Sophos Firewall v22 MR1: ابھی اپ گریڈ کریں یا کچھ اور انتظار کریں؟
فہرستِ مضامین
Sophos Firewall v22 MR1 کے ساتھ، v22 لائن کے لیے پہلا maintenance release آخرکار 20 اپریل 2026 کو آ گیا۔ اور سچ کہوں تو بہت سے ایڈمنز اسی ریلیز کا انتظار کر رہے تھے۔
شروع سے ہی v22 تکنیکی لحاظ سے کافی پُرامید نظر آ رہا تھا۔ Secure by Design، Health Check، زیادہ مضبوط control plane foundation، زیادہ سخت kernel، اور بہتر audit depth۔ کاغذ پر یہ سب اچھا لگ رہا تھا۔ مگر عملی دنیا میں اس کا آغاز اتنا ہموار نہیں تھا۔ میں اس مرحلے پر پہلے بھی اپنے اس مضمون میں لکھ چکا ہوں جہاں میں نے v21.5 سے v22 تک کے Sophos Firewall bugs پر بات کی تھی ۔
اسی لیے MR1 صرف “اگلا release” نہیں ہے۔ یہ وہ مقام ہے جہاں بہت سی ٹیمیں اب یہ عملی سوال کر رہی ہیں: کیا v22 اب آخرکار production upgrade candidate کے طور پر سنجیدگی سے دیکھنے کے قابل ہو گیا ہے؟
میرا مختصر جواب ہے: کچھ environments کے لیے ہاں۔ لیکن بغیر test کے نہیں۔
سب سے اہم باتیں مختصراً
- v22 MR1 دراصل Build 490 ہے اور v22 GA اور re-release Build 411 میں باقی رہ جانے والی کئی حقیقی مشکلات کو درست کرتا ہے۔
- سب سے اہم fixes policy-based IPsec، upgrade کے بعد bridge routing، HA stability، PPPoE edge cases، WAF، SSL VPN اور کچھ authentication issues سے متعلق ہیں۔
- اسی کے ساتھ کچھ واضح upgrade caveats بھی موجود ہیں: legacy remote access IPsec اب ختم ہو چکا ہے، disk space checks اب بھی ضروری ہیں، اور XG/SG hardware اب بھی unsupported ہے۔
- اگر آپ پہلے ہی v22 پر ہیں اور حقیقی مسائل میں پھنسے ہوئے ہیں، تو MR1 واقعی سنجیدگی سے دیکھنے کے قابل ہے۔
- اگر آپ 21.5 پر stable ہیں، تو میں پہلے دن تجسس میں upgrade نہیں کروں گا بلکہ پہلے اچھی طرح test کروں گا۔
MR1 اتنا اہم کیوں ہے
جب کوئی vendor ایک بڑا major release دے، پھر re-release لائے، اور اس کے فوراً بعد پہلا maintenance release بھی دے دے، تو عموماً یہ خود بہت کچھ بتاتا ہے۔ Sophos کے ساتھ بھی یہی ہوا۔
اصل v22 GA Build 365 کو جنوری 2026 میں GA re-release Build 411 سے بدل دیا گیا۔ اس مرحلے پر Sophos پہلے ہی کئی دردناک چیزیں ٹھیک کر چکا تھا، جن میں bridge WebAdmin access، specific outbound interface کے ساتھ DNAT issues، CLI log spam Invalid rule id or family for update، broken SNMP configuration اور policy test کے مسائل شامل تھے۔ یہ سب اہم تھا، مگر اس کے باوجود سسٹم ابھی “پرسکون” محسوس نہیں ہو رہا تھا۔
MR1 زیادہ اس ریلیز جیسا لگتا ہے جس کی بہت سے admins نے شاید شروع ہی سے v22 سے توقع کی تھی: کم marketing، زیادہ operational cleanup۔
v22 MR1 میں واقعی کیا بہتر ہوتا ہے
MR1 کی اصل value کسی ایک بڑے flashy feature میں نہیں ہے۔ اس کی اصل value یہ ہے کہ یہ کئی اہم جگہوں پر ایک ساتھ friction کم کرتا ہے۔
Policy-based IPsec کو آخرکار سنجیدہ توجہ ملی
اگر آپ نے v22 GA پر policy-based IPsec production میں استعمال کیا تھا، تو آپ کے لیے مسئلے سامنے آنے کے امکانات کافی زیادہ تھے۔ Sophos نے official release notes میں اسی area میں کئی fixes درج کیے ہیں۔ مثال کے طور پر tunnel up نظر آنا مگر traffic نہ چلنا، diagnostics route lookup میں غلط interface دکھنا، MPLS کے اوپر غلط SNAT IP لگنا، یا upgrade کے بعد policy-based IPsec کے ذریعے branch firewall کا WebAdmin access خراب ہو جانا۔
میرے لیے MR1 کا سب سے اہم حصہ یہی ہے۔ کیونکہ VPN issues کبھی بھی صرف “چھوٹی تفصیل” نہیں ہوتے۔ جیسے ہی site-to-site، branch access یا SD-WAN path ان پر منحصر ہوں، firmware bug فوراً operational problem بن جاتا ہے۔
Bridge، routing اور firewall behavior بھی صاف کیا گیا
