20.01.2026 - Maintenance Release

Sophos Firewall 21.5 MR1

Zu den Features Zu den Changes Zu den Bugfixes

Beschreibung

Mit Sophos Firewall v21.5 MR1 (Build 261) legt Sophos ein Maintenance Release nach.
Im Mittelpunkt stehen mehr Stabilität, mehr Sicherheit und mehrere Verbesserungen, die direkt aus dem Alltag von Admins kommen – von OAuth 2.0 für E-Mail-Benachrichtigungen (besonders relevant für Gmail) über lokalisierte geplante PDF-Reports bis hin zu gehärteter High Availability. Gleichzeitig bringt MR1 spürbare Detail-Optimierungen, die man erst vermisst, wenn man sie nicht hat: anpassbare Tabellenspalten in vielen Bereichen, bessere Syslog-Identifikation über den Hostnamen und saubere RFC-konformere SNMP-MIBs für Drittsysteme.

Wichtig für die Planung: SFOS 21.x (inkl. 21.5) unterstützt keine XG- und SG-Hardware-Appliances – wer dort noch unterwegs ist, denkt weniger über „Upgrade“ und mehr über Migration nach. Für alle unterstützten Systeme gilt: v21.5 MR1 ist für Kunden mit Enhanced oder Enhanced Plus Support kostenfrei und wird über den üblichen Update-Prozess ausgerollt. Alternativ kann das Update jederzeit manuell über Sophos Central eingespielt und zeitlich geplant werden.

Sophos News

Features

OAuth 2.0 für E-Mail-Benachrichtigungen

In v21.5 MR1 unterstützt die Sophos Firewall erstmals OAuth 2.0 als Authentifizierungsmethode für ausgehende E-Mail-Benachrichtigungen. In der vorherigen Version war ausschließlich die klassische benutzername-/passwortbasierte SMTP-Authentifizierung möglich.

Mehrwert:
Administratoren können moderne, tokenbasierte Authentifizierung nutzen und sind insbesondere bei Gmail besser für kommende Änderungen vorbereitet, da Google die klassische SMTP-Authentifizierung schrittweise einschränkt.

Lokalisierte geplante PDF-Berichte

Während geplante Berichte in v21.5 GA ausschließlich in einer festen Sprache generiert wurden, berücksichtigt v21.5 MR1 nun automatisch die Sprache der Administratorsitzung, mit der der Bericht geplant wird.

Mehrwert: Berichte lassen sich ohne manuelle Nachbearbeitung direkt an internationale Kunden, Niederlassungen oder Fachabteilungen weitergeben.

NDR Essentials: Auswahl der Rechenzentrumsregion

In der vorherigen Version bestimmte Sophos automatisch das Zielrechenzentrum für die NDR-Analyse. Mit v21.5 MR1 können Administratoren die Region gezielt auswählen, etwa aus Gründen der Datenresidenz oder Compliance.

Mehrwert: Mehr Kontrolle über Datenflüsse und bessere Anpassung an regulatorische Anforderungen.

NDR Essentials: Bedrohungsbewertung in Protokollen

Die von NDR ermittelte Bedrohungsbewertung wird nun direkt in die Active-Threat-Response-Protokolle integriert. In v21.5 GA war diese Information ausschließlich innerhalb der NDR-Ansicht verfügbar.

Mehrwert: Verbesserte Transparenz und deutlich einfachere Korrelation von Sicherheitsereignissen in Reporting-, XDR- und SIEM-Systemen.

Anpassbare Tabellenspalten in der Web-Oberfläche

Spaltenbreiten vieler Tabellen sind anpassbar (u. a. Local ACL, Neighbours/ARP-NDR, IP-Tunnels, Gateways, DHCP, DNS, IPv6 Remote Access, Zones, WAN Link Manager sowie Network- und Routing-Tabellen). Die Spaltengrößen werden im Browser gespeichert.

Mehrwert: Bessere Übersicht bei großen Konfigurationen und spürbar effizienteres Arbeiten im täglichen Betrieb.

