Zur Startseite gehen
0,00 €*

Sophos Firewall v22.0 GA: Technische Änderungen, bekannte Einschränkungen und Workarounds

von: Daniel Benmoussa - Mahi | 29. Januar 2026

Sophos Firewall v22.0 GA: Wichtige Änderungen & bekannte Fallstricke

Seit Dezember 2025 ist Sophos Firewall v22.0 GA verfügbar. In der Praxis fallen dabei vor allem Änderungen rund um NAT-Matching sowie mehrere bekannte Einschränkungen auf, die  je nach Konfiguration  spürbare Auswirkungen in produktiven Umgebungen haben können.

Kurzüberblick: Was bringt Ihnen das?

Wenn Sie vor einem Upgrade die typischen Stolperstellen prüfen, sparen Sie im Fehlerfall Zeit bei Analyse und Rollback:

  • DNAT kann nach dem Upgrade nicht mehr greifen, wenn die ausgehende Schnittstelle in der NAT-Regel zu restriktiv gesetzt ist.
  • Bridge-Setups mit aktivem VLAN-Filter können Traffic und Management-Zugriff beeinträchtigen. 
    (NC-171003)
  • Hostgruppen >256 Einträge können zu unerwartetem Regel-/Matching-Verhalten führen. (NC-171031)
  • Bei PPPoE-Setups tauchen u. a. Konsolenmeldungen ohne funktionale Auswirkung auf (NC- 170987) und es gibt Hinweise auf Durchsatz-Tuning via txqueuelen.
IPv6 über PPPoE (DHCPv6-Prefix Delegation) wird als Funktionswunsch geführt und ist (noch) nicht umgesetzt.

Kernänderung: NAT-Matching nutzt die ausgehende Schnittstelle

Mit v22.0 GA wird die Funktionsweise des Schnittstellenabgleichs in NAT-Regeln hervorgehoben: NAT verwendet die ausgehende Schnittstelle als Matching-Kriterium. Gleichzeitig wird beschrieben, dass in früheren Versionen bestimmte Kriterien nicht korrekt wirkten – wodurch NAT-Regeln auch dann funktionierten, wenn sie eigentlich nicht hätten greifen sollen.

Praxisrelevanz: Wenn DNAT-Regeln nach dem Upgrade nicht wie erwartet funktionieren, sollte die Einstellung „Ausgehende Schnittstelle“ geprüft werden

Empfohlene Maßnahme (bei DNAT-Problemen):

Für DNAT-Regeln die ausgehende Schnittstelle auf „Beliebig (Any)“ setzen, um das erwartete Verhalten wiederherzustellen. (Andere Matching-Kriterien wie Quelle/Ziel/Dienste werden dabei separat betrachtet.)

Typische Auswirkungen & Workarounds aus der Praxis

1) Bridge + VLAN-Filter: Traffic/Management beeinträchtigt (NC-171003)

Es wurde festgestellt: Wenn VLAN-Filterung auf einer Bridge-Schnittstelle aktiviert ist, kann dies Traffic über diese Schnittstelle beeinträchtigen und den Zugriff auf SFOS über diese Schnittstelle verhindern.

  • Status: Laut Antwort gibt es keine andere Lösung, und da es nicht per Hotfix behoben werden kann, wird die Korrektur in einem nächsten SFOS-Update bereitgestellt.

  • Wichtiger Hinweis: Ein direktes Upgrade ohne Vorbereitung kann zum Aussperren der Administratoren führen.

  • Workaround: VLAN-Filterkonfiguration auf der Bridge entfernen, um das Problem zu umgehen.

2) Policy-based IPsec & Standard-SNAT „funkt dazwischen“

Es wurde beobachtet, dass nach dem Upgrade Traffic (bei policy-basierter IPsec-Nutzung) einem ausgehenden WAN-Interface zugeordnet wird, wodurch die Standard-SNAT-Regel greift.

Ein praktischer Workaround ist, vor der Standard-SNAT-Regel eine spezifische NAT-Regel zu platzieren, die verhindert, dass der relevante VPN-Traffic vorher maskiert wird.

3) Hostgruppen-Limit: >256 Einträge (NC-171031)

Wenn eine Hostgruppe mehr als 256 Hosts enthält, werden darüber hinausgehende Einträge nicht korrekt aufgenommen, was Auswirkungen überall dort haben kann, wo die Hostgruppe gebunden ist (z. B. Firewall, NAT, SD-WAN).

  • Workaround: Hostgruppe aufteilen (z. B. zwei Gruppen <256) und beide an den Bindungsstellen verwenden.

4) Blackhole-NAT: Seiteneffekte auf RED & Dienste

Es wurde festgestellt, dass eine Blackhole-NAT-Regel nach Neustart/Änderungen auch unerwartet RED-Verbindungen oder andere Dienste beeinflussen kann, wenn sie in den Blackhole-Bereich matchen.

