trueNetLab ⚡️
Sophos Firewall v22 MR1: Upgrade sekarang atau tunggu dulu?

Sophos Firewall v22 MR1: Upgrade sekarang atau tunggu dulu?

8 min read
Network Sophos Security

Daftar isi

Dengan Sophos Firewall v22 MR1, maintenance release pertama untuk lini v22 akhirnya hadir pada 20 April 2026. Dan sejujurnya, inilah rilis yang memang sudah lama ditunggu banyak admin.

Sejak awal, v22 terlihat ambisius secara teknis. Secure by Design, Health Check, fondasi control plane yang lebih kuat, kernel yang lebih ketat, dan audit depth yang lebih dalam. Di atas kertas, semuanya tampak bagus. Dalam praktiknya, start-nya cukup kasar. Saya sudah menulis tentang fase itu sebelumnya di post saya tentang bug Sophos Firewall dari v21.5 ke v22 .

Karena itu, MR1 bukan sekadar “rilis berikutnya”. Ini adalah titik ketika banyak tim mulai bertanya secara praktis: apakah v22 sekarang akhirnya layak dianggap sebagai kandidat upgrade produksi yang serius?

Jawaban singkat saya: untuk beberapa environment, ya. Tapi bukan tanpa test.

Poin paling penting secara singkat

  • v22 MR1 adalah Build 490 dan memperbaiki banyak masalah nyata yang masih ada di v22 GA dan re-release Build 411.
  • Fix yang paling relevan ada di policy-based IPsec, bridge routing setelah upgrade, stabilitas HA, edge case PPPoE, WAF, SSL VPN, dan beberapa isu autentikasi.
  • Di saat yang sama, masih ada caveat upgrade yang jelas: legacy remote access IPsec sudah dihapus, pengecekan ruang disk tetap penting, dan hardware XG/SG masih tidak didukung.
  • Jika Anda sudah di v22 dan sedang tersangkut pada masalah konkret, MR1 patut diperiksa dengan serius.
  • Jika Anda stabil di 21.5, saya tetap tidak akan buru-buru klik upgrade di hari pertama tanpa pengujian yang rapi.

Mengapa MR1 begitu penting

Ketika vendor merilis major release, lalu re-release, lalu tidak lama kemudian maintenance release pertama, biasanya itu sudah mengatakan sesuatu. Di Sophos, itulah yang terjadi.

v22 GA Build 365 yang asli digantikan pada Januari 2026 oleh GA re-release Build 411. Di sana Sophos sudah memperbaiki beberapa hal yang menyakitkan, termasuk akses WebAdmin pada bridge, masalah DNAT dengan outbound interface tertentu, log spam CLI Invalid rule id or family for update, konfigurasi SNMP yang rusak, dan masalah di policy tester. Itu penting, tetapi belum membuat semuanya terasa tenang.

MR1 terasa lebih seperti rilis yang mungkin diharapkan banyak admin dari v22 sejak awal: lebih sedikit slide marketing, lebih banyak cleanup operasional.

Apa yang benar-benar membaik di v22 MR1

Nilai utama MR1 bukan satu fitur besar yang flashy. Nilainya ada pada berkurangnya friction di beberapa area penting sekaligus.

Policy-based IPsec akhirnya mendapat perhatian serius

Siapa pun yang memakai policy-based IPsec di v22 GA dalam produksi punya peluang besar terkena masalah. Dalam release notes resmi, Sophos menyebut beberapa fix tepat di area ini. Contohnya tunnel terlihat up tetapi traffic tidak jalan, route lookup di diagnostics menampilkan interface yang salah, traffic lewat MPLS mendapat SNAT IP yang salah, atau akses WebAdmin ke branch firewall rusak setelah upgrade lewat policy-based IPsec.

Bagi saya, ini adalah bagian terpenting dari MR1. Masalah VPN tidak pernah sekadar “detail kecil”. Begitu site-to-site, akses branch, atau path SD-WAN bergantung padanya, bug firmware langsung berubah menjadi masalah operasional.

