Naar de inhoud
Avanet

Sophos SSL VPN Client veilig in Autostart plaatsen

De oude Sophos SSL VPN Client for Windows kan automatisch starten bij het inloggen op Windows en een specifieke OpenVPN-configuratie verbinden. Dit is technisch mogelijk, maar moet niet worden verward met een veilige standaardaanbeveling. Vooral kritisch is Auto-Login met een password.txt, omdat gebruikersnaam en wachtwoord dan in platte tekst op de client staan.

Voor nieuwe Remote-Access-opstellingen moet eerst worden gecontroleerd of Sophos Connect, actuele SSL-VPN-profielen, MFA of Microsoft Entra ID SSO beter passen. Deze handleiding is vooral bedoeld voor oude omgevingen, speciale clients of gecontroleerde uitzonderingen waarin de oude SSL VPN Client nog wordt gebruikt.

Autostart, Auto-Connect en Auto-Login onderscheiden

De drie termen worden vaak verward, maar betekenen verschillende risico’s:

FunctieBetekenisRisico
AutostartDe VPN Client start bij het inloggen op Windows.laag tot middel
Auto-ConnectDe client start direct met een specifieke .ovpn-bestand.middel
Auto-LoginGebruikersnaam en wachtwoord worden automatisch doorgegeven.hoog

Autostart en Auto-Connect kunnen in bepaalde omgevingen nuttig zijn als een apparaat direct na het inloggen verbinding moet maken. Auto-Login is daarentegen een uitzondering. Zodra het wachtwoord als bestand op de client staat, hangt de veiligheid sterk af van het Windows-apparaat, gebruikersprofiel, bestandsrechten, VPN-rechten en diefstalbeveiliging.

⚠️ Auto-Login met password.txt slaat inloggegevens in platte tekst op. Dit moet niet worden gebruikt voor normale gebruikersaccounts, beheerders, gedeelde apparaten of breed geautoriseerde VPN-profielen.

Wanneer deze aanpak zinvol kan zijn

De Autostart-aanpak kan als overgangsoplossing zinvol zijn als een Windows-client na het inloggen automatisch een bekende SSL-VPN-verbinding moet openen en de omgeving nog niet is overgeschakeld naar Sophos Connect of een ander Remote-Access-model.

Typische gevallen:

  • een toegewijde onderhoudsclient met beperkte rechten
  • een laboratorium- of testsysteem
  • een speciaal apparaat dat na gebruikersinlog een vaste verbinding nodig heeft
  • een oude omgeving waarin Sophos Connect nog niet is geïntroduceerd

De aanpak is niet geschikt voor apparaten die door meerdere personen worden gebruikt, voor geprivilegieerde admin-toegangen, voor niet-versleutelde of slecht beheerde Windows-clients en voor omgevingen waarin MFA consequent moet worden afgedwongen.

Vereisten

Voor de uitvoering moeten deze punten duidelijk zijn:

  • De oude Sophos SSL VPN Client is op Windows geïnstalleerd.
  • Een werkende .ovpn-configuratie is lokaal beschikbaar.
  • De betreffende VPN-gebruiker heeft alleen de echt noodzakelijke toegang.
  • Het Windows-apparaat is beheerd, versleuteld en beschermd tegen lokale onbevoegde toegang.
  • Het is gedocumenteerd waarom Auto-Connect of Auto-Login nodig is.
  • Voor productief gebruik is een terugvalplan beschikbaar.

Als de client nog niet is geïnstalleerd, helpt de handleiding voor Sophos SSL VPN Client op Windows met SFOS. Voor actuele clientversies past daarnaast Sophos Connect Client Versie controleren en veilig bijwerken.

Bestaande Autostart-vermelding uitschakelen

De oude SSL VPN Client maakt bij de installatie vaak al een Autostart-vermelding aan. Als een eigen Autostart-regel met parameters wordt gebruikt, moet de bestaande vermelding eerst worden uitgeschakeld, zodat de client niet dubbel start.

Sophos SSL VPN Client Autostart-vermelding in de Windows Taakbeheer uitschakelen
De bestaande Autostart-vermelding moet worden uitgeschakeld voordat een eigen startopdracht met OpenVPN-parameters wordt ingevoerd.
  1. Taakbeheer openen.
  2. Naar het tabblad Opstarten of Autostart gaan.
  3. SSL VPN Client for Windows selecteren.
  4. De vermelding uitschakelen.

Bij oudere Windows-versies kan daarnaast de klassieke Autostart-map relevant zijn. In beheerde omgevingen moet ook worden gecontroleerd of een softwaredistributie- of GPO-proces de vermelding later herstelt.

