Sophos Firewall v22 MR1: এখন আপগ্রেড করবেন, নাকি অপেক্ষা করবেন?
সূচিপত্র
Sophos Firewall v22 MR1-এর সঙ্গে ২০ এপ্রিল ২০২৬-এ অবশেষে v22 লাইনের প্রথম maintenance release এসেছে। আর সত্যি বলতে, অনেক অ্যাডমিন ঠিক এই রিলিজটারই অপেক্ষায় ছিলেন।
শুরু থেকেই v22 প্রযুক্তিগতভাবে উচ্চাভিলাষী ছিল। Secure by Design, Health Check, আরও শক্ত control-plane foundation, আরও কঠিন kernel, আর বেশি audit depth। কাগজে-কলমে সবই ভালো দেখাচ্ছিল। কিন্তু বাস্তবে শুরুটা ছিল খসখসে। সেই পর্যায় নিয়ে আমি আগেই লিখেছিলাম: v21.5 থেকে v22 পর্যন্ত Sophos Firewall bug নিয়ে আমার আগের পোস্টে ।
তাই MR1 শুধু “পরের রিলিজ” নয়। এটা সেই মুহূর্ত, যখন অনেক টিম বাস্তব প্রশ্নটা করছে: v22 কি এখন অবশেষে production upgrade candidate হিসেবে ভাবার মতো অবস্থায় এসেছে?
আমার সংক্ষিপ্ত উত্তর: কিছু environment-এর জন্য হ্যাঁ। কিন্তু চোখ বন্ধ করে, টেস্ট ছাড়া নয়।
সংক্ষেপে সবচেয়ে জরুরি পয়েন্ট
- v22 MR1 হলো Build 490 এবং v22 GA ও re-release Build 411-এ থাকা অনেক বাস্তব সমস্যার সমাধান করে।
- সবচেয়ে গুরুত্বপূর্ণ ফিক্সগুলো policy-based IPsec, upgrade-এর পর bridge routing, HA stability, PPPoE edge case, WAF, SSL VPN এবং কিছু authentication issue-কে ঘিরে।
- একই সঙ্গে কিছু স্পষ্ট upgrade caveat এখনো আছে: legacy remote access IPsec সরিয়ে দেওয়া হয়েছে, disk space check এখনো গুরুত্বপূর্ণ, এবং XG/SG hardware এখনো unsupported।
- আপনি যদি ইতিমধ্যে v22-এ থাকেন এবং বাস্তব সমস্যায় আটকে থাকেন, MR1 খুব সিরিয়াসভাবে দেখা উচিত।
- আপনি যদি 21.5-এ stable থাকেন, তাহলে প্রথম দিনেই upgrade না করে আগে ভালোভাবে test করুন।
MR1 এত গুরুত্বপূর্ণ কেন
কোনো vendor বড় major release দেওয়ার পর re-release আনে, তারপর অল্প সময়ের মধ্যেই প্রথম maintenance release দেয়, তাহলে সাধারণত সেটা কিছু না কিছু বলে। Sophos-এর ক্ষেত্রেও ঠিক তাই হয়েছে।
মূল v22 GA Build 365 জানুয়ারি ২০২৬-এ GA re-release Build 411 দিয়ে বদলে দেওয়া হয়। সেখানে Sophos bridge WebAdmin access, specific outbound interface সহ DNAT সমস্যা, Invalid rule id or family for update CLI log spam, broken SNMP config, আর policy test issue-এর মতো একাধিক জিনিস ঠিক করেছিল। সেটা দরকারি ছিল, কিন্তু তখনও সবকিছু শান্ত মনে হচ্ছিল না।
MR1 বরং সেই রিলিজের মতো, যেটা অনেকেই হয়তো v22 থেকে প্রথম দিনেই আশা করেছিলেন: কম slideware, বেশি operational cleanup।
v22 MR1-এ আসলে কী ভালো হয়েছে
MR1-এর আসল মূল্য কোনো flashy নতুন feature-এ নয়। এর মূল্য হলো একাধিক জরুরি জায়গায় একসঙ্গে friction কমানো।
policy-based IPsec অবশেষে গুরুত্ব পাচ্ছে
যারা v22 GA-তে policy-based IPsec production-এ ব্যবহার করেছেন, তারা সহজেই ঝামেলায় পড়েছেন। অফিসিয়াল release notes-এ Sophos এই এলাকাতেই একাধিক fix তালিকাভুক্ত করেছে। যেমন tunnel up দেখালেও traffic না যাওয়া, diagnostics route lookup-এ ভুল interface দেখানো, MPLS-এর ওপর দিয়ে wrong SNAT IP পাওয়া, কিংবা upgrade-এর পর policy-based IPsec-এর মাধ্যমে branch firewall WebAdmin আর না খোলা।
আমার কাছে MR1-এর সবচেয়ে গুরুত্বপূর্ণ অংশ এটাই। কারণ VPN issue কখনোই “ছোটখাটো” বিষয় নয়। site-to-site, branch access বা SD-WAN path এগুলোর ওপর দাঁড়ালে firmware bug খুব দ্রুত operational problem হয়ে যায়।
bridge, routing আর firewall অংশেও বাস্তব উন্নতি আছে
MR1 কয়েকটি সেই ধরনের bug-ও ধরেছে, যেগুলো বাস্তব নেটওয়ার্কে সঙ্গে সঙ্গে ব্যথা দেয়। Sophos উল্লেখ করেছে:
- v22 GA-তে upgrade করার পর bridge interface দিয়ে subnet communication unreachable হয়ে যাওয়া
- diagnostics থেকে backup WAN-এর ওপর ping সমস্যা
