Sophos SSL VPN Client veilig in Autostart plaatsen
De oude Sophos SSL VPN Client for Windows kan automatisch starten bij het inloggen op Windows en een specifieke OpenVPN-configuratie verbinden. Dit is technisch mogelijk, maar moet niet worden verward met een veilige standaardaanbeveling. Vooral kritisch is Auto-Login met een password.txt, omdat gebruikersnaam en wachtwoord dan in platte tekst op de client staan.
Voor nieuwe Remote-Access-opstellingen moet eerst worden gecontroleerd of Sophos Connect, actuele SSL-VPN-profielen, MFA of Microsoft Entra ID SSO beter passen. Deze handleiding is vooral bedoeld voor oude omgevingen, speciale clients of gecontroleerde uitzonderingen waarin de oude SSL VPN Client nog wordt gebruikt.
Autostart, Auto-Connect en Auto-Login onderscheiden
De drie termen worden vaak verward, maar betekenen verschillende risico’s:
| Functie | Betekenis | Risico |
|---|---|---|
| Autostart | De VPN Client start bij het inloggen op Windows. | laag tot middel |
| Auto-Connect | De client start direct met een specifieke .ovpn-bestand. | middel |
| Auto-Login | Gebruikersnaam en wachtwoord worden automatisch doorgegeven. | hoog |
Autostart en Auto-Connect kunnen in bepaalde omgevingen nuttig zijn als een apparaat direct na het inloggen verbinding moet maken. Auto-Login is daarentegen een uitzondering. Zodra het wachtwoord als bestand op de client staat, hangt de veiligheid sterk af van het Windows-apparaat, gebruikersprofiel, bestandsrechten, VPN-rechten en diefstalbeveiliging.
⚠️ Auto-Login met
password.txtslaat inloggegevens in platte tekst op. Dit moet niet worden gebruikt voor normale gebruikersaccounts, beheerders, gedeelde apparaten of breed geautoriseerde VPN-profielen.
Wanneer deze aanpak zinvol kan zijn
De Autostart-aanpak kan als overgangsoplossing zinvol zijn als een Windows-client na het inloggen automatisch een bekende SSL-VPN-verbinding moet openen en de omgeving nog niet is overgeschakeld naar Sophos Connect of een ander Remote-Access-model.
Typische gevallen:
- een toegewijde onderhoudsclient met beperkte rechten
- een laboratorium- of testsysteem
- een speciaal apparaat dat na gebruikersinlog een vaste verbinding nodig heeft
- een oude omgeving waarin Sophos Connect nog niet is geïntroduceerd
De aanpak is niet geschikt voor apparaten die door meerdere personen worden gebruikt, voor geprivilegieerde admin-toegangen, voor niet-versleutelde of slecht beheerde Windows-clients en voor omgevingen waarin MFA consequent moet worden afgedwongen.
Vereisten
Voor de uitvoering moeten deze punten duidelijk zijn:
- De oude Sophos SSL VPN Client is op Windows geïnstalleerd.
- Een werkende
.ovpn-configuratie is lokaal beschikbaar. - De betreffende VPN-gebruiker heeft alleen de echt noodzakelijke toegang.
- Het Windows-apparaat is beheerd, versleuteld en beschermd tegen lokale onbevoegde toegang.
- Het is gedocumenteerd waarom Auto-Connect of Auto-Login nodig is.
- Voor productief gebruik is een terugvalplan beschikbaar.
Als de client nog niet is geïnstalleerd, helpt de handleiding voor Sophos SSL VPN Client op Windows met SFOS. Voor actuele clientversies past daarnaast Sophos Connect Client Versie controleren en veilig bijwerken.
Bestaande Autostart-vermelding uitschakelen
De oude SSL VPN Client maakt bij de installatie vaak al een Autostart-vermelding aan. Als een eigen Autostart-regel met parameters wordt gebruikt, moet de bestaande vermelding eerst worden uitgeschakeld, zodat de client niet dubbel start.

- Taakbeheer openen.
- Naar het tabblad Opstarten of Autostart gaan.
- SSL VPN Client for Windows selecteren.
