Sophos Firewall v22 MR1: अभी अपग्रेड करें या थोड़ा रुकें?
विषय सूची
Sophos Firewall v22 MR1 के साथ 20 अप्रैल 2026 को आखिरकार v22 लाइन का पहला maintenance release आ गया। और सच कहूँ तो बहुत से admins इसी रिलीज़ का इंतज़ार कर रहे थे।
शुरू से ही v22 तकनीकी रूप से काफ़ी महत्वाकांक्षी दिख रहा था। Secure by Design, Health Check, बेहतर control-plane foundation, ज्यादा सख्त kernel और अधिक audit depth। कागज़ पर यह सब मजबूत दिखता था। लेकिन व्यवहार में शुरुआत उतनी साफ़ नहीं रही। उसी फेज़ के बारे में मैंने पहले यहाँ लिखा था: v21.5 से v22 तक Sophos Firewall bugs पर मेरी पिछली पोस्ट ।
इसीलिए MR1 सिर्फ “अगला रिलीज़” नहीं है। यह वह बिंदु है जहाँ कई टीमें अब यह व्यावहारिक सवाल पूछ रही हैं: क्या v22 अब आखिरकार production upgrade candidate के रूप में गंभीरता से देखने लायक हो गया है?
मेरा छोटा जवाब है: कुछ environments के लिए हाँ। लेकिन बिना test के, बिल्कुल नहीं।
सबसे ज़रूरी बातें एक नज़र में
- v22 MR1 Build 490 है और v22 GA तथा re-release Build 411 में मौजूद कई वास्तविक समस्याएँ ठीक करता है।
- सबसे अहम fixes policy-based IPsec, upgrade के बाद bridge routing, HA stability, PPPoE edge cases, WAF, SSL VPN और कुछ authentication issues से जुड़े हैं।
- इसके साथ कुछ साफ़ upgrade caveats अब भी हैं: legacy remote access IPsec अब हट चुका है, disk-space checks अब भी मायने रखते हैं, और XG/SG hardware अब भी unsupported है।
- यदि आप पहले से v22 पर हैं और real issues से जूझ रहे हैं, तो MR1 को गंभीरता से देखना चाहिए।
- यदि आपका 21.5 stable चल रहा है, तो सिर्फ जिज्ञासा में पहले दिन upgrade न करें, पहले ठीक से test करें।
MR1 इतना महत्वपूर्ण क्यों है
जब कोई vendor बड़े major release के तुरंत बाद re-release और फिर जल्दी ही पहला maintenance release लाता है, तो आमतौर पर उसका मतलब होता है कि शुरुआती phase वैसा smooth नहीं था जैसा होना चाहिए था। Sophos के साथ यही हुआ।
मूल v22 GA Build 365 को जनवरी 2026 में GA re-release Build 411 से बदला गया। वहाँ Sophos ने bridge WebAdmin access, specific outbound interface के साथ DNAT issues, Invalid rule id or family for update वाला CLI log spam, SNMP config problems और policy test issues जैसे कई दर्दनाक bugs पहले ही ठीक किए थे। यह ज़रूरी था, लेकिन तब भी चीज़ें पूरी तरह शांत नहीं लगीं।
MR1 मुझे उस रिलीज़ जैसा लगता है जिसकी कई admins ने शायद शुरुआत से उम्मीद की थी: कम marketing, ज़्यादा operational cleanup।
v22 MR1 में वास्तव में क्या बेहतर हुआ
MR1 की असली ताकत किसी एक बड़े feature में नहीं है। इसकी असली ताकत यह है कि यह कई महत्वपूर्ण जगहों पर एक साथ friction कम करता है।
policy-based IPsec को आखिरकार गंभीर ध्यान मिला
अगर आपने v22 GA पर policy-based IPsec production में इस्तेमाल किया है, तो दिक्कतों की संभावना अच्छी-खासी थी। आधिकारिक release notes में Sophos ने इसी area में कई fixes सूचीबद्ध किए हैं। जैसे tunnel up दिखना लेकिन traffic न चलना, diagnostics में गलत interface दिखना, MPLS के ऊपर गलत SNAT IP लगना, या upgrade के बाद branch firewall का WebAdmin policy-based IPsec से काम न करना।
मेरे लिए MR1 का सबसे महत्वपूर्ण हिस्सा यही है। VPN issues कभी भी “छोटी” बात नहीं होतीं। जैसे ही site-to-site, branch access या SD-WAN paths इन पर निर्भर हों, firmware bug बहुत जल्दी operational problem बन जाता है।
bridge, routing और firewall behavior भी ज्यादा साफ़ हुआ
MR1 ऐसे issues को भी छूता है जो real networks में तुरंत दर्द देते हैं। Sophos ने खास तौर पर ये चीज़ें बताई हैं:
- v22 GA में upgrade के बाद bridge interfaces के जरिए subnet communication unreachable होना
- diagnostics से backup WAN पर ping problems