Live-Benutzer: Einheitliche Anzeige des Datenverbrauchs

Der Datenverbrauch von Live-Benutzern wird nun konsistent in KB, MB und GB dargestellt. In der vorherigen Version waren die Einheiten uneinheitlich oder schwer interpretierbar.

Mehrwert: Schnellere Einschätzung von Traffic-Volumen ohne Umrechnung oder Interpretation.

Backup-E-Mails mit eindeutiger Gerätekennzeichnung

Backup-Benachrichtigungen enthalten nun zusätzlich Hostname, Firmware-Version, Seriennummer und Modell der Firewall um Backups bei mehreren Firewalls leichter zuzuordnen. Zuvor war diese Information im E-Mail-Betreff nicht enthalten.

Mehrwert: Einfachere Zuordnung von Backups, insbesondere in Umgebungen mit mehreren Firewalls.

Verbesserte RFC-Konformität der SNMP-MIBs

Die SNMP-MIB-Dateien wurden überarbeitet und entsprechen nun besser den relevanten RFC-Standards für SNMPv1, v2 und v3. In v21.5 GA kam es hier vereinzelt zu Inkompatibilitäten mit Drittanbieter-Tools.

Mehrwert: Zuverlässigere Integration in bestehende Monitoring- und Management-Systeme.

Active Directory Integration: Windows Server 2025 Support für AD SSO

Unterstützung von Windows Server 2025 für Active Directory SSO (NTLM und Kerberos).

Hotspot-Voucher: „Created date“ & Sortierung

Im Benutzerportal gibt es eine Spalte „Created date“. Voucher können nach Erstellungsdatum sortiert werden, um neue Voucher schneller oben zu sehen.

FastPath: Optimierte Speichernutzung (DPDK/DAQ)

Optimierter Speicher in DPDK der DAQ-Schicht, wodurch viele Out-of-Memory-Instanzen auf bestimmten Desktop-Firewalls reduziert werden (XGS 87/87w, 107/107w, 116/116w).

Changes

RED-Systemhost verwendet nun immer /32

In v21.5 GA übernahm der RED-Systemhost die konfigurierte Subnetzmaske der RED-Schnittstelle. Ab v21.5 MR1 wird der RED-Systemhost immer mit /32 angelegt.

Auswirkung:
Konfigurationen, die den RED-Systemhost für Traffic außerhalb eines /32-Netzes verwenden (z. B. Firewall-Regeln), können nach dem Update nicht mehr greifen.

Empfehlung: Ersetzen Sie den RED-Systemhost in abhängigen Regeln durch passende IP- oder Netzwerkobjekte.

High Availability: Keine automatische Passphrase-Generierung mehr

In früheren Versionen erzeugte die Firewall automatisch eine HA-Passphrase. Ab v21.5 MR1 müssen Administratoren diese manuell festlegen.

Auswirkung: Bestehende HA-Setups bleiben funktional, neue HA-Konfigurationen erfordern jedoch explizite Passphrasenplanung.

High Availability: Einführung einer SSH-Hostkey-Verifikation

Die HA-Authentifizierung nutzt nun eine eindeutige SSH-Hostschlüssel-Verifikation zum Schutz vor Man-in-the-Middle-Angriffen. Dieses Sicherheitsmerkmal war in v21.5 GA noch nicht implementiert.

Auswirkung: Erhöhte Sicherheit gegen Man-in-the-Middle-Angriffe, insbesondere bei komplexen HA-Netzwerken.

High Availability: Verbesserte Fehlerdiagnose im ha.log

Das HA-Log ha.log enthält zusätzlich Node-Name und aktuelle Rolleninformation.

High Availability: LINCE-Anforderung (Konfiguration & Restore)

LINCE muss auf beiden Geräten aktiviert werden, bevor HA konfiguriert wird. Für Restore eines HA-Backups müssen die empfangenden Geräte den LINCE-Status des Backups erfüllen.

