FAQ zu Sophos Firewall OS v21.0 MR2 (Build 349)

Frage 1: Was bringt Sophos Firewall OS v21.0 MR2 Neues?

Antwort: MR2 integriert:

• OAuth2 für Mail-Alerts (M365/Gmail) 

• AD-SSO für Windows Server 2025 (NTLM/Kerberos) 

• HA-Logs mit Knotennamen & Rollen 

• Live-User-Anzeige in KB/MB/GB 

• SNMP RFC-konform 

• Standardmäßig deaktivierte L2TP/PPTP-Imports 

• 50 Bugfixes in Authentifizierung, VPN, WAF, HA, Logging, IPS u. v. m.

Frage 2: Kann ich direkt von 21.0 MR2 auf 21.5 GA upgraden?

Antwort: Nein. Upgrade-Pfad = 21.0 MR2 → 21.5 MR1 (sobald verfügbar).

Frage 3: Welche Hardware ist kompatibel?

Antwort:

• Unterstützt: XGS-Hardware, virtuelle und Cloud-Appliances.
• Nicht mehr: XG- und SG-Geräte (ab SFOS 21).
• EoL: RED 15/15w/50 (seit 2023).

Frage 4: Was muss ich vor dem Upgrade beachten?

Antwort:

• Keine Schnittstellennamen mit ≥10 Ziffern am Ende.
• Alte SSL-VPN-Clients & UTM9 nicht mehr nutzbar 

• Cyberoam-Backups nur nach Zertifikatserneuerung.
• Statische Routen via Zebra-CLI werden nicht migriert.
• Backups ab 19.5 MR4: Restore-Assistent mit Schnittstellen-Zuordnung.
• Backups ≤19.5 MR3: automatische Zuordnung.

 Frage 5: Wie halte ich die Firewall ohne Downtime aktuell?

Antwort: Sophos liefert Hotfixes „over the air“ (z. B. Zero-Day-Patches ohne Neustart).
ABER: Wartungsupdates wie MR2 müssen manuell geplant werden → Fixes + neue Features nur mit MR-Update.

Frage 6: Wie gehe ich typische Troubleshooting-Fälle an (VPN, IPS, RED)?

Antwort:

• SSL VPN: Logs prüfen in /log/sslvpn.log, DNS/Peer-IP anpassen. 
• IPsec: Logs in /log/strongswan.log, PSK-Fehler sind häufig. 
• RED: Ports 3400/DNS testen (telnet red.astaro.com 3400), Provisioning prüfen. 

Frage 7: Was kostet das Update?

Antwort: Für alle Kunden mit Enhanced oder Enhanced Plus Support ist MR2 kostenlos.
Für die Durchführung einfach Support-Ticket eröffnen oder Termin buchen:

• Support-Ticket eröffnen
• Termin buchen

Frage 8: Welche Bugfixes enthält MR2 konkret?

Authentifizierung:

• NC-158887 - Login-Probleme mit Entra ID SSO?
  → Gefixt → Ihr Vorteil: stabile Logins in allen Browsern.

• NC-157450  – API-Export ohne statische IP im Remote-IPsec-VPN?
  → Gefixt → Ihr Vorteil: vollständige Konfigurations-Exporte.

• NC-157308  – Bekommen IPsec-Clients nach HA-Failover falsche IPs?
  → Gefixt → Ihr Vorteil: zuverlässige Adressvergabe.

• NC-154794 – Probleme mit Sonderzeichen im Admin-Passwort bei OTP?
  → Gefixt → Ihr Vorteil: sichere Anmeldung auch mit komplexen Passwörtern.

• NC-154639 – Startet der CSD-Dienst nicht?
  → Gefixt → Ihr Vorteil: Authentifizierungsdienste laufen stabil.

• NC-153770 – Scheitert RADIUS-Auth ohne konfigurierte Domäne?
  → Gefixt → Ihr Vorteil: flexiblere Authentifizierung.

