FAQ zu Sophos Firewall OS v21.0 MR2 (Build 349)

Frage 1: Was bringt Sophos Firewall OS v21.0 MR2 Neues?

Antwort: MR2 integriert:

• OAuth2 für Mail-Alerts (M365/Gmail) → Pflicht, da Basic Auth endet.
• AD-SSO für Windows Server 2025 (NTLM/Kerberos) → zukunftssicher.
• HA-Logs mit Knotennamen & Rollen → schnelleres Troubleshooting.
• Live-User-Anzeige in KB/MB/GB → bessere Übersicht.
• SNMP RFC-konform → mehr Kompatibilität.
• Standardmäßig deaktivierte L2TP/PPTP-Imports → mehr Sicherheit.
• 50 Bugfixes in Authentifizierung, VPN, WAF, HA, Logging, IPS u. v. m.

Frage 2: Kann ich direkt von 21.0 MR2 auf 21.5 GA upgraden?

Antwort: Nein. Upgrade-Pfad = 21.0 MR2 → 21.5 MR1 (sobald verfügbar).

Frage 3: Welche Hardware ist kompatibel?

Antwort:

• Unterstützt: XGS-Hardware, virtuelle und Cloud-Appliances.
• Nicht mehr: XG- und SG-Geräte (ab SFOS 21).
• EoL: RED 15/15w/50 (seit 2023).

Frage 4: Was muss ich vor dem Upgrade beachten?

Antwort:

• Keine Schnittstellennamen mit ≥10 Ziffern am Ende.
• Alte SSL-VPN-Clients & UTM9 nicht mehr nutzbar → Sophos Connect / IPsec / RED verwenden.
• Cyberoam-Backups nur nach Zertifikatserneuerung.
• Statische Routen via Zebra-CLI werden nicht migriert.
• Backups ab 19.5 MR4: Restore-Assistent mit Schnittstellen-Zuordnung.
• Backups ≤19.5 MR3: automatische Zuordnung.

 Frage 5: Wie halte ich die Firewall ohne Downtime aktuell?

Antwort: Sophos liefert Hotfixes „over the air“ (z. B. Zero-Day-Patches ohne Neustart).
ABER: Wartungsupdates wie MR2 müssen manuell geplant werden → Fixes + neue Features nur mit MR-Update.

Frage 6: Wie gehe ich typische Troubleshooting-Fälle an (VPN, IPS, RED)?

Antwort:

• SSL VPN: Logs prüfen in /log/sslvpn.log, DNS/Peer-IP anpassen. → [SSL VPN FAQ]
• IPsec: Logs in /log/strongswan.log, PSK-Fehler sind häufig. → [IPsec FAQ]
• RED: Ports 3400/DNS testen (telnet red.astaro.com 3400), Provisioning prüfen. → [RED FAQ]

Frage 7: Was kostet das Update?

Antwort: Für alle Kunden mit Enhanced oder Enhanced Plus Support ist MR2 kostenlos.
Für die Durchführung einfach Support-Ticket eröffnen oder Termin buchen:

• Support-Ticket eröffnen
• Termin buchen

Frage 8: Welche Bugfixes enthält MR2 konkret?

Authentifizierung:

• Login-Probleme mit Entra ID SSO? → Browser-Bugs gefixt → Ihr Vorteil: stabile Logins.
• API-Export unvollständig? → Statische IPs jetzt enthalten → Ihr Vorteil: vollständige Exporte.
• Falsche IPs an VPN-Clients nach HA-Failover? → Jetzt korrekt → Ihr Vorteil: stabile VPN-Adressvergabe.
• OTP-Login mit Sonderzeichen-Passwort fehlerhaft? → Jetzt unterstützt → Ihr Vorteil: stärkere Passwörter möglich.
• CSD-Dienst ausgefallen? → Jetzt stabil → Ihr Vorteil: sichere Auth-Dienste laufen zuverlässig.
• RADIUS-Auth ohne Domäne fehlerhaft? → Gefixt → Ihr Vorteil: flexiblere Konfiguration.
• Captive-Portal erschien mehrfach? → Jetzt behoben → Ihr Vorteil: Nutzer loggen sich reibungslos ein.
• CLI-Passwort-Set mit Sonderzeichen schlug fehl? → Jetzt möglich → Ihr Vorteil: keine Einschränkungen.
• Benutzergruppen unsichtbar im WebAdmin? → Jetzt sichtbar → Ihr Vorteil: einfache Verwaltung.

Backup & Wiederherstellung

• Restore SG125 → XGS108 scheiterte? → Pseudoports gefixt → Ihr Vorteil: Migration läuft durch.

Clientloser Zugriff:

• Musteraktualisierung SSL VPN schlug fehl? → Jetzt behoben → Ihr Vorteil: sicher auch ohne Client.

Central Management (CM):

• KI-Berichte leer? → Gefixt → Ihr Vorteil: aussagekräftige Reports.
• Firewall-Infos nicht gesendet? → Log-Fehler entfernt → Ihr Vorteil: vollständige Daten.
• Virtuelle Firewalls abgemeldet? → Jetzt stabil → Ihr Vorteil: konsistentes CM.
• Admin-Passwort im Klartext im Log? → Jetzt verschlüsselt → Ihr Vorteil: höhere Sicherheit.
• Dienste Garner/heartbeatd stoppten? → Jetzt stabil → Ihr Vorteil: durchgehende Kommunikation.

