Säkert hantera Sophos SSL VPN-klienten i Autostart
Den gamla Sophos SSL VPN-klienten för Windows kan starta automatiskt vid Windows-inloggning och ansluta en specifik OpenVPN-konfiguration. Detta är tekniskt möjligt men bör inte förväxlas med en säker standardrekommendation. Särskilt kritiskt är Auto-Login med en password.txt, eftersom användarnamn och lösenord då ligger i klartext på klienten.
För nya fjärråtkomstinställningar bör du först kontrollera om Sophos Connect, aktuella SSL-VPN-profiler, MFA eller Microsoft Entra ID SSO passar bättre. Denna guide är främst avsedd för äldre miljöer, specialklienter eller kontrollerade undantag där den gamla SSL VPN-klienten fortfarande används.
Skilja mellan Autostart, Auto-Connect och Auto-Login
De tre termerna blandas ofta ihop men innebär olika risker:
| Funktion | Betydelse | Risk |
|---|---|---|
| Autostart | VPN-klienten startar vid Windows-inloggning. | låg till medel |
| Auto-Connect | Klienten startar direkt med en specifik .ovpn-fil. | medel |
| Auto-Login | Användarnamn och lösenord överförs automatiskt. | hög |
Autostart och Auto-Connect kan vara meningsfulla i vissa miljöer när en enhet ska ansluta direkt efter inloggning. Auto-Login är däremot ett specialfall. När lösenordet ligger som en fil på klienten beror säkerheten starkt på Windows-enheten, användarprofilen, filbehörigheter, VPN-behörigheter och stöldskydd.
⚠️ Auto-Login med
password.txtlagrar inloggningsuppgifter i klartext. Detta bör inte användas för vanliga användarkonton, administratörer, delade enheter eller VPN-profiler med breda behörigheter.
När denna metod kan vara meningsfull
Autostart-metoden kan vara en övergångslösning när en Windows-klient automatiskt ska öppna en känd SSL-VPN-anslutning efter inloggning och miljön ännu inte har övergått till Sophos Connect eller en annan fjärråtkomstmodell.
Typiska fall:
- en dedikerad underhållsklient med begränsade behörigheter
- ett labb- eller testsystem
- en specialenhet som behöver en fast anslutning efter användarinloggning
- en äldre miljö där Sophos Connect ännu inte har införts
Metoden är inte lämplig för enheter som används av flera personer, för privilegierade admin-åtkomster, för okrypterade eller dåligt hanterade Windows-klienter och för miljöer där MFA konsekvent ska tvingas fram.
Förutsättningar
Innan du genomför detta bör dessa punkter vara klara:
- Den gamla Sophos SSL VPN-klienten är installerad på Windows.
- En fungerande
.ovpn-konfiguration finns lokalt. - Den berörda VPN-användaren har endast de nödvändiga åtkomsterna.
- Windows-enheten är hanterad, krypterad och skyddad mot lokala obehöriga åtkomster.
- Det är dokumenterat varför Auto-Connect eller Auto-Login behövs.
- För produktiv användning finns en återställningsplan.
Om klienten ännu inte är installerad, hjälper instruktionen för Sophos SSL VPN-klient på Windows med SFOS. För aktuella klientversioner passar dessutom Kontrollera och säkert uppdatera Sophos Connect-klientversion.
Inaktivera befintlig Autostart-post
Den gamla SSL VPN-klienten skapar ofta redan en Autostart-post vid installationen. Om en egen Autostart-rad med parametrar används bör den befintliga posten först inaktiveras så att klienten inte startar dubbelt.

- Öppna Task Manager.
- Växla till fliken Startup eller Autostart.
- Välj SSL VPN Client for Windows.
- Inaktivera posten.
På äldre Windows-versioner kan även den klassiska Autostart-mappen vara relevant. I hanterade miljöer bör det också kontrolleras om en programvarudistributions- eller GPO-process återställer posten senare.
Förbereda kommando för Auto-Connect
För Auto-Connect startas openvpn-gui.exe med sökvägen till konfigurationsmappen och namnet på den önskade .ovpn-filen.
Schema:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn
Beroende på Windows- och klientinstallation kan sökvägarna variera:
| Komponent | Typisk sökväg |
|---|---|
openvpn-gui.exe på 64-bitars Windows | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
openvpn-gui.exe på 32-bitars Windows | C:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
| Konfigurationsmapp på 64-bitars Windows | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\ |
| Konfigurationsmapp på 32-bitars Windows | C:\Program Files\Sophos\Sophos SSL VPN Client\config\ |

Exempel:
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn
Det är viktigt med det exakta filnamnet på .ovpn-filen. Om det finns mellanslag eller specialtecken i filnamnet bör kommandot testas särskilt noggrant. I många miljöer är ett kort profilnamn utan mellanslag mer underhållsvänligt.
Skapa Autostart i registret
Posten kan läggas under den aktuella Windows-användaren i Run. Detta gör att klienten startar vid inloggning av denna användare, inte systemomfattande före varje användarinloggning.