• NC-151205  – Erscheint das Captive Portal nach Entra ID SSO erneut?
  → Gefixt → Ihr Vorteil: saubere Nutzererfahrung.

• NC-148837 – CLI-Passwort-Set scheitert bei „ oder \ im Passwort?
  → Gefixt → Ihr Vorteil: keine Einschränkungen bei Passwortwahl.

• NC-144523  – Benutzergruppe nicht sichtbar im WebAdmin?
  → Gefixt → Ihr Vorteil: einfache Verwaltung.

Backup & Restore:

• NC-147708  – Scheitert Restore SG125 → XGS108 wegen Pseudoports?
  → Gefixt → Ihr Vorteil: sichere Migration.

Clientless Access:

• NC-147793 – SSL-VPN Musteraktualisierung schlägt fehl?
  → Gefixt → Ihr Vorteil: zuverlässige Policy-Updates.

Central Management & Reporting:

• NC-148839 – Zeigt der KI-Report keine Daten?
  → Gefixt → Ihr Vorteil: aussagekräftige Analysen.

• NC-151752 – „Firewall-Infos nicht gesendet“ im Log?
  → Gefixt → Ihr Vorteil: vollständige Datenübertragung.

• NC-154362 – Werden virtuelle Firewalls automatisch abgemeldet?
  → Gefixt → Ihr Vorteil: konsistentes Central Management.

• NC-157309 – Steht das Admin-Passwort im Klartext im fcwm-updated.log?
  → Gefixt → Ihr Vorteil: höhere Sicherheit.

• NC-160962 – Stoppen Garner- und Heartbeatd-Dienste?
  → Gefixt → Ihr Vorteil: stabile Kommunikation.

 Dynamic Routing (RIP):

• NC-151472  – RIP mit MD5 nicht RFC-konform?
  → Gefixt → Ihr Vorteil: sauberes Routing.

Email:

• NC-144681  – Anti-Spam-Dienst reagiert nicht?
  → Gefixt → Ihr Vorteil: stabiler Spam-Schutz.

• NC-140439 – Japanische Betreffzeilen in Quarantäne beschädigt?
  → Gefixt → Ihr Vorteil: klare Reports.

• NC-153065  – Stoppt der Mailflow?
  → Gefixt → Ihr Vorteil: durchgehende Zustellung.

Firmware Management:

• NC-152641 – Stoppt Traffic nach MR1-Upgrade wegen SWAP-Config?
  → Gefixt → Ihr Vorteil: sichere Updates.

High Availability (HA):

• NC-149039 – HA-Status "flapped"  & Crash-Dumps?
  → Gefixt → Ihr Vorteil: stabiles Failover.

• NC-147307  – XGS 2300 in Neustartschleife bei Failover?
  → Gefixt → Ihr Vorteil: zuverlässiges HA.

• NC-132291 – Firmware-Upload auf passives HA-Gerät schlägt fehl?
  → Gefixt → Ihr Vorteil: reibungslose Updates.

Hardware:

• NC-151757  Ihr Vorteil: korrekte Statusanzeigen.

IPS & IPsec:

• NC-153049  – Fehlt eine IPS-Signatur in Default-Policy?
  → Gefixt → Ihr Vorteil: vollständiger Schutz.

• NC-149918  – Meldet Central Tunnel-Ende ohne Traffic-Ausfall?
  → Gefixt → Ihr Vorteil: weniger False-Positives.

• NC-147593  – IPsec Tunnel startet nach Reboot nicht?
  → Gefixt → Ihr Vorteil: stabile VPNs.

• NC-154660 – IPsec Strongswan zeigt „busy“-Fehler?
  → Gefixt → Ihr Vorteil: zuverlässige Verbindungen.

Logging & Reporting:

• NC-142006  – Filter „letzte 10 Minuten“ liefert keine Ausgabe?
  → Gefixt → Ihr Vorteil: präzise Echtzeitanalyse.