Masalah bridge, routing, dan firewall juga dirapikan

MR1 juga menyentuh beberapa issue yang langsung terasa sakit di jaringan nyata. Sophos menyebut antara lain:

  • komunikasi subnet lewat bridge interface menjadi tidak terjangkau setelah upgrade ke v22 GA
  • masalah ping lewat backup WAN dari diagnostics
  • perubahan status HA yang tidak terduga dan restart setelahnya
  • issue terkait PPPoE di policy test
  • masalah export firewall rules

Di atas kertas, ini terdengar seperti kumpulan bug kecil. Dalam praktiknya, justru inilah kelas bug yang membuat change window menjadi lebih mahal dari yang seharusnya.

WAF, SSL VPN, dan authentication juga ikut membaik

MR1 membawa fix di area yang bagi banyak perusahaan sama sekali bukan opsional. Sophos menyebut hal-hal seperti:

  • penonaktifan CAPTCHA untuk zona VPN yang tidak bekerja bersih bagi user SSL VPN di v22 GA
  • Azure AD SSO untuk user portal yang redirect ke halaman 404
  • issue terkait sertifikat OAuth dan API/MFA
  • restart periodik service SSL VPN pada skenario tertentu
  • masalah download konfigurasi mobile IPsec karena permission sertifikat yang salah

Jika Anda punya user eksternal, VPN client, atau aplikasi yang dipublikasikan lewat WAF, MR1 menyingkirkan beberapa batu sandungan operasional di sini juga.

HA dan storage tetap sangat penting

Saya juga menganggap penting bahwa Sophos terus bekerja pada stabilitas keseluruhan di siklus MR1. Ada fix untuk recovery HA setelah listrik padam, registrasi HA di Sophos Central, system traffic lewat dedicated links, kegagalan upgrade pada passive devices, dan beban sistem tinggi yang disebabkan logging/disk.

Ini bukan marketing release yang seksi. Justru karena itu ini relevan.

Apa yang tidak diselesaikan MR1

Saya tetap tidak ingin menjual cerita romantis seolah-olah semuanya sekarang langsung hijau. Tidak begitu. Rilis ini masih punya poin yang harus dicek dengan sadar sebelum upgrade.

Legacy remote access IPsec kini menjadi blocker keras

Ini mungkin peringatan upgrade paling penting di release notes saat ini. Sophos menulis dengan jelas bahwa varian lama legacy remote access IPsec sudah tidak didukung lagi di SFOS 22.0 MR1. Lebih penting lagi: firewall yang masih menyimpan konfigurasi legacy ini tidak bisa di-upgrade ke MR1.

Kalau Anda masih membawa setup remote access IPsec lama dengan third-party clients, jangan sekadar glance lalu lanjut. Cek secara aktif. Kalau tidak, “malam ini kita cepat saja MR” bisa berubah menjadi maintenance window yang terlalu panjang.

Disk space dan root resize tetap relevan

Topik v22 kedua yang sudah dikenal juga belum hilang: kebutuhan ruang tambahan. Sophos masih menegaskan bahwa SFOS 22.0 dan versi setelahnya membutuhkan lebih banyak ruang dan beberapa appliance atau deployment virtual/software mungkin perlu persiapan manual sebelum upgrade.

Bahkan jika ruang cukup, proses upgrade bisa memakan waktu lebih lama karena root partition diperbesar. Menurut Sophos, ini bisa menambah sekitar dua sampai sepuluh menit. Untuk home office kecil itu catatan kaki. Untuk pasangan HA produksi atau maintenance window yang sempit, itu detail perencanaan.

XG dan SG tetap di luar

Ini bukan hal baru, tetapi tetap harus diingat di lapangan: SFOS 22.0 GA dan yang lebih baru, termasuk MR1, tidak lagi mendukung hardware XG dan SG. Jika Anda masih punya perangkat lama di lab atau site cabang, Anda tidak ingin sadar akan hal itu di tengah jendela upgrade.

Policy-based IPsec tetap butuh kehati-hatian

Justru karena MR1 memperbaiki beberapa masalah policy-based IPsec, saya juga melihatnya sebagai sinyal untuk berhati-hati. Jika route produksi, MPLS, branch routing, peer pihak ketiga, atau admin access Anda berjalan lewat tunnel seperti ini, uji MR1 tepat di situ.

Tunnel berwarna hijau tidak cukup. Yang penting adalah apakah traffic nyata, return path, perilaku SNAT, diagnostics, akses GUI, dan failover benar-benar berjalan seperti yang diharapkan.