- unexpected HA state change এবং তার পর restart
- policy test-এ PPPoE-সংক্রান্ত সমস্যা
- firewall rule export issue
কাগজে এগুলো ছোট ছোট bug-এর তালিকা মনে হতে পারে। কিন্তু বাস্তবে এটাই সেই bug class, যা change window অপ্রয়োজনীয়ভাবে ব্যয়বহুল করে।
WAF, SSL VPN এবং authentication-ও লাভবান হয়েছে
MR1 এমন কিছু এলাকায় fix এনেছে, যেগুলো অনেক প্রতিষ্ঠানের জন্য optional নয়। যেমন:
- VPN zone-এর জন্য CAPTCHA disable করলেও SSL VPN user-দের ক্ষেত্রে ঠিকমতো কাজ না করা
- user portal-এর Azure AD SSO 404 page-এ redirect হওয়া
- OAuth certificate ও API/MFA issue
- কিছু scenario-তে SSL VPN service-এর periodic restart
- ভুল certificate permission-এর কারণে mobile IPsec configuration download problem
আপনার firewall-এ external user, VPN client বা WAF-protected application থাকলে MR1 এখানে বেশ কিছু বাস্তব বাধা সরিয়ে দেয়।
HA আর storage এখনো খুবই গুরুত্বপূর্ণ
আমার কাছে এটাও গুরুত্বপূর্ণ যে Sophos MR1 cycle-এ সামগ্রিক stability নিয়েও কাজ চালিয়ে যাচ্ছে। power loss-এর পর HA recovery, Sophos Central-এ HA registration, dedicated link-এর ওপর system traffic, passive device-এ upgrade failure, আর logging/disk issue থেকে high system load—এসব নিয়েও fix আছে।
এগুলো flashy release marketing নয়। আর ঠিক সেই কারণেই এগুলো গুরুত্বপূর্ণ।
MR1 কী সমাধান করছে না
আমি এখনো এটা বলতে চাই না যে MR1 এলেই সবকিছু হঠাৎ সবুজ হয়ে গেছে। তা হয়নি। এই release-এও এমন কিছু বিষয় আছে, যেগুলো upgrade-এর আগে সচেতনভাবে যাচাই করা দরকার।
legacy remote access IPsec এখন hard blocker
এটাই সম্ভবত বর্তমান release notes-এর সবচেয়ে গুরুত্বপূর্ণ upgrade warning। Sophos স্পষ্ট বলছে যে remote access IPsec-এর পুরোনো legacy variant SFOS 22.0 MR1-এ আর supported নয়। আরও গুরুত্বপূর্ণ বিষয় হলো, firewall config-এ যদি এটা এখনো থাকে, তাহলে সেই firewall MR1-এ upgrade-ই হবে না।
আপনি যদি এখনো third-party client-সহ পুরোনো remote access IPsec setup carry করে থাকেন, তাহলে এটাকে শুধু চোখ বুলিয়ে ছেড়ে দেবেন না। সক্রিয়ভাবে খুঁজে দেখুন। নইলে “আজ রাতে তাড়াতাড়ি MR করি” এক দীর্ঘ maintenance window-এ পরিণত হবে।
disk space আর root resize এখনো প্রাসঙ্গিক
v22-এর আরেকটি পরিচিত বিষয়ও এখনো রয়ে গেছে: অতিরিক্ত disk space। Sophos এখনো বলছে, SFOS 22.0 এবং পরের version-গুলোর জন্য বেশি space দরকার, আর কিছু appliance বা virtual/software deployment-এর আগে manual preparation লাগতে পারে।
যথেষ্ট space থাকলেও upgrade বেশি সময় নিতে পারে, কারণ root partition resize হয়। Sophos-এর ভাষায়, এতে ২ থেকে ১০ মিনিট পর্যন্ত যোগ হতে পারে। ছোট home office-এর জন্য এটা footnote। কিন্তু production HA pair বা tight maintenance window-এর জন্য এটা পরিকল্পনার অংশ।
XG আর SG এখনো বাইরে
এটা নতুন কিছু নয়, তবু বাস্তবে বারবার বলা দরকার: SFOS 22.0 GA এবং পরবর্তী version, MR1-সহ, XG এবং SG hardware আর support করে না। lab বা remote site-এ পুরোনো appliance থাকলে upgrade window-এর মাঝখানে এটা জানতে চাইবেন না।
policy-based IPsec-এ এখনো সতর্ক হওয়া উচিত
যেহেতু MR1 policy-based IPsec-এর একাধিক bug fix করেছে, আমি এটাকেই একই সঙ্গে caution signal হিসেবেও দেখি। production-specific route, MPLS, branch routing, third-party peer বা admin access যদি এই tunnel-এর ওপর চলে, তাহলে MR1 ঠিক সেখানেই test করুন।
শুধু tunnel green দেখা যথেষ্ট নয়। আসল বিষয় হলো: real traffic, return path, SNAT behavior, diagnostics, GUI access, আর failover—সবকিছু কি আপনার প্রত্যাশামতো কাজ করছে?