AD / Entra ID: L2TP und PPTP nicht mehr automatisch aktiv

Beim Import von Benutzergruppen aus Active Directory oder Microsoft Entra ID werden L2TP- und PPTP-VPNs nicht mehr automatisch aktiviert. Dieses Verhalten unterschied sich in v21.5 GA.

Auswirkung: VPN-Zugriffe müssen gezielt aktiviert werden – sicherer Default, aber relevant für bestehende Workflows.

Syslog: device_name nutzt jetzt den Firewall-Hostnamen

Das Syslog-Feld device_name enthält nun standardmäßig den konfigurierten Firewall-Hostnamen zur eindeutigen Identifikation über mehrere Firewalls hinweg. Zuvor wurde ein generischer Geräteidentifier verwendet.

Auswirkung: SIEM-, XDR- und Syslog-Parser sollten überprüft werden, da sich die Identifikation der Geräte geändert hat.

Legacy RED Site-to-Site: Frühzeitige EoL-Ankündigung

v21.5 MR1 weist erstmals explizit darauf hin, dass Legacy RED Site-to-Site-Tunnel ab SFOS 22 nicht mehr unterstützt werden.

Auswirkung: Kein technischer Bruch in MR1, aber ein klarer Handlungsbedarf für zukünftige Versionen.

Legacy Site-to-Site RED: Early End-of-Life Hinweis

Legacy RED Site-to-Site Tunnel (Legacy Firewall RED Server/Client) werden ab SFOS 22.0 und höher nicht mehr unterstützt.

Empfehlung: Migration auf unterstützte RED Site-to-Site oder VPN-Tunnel einplanen.

VPN: L2TP/PPTP werden beim Gruppenimport nicht mehr standardmäßig aktiviert

Beim Import von Gruppen aus Active Directory oder Microsoft Entra ID werden L2TP und PPTP nicht automatisch eingeschaltet (Aktivierung erfolgt gezielt in Gruppen/VPN-Konfiguration).

VPN: Automatische MTU für XFRM-Interfaces (route-based VPN)

Die Firewall setzt automatisch einen XFRM-MTU-Wert (physische MTU minus IPsec-Overhead), um Fragmentierung zu vermeiden und TCP-Konnektivität in route-based VPN-Tunneln zu verbessern. Der Wert ist anpassbar.

