Installera Sophos Connect Client på Windows
Sophos Connect är den centrala Sophos-klienten för många scenarier för fjärråtkomst med Sophos Firewall. På Windows kan klienten använda IPsec- och SSL VPN-anslutningar beroende på brandväggskonfigurationen. Det är viktigt att klientversionen, Windows-plattformen, konfigurationsfilen och brandväggsinställningarna matchar.
Dessa instruktioner beskriver installationen på Windows och de viktigaste kontrollerna efter import av anslutningen. När man väljer mellan IPsec, SSL VPN, mobila klienter och ZTNA är den första jämförelsen Sophos Connect eller SSL VPN: Vilka råd finns tillgängliga?.
Vilken artikel passar?
Sophos Connect på Windows är bara en del av fjärråtkomstoperationer. Beroende på uppgiften är ett annat tillvägagångssätt lämpligt:
- Installera Sophos Connect på Windows: Denna artikel.
- Konfigurera SSL VPN på Windows med
.ovpn: Konfigurera Sophos SSL VPN med Sophos Connect för Windows. - Konfigurera Sophos Connect på brandväggssidan: Konfigurera Sophos Connect med Sophos Firewall.
- Konfigurera Microsoft Entra ID SSO för Sophos Connect: Konfigurera Microsoft Entra ID SSO för Sophos Connect och VPN Portal.
- Underhålla klientversioner, uppdateringar och profiler: Kontrollera och uppdatera Sophos Connect-klientversioner är tillgängliga.
- VPN är anslutet men trafiken fungerar inte: Testa brandväggsregler med Log Viewer, Policy Test och Packet Capture. Denna separation förhindrar typisk felsökning på fel ställe. En installerad klient bevisar ännu inte att VPN-portalen, autentisering, profil, brandväggsregler, DNS och returväg är korrekta.
Krav
- Sophos-brandvägg med fjärråtkomstkonfiguration
- Sophos Connect Client i en version som matchar brandväggen och plattformen
- Windows 10 eller Windows 11, med nuvarande Sophos Connect-versioner som 64-bitars eller Windows ARM
- Konfigurationsfil för IPsec (
.scxeller.tgb) eller SSL VPN (.ovpneller provisioneringsfil) - Användarkonto med VPN-behörighet och, om aktiverat, fungerande MFA
- Brandväggsregler för trafik från zonen
VPNeller fjärråtkomstzonen som används
Om Sophos Connect ska användas med Microsoft Entra ID SSO krävs Sophos Connect 2.4 eller senare på Windows och en lämplig SSO-konfiguration på brandväggen. Processen är i Konfigurera Microsoft Entra ID SSO för Sophos Connect och VPN Portal.
Sophos Connect stöds för Windows ARM från version 2.5. Om gamla mjukvarupaket fortfarande distribueras internt bör du kontrollera vilken version som faktiskt är installerad innan lanseringen. För utrullning, pilotgrupp och uppdateringstestning är kontroller och uppdatering Sophos Connect klientversioner lämpliga för alla versioner.
Plattformsgränsen är också viktig: nuvarande Sophos Connect-versioner bör planeras för nya utrullningar med Windows 10 eller Windows 11. Gamla 32-bitars installationer bör inte fortsätta som den nya standarden bara för att de tidigare var möjliga med äldre klientversioner.
1. Ladda ner Sophos Connect Client
Sophos Connect-klienten kan laddas ner antingen via VPN-portalen för Sophos Firewall eller direkt från Sophos hemsida.
I hanterade miljöer bör klienten inte installeras slumpmässigt av enskilda användare. Ett tydligt paket med en definierad version, utrullningsgrupp och reservplan är vettigt. Detta är särskilt viktigt när du använder Windows ARM, SSL VPN via Sophos Connect eller provisioneringsfiler.
Sophos Connect bör uppdateras regelbundet. Nya versioner innehåller inte bara funktionsändringar, utan även uppdaterade komponenter som OpenVPN, strongSwan eller OpenSSL.
För större miljöer bör installationskällan vara tydlig. Om gamla MSI-filer, en VPN-portalnedladdning och en mjukvarudistribution finns samtidigt, kommer helpdesk annars snabbt att installera olika klientversioner.
2. Installera Sophos Connect Client
Installationen börjar med filen SophosConnect.msi. Efter att ha slutfört guiden kan fönstret stängas med Finish.Efter installationen bör versionen kontrolleras direkt i klienten eller via programvaruinventeringen. Detta är särskilt viktigt för Windows ARM, Entra SSO, provisioneringsfiler och återkommande tjänstefel, eftersom små versionsskillnader kan ändra felmönstret.