আমার বাস্তব মূল্যায়ন
যদি আমি প্রশ্নটাকে এক লাইনে নামিয়ে আনি, তাহলে সেটা হবে:
GA আর Build 411-এর কারণে যারা ইচ্ছে করেই v22 এড়িয়ে গিয়েছিল, তাদের জন্য v22 MR1 কি প্রথম যৌক্তিক upgrade candidate?
আমি বলব, অনেক ক্ষেত্রে হ্যাঁ।
কারণ Sophos হঠাৎ নিখুঁত হয়ে গেছে বলে নয়। বরং MR1 এখন স্পষ্টভাবে v22-এর সেই জায়গাগুলো পরিষ্কার করছে, যেগুলো দৈনন্দিন কাজের সময় ব্যথা দিত: bridge, IPsec, HA, auth, WAF, SSL VPN, logging, আর কিছু UI ও routing corner case। এটা কেবল cosmetic maintenance release নয়।
তবু আমি দুই ধরনের environment আলাদা করে দেখব।
কারা upgrade নিয়ে ভাবতে পারে
- যেসব টিম ইতিমধ্যে v22 Build 411-এ আছে এবং বাস্তব bug-এ আটকে আছে
- যেসব environment v22-এর কিছু feature চায়, কিন্তু প্রথম দিকের instability-র কারণে থেমে ছিল
- যেসব admin policy-based IPsec বা auth/portal behavior আরও পরিষ্কারভাবে চায়
কারা আগে lab-এ থাকবে
- 21.5-এ stable installation যেখানে এখনই নতুন feature চাপ নেই
- legacy remote access IPsec এখনো আছে এমন environment
- sensitive WAF, MFA বা SSO chain-সহ setup
- এমন HA cluster যেগুলো আগের firmware phase-এই temperamental ছিল
upgrade-এর আগে আমি কী কী check করতাম
production-এ MR1 roll-out করার আগে আমি এই পয়েন্টগুলো দেখে নিতাম:
- config-এ legacy remote access IPsec এখনো আছে কি না
- backup export করে restore path বাস্তবে মাথায় নিয়ে দেখা
- free disk space এবং resize-related warning যাচাই করা
- HA setup-এ status icon দেখে বিশ্বাস না করে failover test করা
- policy-based IPsec-এর ক্ষেত্রে শুধু tunnel status নয়, real traffic যাচাই করা
- WAF, portal আর SSL VPN-এর জন্য real test user দিয়ে login, MFA, redirect এবং certificate test করা
- PPPoE বা specific WAN scenario-তে policy test এবং real flow দুটোই validate করা
আর একটা বিষয়: আপনি যদি v22-কে মূলত Health Check-এর lens দিয়ে দেখে থাকেন, তাহলে technical আর operational layer-কে এক করে ফেলবেন না। v22-এর Health Check উপকারী, আর আমি সেটা বিস্তারিত লিখেছি এখানে: Sophos Firewall v22 Health Check নিয়ে আমার পূর্ণাঙ্গ পোস্টে । কিন্তু green Health Check কোনো serious upgrade test-এর বিকল্প নয়।
উপসংহার
আমার দৃষ্টিতে, Sophos Firewall v22 MR1 হলো v22 লাইনের প্রথম রিলিজ, যেটা দেখে একজন অ্যাডমিনের মনে হতে পারে “এটা সিরিয়াসলি দেখা যেতে পারে”, “আরও একটু অপেক্ষা করি” নয়।
এটা ভালো লক্ষণ। কিন্তু এটা ম্যাজিক নয়।
আপনি যদি ইতিমধ্যে v22 সমস্যা নিয়ে লড়ে থাকেন, MR1 মনোযোগ দিয়ে দেখা উচিত। আপনি যদি 21.5-এ স্থির থাকেন, “maintenance release” নামটা যেন false confidence না দেয়। এই upgrade এখনো preparation, testing আর fallback plan দাবি করে।
আমি এটাকে ঠিক সেভাবেই নেব: না emergency, না no-brainer। বরং যেটা এটা সত্যিই—v22-এর কঠিন শুরুর পর প্রথম সত্যিকারের আকর্ষণীয় upgrade candidate।
আবার দেখা হবে,
Joe