- unexpected HA state changes और उसके बाद restarts
- policy testing में PPPoE-related issues
- firewall rule export problems
कागज़ पर ये छोटी bugs की लिस्ट लग सकती है। लेकिन असल में यही वो bug class है जो change windows को ज़रूरत से ज्यादा महँगा और तनावपूर्ण बना देती है।
WAF, SSL VPN और authentication को भी वास्तविक फायदा मिला
MR1 उन क्षेत्रों में भी fixes लाता है जो कई कंपनियों के लिए optional नहीं हैं। उदाहरण के लिए:
- VPN zone के लिए CAPTCHA disable करने पर भी SSL VPN users के लिए ठीक से काम न करना
- user portal के लिए Azure AD SSO का 404 page पर redirect होना
- OAuth certificate और API/MFA issues
- कुछ scenarios में SSL VPN service का periodic restart
- गलत certificate permissions के कारण mobile IPsec configuration download issues
यदि आपके पास external users, VPN clients या WAF-published applications हैं, तो MR1 कई operational blockers हटाता है।
HA और storage अभी भी बहुत महत्वपूर्ण हैं
मुझे यह भी अहम लगता है कि Sophos MR1 cycle में overall stability पर काम जारी रखे हुए है। fixes में power loss के बाद HA recovery, Sophos Central में HA registration, dedicated links पर system traffic, passive devices पर upgrade failures और logging/disk issues से आने वाला high system load शामिल है।
यह glamorous release marketing नहीं है। और इसी वजह से यह महत्वपूर्ण है।
MR1 क्या solve नहीं करता
मैं अभी भी यह romantic कहानी नहीं सुनाऊँगा कि MR1 आते ही सब कुछ हरा हो गया। ऐसा नहीं हुआ। इस release में अभी भी ऐसे points हैं जिन्हें upgrade से पहले बहुत ध्यान से check करना चाहिए।
legacy remote access IPsec अब hard blocker है
यह शायद current release notes का सबसे महत्वपूर्ण upgrade warning है। Sophos साफ़ कहता है कि remote access IPsec का पुराना legacy variant अब SFOS 22.0 MR1 में supported नहीं है। और उससे भी महत्वपूर्ण: जिन firewalls में यह legacy configuration अब भी मौजूद है, वे MR1 पर upgrade ही नहीं होंगी।
यदि आपके पास अभी भी third-party clients वाले पुराने remote access IPsec setups हैं, तो इसे बस skim न करें। actively check करें। वरना “आज रात जल्दी से MR कर लेते हैं” एक लंबी maintenance window में बदल सकता है।
disk space और root resize अब भी मायने रखते हैं
v22 का दूसरा जाना-पहचाना मुद्दा भी अभी मौजूद है: extra disk space। Sophos अब भी बताता है कि SFOS 22.0 और बाद के versions को ज्यादा जगह चाहिए और कुछ appliances या virtual/software deployments को upgrade से पहले manual preparation की ज़रूरत हो सकती है।
जगह पर्याप्त होने पर भी upgrade लंबा चल सकता है, क्योंकि root partition resize होती है। Sophos के अनुसार इसमें 2 से 10 मिनट अतिरिक्त लग सकते हैं। छोटे home office के लिए यह footnote है। production HA pairs और tight maintenance windows के लिए यह planning detail है।
XG और SG अब भी बाहर हैं
यह नई बात नहीं है, लेकिन व्यवहार में इसे दोहराना पड़ता है: SFOS 22.0 GA और उसके बाद के releases, MR1 सहित, XG और SG hardware को support नहीं करते। यदि आपके labs या remote sites में पुराने appliances हैं, तो यह बात आपको upgrade window के बीच में पता नहीं चलनी चाहिए।
policy-based IPsec अभी भी extra caution माँगता है
ठीक इसलिए कि MR1 policy-based IPsec की कई समस्याएँ fix करता है, मैं इसे caution signal भी मानता हूँ। यदि आपके production-specific routes, MPLS, branch routing, third-party peers या admin access ऐसे tunnels पर चलते हैं, तो MR1 को वहीं test करें।
सिर्फ tunnel का green दिखना काफी नहीं है। असली सवाल है: क्या real traffic, return path, SNAT behavior, diagnostics, GUI access और failover वैसे ही काम कर रहे हैं जैसा आप उम्मीद करते हैं?