3. Ladda ner anslutningsfil
När du först startar kräver Sophos Connect anslutningskonfiguration. Beroende på fjärråtkomstdesignen är detta en IPsec, SSL VPN eller provisioneringsfil.
Typiska anslutningsfiler:
- IPsec fjärråtkomst:
.scxeller.tgb; Exportera tillVPN > Sophos Connect Client. - SSL VPN:
.ovpn; VPN-portal eller administrativ export. - Automatisk import via provisionering:
.pro; centralt förberedd provisioneringsfil. Med en klassisk IPsec-konfiguration exporteras filen i WebAdmin:
- Öppna
VPN>Sophos Connect Clientpå Sophos-brandväggen. - Exportanslutning.
- Förvara filen säkert och distribuera den endast till behöriga användare.
Med SSL VPN tillhandahålls konfigurationen vanligtvis från VPN-portalen eller från fjärråtkomstkonfigurationen. Den exakta källan beror på hur fjärråtkomst konfigurerades på brandväggen. Den detaljerade proceduren för .ovpn import, VPN-portal och SSL VPN-test finns i Konfiguration Sophos SSL VPN med Sophos Connect för Windows.
Profiler bör distribueras på ett kontrollerat sätt. Om gateway, certifikat, DNS, användargrupp, IP-pool, SSO eller autentisering har ändrats, bör man inte lita på gamla filer i nedladdningsmappar. De berörda anslutningarna måste återexporteras, återimporteras eller uppdateras korrekt via provisionering.
För provisioneringsfiler bör gateway, VPN-portalport, certifikat, SSO-referens och användargrupp kontrolleras särskilt noggrant. En provisioneringsfil underlättar distributionen, men ersätter inte tekniskt godkännande av anslutningen.
4. Konfigurera Sophos Connect Client
Inställningen görs i bara några få steg:
- Öppna Sophos Connect.
- Välj
Import Connection. - Importera lämplig anslutningsfil.
- Kontrollera anslutningen under Anslutningar.
- Klicka på
Connect. - Logga in med VPN-användaren och bekräfta MFA om aktiverat.
Om inloggningen lyckas ska Sophos Connect visa anslutningen som ansluten. Då ska du inte bara kontrollera den gröna statusen, utan även testa DNS, interna mål och brandväggsregler. Om anslutningen upprättas men ingen trafik flyter, hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.
Med Entra ID SSO bör du också kontrollera om SSO-flödet verkligen går via den förväntade Microsoft Entra ID-servern och om villkorad tillgång eller MFA fungerar som planerat. En lyckad lokal inloggning bevisar inte automatiskt att SSO, gruppmappning och VPN-behörighet är korrekta.




Kontrollera efter installation
Efter installationen bör dessa punkter kontrolleras:
- Sophos Connect-versionen passar plattformen, speciellt med Windows ARM.
- Importerad fil motsvarar det önskade protokollet: IPsec eller SSL VPN.
- Användaren är auktoriserad i rätt VPN-grupp.
- MFA fungerar och blockerar inte anslutningsetableringen.
- Klienten får en lämplig VPN-IP.
- Interna DNS-namn löses.
- Brandväggsregler för zonen
VPNtillåter endast de mål som krävs. – Gamla profiler återanvändes inte av misstag.
Om gamla fjärråtkomst-IPsec-konfigurationer fortfarande finns före en SFOS 22 MR1-uppgradering, bör Migrera äldre fjärråtkomst IPsec före SFOS 22 MR1 kontrolleras först.
Acceptanstest för Windows
En grön klientstatus räcker inte som acceptans. För en robust utrullning bör en testanvändare kontrollera dessa punkter:
- Kontrollera klientversionen: Version passar Windows 10/11, Windows ARM och intern version.
- Importera profil:
.scx,.tgb,.ovpneller.prokänns igen korrekt. - Testa SSO: Entra SSO startar bara där det är planerat.
- Testa MFA: OTP, RADIUS-MFA eller Entra-MFA fungerar som dokumenterat.
- Testa DNS: interna FQDN löser sig korrekt.
- Teståtkomst: Tillåtna mål fungerar, obehöriga mål förblir blockerade.
- Kontrollera Loggvisare: Trafik från VPN-zonen träffar den förväntade brandväggsregeln.
- Testa återanslut: Nätverksförändringar, standby och återanslutningar är spårbara.
