroleerd
Een Sophos Connect-update moet niet alleen worden gecontroleerd op acute fouten. Vooral bij externe toegang is de clientversie direct gerelateerd aan platformondersteuning, VPN-protocol, MFA, SSO en profielimport.
Typische triggers:
- nieuwe Windows- of macOS-versies in het bedrijf
- Overstappen van IPsec naar SSL VPN of omgekeerd
- Gebruik van WindowsARM
- Maak kennis met Microsoft Entra ID-SSO
- Schakel over naar Sophos Connect met SSL VPN op macOS
- terugkerende herverbindings-, DNS- of OTP-problemen
- Distributie van nieuwe
.scx-,.tgb-,.ovpn- of.pro-bestanden - grote firewall-updates, bijvoorbeeld naar SFOS 22 of nieuwer
Als toegang op afstand bedrijfskritisch is, mag de client niet terloops worden bijgewerkt. Het is beter om een kleine pilot te hebben met een duidelijke testlijst voordat de versie breed wordt verspreid.
Classificeer huidige versiepunten
Vanaf 20. Vanaf juni 2026 is Sophos Connect 2.5 MR1 de huidige versie in de officiële Release opmerkingen voor Sophos Connect. De releasedatum is 18. Juni 2026 gedocumenteerd.
Belangrijke punten uit de huidige release notes:
| Versie | Relevantie voor beheerders |
|---|---|
| Sophos Connect 2.5MR1 | lost verschillende praktische problemen op rond het opstarten van Windows, SSO-status, OTP-herverbinding en SSL VPN-inrichting |
| Sophos Connect 2.5 | ondersteunt Windows ARM en maakt gebruik van 64-bit Windows 10 of 11 |
| Sophos Connect 2.4 | brengt Microsoft Entra ID SSO voor Sophos Connect op Windows met SFOS 21.5 of hoger |
| Sophos Connect 2.0 voor macOS | ondersteunt Remote Access SSL VPN op macOS |
| Sophos Connect 2.0 MR1 voor macOS | Verhelpt onder meer DNS-problemen met SSL VPN en herstelt de opslag van toegangsgegevens voor SSL VPN |
Deze tabel is geen volledige releasegeschiedenis. De getoonde punten zijn punten die in de praktijk vaak leiden tot uitrol- of supportvragen voor Sophos firewall-beheerders.
Controleer ondersteunde platforms
Vóór een update moet je niet zomaar de nieuwste versie downloaden. Ten eerste moet duidelijk zijn welke platforms en profielen er in het gebied bestaan.
Ramen
Voor huidige Sophos Connect-versies moet u plannen met Windows 10 of Windows 11. Windows ARM wordt ondersteund vanaf Sophos Connect 2.5. Als er nog oude 32-bits Windows-installaties in gebruik zijn, moet je niet blindelings overstappen naar de huidige clientlijn, maar eerst nagaan of deze apparaten nog als ondersteund remote access-platform gebruikt moeten worden.
Voor Entra ID SSO met Sophos Connect vermeldt Sophos Windows-apparaten met Sophos Connect 2.4 of hoger. De identiteitsconfiguratie op de firewall wordt beschreven in het artikel Stel Microsoft Entra ID SSO in voor Sophos Connect en VPN Portal.
macOS
Op macOS is welk protocol wordt gebruikt bijzonder belangrijk. IPsec wordt al geruime tijd ondersteund door Sophos Connect. SSL VPN via Sophos Connect op macOS is echter pas relevant vanaf Sophos Connect 2.0.
Voor Sophos Connect 2.0 en nieuwer noemt Sophos macOS Ventura 13 of nieuwer, zowel voor Intel Macs als voor Apple Silicon via Rosetta 2. Als er oudere macOS-versies in gebruik zijn, moet je vóór de uitrol controleren of de getroffen apparaten geüpdatet moeten worden of anders moeten worden aangesloten.
Mobiele platformsSophos Connect is niet de client voor iOS en Android. Voor mobiele platforms worden, afhankelijk van het ontwerp voor externe toegang, besturingssysteemfuncties of OpenVPN-compatibele apps gebruikt. De beslissing tussen Sophos Connect, SSL VPN, OpenVPN-clients en ZTNA is samengevat in Sophos Connect of SSL VPN: welke oplossing voor externe toegang is de juiste?.
Verduidelijk het VPN-profieltype vóór de update
Veel fouten worden niet veroorzaakt door de klant zelf, maar door oude of onjuiste profielen. Vóór een update moet worden gedocumenteerd welke verbindingstypen worden gedistribueerd:
| Profieltype | Typisch bestand | Opmerking |
|---|---|---|
| IPsec-toegang op afstand | .scx of .tgb | Profiel moet overeenkomen met de firewallconfiguratie en gebruikersgroep |
| SSL-VPN | .ovpn | Controleer certificaat, gebruikersrechten en DNS-instellingen |
| Voorzieningen | .pro | automatische provisioning, maar afhankelijk van gateway-, portal- en clientondersteuning |
Na wijzigingen aan het VPN-portaal, de gateway, certificaten, Entra SSO, gebruikersgroepen, IP-pools of DNS moet men ervan uitgaan dat profielen opnieuw moeten worden geïmporteerd of herverdeeld. Oude profielen die in omloop zijn, zijn een van de meest voorkomende oorzaken van moeilijk te begrijpen problemen met externe toegang.