  • Fix: Als Lösung wurde eine zusätzliche/alternative NAT-Regel erstellt, um die benötigten Verbindungen gezielt zu erlauben bzw. das Matching zu bereinigen.

5) Performance & Hardware-Besonderheiten

Zur Meldung „Ungültige Regel-ID“ wird beschrieben:

  • Wann sichtbar: Beim Systemstart, wenn eine PPPoE-Schnittstelle konfiguriert ist und als eingehende/ausgehende Schnittstelle in einer NAT-Regel verwendet wird.

  • Auswirkung: Anzeigeproblem in der Konsole, keine funktionalen Auswirkungen. (NC- 170987)

Virtuelle Umgebungen (APIC ID mismatch): Bei Installationen auf Hyper-V oder spezifischer Hardware kann es zu Boot-Problemen kommen. Prüfen Sie vorab die Kompatibilität Ihrer Virtualisierungsschicht.

6) PPPoE-Durchsatz: txqueuelen

Es wird erwähnt, dass bei PPPoE-WAN-Verbindungen nach Neustart manuell in der erweiterten Shell der Befehl: ifconfig PortB_ppp txqueuelen 10000 gesetzt werden muss, um korrekte Upload- Geschwindigkeiten zu erreichen (als wiederkehrender Punkt in der Praxis).

7) Ergänzt: IPv6 über PPPoE (DHCPv6-PD) – aktueller Status

In einem separaten v22-Kontext wurde geschildert, dass natives IPv6 im LAN über Sophos Firewall bei PPPoE-Anschlüssen praktisch nicht sauber umsetzbar ist, weil DHCPv6-Prefix Delegation (PD) über PPPoE nicht sinnvoll unterstützt wird.

  • Status-Aussage von Sophos: Der Punkt ist als Funktionswunsch „auf der Aufgabenliste für die Zukunft“. Zusätzlich wird eingeordnet, dass PPPoE + IPv6 eher regional stark relevant ist, aber weiterhin beobachtet wird – mit dem Ziel, es künftig zu implementieren.

Weitere bekannte Ticket-IDs aus den Hinweisen

  • NC-171003 – Bridge-VLAN-Filter beeinträchtigt Traffic/Management über die Bridge- Schnittstelle

  • NC-171031 – Hostgruppen >256 Einträge: Einträge darüber hinaus funktionieren nicht wie erwartet

  • NC-170987 – PPPoE/NAT-bezogene Konsolen-Logzeile („Ungültige Regel-ID…“) ohne funktionale Auswirkung

  • NC-171600 – Untersuchung zu Problemen mit SSL/TLS-Inspektions-Widget und Firewall- Sitzungsübersicht

Unsere Empfehlung

Planen Sie ein Upgrade auf v22.0 GA so, dass Sie vorher gezielt diese Bereiche prüfen:

  1. DNAT-Regeln: Matching rund um „Ausgehende Schnittstelle“ nachvollziehen; bei Bedarf testweise „Beliebig (Any)“ setzen.

  2. Bridge-Konfigurationen: VLAN-Filter auf Bridges identifizieren; wenn genutzt, Risiko/Workaround einkalkulieren.

  3. Hostgruppen: Gruppen >256 Einträge aufteilen.

  4. VPN/IPsec: Prüfen, ob Standard-SNAT in Ihren Flows „mitspielt“; ggf. spezifische NAT-Regeln vorziehen

Hinweis:

Benötigen Sie Unterstützung bei der Prüfung Ihrer NAT-, VPN- oder Bridge-Konfiguration vor dem Upgrade? Unser technisch geschultes Team im unterstützt Sie gern bei einem strukturierten Kompatibilitäts-Check.

Buchen Sie dazu einen Termin: https://support.utm-shop.de/support/termin-buchen

Links zur weiteren Recherche:

Sophos Doku – NAT-Regeln / Matching-Kriterien:

Sophos Dokumentation: NAT-Matching Kriterien

SUSE KB (APIC id mismatch, CPU-ID/Hypervisor-Kontext):

https://support.scc.suse.com/s/kb/Firmware-Bug-CPU52-APIC-id-mismatch-Firmware-34-APIC-40?language=en_US


Autor: Daniel Benmoussa - Mahi

7 Jahre Technischer Support 


Zertifizierung: 

  • Sophos MDR Sales Consultant
  • Sophos Firewall Sales Consultant
  • Sophos Central Sales Consultant
  • Sophos Central Engineer
  • Sophos Central Technician
  • Sophos Central Architect
  • Sophos Firewall Engineer
  • Sophos Firewall Technician
  • Sophos Firewall Architect 

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung