Wichtige Frist: Letzte SG-UTM Lizenzverlängerung bis 31.12.2025 Kostenloses Firewall-Sizing für Ihre IT-Infrastruktur Access Point Angebot: Bis zu 25% Rabatt auf Sophos AP6 420E & 840E Risiken jetzt aufdecken: Externe Schwachstellenanalyse Rabatt bei Herstellerwechsel: 50% auf Sophos XGS & Xstream Sophos Firewall praxisnah erlernen: 1-Tages-Training Aktuelle Sophos-Angebote für Neu- & Bestandskunden

Zuletzt aktualisiert am 05.11.2025

Der ultimative Troubleshooting-Guide für Sophos Firewalls: Probleme, Fehler & Lösungen

In den Kategorien: Anleitungen , Sophos Firewall/UTM Der ultimative Troubleshooting-Guide für Sophos Firewalls: Probleme, Fehler & Lösungen

▼ Inhaltsverzeichnis

Probleme und Fehler von Sophos Firewalls finden und beheben
1. Logging und Berichterstattung
2. Netzwerkprobleme und Verbindungsfehler
3. VPN-Probleme und Fehlersuche
4. Probleme mit der Hochverfügbarkeit (HA)
5. Fehlersuche bei Netzwerk- und Verbindungsproblemen
6. Fehlersuche bei VPN-Verbindungen
7. CLI-Befehle und Logs für fortgeschrittene Fehlerbehebung
8. Sophos Firewall und Central Integration
9. Troubleshooting SD-WAN-Verbindungen
10. FAQ: Häufig gestellte Fragen zur Sophos Firewall

Probleme und Fehler von Sophos Firewalls finden und beheben

Dieser Troubleshooting‑Guide bündelt praxiserprobte Checks, Log‑Hinweise und CLI‑Befehle für Umgebungen mit Sophos Firewall OS (SFOS). Er richtet sich an Nutzer und Administratoren von Sophos XGS Firewalls sowie von Virtual/Software Firewalls.

Der Leitfaden führt systematisch von physischen Ursachen (Kabel, Ports, MTU) über DNS/DHCP und Routing/NAT bis zu VPN, HA und SD‑WAN. Alle Beispiele orientieren sich an den aktuellen SFOS‑Oberflächen, Logdateien und Diagnosewerkzeugen, sodass Störungen effizient eingegrenzt und nachhaltig behoben werden können.

Wichtiger Hinweis: Der Guide richtet sich an erfahrene Anwender mit fundierten Kenntnissen in Netzwerk‑ und Firewall‑Administration. Für unerfahrene Anwender oder kritische Produktivumgebungen empfehlen wir die Unterstützung durch unseren Professional Service.

1. Logging und Berichterstattung

Protokollierung ist essenziell, um Anomalien und Fehler schnell zu erkennen. In SFOS liegen Logs unter /log (Advanced Shell) sowie im Log Viewer der Weboberfläche.

Wichtige Log-Typen

Die Sophos Firewall (SFOS) schreibt pro Feature eigene Logdateien unter /log/. Die folgende Übersicht ordnet die wichtigsten Logs thematisch zu und erläutert ihren Zweck.

Systemereignisse und Dienste: /log/syslog.log, /log/applog.log
Firewall-Regeltreffer und Paketverarbeitung: /log/firewall_rule.log, /log/fwlog.log
NAT-Übersetzungen: /log/nat_rule.log
IPsec-VPN-Verbindungen: /log/strongswan.log
SSL-VPN-Verbindungen: /log/sslvpn.log
Web-Proxy und HTTPS-Scanning: /log/awarrenhttp.log, /log/httplogd.log
Web Application Firewall (Reverse Proxy): /log/reverseproxy.log
DNS-Auflösung und Caching: /log/dnsd.log
DHCP-Server und Adressvergabe: /log/dhcpd.log
Hochverfügbarkeit (HA) und Synchronisation: /log/ha_pair.log, /log/ha_tunnel.log, /log/msync.log, /log/ctsyncd.log
Intrusion-Prevention-Ereignisse: /log/ips.log
Cloud- und Central-Kommunikation: /log/csc.log

Hinweis: UTM-Dateien wie utm.log oder http.log werden in SFOS nicht verwendet.

Echtzeit-Logs überwachen

Für Live-Diagnosen lassen sich Logdateien direkt auf der Sophos Firewall einsehen. Zugriff erfolgt über SSH → 5) Device Management → 3) Advanced Shell oder per serieller Konsole.

cd /log
tail -f firewall_rule.log       # Aktive Regel-Treffer (Allow/Deny)
tail -f fwlog.log               # Kernel-Paketlog (Drops, Invalids)
tail -f strongswan.log          # IPsec-VPN-Handshakes
tail -f sslvpn.log              # SSL-VPN-Verbindungen

Mit grep können Einträge gefiltert werden, z. B. nach IP-Adressen, Regeln oder Fehlercodes:

tail -f firewall_rule.log | grep -Ei "deny|drop|block"
less firewall_rule.log | grep -i "rule_id(7)"

Auch andere Dienste lassen sich in Echtzeit überwachen:

tail -f /log/awarrenhttp.log – Webtraffic & HTTPS-Scanning
tail -f /log/dnsd.log – DNS-Auflösungen & Fehler
tail -f /log/ha_pair.log – HA-Link-Status & Failover-Ereignisse

Logs analysieren und filtern

Neben der Echtzeitansicht bietet SFOS vielfältige Möglichkeiten zur gezielten Analyse von Logdaten – sowohl in der Weboberfläche als auch per CLI.