मेरी व्यावहारिक राय
अगर मैं इसे उस सवाल तक घटाऊँ जो अभी बहुत सी टीमें पूछ रही हैं, तो वह यह है:
क्या v22 MR1 उन teams के लिए पहला समझदार upgrade candidate है जिन्होंने GA और Build 411 की वजह से जानबूझकर v22 को टाल दिया था?
मैं कहूँगा: कई मामलों में हाँ।
इसलिए नहीं कि Sophos अचानक flawless हो गया है। बल्कि इसलिए कि MR1 अब साफ़ तौर पर v22 की उन्हीं जगहों को साफ़ करता है जहाँ day-to-day operations में सबसे ज्यादा दर्द था: bridge, IPsec, HA, auth, WAF, SSL VPN, logging और कुछ UI व routing corners। यह purely cosmetic maintenance release नहीं है।
फिर भी मैं दो groups को साफ़ तौर पर अलग देखूँगा।
किन्हें upgrade देखना चाहिए
- वे teams जो पहले से v22 Build 411 पर हैं और concrete bugs से जूझ रही हैं
- वे environments जो कुछ v22 features का इंतज़ार कर रहे थे लेकिन शुरुआती instability के कारण रुके हुए थे
- वे admins जिन्हें policy-based IPsec या auth/portal behavior में cleaner behavior चाहिए
किन्हें पहले lab में रहना चाहिए
- stable 21.5 installations जहाँ immediate feature pressure नहीं है
- वे environments जहाँ legacy remote access IPsec अब भी मौजूद है
- sensitive WAF, MFA या SSO chains वाले setups
- वे HA clusters जो पहले के firmware phases में पहले से problematic रहे हैं
upgrade से पहले मैं क्या check करता
production में MR1 rollout करने से पहले मैं ये points check करता:
- configuration में legacy remote access IPsec मौजूद है या नहीं
- backups export करना और restore path को सचमुच दिमाग़ में चलाना
- free disk space और resize-related warnings verify करना
- HA setups में status icons पर भरोसा करने के बजाय failover test करना
- policy-based IPsec के लिए सिर्फ tunnel status नहीं, real traffic verify करना
- WAF, portals और SSL VPN के लिए real users के साथ login, MFA, redirects और certificates test करना
- PPPoE या special WAN scenarios में policy test और real flows दोनों validate करना
और एक बात और: यदि आप v22 को मुख्य रूप से नए Health Check के lens से देख रहे थे, तो technical और operational layer को confuse मत करें। v22 का Health Check उपयोगी है, और मैंने उसके बारे में विस्तार से यहाँ लिखा है: Sophos Firewall v22 Health Check पर मेरी पूरी पोस्ट । लेकिन green Health Check, serious upgrade test का विकल्प नहीं है।
निष्कर्ष
मेरे नज़रिए से Sophos Firewall v22 MR1 v22 लाइन का पहला ऐसा release है जहाँ एक admin को लग सकता है: “इसे अब गंभीरता से देखा जा सकता है” बजाय “थोड़ा और रुकते हैं”।
यह अच्छा संकेत है। लेकिन यह जादू नहीं है।
यदि आप पहले से v22 issues से परेशान हैं, तो MR1 पर नज़र डालना चाहिए। यदि आपका 21.5 stable है, तो “maintenance release” नाम आपको false confidence न दे। यह upgrade अभी भी preparation, testing और real fallback plan माँगता है।
मैं इसे ठीक उसी तरह treat करूँगा: न emergency, न no-brainer। बल्कि ठीक वही जो यह है। v22 की कठिन शुरुआत के बाद पहला genuinely interesting upgrade candidate।
अगली बार फिर मिलते हैं,
Joe