Dynamisches Routing (RIP):

• MD5-RIP nicht RFC-konform? → Jetzt korrekt → Ihr Vorteil: sauberes Routing.

E-Mail:

• Anti-Spam-Service reagierte nicht? → Jetzt zuverlässig → Ihr Vorteil: stabiler Spam-Schutz.
• Japanische Quarantäne-Betreffzeilen beschädigt? → Gefixt → Ihr Vorteil: klare E-Mail-Reports.
• Mailfluss gestoppt? → Behoben → Ihr Vorteil: durchgehende Zustellung.

Firmware-Management:

• Firewall stoppte Traffic nach Upgrade (SWAP-Konfig)? → Gefixt → Ihr Vorteil: sichere Updates.

High Availability (HA):

• HA-Status schwankte? → Jetzt stabil → Ihr Vorteil: keine unerwarteten Failover.
• Neustartschleifen beim XGS 2300? → Gefixt → Ihr Vorteil: stabiles HA.
• Firmware-Upload auf passives Gerät fehlerhaft? → Jetzt möglich → Ihr Vorteil: reibungslose Updates.

Hardware:

• XGS 108 Ports blinkten nicht? → Jetzt korrekt → Ihr Vorteil: klare Statusanzeigen.

IPS & IPsec:

• IPS-Signatur fehlte? → Jetzt ergänzt → Ihr Vorteil: voller Schutz.
• IPsec-Tunnel falsch als beendet gemeldet? → Gefixt → Ihr Vorteil: weniger False-Positives.
• Tunnel startete nicht nach Reboot? → Jetzt stabil → Ihr Vorteil: zuverlässige VPNs.
• Strongswan „busy“-Fehler? → Behoben → Ihr Vorteil: höhere VPN-Verfügbarkeit.

Logging & Reporting:

• Filter „letzte 10 Minuten“ ohne Ausgabe? → Jetzt korrekt → Ihr Vorteil: präzise Analysen.
• /var-Warnungen blieben sichtbar? → Gefixt → Ihr Vorteil: saubere Logs.
• Diagramm-Spitzen auf HA-Geräten? → Jetzt stabil → Ihr Vorteil: klare Monitoring-Daten.
• Garner-Syslog beschädigt? → Repariert → Ihr Vorteil: konsistente Protokolle.
• Logging stoppte nach Upgrade? → Gefixt → Ihr Vorteil: lückenlose Historie.

RED-Systemhost:

• Falsche Subnetzmaske (/24 statt /32)? → Jetzt korrigiert → Ihr Vorteil: sauberes Routing.
• XGS 126 Neustarts mit HA-Failover? → Gefixt → Ihr Vorteil: stabilere RED-Anbindung.

Reporting:

• Keine Custom Reports für Timestamps? → Jetzt behoben → Ihr Vorteil: flexible Report-Erstellung.

SD-WAN:

• Antwortpakete falsch geroutet? → Jetzt fix → Ihr Vorteil: korrektes Routing.

Security Heartbeat:

• XGS 87 Kernel Panic (Speicherleck)? → Gefixt → Ihr Vorteil: stabiler Betrieb.

SNMP

• VPN-OIDs defekt? → Jetzt repariert → Ihr Vorteil: vollständiges Monitoring.

SSL VPN

• Config-Download schlug fehl? → Jetzt behoben → Ihr Vorteil: schnelle Einrichtung.

Synchronisierte App-Steuerung

• Central-Registrierung verloren? → Jetzt fix → Ihr Vorteil: stabilere HA-Integration.

Up2Date Client

• SSL-VPN-Config nicht downloadbar nach Upgrade? → Gefixt → Ihr Vorteil: reibungslose Updates.

VFP-Firewall:

• VLAN-Quellen beschädigten Pakete? → Jetzt gelöst → Ihr Vorteil: sauberes Routing.

WebInSnort / IPS:

• Websites mit DPI/SSL blockiert? → Gefixt → Ihr Vorteil: weniger False-Blocks.
• IPS-Service nach Upgrade ausgefallen? → Jetzt stabil → Ihr Vorteil: durchgehender Schutz.

WAF:

• Let’s Encrypt Zertifikate fehlgeschlagen? → Jetzt möglich → Ihr Vorteil: automatische Erneuerung.
• Zertifikatsanforderung schlug fehl? → Jetzt ergänzt → Ihr Vorteil: weniger manueller Aufwand.
• Cookie-Signing verursachte Fehler? → Jetzt gefixt → Ihr Vorteil: stabile WebApps.
• Regeln aktivierten/deaktivierten sich selbst? → Jetzt stabil → Ihr Vorteil: konsistente Policies.
• WAF-Warnung für alte Regel? → Jetzt entfernt → Ihr Vorteil: klare Alerts.
• WAF-Neustart bei Zertifikatserstellung? → Jetzt behoben → Ihr Vorteil: zuverlässige Erneuerung.

WAN:

• Zombieprozesse bei Syslog-ng? → Gefixt → Ihr Vorteil: weniger Ressourcenverbrauch.

Quelle: Sophos Release Notes – SFOS 21.0 MR2