Bugfixes

Behobene Probleme, aufgelistet nach ID, Beschreibung, Erklärung und Problemumgehung
Ausgabe-ID	Komponente	Beschreibung
NC-144523	Authentifizierung	Die Benutzergruppe war in der Web-Administrationskonsole nicht sichtbar, aber in der Datenbank vorhanden.
NC-145886	Authentifizierungs- und Protokollierungsframework	Anmeldeereignisse waren im geplanten Ereignisbericht, der per E-Mail versendet wurde, nicht sichtbar
NC-148837	Authentifizierung	"Set password for User Admin" on the CLI failed if the password contains double quotes or a backslash
NC-151205	Authentifizierung	Die Anmeldeseite des Captive Portals wurde erneut angezeigt, nachdem sich der Benutzer über Microsoft Entra ID SSO angemeldet hatte
NC-153770	Authentifizierung	RADIUS-Autorisierung fehlgeschlagen, wenn die Domäne nicht konfiguriert war.
NC-154794	Authentifizierung	Das Sonderzeichen im Passwort des Administratorbenutzers wurde bei der Anmeldung am Hilfsgerät mit aktiviertem OTP nicht kodiert.
NC-157308	Authentifizierung	Falsche IP-Adresse für Remote-Access-IPsec-VPN-Clients nach HA-Failover zugewiesen
NC-157450	Authentifizierung	Der API-Export enthielt nicht die statische IP-Adresse, die im Remote-Access-IPsec-VPN konfiguriert war
NC-157668	Authentifizierung	Das Administratorpasswort konnte über die Web-Administrationskonsole nicht festgelegt werden, da es 42 Zeichen überschritt
NC-163477	Authentifizierung	oauth_sso_vpnDer Dienst zeigte für die Microsoft Entra ID SSO-Authentifizierung einen toten Status an, da der entsprechende Port einem anderen Dienst zugewiesen war
NC-147708	Backup-Wiederherstellung	Während der Wiederherstellung eines Backups von SG 125 auf XGS 108 trat ein Fehler im Zusammenhang mit Pseudo-Ports auf, der die Wiederherstellung des Backups verhinderte
NC-156275	Backup-Wiederherstellung	Die Sicherung konnte nicht mithilfe des Sicherungs- und Wiederherstellungsassistenten wiederhergestellt werden.
NC-148839	CM, Berichterstattung	Der Bericht zur generativen KI enthielt keine Daten.
NC-151752	CM	Bei mehreren Firewalls wurde folgender Log-Viewer-Eintrag angezeigt: „Fehler beim Senden von Firewall-Informationen vom Gerät an CM“.
NC-154362	CM	Die virtuelle Firewall wurde automatisch abgemeldet.
NC-157309	CM	fcwm-updated.logzeigte das Administratorpasswort des Kunden im Klartext an.
NC-158526	CM	Protokollierung und Berichterstellung funktionierten zeitweise nicht. Es traten häufig Core-Dumps auf
NC-160962	CM	Garner und fwcm-heartbeatd-Dienste eingestellt.
NC-151472	Dynamisches Routing (RIP)	RIP mit MD5-Authentifizierung war nach einem Upgrade auf 20.0 GA und 21.0 GA nicht RFC-konform
NC-144681	E-Mail	Der Anti-Spam-Dienst hat nicht geantwortet.
NC-152788	E-Mail	Die von der Firewall versendeten Warn-E-Mails haben den DKIM-Check in Sophos Central Email nicht bestanden.
NC-153065	E-Mail	E-Mail-Fluss gestoppt.
NC-154494	E-Mail	E-Mail-Verarbeitung gestoppt
NC-123202	Firewall	Die direkte Proxy-Verbindung mit DNAT-Regel funktionierte nicht, wenn die gehostete IP-Adresse als Schnittstellen-IP-Adresse verwendet wurde.
NC-145002	Firewall	XGS 107 wechselte in den Failsafe-Modus und zeigte als Grund „NAT-Richtlinie kann nicht angewendet werden“ an
NC-147168	Firewall	Benutzer mit Remote-Zugriff über SSL-VPN konnten nicht auf interne Ressourcen zugreifen oder diese anpingen
NC-147534	Firewall	Firewallregel mit Ausschluss zeigte falsche Informationen für die Zielzone an
NC-152443	Firewall	Der Drucker konnte keine Verbindung zu den Druckdiensten über richtlinienbasiertes IPsec-VPN herstellen
