trueNetLab ⚡️
Sophos Firewall v22 MR1: Upgrade jetzt oder noch warten?

Sophos Firewall v22 MR1: Upgrade jetzt oder noch warten?

8 min read
Network Sophos Security

Inhaltsverzeichnis

Mit Sophos Firewall v22 MR1 ist am 20. April 2026 endlich das erste Maintenance Release für die v22-Linie erschienen. Und ganz ehrlich: Genau auf so ein Release haben viele Admins gewartet.

Denn v22 war zwar von Anfang an technisch spannend. Secure by Design, Health Check, neues Control-Plane-Fundament, härterer Kernel, mehr Audit-Tiefe. Auf dem Papier sah das stark aus. In der Praxis war der Start aber holprig. Ich habe über genau diese Phase bereits in meinem Artikel Sophos Firewall: Keine CVEs, aber Bugs (v21.5 bis v22) geschrieben.

MR1 ist deshalb nicht einfach “das nächste Release”. Es ist der Punkt, an dem sich für viele Teams die Frage stellt: Ist das jetzt endlich der Moment, an dem man v22 produktiv mit besserem Gefühl ausrollen kann?

Die kurze Antwort: Für einige Umgebungen ja. Blind und ungetestet aber immer noch nicht.

Das Wichtigste in Kürze

  • v22 MR1 ist Build 490 und behebt viele der realen Probleme, die v22 GA und das Re-Release Build 411 im Feld noch hatten.
  • Besonders relevant sind die Fixes rund um policy-based IPsec, Bridge-Routing nach dem Upgrade, HA-Stabilität, PPPoE-Edge-Cases, WAF, SSL VPN und einzelne Auth-Themen.
  • Gleichzeitig bringt MR1 ein paar klare Upgrade-Fallen mit: Legacy Remote Access IPsec ist endgültig raus, zusätzliche Disk-Space-Prüfungen bleiben relevant, und XG/SG-Hardware bleibt weiterhin außen vor.
  • Wer bereits auf v22 ist und an konkreten Problemen hängt, sollte MR1 ernsthaft prüfen.
  • Wer auf 21.5 stabil läuft, sollte nicht aus Neugier am ersten Tag klicken, sondern sauber testen.

Warum MR1 überhaupt so wichtig ist

Wenn ein Hersteller direkt nach einem großen Major Release erst ein Re-Release und kurz darauf das erste Maintenance Release nachschiebt, sagt das meistens schon einiges. Bei Sophos war genau das der Fall.

Das ursprüngliche v22 GA Build 365 wurde im Januar 2026 durch das GA Re-Release Build 411 ersetzt. Dort hat Sophos bereits einige unangenehme Themen ausgebügelt, unter anderem den Bridge-WebAdmin-Zugriff, DNAT-Probleme mit spezifischem Outbound-Interface, CLI-Log-Spam mit Invalid rule id or family for update, kaputte SNMP-Konfigurationen und Probleme im Policy Tester. Das war wichtig, aber eben noch nicht der Punkt, an dem sich das Ganze schon “ruhig” angefühlt hat.

MR1 wirkt jetzt eher wie das Release, das viele vermutlich ursprünglich von v22 erwartet hätten: weniger Marketing-Folie, mehr operative Bereinigung.

Was in v22 MR1 konkret besser wird

Der größte Wert von MR1 liegt nicht in einem einzelnen großen Feature. Er liegt darin, dass Sophos an mehreren Stellen gleichzeitig die Reibung aus dem Alltag nimmt.

Policy-based IPsec bekommt endlich Aufmerksamkeit

Wer v22 GA mit policy-based IPsec produktiv genutzt hat, hatte gute Chancen auf Ärger. In den offiziellen Release Notes nennt Sophos für MR1 gleich mehrere Fixes in genau diesem Bereich. Genannt werden unter anderem Probleme, bei denen ein policy-based Tunnel zwar als aktiv angezeigt wurde, aber kein Traffic floss, Route-Lookups im Diagnostikbereich falsche Interfaces zeigten, Traffic über MPLS plötzlich falsche SNAT-IP-Adressen bekam oder der Zugriff auf das WebAdmin der Branch-Firewall über policy-based IPsec nach dem Upgrade nicht mehr funktionierte.

Gerade dieser Block ist für mich der wichtigste Teil von MR1. Denn VPN-Probleme sind nie nur “ein Detail”. Sobald Site-to-Site-Verbindungen, Branch-Zugriffe oder SD-WAN-Routen auf so etwas aufbauen, wird aus einem Firmware-Bug sehr schnell ein Betriebsproblem.