- De vermelding uitschakelen.
Bij oudere Windows-versies kan daarnaast de klassieke Autostart-map relevant zijn. In beheerde omgevingen moet ook worden gecontroleerd of een softwaredistributie- of GPO-proces de vermelding later herstelt.
Opdracht voor Auto-Connect voorbereiden
Voor Auto-Connect wordt openvpn-gui.exe gestart met het pad naar de configuratiemap en de naam van het gewenste .ovpn-bestand.
Schema:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn
Afhankelijk van de Windows- en clientinstallatie kunnen de paden afwijken:
| Onderdeel | Typisch pad |
|---|---|
openvpn-gui.exe op 64-bit Windows | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
openvpn-gui.exe op 32-bit Windows | C:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
| Configuratiemap op 64-bit Windows | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\ |
| Configuratiemap op 32-bit Windows | C:\Program Files\Sophos\Sophos SSL VPN Client\config\ |

Voorbeeld:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn
Belangrijk is de exacte bestandsnaam van het .ovpn-bestand. Als er spaties of speciale tekens in de bestandsnaam voorkomen, moet de opdracht extra zorgvuldig worden getest. In veel omgevingen is een korte profielnaam zonder spaties onderhoudsvriendelijker.
Autostart in het register aanmaken
De vermelding kan onder de huidige Windows-gebruiker in Run worden geplaatst. Hierdoor start de client bij het inloggen van deze gebruiker, niet systeemwijd voor elke gebruikersaanmelding.

- Register-editor openen.
- Naar dit pad gaan:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- In de rechterkolom een nieuwe String Value aanmaken.
- Een unieke naam geven, bijvoorbeeld
sophos-ssl-vpn. - Als waarde de voorbereide
openvpn-gui.exe-opdracht invoegen. - Windows-gebruiker afmelden en opnieuw aanmelden.
- Controleren of de client start en de gewenste verbinding kiest.
Als alleen Autostart en Auto-Connect nodig zijn, moet men hier stoppen. In deze toestand moet de gebruiker het VPN-wachtwoord nog steeds invoeren. Dit is vanuit veiligheidsoogpunt meestal de betere optie.
Auto-Login alleen als uitzondering gebruiken
Auto-Login wordt bij de oude OpenVPN-gebaseerde client geregeld via de regel auth-user-pass in het .ovpn-bestand. Als daar een bestand wordt opgegeven, leest de client gebruikersnaam en wachtwoord uit dit bestand.
Voorbeeld in het .ovpn-bestand:
auth-user-pass password.txt
Het bestand password.txt ligt dan in dezelfde map als het .ovpn-bestand en bevat twee regels:
supportuser
ZeerGeheimWachtwoord
Deze methode is technisch eenvoudig, maar qua veiligheid zwak. Wie toegang tot het bestand krijgt, heeft de VPN-inloggegevens. Daarom moet deze variant alleen worden gebruikt als het risico bewust is geaccepteerd en beperkt.
Minimale controles voor een uitzondering:
- eigen VPN-gebruiker alleen voor dit doel
- geen beheerder- of gedeelde beheerder-inloggegevens
- sterk beperkte VPN-policy en firewallregels
- geen toegang tot beheernetwerken, domeincontrollers of back-upsystemen, tenzij absoluut noodzakelijk
- Windows-apparaat met BitLocker of vergelijkbare versleuteling
- geen lokale standaardgebruikers met toegang tot het bestand
- gedocumenteerde vervaldatum of beoordelingsdatum voor de uitzondering
Auto-Login configureren
Als Auto-Login ondanks risico nodig is, moet de wijziging goed worden gedocumenteerd en getest.
- Editor als beheerder starten.
- Het gebruikte
.ovpn-bestand in de Sophos-SSL-VPN-configuratiemap openen. - De regel
auth-user-passzoeken. - De regel wijzigen naar
auth-user-pass password.txt. - In dezelfde map een bestand
password.txtaanmaken. - In de eerste regel de gebruikersnaam invoeren.
- In de tweede regel het wachtwoord invoeren.
- Bestand opslaan.