För blandade miljöer bör minst en klassisk Windows 10/11-enhet och en Windows ARM-enhet testas om ARM används i produktionen. Om macOS-klienter också används ska beteendet dokumenteras separat.
Utrullningsanteckningar för hanterade Windows-klienter
Om det är få användare kan det räcka med en manuell installation. I större miljöer bör Sophos Connect styras genom normal mjukvarudistribution eller slutpunktshantering.
Förtydliga inför en bred lansering:
- Vilken Sophos Connect-version släpps?
- Vilka Windows-versioner och CPU-arkitekturer används?
- Används IPsec, SSL VPN, Entra SSO eller provisionering?
- Finns det användare med OTP, RADIUS-MFA eller Entra-MFA? – Hur fördelas nya profiler?
- Hur tar man bort gamla profiler eller markerar dem som föråldrade?
- Vem kontrollerar DNS, brandväggsregler och återanslutningsbeteende efter klientuppdateringar?
- Vilka loggar och skärmdumpar behöver helpdesken för supportärenden?
För delade Windows-enheter bör särskild uppmärksamhet ägnas åt om Sophos Connect startar tillförlitligt för alla berörda användare. Sophos Connect 2.5 MR1 innehåller en fix för ett fall där klienten för ytterligare Windows-användare inte startade automatiskt när den installerades av en annan användare.
Felsökning
Sophos Connect startar inte eller visar servicefel
Kontrollera först om Sophos Connect-tjänsten körs och om en aktuell klientversion är installerad. För äldre installationspaket är det vanligtvis värt att göra en ren ominstallation med den släppta versionen. Om flera Windows-användare använder samma enhet bör du också kontrollera om klienten automatiskt startar korrekt i användarsammanhang.
Anslutningen är importerad men inte upprättad
Då brukar användarbehörighet, MFA, certifikat, fördelad nyckel, brandväggsversion eller en felaktig filtyp vara inblandade. IPsec och SSL VPN-profiler ska inte blandas. För provisioneringsfiler, kontrollera även gateway, VPN-portalport, certifikat, SSO-konfiguration och tillgängliga Microsoft-slutpunkter om Entra SSO är inblandat.
SSO-status är oklart efter internetavbrott
I Entra SSO-miljöer kan ett internetavbrott resultera i irriterande statusvisningar. Sophos Connect 2.5 MR1 innehåller en fix för SSO-användare. Ändå bör du också kontrollera om tunneln verkligen är frånkopplad, om klienten återansluter och om brandväggen under Autentisering > Tjänster använder den förväntade Microsoft Entra ID-servern.
OTP frågas annorlunda när du återansluter
Om klassiska OTP- eller MFA-användare använder IPsec och SSL VPN parallellt, bör återanslutningsbeteendet testas. Sophos Connect 2.5 MR1 åtgärdar en skillnad i inloggningsverifiering mellan IPsec och SSL VPN för behörighetsanvändare med OTP.
Anslutning är upprättad, men interna system kan inte nås
I det här fallet är orsaken ofta inte klienten, utan snarare brandväggsregler, routing, DNS eller NAT. Det ska vara synligt i loggvisaren om trafiken från VPN-zonen uppfyller den förväntade regeln. För IPsec-specialfall hjälper Sophos Firewall IPsec VPN-felsökning till.
Anslutningen fungerar inte längre efter profilbyte
Efter ändringar av gateway, certifikat, VPN-portalport, DNS, IP-pool, användargrupp, Entra SSO eller autentisering ska profilen distribueras om eller återimporteras. En klientuppdatering ersätter inte automatiskt en gammal profil.### Anslutning är upprättad, men stora överföringar hänger på
Om inloggning, DNS och små åtkomster fungerar, men större filöverföringar eller vissa applikationer hänger sig, bör även MTU/MSS kontrolleras. Felmönstret matchar ofta fragmentering, PPPoE, tunnlade anslutningar eller en asymmetrisk väg. Processen är i Controller Sophos Firewall MTU and MSS for VPN problem.
Samla in supportdata
Om felet inte syns direkt bör du dokumentera tid, användare, Windows-version, CPU-arkitektur, Sophos Connect-version, profiltyp, källnätverk och målsystem. Log Viewer, sslvpn.log, IPsec-loggar, paketinsamling och den berörda brandväggsregeln hjälper till på brandväggen. Tilldelningen av loggfilerna finns i Sophos Firewall Felsökning: Tjänster och loggar.