MR1 ان چیزوں کو بھی address کرتا ہے جو حقیقی networks میں فوری تکلیف دیتی ہیں۔ Sophos نے خاص طور پر یہ چیزیں ذکر کی ہیں:
- v22 GA پر upgrade کے بعد bridge interfaces کے ذریعے subnet communication unreachable ہو جانا
- diagnostics سے backup WAN پر ping problems
- unexpected HA state changes اور ان کے بعد restart
- policy test میں PPPoE-related مسائل
- firewall rules کے export میں مشکلات
کاغذ پر یہ سب چھوٹے bugs کی فہرست لگ سکتے ہیں۔ مگر حقیقت میں یہی وہ bug class ہے جو change windows کو غیر ضروری طور پر مہنگا اور پیچیدہ بناتی ہے۔
WAF، SSL VPN اور authentication بھی بہتر ہوتے ہیں
MR1 ان areas میں بھی fixes لاتا ہے جو بہت سی کمپنیوں کے لیے optional نہیں ہیں۔ مثال کے طور پر:
- VPN zone کے لیے CAPTCHA disable کرنا v22 GA میں SSL VPN users پر صحیح کام نہ کرنا
- user portal کے لیے Azure AD SSO کا 404 page پر redirect ہونا
- OAuth certificate اور API/MFA مسائل
- کچھ scenarios میں SSL VPN service کا بار بار restart ہونا
- غلط certificate permissions کی وجہ سے mobile IPsec configuration download نہ ہونا
اگر آپ کے پاس external users، VPN clients یا WAF-published applications ہیں، تو MR1 یہاں بھی کئی عملی رکاوٹیں کم کرتا ہے۔
HA اور storage اب بھی بہت اہم ہیں
میرے لیے یہ بھی اہم ہے کہ Sophos MR1 cycle میں overall stability پر کام جاری رکھے ہوئے ہے۔ اس میں power loss کے بعد HA recovery، Sophos Central میں HA registration، dedicated links پر system traffic، passive devices پر upgrade failures، اور logging/disk issues کی وجہ سے high system load جیسے fixes شامل ہیں۔
یہ sexy release marketing نہیں ہے۔ اور اسی لیے یہ متعلقہ ہے۔
MR1 کیا حل نہیں کرتا
میں ابھی بھی یہ خوبصورت کہانی نہیں سنانا چاہتا کہ MR1 کے ساتھ اچانک سب کچھ green ہو گیا۔ ایسا نہیں ہے۔ اس release میں اب بھی ایسی چیزیں ہیں جنہیں upgrade سے پہلے شعوری طور پر check کرنا چاہیے۔
Legacy remote access IPsec اب hard blocker ہے
موجودہ release notes میں یہ شاید سب سے اہم upgrade warning ہے۔ Sophos واضح طور پر کہتا ہے کہ remote access IPsec کا پرانا legacy variant اب SFOS 22.0 MR1 میں supported نہیں ہے۔ اس سے بھی اہم بات یہ ہے کہ جن firewalls میں یہ legacy configuration ابھی بھی موجود ہے، وہ MR1 پر upgrade نہیں ہو سکیں گے۔
اگر آپ ابھی بھی third-party clients کے ساتھ پرانے remote access IPsec setups چلا رہے ہیں، تو اسے بس سرسری نظر سے مت دیکھیں۔ اسے واقعی check کریں۔ ورنہ “آج رات جلدی سے MR لگا لیتے ہیں” ایک لمبی maintenance window میں بدل سکتا ہے۔
Disk space اور root resize اب بھی اہم ہیں
v22 کا دوسرا معروف موضوع بھی اب تک موجود ہے: اضافی disk space۔ Sophos اب بھی یہ کہتا ہے کہ SFOS 22.0 اور اس کے بعد کی versions کو زیادہ space چاہیے، اور بعض appliances یا virtual/software deployments کو upgrade سے پہلے manual preparation درکار ہو سکتی ہے۔
چاہے space کافی بھی ہو، upgrade زیادہ وقت لے سکتا ہے کیونکہ root partition resize ہوتی ہے۔ Sophos کے مطابق اس میں 2 سے 10 منٹ اضافی لگ سکتے ہیں۔ چھوٹے home office کے لیے یہ footnote ہے۔ مگر production HA pairs یا tight maintenance windows کے لیے یہ planning detail ہے۔
XG اور SG اب بھی باہر ہیں
یہ نئی بات نہیں، لیکن عملی طور پر اسے بار بار دہرانا پڑتا ہے: SFOS 22.0 GA اور اس کے بعد کے releases، MR1 سمیت، XG اور SG hardware کو support نہیں کرتے۔ اگر labs یا remote sites میں ابھی بھی پرانے appliances موجود ہیں، تو آپ upgrade window کے دوران یہ بات دریافت نہیں کرنا چاہیں گے۔
Policy-based IPsec اب بھی احتیاط مانگتا ہے
