Sophos Firewall v22 MR1: обновляться сейчас или еще подождать?
Содержание
С выходом Sophos Firewall v22 MR1 20 апреля 2026 года наконец появился первый maintenance release для ветки v22. И, если честно, именно этого релиза многие администраторы и ждали.
С самого начала v22 выглядел технически амбициозно. Secure by Design, Health Check, более крепкая основа control plane, более жесткое kernel-поведение и большая глубина аудита. На бумаге все выглядело сильно. На практике старт получился довольно неровным. Об этом периоде я уже писал ранее в моем материале о багах Sophos Firewall от v21.5 до v22 .
Именно поэтому MR1 — это не просто “следующий релиз”. Это момент, когда многие команды начинают задавать практический вопрос: стал ли v22 наконец вменяемым кандидатом для production upgrade?
Мой короткий ответ: для части сред да. Но не вслепую и не без тестов.
Самое важное кратко
- v22 MR1 — это Build 490, который исправляет многие реальные проблемы, оставшиеся в v22 GA и re-release Build 411.
- Наиболее важные fixes касаются policy-based IPsec, bridge routing после upgrade, стабильности HA, edge cases с PPPoE, WAF, SSL VPN и отдельных проблем authentication.
- Одновременно остаются четкие caveats для upgrade: legacy remote access IPsec больше нет, проверки дискового пространства по-прежнему важны, а XG/SG hardware все еще не поддерживается.
- Если вы уже на v22 и упираетесь в конкретные проблемы, MR1 действительно заслуживает внимания.
- Если у вас 21.5 работает стабильно, я бы не кликал upgrade в первый день без нормального теста.
Почему MR1 настолько важен
Когда вендор выпускает major release, затем re-release, а вскоре после этого — первый maintenance release, это обычно уже многое говорит. У Sophos произошло именно так.
Исходный v22 GA Build 365 в январе 2026 года был заменен на GA re-release Build 411. Там Sophos уже исправил ряд неприятных вещей, включая доступ к WebAdmin через bridge, проблемы DNAT с определенным outbound interface, CLI log spam с Invalid rule id or family for update, сломанную SNMP-конфигурацию и проблемы в policy tester. Это было важно, но все еще не делало ветку спокойной.
MR1 больше похож на тот релиз, который многие, вероятно, ожидали от v22 с самого начала: меньше маркетинга, больше реальной операционной уборки.
Что конкретно стало лучше в v22 MR1
Главная ценность MR1 не в одной яркой новой функции. Она в том, что Sophos одновременно уменьшил friction в нескольких реально важных местах.
Policy-based IPsec наконец получил серьезное внимание
Если вы использовали policy-based IPsec в production на v22 GA, шансы наткнуться на проблемы были весьма высоки. В официальных release notes Sophos перечисляет сразу несколько исправлений именно в этой области. Например: tunnel отображается как active, но трафик не идет; diagnostics route lookup показывает не тот interface; трафик через MPLS получает неправильный SNAT IP; после upgrade ломается доступ к WebAdmin branch firewall через policy-based IPsec.
Для меня это ключевая часть MR1. Проблемы VPN никогда не бывают просто “мелочью”. Как только на этом держатся site-to-site, branch access или SD-WAN paths, bug в firmware очень быстро превращается в реальную операционную проблему.
Bridge, routing и firewall-поведение тоже заметно подтянули
MR1 также исправляет ряд проблем, которые в реальных сетях бьют сразу. Sophos прямо упоминает:
- недоступность связи между subnet через bridge interfaces после upgrade на v22 GA
- проблемы с ping через backup WAN из diagnostics
- неожиданные смены состояния HA с последующими restart
- проблемы с PPPoE в policy test
- проблемы с экспортом firewall rules
На бумаге это выглядит как набор небольших багов. На практике это именно тот класс дефектов, который делает change window дороже и неприятнее, чем должен быть.
WAF, SSL VPN и authentication тоже ощутимо выигрывают
MR1 включает fixes в областях, которые для многих компаний вообще не optional. Sophos перечисляет, среди прочего:
- некорректную работу отключения CAPTCHA для VPN zone у SSL VPN users в v22 GA
- redirect Azure AD SSO для user portal на 404 page
- проблемы с OAuth certificate и API/MFA
- периодические restart сервиса SSL VPN в некоторых сценариях
- проблемы с загрузкой mobile IPsec configuration из-за неправильных certificate permissions
Если у вас есть внешние пользователи, VPN-клиенты или приложения за WAF, MR1 убирает сразу несколько практических препятствий.
HA и storage остаются важной темой
Для меня также важно, что Sophos продолжает работать над общей стабильностью в цикле MR1. Есть fixes для HA recovery после отключения питания, регистрации HA в Sophos Central, system traffic через dedicated links, upgrade failures на passive devices и высокой нагрузки из-за logging/disk issues.
Это не sexy release marketing. И именно поэтому это важно.
Что MR1 не решает
Я бы все равно не рассказывал сказку о том, что MR1 вдруг сделал все зеленым. Это не так. В этом релизе остаются вещи, которые нужно очень осознанно проверить перед upgrade.