Penilaian praktis saya

Kalau saya sederhanakan ke pertanyaan yang sedang banyak diajukan, maka pertanyaannya adalah:

Apakah v22 MR1 adalah kandidat upgrade masuk akal pertama bagi tim yang sengaja melewatkan v22 karena masalah GA dan Build 411?

Saya akan bilang: ya, dalam banyak kasus.

Bukan karena Sophos tiba-tiba menjadi sempurna. Tetapi karena MR1 sekarang terlihat jelas membereskan bagian-bagian v22 yang paling menyakitkan dalam operasi sehari-hari: bridge, IPsec, HA, auth, WAF, SSL VPN, logging, dan beberapa sudut UI serta routing. Itu berbeda dari maintenance release yang murni kosmetik.

Tetapi saya tetap akan memisahkan dua kelompok dengan jelas.

Siapa yang sebaiknya mulai melihat upgrade

  • tim yang sudah memakai v22 Build 411 dan terhambat bug nyata
  • environment yang menunggu beberapa fitur v22 tetapi tertahan oleh ketidakstabilan awal
  • admin yang membutuhkan perilaku lebih baik pada policy-based IPsec atau auth/portal tertentu

Siapa yang sebaiknya tetap di lab dulu

  • instalasi 21.5 yang stabil tanpa tekanan fitur mendesak
  • environment yang masih memakai legacy remote access IPsec
  • setup dengan rantai WAF, MFA, atau SSO yang sensitif
  • cluster HA yang memang sudah rewel pada fase firmware sebelumnya

Apa yang akan saya cek sebelum upgrade

Sebelum rollout MR1 ke produksi, saya akan menandai poin-poin ini:

  • pastikan tidak ada legacy remote access IPsec yang masih tersisa di konfigurasi
  • export backup dan benar-benar pikirkan jalur restore-nya
  • cek ruang disk kosong dan semua warning terkait resize
  • pada setup HA, test failover dan jangan hanya percaya icon status
  • untuk policy-based IPsec, verifikasi traffic nyata dan bukan cuma status tunnel
  • untuk WAF, portal, dan SSL VPN, uji login, MFA, redirect, dan sertifikat dengan user sungguhan
  • untuk PPPoE atau skenario WAN khusus, validasi policy test dan real flows

Dan satu hal lagi: kalau selama ini Anda melihat v22 terutama lewat Health Check yang baru, jangan campur technical layer dan operational layer. Health Check di v22 itu berguna, dan saya membahasnya detail di sini: post saya tentang Sophos Firewall v22 Health Check . Tetapi Health Check yang hijau tidak menggantikan upgrade test yang serius.

Kesimpulan

Menurut saya, Sophos Firewall v22 MR1 adalah rilis pertama di lini v22 yang membuat seorang admin mulai berpikir, “ini layak diperiksa dengan serius”, alih-alih, “mending tunggu dulu”.

Itu tanda yang bagus. Tapi bukan sihir.

Kalau Anda sudah bergumul dengan isu v22, MR1 layak mendapat perhatian dekat. Kalau Anda stabil di 21.5, jangan biarkan label “maintenance release” memberi rasa aman palsu. Upgrade ini tetap butuh persiapan, pengujian, dan fallback plan yang nyata.

Saya akan memperlakukannya persis seperti itu: bukan emergency, bukan no-brainer, tetapi apa adanya. Kandidat upgrade pertama yang benar-benar menarik sejak start v22 yang kasar.

Sampai jumpa lagi,
Joe

Sources

Related Posts

Sophos Firewall: Tanpa CVE, Tetapi Penuh dengan Bug (v21.5 hingga v22)

Sophos Firewall: Tanpa CVE, Tetapi Penuh dengan Bug (v21.5 hingga v22)

Anthropic Mythos dan Project Glasswing: apa yang menanti keamanan TI

Anthropic Mythos dan Project Glasswing: apa yang menanti keamanan TI

Operasi Epic Fury: Sophos Memperingatkan Adanya Pembalasan Siber Global

Operasi Epic Fury: Sophos Memperingatkan Adanya Pembalasan Siber Global

© 2026 trueNetLab

Cari