Bridge-, Routing- und Firewall-Themen wurden nachgeschärft

Ebenfalls relevant ist, dass MR1 mehrere Themen aufgreift, die in echten Netzen sofort weh tun. Sophos nennt unter anderem:

  • eine nicht erreichbare Subnetz-Kommunikation über Bridge-Interfaces nach dem Upgrade auf v22 GA
  • Probleme beim Ping über Backup-WAN aus der Diagnose
  • unerwartete HA-Statuswechsel mit daraus folgenden Restarts
  • PPPoE-bezogene Probleme im Policy Test
  • Export-Probleme bei Firewall-Regeln

Das klingt auf dem Papier nach vielen kleinen Baustellen. In Summe ist es aber genau die Klasse von Bugs, die Change-Windows unnötig teuer macht.

WAF, SSL VPN und Authentifizierung profitieren spürbar

MR1 enthält auch Fixes in Bereichen, die bei vielen Firmen nicht optional sind. Genannt werden unter anderem:

  • CAPTCHA-Deaktivierung für die VPN-Zone funktionierte in v22 GA nicht sauber für SSL-VPN-User
  • Azure-AD-SSO für das User Portal leitete auf eine 404-Seite um
  • OAuth-Zertifikats- und API/MFA-Themen
  • periodische Neustarts des SSL-VPN-Services bei bestimmten Konstellationen
  • Probleme beim Download mobiler IPsec-Konfigurationen wegen falscher Zertifikat-Berechtigungen

Wer also externe Nutzer, VPN-Clients oder WAF-geschützte Anwendungen auf der Firewall hat, bekommt mit MR1 mehrere operative Stolpersteine aus dem Weg geräumt.

HA und Storage bleiben ein wichtiges Thema

Ich finde außerdem wichtig, dass Sophos im MR1-Umfeld weiter an Stabilität arbeitet. Es gibt Fixes für HA-Aufbau nach Stromunterbruch, HA-Registrierung in Sophos Central, Systemverkehr über dedizierte Links, Failures beim Upgrade passiver Geräte und hohe Systemlast durch Logging-/Disk-Themen.

Das ist kein sexy Release-Marketing. Genau deshalb ist es relevant.

Was MR1 nicht löst: Upgrade bleibt ein Projekt, kein Klick

Trotzdem würde ich aus MR1 jetzt nicht die romantische Geschichte machen, wonach alles plötzlich grün ist. Auch dieses Release hat Punkte, die man vor dem Upgrade sehr bewusst prüfen sollte.

Legacy Remote Access IPsec ist jetzt ein harter Blocker

Das ist wahrscheinlich der wichtigste Upgrade-Hinweis in den aktuellen Release Notes. Sophos schreibt explizit, dass die alte Legacy-Variante von Remote Access IPsec in SFOS 22.0 MR1 nicht mehr unterstützt wird. Noch wichtiger: Firewalls, die diese Legacy-Konfiguration noch enthalten, lassen sich nicht auf MR1 upgraden.

Wer also historische IPsec-Remote-Access-Setups mit Drittanbieter-Clients mitschleppt, sollte das vor dem Upgrade nicht nur überfliegen, sondern aktiv prüfen. Sonst wird aus “wir machen heute Abend noch schnell das MR” ein unnötig langes Wartungsfenster.

Disk Space und Root-Resize bleiben relevant

Auch der zweite bekannte v22-Punkt ist nicht weg: zusätzlicher Speicherplatz. Sophos weist weiterhin darauf hin, dass SFOS 22.0 und spätere Versionen mehr Platz brauchen und manche Appliances oder Software-/Virtual-Setups vor dem Upgrade manuelle Vorbereitung benötigen.

Selbst wenn genügend Platz vorhanden ist, kann das Upgrade länger dauern, weil die Root-Partition vergrößert wird. Laut Sophos kann das zwei bis zehn Minuten zusätzlich kosten. Für ein kleines Homeoffice ist das eine Randnotiz. Für produktive HA-Paare oder knappe Wartungsfenster ist es ein Planungsdetail.

XG und SG bleiben draußen

Das ist nicht neu, sollte in der Praxis aber trotzdem immer wieder erwähnt werden: SFOS 22.0 GA und später, also auch MR1, unterstützt keine XG- und SG-Hardware mehr. Wer Altgeräte in Außenstellen oder Lab-Umgebungen hat, sollte das nicht erst im laufenden Wartungsfenster oder mitten im Upgrade merken.

Policy-based IPsec hat zwar Fixes, aber auch Historie

Gerade weil MR1 mehrere policy-based-IPsec-Probleme fixt, ist das für mich gleichzeitig ein Hinweis auf Vorsicht. Wer produktive Sonderrouten, MPLS, Branch-Routing, Drittanbieter-Gegenstellen oder Admin-Zugriffe durch solche Tunnel fährt, sollte MR1 zwar testen, aber eben genau dort testen.