Legacy remote access IPsec теперь жесткий blocker
Это, вероятно, самое важное upgrade-warning в текущих release notes. Sophos прямо пишет, что старая legacy-реализация remote access IPsec больше не поддерживается в SFOS 22.0 MR1. Более того: firewalls, в которых эта legacy-конфигурация все еще присутствует, не смогут обновиться до MR1.
Если вы до сих пор тащите старые remote access IPsec setups с third-party clients, не пролистывайте это мимо. Проверьте это целенаправленно. Иначе “сегодня вечером быстро накатаем MR” легко превратится в затянутое maintenance window.
Disk space и root resize по-прежнему имеют значение
Вторая известная тема v22 тоже никуда не делась: дополнительное место. Sophos по-прежнему указывает, что SFOS 22.0 и более поздние версии требуют больше пространства, а некоторые appliances или virtual/software deployments могут потребовать ручной подготовки перед upgrade.
Даже если места хватает, сам upgrade может идти дольше, потому что увеличивается root partition. По словам Sophos, это может добавить от двух до десяти минут. Для маленького home office это сноска. Для production HA pair или тесного maintenance window — уже деталь планирования.
XG и SG все еще вне игры
Это не новость, но в практике об этом все равно нужно постоянно напоминать: SFOS 22.0 GA и позже, включая MR1, больше не поддерживает XG и SG hardware. Если у вас остались старые устройства в lab или remote site, лучше не узнавать об этом в процессе реального upgrade.
Policy-based IPsec все еще требует осторожности
Именно потому, что MR1 исправляет сразу несколько проблем policy-based IPsec, я одновременно воспринимаю это как повод быть осторожнее. Если у вас production routes, MPLS, branch routing, third-party peers или admin access завязаны на такие tunnels, тестировать MR1 нужно именно там.
Зеленый tunnel сам по себе ничего не гарантирует. Важно, работают ли реальный трафик, return path, SNAT behavior, diagnostics, GUI access и failover так, как вы ожидаете.
Моя практическая оценка
Если свести все к вопросу, который сейчас задают многие команды, он звучит так:
Является ли v22 MR1 первым разумным upgrade candidate для тех, кто сознательно пропустил v22 из-за проблем GA и Build 411?
Я бы сказал: да, во многих случаях.
Не потому, что Sophos вдруг стал безошибочным. А потому, что MR1 теперь явно наводит порядок именно там, где v22 болел в ежедневной эксплуатации: bridge, IPsec, HA, auth, WAF, SSL VPN, logging, отдельные углы UI и routing. Это совсем другой уровень по сравнению с purely cosmetic maintenance release.
Тем не менее я бы четко разделил две группы.
Кому стоит смотреть в сторону upgrade
- командам, которые уже на v22 Build 411 и упираются в конкретные bugs
- средам, которые ждали отдельные функции v22, но были заторможены ранней нестабильностью
- администраторам, которым нужно более чистое поведение в policy-based IPsec или в определенных auth/portal сценариях
Кому лучше остаться в lab еще немного
- стабильным установкам 21.5 без срочного давления по feature
- средам, где еще используется legacy remote access IPsec
- setup с чувствительными цепочками WAF, MFA или SSO
- HA-cluster, которые и раньше плохо переносили firmware updates
Что бы я проверил перед upgrade
Перед rollout MR1 в production я бы прошелся по таким пунктам:
- проверить, не осталось ли в конфигурации legacy remote access IPsec
- экспортировать backups и реально продумать restore path
- проверить свободное место и все resize-related warnings
- в HA-топологиях тестировать failover, а не просто верить статусным иконкам
- для policy-based IPsec проверять не только status tunnel, но и реальный traffic
- для WAF, portal и SSL VPN протестировать login, MFA, redirects и certificates на реальных users
- для PPPoE и специальных WAN-сценариев проверить и policy test, и реальные flows
И еще один момент: если вы до сих пор смотрели на v22 в основном через новый Health Check, не путайте technical layer и operational layer. Health Check в v22 действительно полезен, и я подробно разбирал его здесь: мой материал о Sophos Firewall v22 Health Check . Но зеленый Health Check не заменяет нормальный upgrade test.
Итог
На мой взгляд, Sophos Firewall v22 MR1 — это первый релиз в ветке v22, после которого администратор скорее думает “это уже можно всерьез рассматривать”, а не “лучше еще подождать”.
Это хороший знак. Но не магия.
Если вы уже страдаете от проблем v22, MR1 стоит внимательно изучить. Если у вас стабильно работает 21.5, не позволяйте названию “maintenance release” создать ложное чувство безопасности. Этот upgrade по-прежнему требует подготовки, тестирования и нормального плана отката.
Именно так я бы к нему и относился: не как к emergency и не как к no-brainer, а как к тому, чем он является на самом деле. Первому по-настоящему интересному кандидату на upgrade после шероховатого старта v22.
До следующего раза,
Joe