Opdracht voor Auto-Connect voorbereiden

Voor Auto-Connect wordt openvpn-gui.exe gestart met het pad naar de configuratiemap en de naam van het gewenste .ovpn-bestand.

Schema:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn

Afhankelijk van de Windows- en clientinstallatie kunnen de paden afwijken:

OnderdeelTypisch pad
openvpn-gui.exe op 64-bit WindowsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
openvpn-gui.exe op 32-bit WindowsC:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
Configuratiemap op 64-bit WindowsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\
Configuratiemap op 32-bit WindowsC:\Program Files\Sophos\Sophos SSL VPN Client\config\
Sophos SSL VPN Client configuratiemap met OpenVPN-profiel
De startopdracht moet naar de juiste configuratiemap en het juiste OVPN-bestand wijzen.

Voorbeeld:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn

Belangrijk is de exacte bestandsnaam van het .ovpn-bestand. Als er spaties of speciale tekens in de bestandsnaam voorkomen, moet de opdracht extra zorgvuldig worden getest. In veel omgevingen is een korte profielnaam zonder spaties onderhoudsvriendelijker.

Autostart in het register aanmaken

De vermelding kan onder de huidige Windows-gebruiker in Run worden geplaatst. Hierdoor start de client bij het inloggen van deze gebruiker, niet systeemwijd voor elke gebruikersaanmelding.

Sophos SSL VPN Client Autostart-vermelding in het Windows-register aanmaken
Een HKCU-Run-vermelding start de client bij het inloggen van de huidige Windows-gebruiker.
  1. Register-editor openen.
  2. Naar dit pad gaan:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  1. In de rechterkolom een nieuwe String Value aanmaken.
  2. Een unieke naam geven, bijvoorbeeld sophos-ssl-vpn.
  3. Als waarde de voorbereide openvpn-gui.exe-opdracht invoegen.
  4. Windows-gebruiker afmelden en opnieuw aanmelden.
  5. Controleren of de client start en de gewenste verbinding kiest.

Als alleen Autostart en Auto-Connect nodig zijn, moet men hier stoppen. In deze toestand moet de gebruiker het VPN-wachtwoord nog steeds invoeren. Dit is vanuit veiligheidsoogpunt meestal de betere optie.

Auto-Login alleen als uitzondering gebruiken

Auto-Login wordt bij de oude OpenVPN-gebaseerde client geregeld via de regel auth-user-pass in het .ovpn-bestand. Als daar een bestand wordt opgegeven, leest de client gebruikersnaam en wachtwoord uit dit bestand.

Voorbeeld in het .ovpn-bestand:

auth-user-pass password.txt

Het bestand password.txt ligt dan in dezelfde map als het .ovpn-bestand en bevat twee regels:

supportuser
ZeerGeheimWachtwoord

Deze methode is technisch eenvoudig, maar qua veiligheid zwak. Wie toegang tot het bestand krijgt, heeft de VPN-inloggegevens. Daarom moet deze variant alleen worden gebruikt als het risico bewust is geaccepteerd en beperkt.

Minimale controles voor een uitzondering:

  • eigen VPN-gebruiker alleen voor dit doel
  • geen beheerder- of gedeelde beheerder-inloggegevens
  • sterk beperkte VPN-policy en firewallregels
  • geen toegang tot beheernetwerken, domeincontrollers of back-upsystemen, tenzij absoluut noodzakelijk
  • Windows-apparaat met BitLocker of vergelijkbare versleuteling
  • geen lokale standaardgebruikers met toegang tot het bestand
  • gedocumenteerde vervaldatum of beoordelingsdatum voor de uitzondering

Auto-Login configureren

Als Auto-Login ondanks risico nodig is, moet de wijziging goed worden gedocumenteerd en getest.

  1. Editor als beheerder starten.
  2. Het gebruikte .ovpn-bestand in de Sophos-SSL-VPN-configuratiemap openen.
  3. De regel auth-user-pass zoeken.
  4. De regel wijzigen naar auth-user-pass password.txt.
  5. In dezelfde map een bestand password.txt aanmaken.
  6. In de eerste regel de gebruikersnaam invoeren.
  7. In de tweede regel het wachtwoord invoeren.
  8. Bestand opslaan.
  9. Bestandsrechten controleren en onnodige toegang verwijderen.
  10. Windows opnieuw aanmelden en VPN-verbinding testen.

Na de test moet worden gecontroleerd of de VPN-gebruiker alleen de beoogde doelen bereikt. Als het profiel te brede interne netwerken toestaat, wordt een comfort-workaround snel een onnodig grote veiligheidsrisico.