- Öppna Registry Editor.
- Navigera till denna sökväg:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Skapa en ny String Value i den högra kolumnen.
- Ge den ett unikt namn, till exempel
sophos-ssl-vpn. - Infoga det förberedda
openvpn-gui.exe-kommandot som värde. - Logga ut och logga in på Windows igen.
- Kontrollera om klienten startar och väljer den önskade anslutningen.
Om endast Autostart och Auto-Connect behövs bör man stanna här. I detta läge måste användaren fortfarande ange VPN-lösenordet. Detta är ur säkerhetssynpunkt oftast den bättre varianten.
Använd Auto-Login endast som undantag
Auto-Login styrs i den gamla OpenVPN-baserade klienten via raden auth-user-pass i .ovpn-filen. Om en fil anges där läser klienten användarnamn och lösenord från denna fil.
Exempel i .ovpn-filen:
auth-user-pass password.txt
Filen password.txt ligger då i samma mapp som .ovpn-filen och innehåller två rader:
supportuser
VäldigtHemligtLösenord
Denna metod är tekniskt enkel men säkerhetsmässigt svag. Den som får tillgång till filen har VPN-inloggningsuppgifterna. Därför bör denna variant endast användas om risken medvetet har accepterats och begränsats.
Minimikontroller för ett undantag:
- egen VPN-användare endast för detta ändamål
- inga administratörs- eller delade admin-inloggningsuppgifter
- starkt begränsad VPN-policy och brandväggsregler
- ingen åtkomst till hanteringsnätverk, domänkontrollanter eller backupsystem om det inte är absolut nödvändigt
- Windows-enhet med BitLocker eller likvärdig kryptering
- inga lokala standardanvändare med åtkomst till filen
- dokumenterat utgångsdatum eller granskningsdatum för undantaget
Konfigurera Auto-Login
Om Auto-Login behövs trots riskerna bör ändringen dokumenteras och testas noggrant.
- Starta en editor som administratör.
- Öppna den använda
.ovpn-filen i Sophos-SSL-VPN-konfigurationsmappen. - Sök efter raden
auth-user-pass. - Ändra raden till
auth-user-pass password.txt. - Skapa en fil
password.txti samma mapp. - Ange användarnamnet på första raden.
- Ange lösenordet på andra raden.
- Spara filen.
- Kontrollera filbehörigheter och ta bort onödiga åtkomster.
- Logga in på Windows igen och testa VPN-anslutningen.
Efter testet bör du kontrollera om VPN-användaren endast når de avsedda målen. Om profilen tillåter för breda interna nätverk blir en bekvämlighetslösning snabbt en onödigt stor säkerhetsrisk.
Validering efter installation
Efter konfigurationen räcker det inte att bara titta på den gröna VPN-symbolen. Det är viktigt att exakt den förväntade anslutningen har upprättats och att rättigheterna är korrekta.
Kontrollera:
- Startar klienten bara en gång?
- Används rätt
.ovpn-fil? - Upprättas anslutningen först efter Windows-inloggning?
- Fungerar DNS-upplösning och interna målsystem?
- Träffar den förväntade fjärråtkomstregeln på brandväggen?
- Är de förväntade användar- och VPN-händelserna synliga i Log Viewer?
- Kan VPN-användaren endast nå de nödvändiga nätverken?
För anslutningsproblem efter lyckad inloggning hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture och Felsökning av Sophos Firewall: Tjänster och loggar. Om endast enskilda applikationer fastnar över VPN bör dessutom MTU och MSS vid VPN-problem kontrolleras.
Vanliga fel
| Symptom | Trolig orsak | Kontroll |
|---|---|---|
| Klienten startar inte | Felaktig registerväg eller kommando | Kontrollera Run-post och sökvägar |
| Klienten startar dubbelt | Gammal Autostart-post fortfarande aktiv | Kontrollera Task Manager och Autostart-mapp |
| Profil hittas inte | Felaktigt filnamn eller felaktig config_dir | Jämför .ovpn-namn exakt |
| Lösenord efterfrågas fortfarande | auth-user-pass password.txt inte i den aktiva OVPN-filen | Kontrollera använd profil och filväg |
| Inloggning fungerar, interna mål inte | VPN-policy, brandväggsregel, DNS eller routing stämmer inte | Kontrollera Log Viewer, brandväggsregel och DNS |
| Auto-Login fungerar inte efter lösenordsbyte | password.txt innehåller gammalt lösenord | Uppdatera lösenordsfil eller ta bort Auto-Login |
Återställning
Om Auto-Login inte längre behövs bör det tas bort helt.
- Ta bort eller inaktivera registerposten under
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. - Ändra
auth-user-pass password.txttillbaka tillauth-user-passi.ovpn-filen. - Ta bort
password.txt. - Ändra VPN-lösenordet för den berörda användaren.
- Kontrollera på brandväggen om användaren eller regeln fortfarande behövs.
Om inloggningsuppgifter har lagrats i klartext under en längre tid bör du inte bara ta bort filen. Lösenordet bör bytas och åtkomsten kontrolleras i loggarna.
Checklista
- Autostart utan Auto-Login kontrollerad.
- Bättre fjärråtkomstmodell som Sophos Connect, MFA eller Entra ID SSO utvärderad.
- Dedikerad VPN-användare använd om Auto-Login behövs.
- VPN- och brandväggsregler begränsade till ett minimum.
password.txtinte använd för admin- eller delade konton.- Windows-enhet är krypterad och hanterad.
- Log Viewer visar förväntade VPN-händelser.
- Återställning och granskningsdatum är dokumenterade.
FAQ
Är Auto-Login med Sophos SSL VPN-klienten säker?
password.txt lagrar användarnamn och lösenord i klartext. Detta kan accepteras i strikt begränsade specialfall, men bör inte användas för vanliga användar- eller admin-åtkomster.Kan man starta Sophos SSL VPN-klienten automatiskt utan att spara lösenordet?
--connect med en specifik konfiguration. Då måste användaren fortfarande ange lösenordet.