Ein “Tunnel ist grün” reicht nicht. Interessant ist erst, ob echter Traffic, Rückweg, SNAT-Verhalten, Diagnostik, GUI-Zugriff und Failover so funktionieren wie erwartet.

Meine praktische Einordnung

Wenn ich es auf die Frage herunterbreche, die viele sich gerade stellen, dann ist es diese:

Ist v22 MR1 der erste vernünftige Upgrade-Kandidat für Teams, die v22 wegen GA und Build 411 bewusst ausgesessen haben?

Ich würde sagen: Ja, in vielen Fällen schon.

Nicht, weil Sophos plötzlich fehlerfrei geworden wäre. Sondern weil MR1 jetzt sichtbar genau an den Stellen aufräumt, an denen v22 im Alltag wehtat. Bridge, IPsec, HA, Auth, WAF, SSL VPN, Logging, einzelne UI- und Routing-Ecken. Das ist eine andere Qualität als ein rein kosmetisches MR.

Trotzdem würde ich zwei Gruppen klar trennen.

Wer eher upgraden sollte

  • Teams, die bereits auf v22 Build 411 sind und an konkreten Bugs hängen
  • Umgebungen, die auf einzelne v22-Funktionen warten, aber wegen der frühen Buglage gebremst haben
  • Admins, die policy-based IPsec oder bestimmte Auth-/Portal-Themen sauberer haben möchten

Wer zuerst weiter im Lab bleiben sollte

  • stabile 21.5-Installationen ohne aktuellen Feature-Druck
  • Umgebungen mit Legacy Remote Access IPsec
  • Setups mit heiklen WAF-/MFA-/SSO-Ketten
  • HA-Cluster, die in der Vergangenheit schon Firmware-zickig waren

Was ich vor dem Upgrade konkret prüfen würde

Bevor ich MR1 produktiv ausrolle, würde ich heute diese Punkte abhaken:

  • Prüfen, ob noch Legacy Remote Access IPsec in der Konfiguration steckt
  • Backups exportieren und einen Restore-Pfad wirklich gedanklich durchspielen
  • Freien Speicher und etwaige Resize-Hinweise kontrollieren
  • Bei HA: Failover nicht nur glauben, sondern testen
  • Bei policy-based IPsec: echten Traffic und nicht nur den Tunnelstatus verifizieren
  • Bei WAF/Portalen/SSL VPN: Login, MFA, Redirects und Zertifikate mit echten Testusern prüfen
  • Bei PPPoE oder speziellen WAN-Szenarien: Policy Test und reale Flows gegentesten

Und noch etwas: Wer sich mit v22 bisher primär über den Health Check beschäftigt hat, sollte die technische und die operative Ebene nicht verwechseln. Der Health Check aus v22 ist hilfreich, und ich habe ihn hier ausführlich eingeordnet: Sophos Firewall v22 Health Check - Vollständige Übersicht . Aber ein grüner Health Check ersetzt keinen sauberen Upgrade-Test.

Fazit

Sophos Firewall v22 MR1 ist aus meiner Sicht das erste Release der v22-Linie, bei dem man als Administrator wieder eher in Richtung “kann man ernsthaft prüfen” statt “bitte noch warten” denkt.

Das ist ein gutes Zeichen. Mehr aber auch nicht.

Wer heute auf v22 Probleme hat, sollte MR1 sehr aufmerksam anschauen. Wer auf 21.5 stabil lebt, sollte sich nicht vom Namen “Maintenance Release” in falsche Sicherheit wiegen lassen. Auch dieses Upgrade verdient Vorbereitung, Tests und einen Plan B.

Genau so würde ich es behandeln: nicht als Notfall, nicht als No-Brainer, sondern als das, was es ist. Der erste wirklich interessante Upgrade-Kandidat seit dem holprigen Start von v22.

Bis zum nächsten Mal,
Joe

Sources

Related Posts

Sophos Firewall: Keine CVEs, aber Bugs (v21.5 bis v22)

Sophos Firewall: Keine CVEs, aber Bugs (v21.5 bis v22)

Anthropic Mythos und Project Glasswing: Was auf IT-Security zukommt

Anthropic Mythos und Project Glasswing: Was auf IT-Security zukommt

Operation Epic Fury: Sophos warnt vor globaler Cyber-Vergeltung

Operation Epic Fury: Sophos warnt vor globaler Cyber-Vergeltung

© 2026 trueNetLab

Suche