خاص طور پر اس لیے کہ MR1 policy-based IPsec کے کئی مسائل fix کرتا ہے، میں اسے ایک caution signal بھی سمجھتا ہوں۔ اگر آپ کے production-specific routes، MPLS، branch routing، third-party peers یا admin access انہی tunnels پر چلتے ہیں، تو MR1 کو وہیں test کریں۔
Tunnel green دکھنا کافی نہیں ہے۔ اصل سوال یہ ہے: کیا real traffic، return path، SNAT behavior، diagnostics، GUI access اور failover ویسے ہی کام کر رہے ہیں جیسے آپ چاہتے ہیں؟
میری عملی رائے
اگر میں اسے اُس سوال تک سمیٹوں جو اس وقت بہت سی ٹیمیں پوچھ رہی ہیں، تو وہ یہ ہے:
کیا v22 MR1 اُن ٹیموں کے لیے پہلا معقول upgrade candidate ہے جنہوں نے GA اور Build 411 کی وجہ سے جان بوجھ کر v22 کو skip کیا تھا؟
میں کہوں گا: ہاں، بہت سے cases میں۔
اس لیے نہیں کہ Sophos اچانک flawless ہو گیا ہے۔ بلکہ اس لیے کہ MR1 اب واضح طور پر اُن جگہوں پر صفائی کر رہا ہے جہاں v22 روزمرہ operations میں تکلیف دے رہا تھا: bridge، IPsec، HA، auth، WAF، SSL VPN، logging اور UI و routing کے کچھ corners۔ یہ purely cosmetic maintenance release نہیں ہے۔
پھر بھی میں دو گروہوں کو واضح طور پر الگ دیکھوں گا۔
کن لوگوں کو upgrade پر نظر ڈالنی چاہیے
- وہ teams جو پہلے ہی v22 Build 411 پر ہیں اور concrete bugs میں پھنسی ہوئی ہیں
- وہ environments جو کچھ v22 features کا انتظار کر رہی تھیں مگر ابتدائی instability کی وجہ سے رکی رہیں
- وہ admins جنہیں policy-based IPsec یا کچھ auth/portal scenarios میں زیادہ صاف behavior چاہیے
کن لوگوں کو ابھی lab میں رہنا چاہیے
- stable 21.5 installations جہاں فوری feature pressure نہیں ہے
- وہ environments جہاں legacy remote access IPsec ابھی بھی موجود ہے
- sensitive WAF، MFA یا SSO chains والے setups
- وہ HA clusters جو پہلے کے firmware phases میں بھی مزاجی دکھا چکے ہیں
Upgrade سے پہلے میں کیا check کرتا
MR1 کو production میں rollout کرنے سے پہلے میں یہ points دیکھتا:
- configuration میں legacy remote access IPsec موجود ہے یا نہیں
- backups export کرنا اور restore path کو سنجیدگی سے ذہن میں چلا کر دیکھنا
- free disk space اور resize-related warnings کو verify کرنا
- HA setups میں status icons پر بھروسا کرنے کے بجائے failover test کرنا
- policy-based IPsec کے لیے صرف tunnel status نہیں، بلکہ real traffic verify کرنا
- WAF، portals اور SSL VPN کے لیے real users کے ساتھ login، MFA، redirects اور certificates test کرنا
- PPPoE یا خاص WAN scenarios کے لیے policy test اور real flows دونوں کو validate کرنا
اور ایک بات مزید: اگر آپ v22 کو بنیادی طور پر نئے Health Check کے lens سے دیکھ رہے تھے، تو technical layer اور operational layer کو confuse نہ کریں۔ v22 کا Health Check useful ہے، اور میں نے اسے تفصیل سے یہاں cover کیا ہے: Sophos Firewall v22 Health Check پر میرا مکمل مضمون ۔ لیکن green Health Check کسی serious upgrade test کا متبادل نہیں ہے۔
نتیجہ
میرے خیال میں Sophos Firewall v22 MR1، v22 لائن کا پہلا ایسا release ہے جس کے بعد ایک admin سوچ سکتا ہے: “اسے اب سنجیدگی سے دیکھا جا سکتا ہے” نہ کہ “ابھی تھوڑا اور انتظار کرو”۔
یہ اچھی علامت ہے۔ مگر یہ جادو نہیں ہے۔
اگر آپ پہلے ہی v22 issues سے نبرد آزما ہیں، تو MR1 واقعی قریب سے دیکھنے کے قابل ہے۔ اگر آپ 21.5 پر stable ہیں، تو “maintenance release” کا نام آپ کو false confidence نہ دے۔ یہ upgrade اب بھی preparation، testing اور ایک حقیقی fallback plan مانگتا ہے۔
میں اسے بالکل اسی طرح treat کروں گا: نہ emergency، نہ no-brainer، بلکہ جیسا یہ حقیقت میں ہے۔ v22 کے rough آغاز کے بعد پہلا واقعی دلچسپ upgrade candidate۔
اگلی بار پھر ملتے ہیں،
Joe
