Sophos Connect Client für Sophos XGS Firewall: Best Practices & Besonderheiten

Was ist der Sophos Connect Client?

Der Sophos Connect Client ermöglicht den sicheren Zugriff auf Unternehmensressourcen über eine verschlüsselte VPN-Verbindung. Er ersetzt ältere SSL-VPN- oder Drittanbieter-Clients und ist direkt in Sophos Firewall (SFOS) integriert.

Unterstützte VPN-Typen:

• IPsec (IKEv2) – für Windows 10/11 (x86) und macOS (x86).
• SSL-VPN – für Windows (x86).

Nicht unterstützt werden Windows ARM, macOS ARM sowie mobile Plattformen wie Android oder iOS.

Voraussetzungen

• Sophos Firewall (XGS/XG) mit Firmware SFOS 17.5 oder höher.
• Sophos Connect v2.4 oder neuer für moderne Funktionen wie Microsoft Entra ID (Azure AD) Single Sign-On.
  
• VPN-Portal erreichbar (WAN)
  
• Firewall- und NAT-Regeln für VPN-Traffic
  
• Kein Zusatzmodul nötig: Der Connect Client ist Teil der Basisfunktionen der Firewall.
  

Sophos Connect Client auf der XGS Firewall einrichten

Die Einrichtung erfolgt in wenigen Schritten:

1. Policy anlegen

• Gehe zu Remote access VPN > SSL VPN
• Klicke auf Add → Configure manually
  
• Vergeben Sie einen Namen

2. Benutzer & Gruppen auswählen

• Wähle die gewünschten Benutzer und Gruppen aus
• Hinweis: Guest User und Guest Groups sind nicht zulässig

3. Gateway & Traffic konfigurieren

• Use as default gateway aktivieren, wenn auch Internet-Traffic der VPN-User über die Firewall laufen soll.
  
• Vorteil: Alle Firewall-Regeln und Schutzmechanismen greifen auch für Remote-Nutzer

4. Firewall- und NAT-Regeln prüfen (VPN Fehler lösen)

• Firewall-Regel erstellen: Source Zone: VPN → Destination Zone: Any
  
• Prüfen, ob eine SNAT-Regel vorhanden ist (Default IPv4 SNAT oder Masquerading)

5. Ressourcen definieren

• Unter Permitted network resources die Netze auswählen, die erreichbar sein sollen
  
• Optional auch FQDNs möglich (Achtung: Änderungen erfordern Neuverbindung)

6. Timeout & Session-Handling (optional)

• Disconnect idle clients aktivieren, um inaktive Sessions automatisch zu beenden
  
• Override global timeout eintragen (nur wirksam, wenn niedriger als globaler Wert)

7. Traffic erlauben

• Unter Administration > Device access sicherstellen:
• SSL VPN: WAN
  
• VPN Portal: LAN, WAN

8. Konfiguration bereitstellen

• Nutzer laden die Konfigurationsdatei über das VPN-Portal herunter
  
• Import in den Sophos Connect Client
• Verbindungstest durchführen 

Best Practices

• Split Tunnel einsetzen, wenn nur interne Ressourcen via VPN, nicht aber Internet-Traffic durch die Firewall geleitet werden sollen → Performancevorteil
  
• Firewall- und NAT-Regeln kontrollieren: Häufigste Fehlerquelle bei „VPN verbunden, aber kein Zugriff“
  
• Logs prüfen:  /log/sslvpn.log für SSL VPN & /log/strongswan.log für IPsec VPN
• Idle Timeout nutzen, um ungenutzte Sessions zu schließen und Ressourcen freizuhalten

Summary: Sicherer Remote Access mit wenigen Klicks

Mit einer SSL-VPN-Policy in der Sophos Firewall erhalten Mitarbeiter einfachen und sicheren Zugriff auf Unternehmensressourcen – egal ob Home-Office oder Außendienst. In Kombination mit dem Sophos Connect Client und korrekter Regelkonfiguration wird daraus eine stabile, performante und sichere Lösung für Remote Work.

Clientbereitstellung & Nutzung

• Download: über User Portal oder zentral vom Admin verteilt.

• Import: per Doppelklick auf die Konfigurationsdatei oder über Verbindung importieren.

• Login: Benutzername/Passwort oder Single Sign-On (ab v2.4).

• Features: automatischer Start, Richtlinien-Sync.

Firewall- und NAT-Regeln: Der häufigste Stolperstein

Damit VPN-Traffic funktioniert, müssen passende Regeln vorhanden sein:

• VPN → LAN: für Zugriff auf interne Systeme.

• VPN → WAN: optional, falls Internet-Traffic durch den Tunnel geleitet werden soll.

Praxisbeispiel

Ein Mitarbeiter verbindet sich erfolgreich per VPN, erhält eine IP – aber kein Zugriff aufs LAN.
Ursache: fehlende Firewall-Regel VPN → LAN oder eine fehlerhafte NAT-Regel.

Lösung

• Firewall-Regel erstellen: Source Zone: VPN → Destination Zone: LAN (Services Any oder definiert).

• NAT-Regeln prüfen: NAT greift vor Device Access – falsch konfigurierte Regeln blockieren oft ungewollt den Zugriff.

Moderne Funktionen in Sophos Connect v2

• Policy-Synchronisierung: VPN-Richtlinien werden automatisch aktualisiert.

• Massenbereitstellung: Provisioning-Dateien für SSL- und IPsec-VPN.

• Zwei-Faktor-Authentifizierung (Duo 2FA).

• Microsoft Entra ID (Azure AD) SSO für nahtlose Anmeldung (ab Version 2.4, Windows).

Best Practices für den Einsatz

• Immer Firewall- & NAT-Regeln prüfen, um Zugriffsprobleme zu vermeiden.

• TLS-Inspection-Ausnahmen definieren, falls bestimmte Applikationen blockiert werden.

• SSO bevorzugen, um Login-Prozesse zu vereinfachen.

• Monitoring aktiv halten: Logs (/log/sslvpn.log, /log/strongswan.log) regelmäßig prüfen.

• Performance im Blick behalten: IPS, Webfilter und TLS-Inspection können den VPN-Durchsatz beeinflussen.

Fazit: Sichere VPN-Verbindungen mit minimalem Aufwand

Der Sophos Connect Client ist die Standardlösung für Remote Access VPN in der Sophos Firewall. Er bietet sichere IPsec- und SSL-Verbindungen, nahtloses Failover, zentrale Richtlinienverwaltung und moderne SSO-Optionen.

Mit den richtigen Best Practices – insbesondere bei Firewall- und NAT-Regeln – wird er zur zuverlässigen Brücke zwischen Mitarbeitern und Unternehmensnetzwerk.

Hinweis: Unternehmen, die auf sicheren Remote Access setzen, sollten den Sophos Connect Client unbedingt nutzen, um ihre Infrastruktur zukunftssicher aufzustellen.

Bei komplexeren Fehlerbildern, individuellen Problemen oder Einrichtungsunterstützung können Sie jederzeit ein Ticket über das  Sophos Support Portal eröffnen.