Configureer Sophos Connect op Sophos Firewall is geschikt voor de IPsec-basisconfiguratie aan de firewallzijde. Voor SSL VPN is Stel Sophos Firewall SSL VPN Externe toegang in het geschiktere toegangspunt.
Bereid de update goed voor
Een gecontroleerde Sophos Connect-update omvat meer dan alleen het nieuwe installatieprogramma.
Controleer vóór uitrol:
- Welke versie van Sophos Connect is momenteel geïnstalleerd?
- Welke besturingssystemen zijn getroffen?
- Worden IPsec, SSL VPN of beide protocollen gebruikt?
- Worden er
.pro-inrichtingsbestanden gebruikt? - Zijn er Entra SSO, RADIUS, AD of lokale gebruikers?
- Is MFA actief en hoe gedraagt de client zich tijdens het opnieuw verbinden?
- Zijn er gebruikers bekend met speciale tekens in gebruikersnamen, wachtwoorden of certificaten?
- Zijn er nog oude profielen in omloop?
- Is er een pilotgroep en een terugvaltraject?
Voor beheerde clients moet de versie worden beheerd via normale softwaredistributie. Individuele handmatige updates door gebruikers hebben alleen zin als het supportproces hierop is voorbereid.
Aanbevolen stroom
1. Registreer de huidige status
Eerst moet u de bestaande clientversies vastleggen. In kleine omgevingen is een handmatige controle op enkele apparaten vaak voldoende. In grotere omgevingen moet softwaredistributie of eindpuntbeheer de geïnstalleerde versies evalueren.
Documenteer bovendien:
- gebruikte verbinding per gebruikersgroep
- IPsec- of SSL-VPN
- Profielbron: Firewall-export, VPN-portal of inrichtingsbestand
- Authenticatie: lokaal, AD, RADIUS, Entra ID SSO
- MFA-gedrag
- bekende speciale gevallen zoals Windows ARM of Apple Silicon
2. Definieer testgroep
De testgroep moet niet alleen uit IT-beheerders bestaan. Het is zinvol om één tot drie normale gebruikers te hebben met een typisch profiel voor externe toegang en minstens één apparaat per platform dat productief wordt gebruikt.
Test tenminste:
- Windows 10 of 11 met standaardprofiel
- Windows ARM, indien beschikbaar
- macOS met IPsec, indien beschikbaar
- macOS met SSL VPN indien beschikbaar
- Entra SSO indien gebruikt
- OTP/MFA opnieuw verbinden indien gebruikt
3. Update client
Installeer het nieuwste installatieprogramma van de gedeelde bron. In veel SFOS-omgevingen wordt Sophos Connect geïmplementeerd via firewallpatroonupdates of verkregen via de Sophos-downloadpagina. Cruciaal is dat intern duidelijk is welke versie er is uitgebracht.
Na installatie:
- Open Sophos Connect.
- Controleer de versie.
- Toon bestaande verbinding.
- Verbinding testen.
- Als er profiel- of SSO-wijzigingen zijn, importeert u de verbinding opnieuw.
4. Importeer de verbinding indien nodig opnieuw
Met alleen een clientupdate wordt niet automatisch elk VPN-profiel bijgewerkt. Als de firewallconfiguratie, gateway, DNS, certificaten, SSO of inrichtingsbestand zijn gewijzigd, moet de verbinding opzettelijk opnieuw worden geïmporteerd. Bij macOS is dit vooral belangrijk als de mogelijkheid om toegangsgegevens voor SSL VPN op te slaan na een update moet worden gebruikt. Sophos merkt voor Sophos Connect 2.0 MR1 op dat het configuratiebestand na de upgrade opnieuw moet worden geïmporteerd om van deze optie gebruik te kunnen maken.
5. Valideer na update
Een groene verbindingsstatus is niet voldoende. Na de update moet u controleren of Remote Access echt werkt zoals gepland.
Controlelijst:
- Er wordt verbinding gemaakt.
- MFA of SSO wordt opgevraagd zoals verwacht.
- Klant krijgt het juiste VPN IP.
- Interne DNS-namen zijn opgelost.
- Centrale interne systemen zijn toegankelijk.
- Firewallregel in de zone
VPNwordt geactiveerd in de logviewer. - Gesplitste tunnel of volledige tunnel gedraagt zich zoals gedocumenteerd.