NC-156931	Firewall	Das IP-Hostobjekt und die IP-Hostgruppe konnten nach dem Firmware-Upgrade auf SFOS 21.0.0.169 nicht bearbeitet werden. Es trat folgender Fehler auf: „Host mit demselben Namen existiert bereits“.
NC-151715	Firmware-Verwaltung	Hilfsgerät ist beim Neustart in den abgesicherten Modus gewechselt. Systemneustart fehlgeschlagen
NC-147307	HA	Bei XGS 2300 führte ein HA-Failover zu einer Neustartschleife der Geräte
NC-147739	HA	HA-Synchronisierung nach einem Stromausfall fehlgeschlagen.
NC-149039	HA	Der HA-Status war instabil und es kam zu einem Absturz, als zwei Schnittstellen als dedizierte Verbindung verwendet wurden.
NC-158798	HA	In den HA msync-Protokollen wurden Fehler gefunden.
NC-157414	Hotspot	Abgelaufene Hotspot-Gutscheine konnten nicht gelöscht werden.
NC-143042	Schnittstellenverwaltung	Die Bridge-Schnittstelle wurde auf mehreren Geräten nicht geladen
NC-147593	IPsec	Nach einem Neustart konnte der IPsec-Tunnel nicht aufgebaut werden, und die Failover-Gruppe musste ein- und ausgeschaltet werden
NC-149918	IPsec	Es wurden Warnungen für das Hilfs-HA-Gerät in Sophos Central generiert, dass ein IPsec-Tunnel beendet wurde, obwohl der Datenverkehr nicht beeinträchtigt war
NC-154660	IPsec	Es konnte keine IPsec-Verbindung hergestellt werden. Strongswan war ausgelastet
NC-152494	IPS-Engine	Der HTTPS-Stream erkannte gelegentlich keine Anfragen, wodurch die Blockierung einer verschlüsselten Datei verhindert wurde
NC-153049	IPS-Regelsatzverwaltung	Die IPS-Signatur fehlte in den Standard-IPS-Richtlinien
NC-159802	Lizenzierung	Ein Administrator mit einem schreibgeschützten Administratorprofil konnte die Lizenzierungsseite nicht sehen, obwohl der schreibgeschützte Zugriff aktiviert war
NC-142006	Protokollierung, Berichterstellung	Der Protokollanzeigefilter lieferte nicht die erwartete Ausgabe, als der folgende Zeitfilter ausgewählt wurde: "Letzte 10 Minuten".
NC-135594	Protokollierungs-Framework	Garner syslog fd-Beschädigung führte dazu, dass Daten an den falschen FD gesendet wurden
NC-143491	Protokollierungs-Framework	HA konnte aufgrund der Zeitaktualisierungsschleife des syshealth-Threads nicht eingerichtet werden
NC-143913	Protokollierungs-Framework	Im Hilfsgerät traten Spitzenwerte im Systemdiagramm auf.
NC-148674	Protokollierungs-Framework	/varDie Warnmeldungen wurden nicht aus dem Kontrollzentrum entfernt.
NC-152924	Protokollierungs-Framework	Die Protokolleinstellungen wurden nicht auf die zentrale Berichterstellung angewendet.
NC-154459	Protokollierungs-Framework	Das Hochladen von Sophos Central-Daten war zeitweise nicht möglich.
NC-157663	Protokollierungs-Framework	Die Firewall hat nach dem Firmware-Upgrade von 20.0 MR3 auf 21.0 MR1 die Protokollierung von Berichten eingestellt
NC-155526	NFP-Firewall	In einem Hairpin-Tunnel mit einer VLAN-Schnittstelle ist ein fehlerhafter mflow-Offload aufgetreten
NC-157335	NFP-Firewall	Nach der Migration von der XG- zur XGS-Appliance zeigte das richtlinienbasierte IPsec-VPN eine schlechte Leistung. Die IPsec-Beschleunigung war aktiviert
NC-143033	ROT	XGS 126 wurde automatisch neu gestartet und führte zu einem HA-Failover
NC-146826	ROT	Das RED-Systemhostobjekt hatte die falsche Subnetzmaske /24anstelle von /32. Wenn Sie den RED-Systemhost für Datenverkehr außerhalb eines /32Subnetzes in Konfigurationen wie Firewall-Regeln verwenden, stimmt der Datenverkehr nicht überein. Sollten Sie auf dieses Problem stoßen, ändern Sie die abhängige Konfiguration.
NC-149649	ROT	Es ist ein Kernel-Absturzabbild aufgetreten.