• NC-148674 – /var-Warnungen bleiben im Control Center?
  → Gefixt → Ihr Vorteil: saubere Oberfläche.

• NC-143913  – Systemdiagramme zeigen Spitzenwerte?
  → Gefixt → Ihr Vorteil: klare Monitoring-Daten.

• NC-135594  – Garner-Syslog FD beschädigt?
  → Gefixt → Ihr Vorteil: konsistente Logs.

• NC-157663  – Logging stoppt nach Upgrade MR3→MR1?
  → Gefixt → Ihr Vorteil: lückenlose Historie.

RED:

• NC-146826  – RED-Hostobjekt mit falscher Subnetzmaske (/24 statt /32)?
  → Gefixt → Ihr Vorteil: korrektes Routing.

• NC-143033  – XGS126 startet neu & löst HA-Failover aus?
  → Gefixt → Ihr Vorteil: stabilere Anbindung.

Reporting:

• NC-147935  – Custom Reports für Timestamp nicht möglich?
  → Gefixt → Ihr Vorteil: flexible Report-Erstellung.

SD-WAN:

• NC-157194  – Antwortpakete falsch geroutet?
  → Gefixt → Ihr Vorteil: korrektes Routing.

Security Heartbeat:

• NC-145975  – XGS87 Kernel Panic durch Speicherleck?
  → Gefixt → Ihr Vorteil: stabiler Betrieb.

SNMP:

• NC-148675 – OIDs im VPN-Baum nicht funktionsfähig?
  → Gefixt → Ihr Vorteil: vollständiges Monitoring.

SSL VPN:

• NC-149642 – SSL-VPN Config-Download im Portal schlägt fehl?
  → Gefixt → Ihr Vorteil: schnelle Einrichtung.

Synchronized App Control:

• NC-152342  – Central-Registrierung verloren, HA nicht eingerichtet?
  → Gefixt → Ihr Vorteil: stabilere Integration.

Up2Date Client:

• NC-141078  – SSL-VPN Config nach Upgrade nicht downloadbar?
  → Gefixt → Ihr Vorteil: reibungslose Updates.

VFP-Firewall:

• NC-152859  – VLAN-Pakete beschädigt bei VFP IPsec Offload?
  → Gefixt → Ihr Vorteil: sauberes Routing.

WebInSnort / IPS:

• NC-143421  – Websites nicht erreichbar mit DPI+SSL in HA?
  → Gefixt → Ihr Vorteil: störungsfreier Zugriff.

• NC-152907  – IPS-Service nach MR3-Upgrade ausgefallen?
  → Gefixt → Ihr Vorteil: durchgehender Schutz.

WAF:

• NC-148937 – Let’s Encrypt Zertifikat konnte nicht erstellt werden?
  → Gefixt → Ihr Vorteil: automatische Erneuerung.

• NC-152022 – Zertifikatsanforderung fehlerhaft (Firewall-Regel fehlte)?
  → Gefixt → Ihr Vorteil: weniger manueller Aufwand.

• NC-152608  – Cookie-Signing verursachte Fehler?
  → Gefixt → Ihr Vorteil: stabile WebApps.

• NC-152540 – WAF-Regel aktivierte/deaktivierte sich selbst?
  → Gefixt → Ihr Vorteil: konsistente Policies.

• NC-156694 – WAF-Warnung für alte Regel sichtbar?
  → Gefixt → Ihr Vorteil: klare Alerts.

• NC-156668 – WAF-Neustart bei Zertifikatserstellung fehlgeschlagen?
  → Gefixt → Ihr Vorteil: zuverlässige Zertifikate.

WWAN:

• NC-153394  – Zunehmende Syslog-ng Zombieprozesse?
  → Gefixt → Ihr Vorteil: weniger Ressourcenverbrauch.