Validatie na de installatie

Na de configuratie is het niet voldoende om alleen naar het groene VPN-symbool te kijken. Belangrijk is of precies de verwachte verbinding is gemaakt en of de rechten kloppen.

Controleren:

  • Start de client slechts één keer?
  • Wordt het juiste .ovpn-bestand gebruikt?
  • Wordt de verbinding pas na Windows-login gemaakt?
  • Werken DNS-resolutie en interne doelsystemen?
  • Geldt op de firewall de verwachte Remote-Access-regel?
  • Zijn in de Log Viewer de verwachte gebruikers- en VPN-gebeurtenissen zichtbaar?
  • Kan de VPN-gebruiker alleen de benodigde netwerken bereiken?

Voor verbindingsproblemen na succesvolle login helpen Firewall-regel testen met Log Viewer, Policy Test en Packet Capture en Sophos Firewall Troubleshooting: Services en Logs. Als alleen bepaalde toepassingen via VPN blijven hangen, moet daarnaast MTU en MSS bij VPN-problemen worden gecontroleerd.

Typische fouten

SymptoomWaarschijnlijke oorzaakControle
Client start nietRegisterpad of opdracht verkeerdRun-vermelding en paden controleren
Client start dubbeloude Autostart-vermelding nog actiefTaakbeheer en Autostart-map controleren
Profiel wordt niet gevondenverkeerde bestandsnaam of verkeerde config_dir.ovpn-naam exact vergelijken
Wachtwoord wordt nog steeds gevraagdauth-user-pass password.txt niet in het actieve OVPN-bestandgebruikt profiel en bestandslocatie controleren
Login werkt, interne doelen nietVPN-policy, firewallregel, DNS of routing klopt nietLog Viewer, firewallregel en DNS controleren
Auto-Login werkt niet meer na wachtwoordwijzigingpassword.txt bevat oud wachtwoordWachtwoordbestand bijwerken of Auto-Login verwijderen

Terugval

Als Auto-Login niet meer nodig is, moet deze volledig worden verwijderd.

  1. Registervermelding onder HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run verwijderen of uitschakelen.
  2. In het .ovpn-bestand auth-user-pass password.txt weer wijzigen naar auth-user-pass.
  3. password.txt verwijderen.
  4. VPN-wachtwoord van de betreffende gebruiker wijzigen.
  5. Op de firewall controleren of de gebruiker of de regel nog nodig is.

Als inloggegevens langere tijd in platte tekst zijn opgeslagen, moet men niet alleen het bestand verwijderen. Het wachtwoord moet worden gewijzigd en de toegang in de logs moet worden gecontroleerd.

Checklist

  • Autostart zonder Auto-Login gecontroleerd.
  • Beter Remote-Access-model zoals Sophos Connect, MFA of Entra ID SSO beoordeeld.
  • Toegewijde VPN-gebruiker gebruikt, indien Auto-Login nodig is.
  • VPN- en firewallregels tot het minimum beperkt.
  • password.txt niet voor admin- of gedeelde accounts gebruikt.
  • Windows-apparaat is versleuteld en beheerd.
  • Log Viewer toont verwachte VPN-gebeurtenissen.
  • Terugval en beoordelingsdatum zijn gedocumenteerd.

FAQ

Is Auto-Login met de Sophos SSL VPN Client veilig?

Nee, niet als standaard. Auto-Login met password.txt slaat gebruikersnaam en wachtwoord in platte tekst op. Dit kan in strikt beperkte speciale gevallen worden geaccepteerd, maar moet niet worden gebruikt voor normale gebruikers- of admin-toegangen.

Kan men de Sophos SSL VPN Client automatisch starten zonder het wachtwoord op te slaan?

Ja. De client kan via Autostart en --connect met een specifieke configuratie starten. Dan moet de gebruiker het wachtwoord nog steeds invoeren.

Wat is het betere alternatief voor Auto-Login?

Voor nieuwe opstellingen moet men Sophos Connect, actuele SSL-VPN-profielen, MFA, Entra ID SSO of afhankelijk van de architectuur ZTNA overwegen. Welke variant past, hangt af van besturingssysteem, authenticatie, gebruikersgroepen en beveiligingseisen.

Moet men password.txt met een normaal gebruikersaccount gebruiken?

Alleen als het risico bewust is geaccepteerd. Beter is een toegewijd account met minimale rechten, duidelijk beperkte firewallregels en gedocumenteerde vervaldatum.

Waarom verbindt de client automatisch, maar zijn interne systemen niet bereikbaar?

Dan is de VPN-login niet het eigenlijke probleem. Vaak ontbreken passende firewallregels, DNS-instellingen, routes of rechten in de Remote-Access-policy.