NC-153995	ROT	RED-Geräte konnten nach der Migration von XG zu einer virtuellen Firewall keine Verbindung herstellen.
NC-131090	Meldung	Die gleiche Adresse wurde aufgrund der Groß-/Kleinschreibung zweimal angezeigt
NC-147935	Meldung	Konnte keine benutzerdefinierten Berichte für die Zeit vor dem Firmware-Upgrade generieren
NC-153889	Meldung	dfZwischen den Befehlen wurde ein Unterschied im Ergebnis dubeobachtet
NC-159433	Meldung	Im Log-Viewer und beim CSV-Export fehlten Protokolle, als der Administrator nach unten scrollte und weitere Protokolle geladen wurden
NC-160952	Meldung	Das benutzerdefinierte Logo wurde im geplanten Bericht für das Hilfsgerät nicht angezeigt
NC-157578	SecurityHeartbeat	Die Heartbeat-Kommunikation über SSL-VPN wurde blockiert
NC-157688	SecurityHeartbeat	Wiederholte Fehlerprotokolle erschienen in garner.log: "Senden des Nachrichtenkopfes an heartbeatd fehlgeschlagen: Ungültiger Dateideskriptor".
NC-147693	SNMP	SNMP-Dateien waren nicht RFC-konform.
NC-148675	SNMP	Einige OIDs funktionierten im VPN-Baum nicht.
NC-145588	SSLVPN	Der Inhalt des /tmpVerzeichnisses wurde gelöscht, als eine SSL-VPN-Verbindung über den Sophos Connect-Client getrennt wurde
NC-141078	Up2Date Client	Die SSL-VPN-Konfigurationsdatei konnte nach einem Firmware-Upgrade nicht vom VPN-Portal heruntergeladen werden
NC-159731	Up2Date Client	Das Update für das rote Muster 3.0.011 konnte nicht installiert werden.
NC-160061	VFP-Firewall	XGS 128 wurde aufgrund eines Kernel-Panics während der IPsec-Beschleunigung automatisch neu gestartet
NC-148937	WAF	Das Let's Encrypt-Zertifikat konnte nicht erstellt werden
NC-152022	WAF	Die Let's Encrypt-Zertifikatsanforderung funktionierte nicht, da die automatische Firewall-Regel fehlte
NC-152540	WAF	Die WAF-Regel wurde ständig automatisch ein- und ausgeschaltet.
NC-152608	WAF	Die auf WAF gehostete Website verhielt sich fehlerhaft, wenn die Cookie-Signatur aktiviert war.
NC-156694	WAF	Im Kontrollzentrum wurde eine WAF-Warnung für eine ältere Regel angezeigt, die nicht mehr existierte
NC-165612	WAF	Apache-Fix für CVE-2025-23048 führte zu einem Fehler in der Proxy-Konfiguration in WAF, wenn der Upstream-Proxy nicht die korrekte SNI sendete
NC-151591	Web	Es traten Kompatibilitätsprobleme zwischen Windows Server 2025 und AD SSO auf
NC-143421	WebInSnort	Bei der DPI- und SSL/TLS-Prüfung in einer virtuellen Firewall wurde ein zeitweises Problem mit dem Website-Zugriff festgestellt
NC-158238	WebInSnort	Der IPS-Dienst hat nicht reagiert, da der Resumption_Cache-KV-Speicher nicht initialisiert werden konnte
NC-159968	WebInSnort	Der IPS-Dienst hat nicht geantwortet.
NC-165419	WebInSnort	Der IPS-Dienst hat nicht geantwortet. IPS-Musteraktualisierung fehlgeschlagen
NC-166068	WebInSnort	IPS reagierte nach einem Upgrade auf SFOS 21.5 GA nicht mehr.
NC-151810	Drahtlos	Drahtlosnetzwerk konnte nicht über die API gelöscht werden.
NC-153394	WWAN	Es traten zahlreiche syslog-ng-Zombieprozesse auf, deren Anzahl zunahm.
NC-158549	WWAN	Das Mobilfunkmodul stellte keine neue Verbindung her, wenn der Name der Mobilfunkschnittstelle von WWAN1 in einen anderen Namen geändert wurde.
NC-157280	XGS BSP	Wenn die IPsec-Beschleunigung aktiviert war, floss der Datenverkehr nicht über das Remote-Access-IPsec-VPN

Daniel

8 Jahre Technischer Support

Zertifizierung: Sophos MDR Sales Consultant, Sophos Firewall Sales Consultant, Sophos Central Sales Consultant, Sophos Central Engineer, Sophos Central Technician, Sophos Central Architect, Sophos Firewall Engineer, Sophos Firewall Technician, Sophos Firewall Architect

Spezialisierung: Einrichtung, Troubleshooting