- Bestandsrechten controleren en onnodige toegang verwijderen.
- Windows opnieuw aanmelden en VPN-verbinding testen.
Na de test moet worden gecontroleerd of de VPN-gebruiker alleen de beoogde doelen bereikt. Als het profiel te brede interne netwerken toestaat, wordt een comfort-workaround snel een onnodig grote veiligheidsrisico.
Validatie na de installatie
Na de configuratie is het niet voldoende om alleen naar het groene VPN-symbool te kijken. Belangrijk is of precies de verwachte verbinding is gemaakt en of de rechten kloppen.
Controleren:
- Start de client slechts één keer?
- Wordt het juiste
.ovpn-bestand gebruikt? - Wordt de verbinding pas na Windows-login gemaakt?
- Werken DNS-resolutie en interne doelsystemen?
- Geldt op de firewall de verwachte Remote-Access-regel?
- Zijn in de Log Viewer de verwachte gebruikers- en VPN-gebeurtenissen zichtbaar?
- Kan de VPN-gebruiker alleen de benodigde netwerken bereiken?
Voor verbindingsproblemen na succesvolle login helpen Firewall-regel testen met Log Viewer, Policy Test en Packet Capture en Sophos Firewall Troubleshooting: Services en Logs. Als alleen bepaalde toepassingen via VPN blijven hangen, moet daarnaast MTU en MSS bij VPN-problemen worden gecontroleerd.
Typische fouten
| Symptoom | Waarschijnlijke oorzaak | Controle |
|---|---|---|
| Client start niet | Registerpad of opdracht verkeerd | Run-vermelding en paden controleren |
| Client start dubbel | oude Autostart-vermelding nog actief | Taakbeheer en Autostart-map controleren |
| Profiel wordt niet gevonden | verkeerde bestandsnaam of verkeerde config_dir | .ovpn-naam exact vergelijken |
| Wachtwoord wordt nog steeds gevraagd | auth-user-pass password.txt niet in het actieve OVPN-bestand | gebruikt profiel en bestandslocatie controleren |
| Login werkt, interne doelen niet | VPN-policy, firewallregel, DNS of routing klopt niet | Log Viewer, firewallregel en DNS controleren |
| Auto-Login werkt niet meer na wachtwoordwijziging | password.txt bevat oud wachtwoord | Wachtwoordbestand bijwerken of Auto-Login verwijderen |
Terugval
Als Auto-Login niet meer nodig is, moet deze volledig worden verwijderd.
- Registervermelding onder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runverwijderen of uitschakelen. - In het
.ovpn-bestandauth-user-pass password.txtweer wijzigen naarauth-user-pass. password.txtverwijderen.- VPN-wachtwoord van de betreffende gebruiker wijzigen.
- Op de firewall controleren of de gebruiker of de regel nog nodig is.
Als inloggegevens langere tijd in platte tekst zijn opgeslagen, moet men niet alleen het bestand verwijderen. Het wachtwoord moet worden gewijzigd en de toegang in de logs moet worden gecontroleerd.
Checklist
- Autostart zonder Auto-Login gecontroleerd.
- Beter Remote-Access-model zoals Sophos Connect, MFA of Entra ID SSO beoordeeld.
- Toegewijde VPN-gebruiker gebruikt, indien Auto-Login nodig is.
- VPN- en firewallregels tot het minimum beperkt.
password.txtniet voor admin- of gedeelde accounts gebruikt.- Windows-apparaat is versleuteld en beheerd.
- Log Viewer toont verwachte VPN-gebeurtenissen.
- Terugval en beoordelingsdatum zijn gedocumenteerd.
FAQ
Is Auto-Login met de Sophos SSL VPN Client veilig?
password.txt slaat gebruikersnaam en wachtwoord in platte tekst op. Dit kan in strikt beperkte speciale gevallen worden geaccepteerd, maar moet niet worden gebruikt voor normale gebruikers- of admin-toegangen.Kan men de Sophos SSL VPN Client automatisch starten zonder het wachtwoord op te slaan?
--connect met een specifieke configuratie starten. Dan moet de gebruiker het wachtwoord nog steeds invoeren.