- Opnieuw verbinden werkt na netwerkwijziging.
- Uitloggen en opnieuw inloggen werkt.
- Helpdesk weet welke nieuwe versie er is uitgebracht.
Als de verbinding tot stand is gebracht maar er geen verkeer stroomt, is de client vaak niet de oorzaak. Dan helpen Sophos Firewall IPsec VPN-probleemoplossing en Test firewallregels met Log Viewer, Policy Test en Packet Capture.
Typische fouten na updates
Sophos Connect start niet automatisch
Sophos Connect 2.5 MR1 lost een autostartprobleem op voor extra Windows-gebruikers wanneer de client door een andere gebruiker werd geïnstalleerd. Als dergelijke gevallen zich voordoen, moet u eerst controleren of de huidige versie daadwerkelijk is geïnstalleerd en hoe de softwaredistributie de client installeert.
SSO-status is onjuist na internetonderbreking
In Entra SSO-omgevingen kan een internetstoring resulteren in irritante statusweergaven. Sophos Connect 2.5 MR1 bevat een oplossing voor SSO-gebruikers. Controleer ook of de firewall op een geschikte SFOS-versie draait en of de SSO-configuratie correct is ingesteld onder Authenticatie > Services.
OTP wordt anders opgevraagd bij opnieuw verbinden
Als gebruikers met klassieke MFA of OTP werken, moet het gedrag voor opnieuw verbinden na een update worden getest. Sophos Connect 2.5 MR1 repareert een verschil in inlogverificatie tussen IPsec en SSL VPN voor Credential-gebruikers met OTP.
Voor de algemene planning van Sophos Firewall MFA is Schakel MFA in voor Sophos Firewall WebAdmin, VPN Portal en Remote Access geschikt.
SSL VPN met inrichtingsbestand maakt geen verbinding
Er is een oplossing opgenomen voor 2.5 MR1 voor SSO-gebruikers die geen verbinding konden maken met SSL VPN en het inrichtingsbestand wanneer certificaten speciale tekens bevatten. In dergelijke gevallen moet u niet alleen de client bijwerken, maar ook de certificaatnaam, het profielimport en het inrichtingsbestand controleren.
Interne DNS-namen werken niet op macOS
Voor macOS en SSL VPN moet de versie bijzonder zorgvuldig worden gecontroleerd. Sophos Connect 2.0 MR1 lost een probleem op waarbij DNS-instellingen voor SSL VPN-verbindingen niet werden toegepast, waardoor interne FQDN’s niet werden opgelost.
Als DNS na de update nog steeds niet werkt, controleer dan de DNS-servers, zoekdomeinen, firewallregels en de daadwerkelijk geïmporteerde .ovpn-configuratie.
Bedrijfsaanbeveling
Sophos Connect moet worden behandeld als andere beveiligingsgerelateerde clientsoftware: met versietracking, pilotgroep, gedocumenteerde uitrol en ondersteuningspad.
Deze regels hebben zich in de praktijk bewezen:
- Definieer een vrijgegeven doelversie.
- Verwijder oude installatiepakketten uit interne downloadmappen.
- Versie VPN-profielen of geef ze een duidelijke naam.
- Herbalancering forceren na profielwijzigingen.
- Test Windows, macOS, SSO en OTP afzonderlijk.
- Documenteer bekende fouten en doelversie in de helpdesk.
- Controleer de clientstatus na grote firewall-updates.
Het is belangrijk om het clientprobleem en het firewallprobleem van elkaar te scheiden. Het updaten van de Sophos Connect-client lost ontbrekende firewallregels, onjuiste VPN-pools, verlopen certificaten of kapotte retourroutes niet op. Daarom omvat de controle altijd een blik op de logviewer, pakketopname en de betreffende regels voor externe toegang.
Controlelijst
Vóór de update- Geïnstalleerde Sophos Connect-versies opgenomen.
- Ondersteunde besturingssystemen gecontroleerd.
- IPsec, SSL VPN en provisioningprofielen gedocumenteerd.
- Entra SSO, RADIUS, AD of lokale authenticatie aangevinkt.
- MFA/OTP-gedrag bekend.
- Pilotgroep gedefinieerd.
- Pad naar terugval gedocumenteerd.
Tijdens de update
- Client geïnstalleerd vanaf een gedeelde bron.
- Versie gecontroleerd na installatie.
- Opnieuw geïmporteerde verbinding als profiel of SSO wordt beïnvloed.
- Windows en macOS afzonderlijk getest.
- Opnieuw verbinding maken en netwerkverandering getest.
Na de update
- DNS, interne doelen en firewallregelmatch gecontroleerd.
- Helpdesk geïnformeerd over doelversie en bekende wijzigingen.
- Oude profielen en installatiepakketten verwijderd of duidelijk gemarkeerd.
- Afwijkingen gedocumenteerd op basis van logviewer en gebruikersfeedback.