Log Viewer (Web GUI): Monitor & Analyze → Logs → Log Viewer. Enthält Filter für Quelle, Ziel, Regel-ID, Benutzer, Dienst usw.
Collect Technical Report (CTR): Diagnostics → Technical Support Tools. Erstellt ein Archiv mit System- und Logdaten für Support oder forensische Analysen.

CLI-Filter und Suche: Für gezielte Auswertungen:

grep -i "error" /log/awarrenhttp.log
grep -n "deny" /log/firewall_rule.log
grep -i "auth failed" /log/strongswan.log

Zur Analyse bestimmter Dienste eignen sich insbesondere:

Web & Proxy: less awarrenhttp.log | grep "blocked"
DNS: grep "SERVFAIL" dnsd.log
VPN: grep "IKE_SA_INIT" strongswan.log

Erweiterte Berichterstattung mit Sophos Central

Sophos Central bietet zentrale Dashboards und Reporting über mehrere Firewalls:

Echtzeit-Dashboards: Übersicht zu Bedrohungen, Bandbreite, Regel-Treffern.
Aufbewahrung: typischerweise 7 Tage ohne Reporting-Lizenz; bis 30 Tage mit Xstream-Bundle; längere Zeiträume mit Central Firewall Reporting Advanced.
Export/Filter: Berichte nach Benutzergruppen, Anwendungen oder Regeln filtern; Export als PDF/CSV für Compliance.

2. Netzwerkprobleme und Verbindungsfehler

Die häufigsten Ursachen für Verbindungsprobleme liegen in Verkabelung, DNS/DHCP, fehlerhaften Regeln oder fehlerhaftem Routing/NAT. Eine systematische Analyse von innen nach außen hilft, Störungen schnell zu lokalisieren – beginnend bei der physischen Verbindung, über lokale Dienste bis hin zur externen Kommunikation. Parallel sollten stets relevante Logs und Packet Captures geprüft werden.

Physische Verbindungen überprüfen

Kabel & Ports: Sichtprüfung, Portwechsel oder anderes Patchkabel testen. Linkstatus, Geschwindigkeit und Duplex prüfen:
```
ethtool Port2
```
Interface-Status in SFOS: Unter Network → Interfaces lassen sich Admin-IP, Zone, Link-Status und VLAN-Tags kontrollieren.

Connectivity-Tests per CLI:

system diagnostics utilities ping 127.0.0.1
system diagnostics utilities ping 
system diagnostics utilities ping 8.8.8.8

Traffic-Monitoring: Paketfluss auf einem Interface prüfen:
```
tcpdump -ni Port2 -c 50
```

DNS- und DHCP-Konfiguration prüfen

DNS
- Resolver unter Network → DNS kontrollieren (Provider, öffentliche Resolver oder DNS Protection via Sophos Central).
- Namensauflösung testen:
```
system diagnostics utilities dnslookup example.com
```
- DNS-Traffic analysieren:
```
tcpdump -ni any port 53
```
DHCP
- Server-Scopes prüfen: Network → DHCP (Pool-Größe, Reservierungen, Leases).
- DHCP-Logs: /log/dhcpd.log
- Handshake mitschneiden (Access-/Trunk-Port anpassen):
```
tcpdump -ni PortX port 67 or port 68
```
- Bei 169.254.x.x-Adressen: VLAN-Tagging, DHCP-Relay oder Port-Erreichbarkeit prüfen. Dienst bei Bedarf neu starten:
```
service -ds nosync dhcpd:restart
```

Routing und NAT überprüfen

Routen prüfen:
```
ip route
system route_precedence show
```
Statische Routen: In der Weboberfläche unter Routing → Static routes prüfen. Bei Policy-basiertem Routing zusätzlich SD-WAN routes kontrollieren.
NAT-Regeln: Unter Rules and policies → NAT rules Quell- und Ziel-NAT definieren (z. B. SNAT für Internetzugriff, DNAT für Portweiterleitung mit passender Firewall-Regel).

Analyse & Diagnose:

# NAT/Firewall
tail -f /log/nat_rule.log
tail -f /log/firewall_rule.log

# Verbindungspfad
conntrack -L | grep 
system diagnostics utilities traceroute example.com

Diagnosetools für Netzwerkprobleme

Web-Diagnose: Diagnostics → Tools bietet Ping, Traceroute, DNS Lookup, Packet Capture und Name Resolution.

CLI-Schnelltests:

system diagnostics utilities ping 1.1.1.1
system diagnostics utilities traceroute 1.1.1.1
system diagnostics utilities dnslookup example.com
tcpdump -ni any host  or port

Typische Fehlerquellen: falsche Zonenbindung eines Interfaces, zu restriktive Firewall-Regeln, überlappende Subnetze oder fehlerhafte SD-WAN-Matches.

3. VPN-Probleme und Fehlersuche

Unter SFOS wird zwischen IPsec-VPNs (Site-to-Site und Remote Access) und SSL VPNs unterschieden. Für eine gezielte Analyse sind die richtigen Logs, Statusbefehle und Profile entscheidend. Änderungen an VPN-Profilen greifen in der Regel erst nach einem erneuten Verbindungsaufbau.

Fehlerbehebung bei Site-to-Site-IPsec-VPNs

Verbindungsprobleme resultieren häufig aus Parameter-Mismatches, fehlerhaften Traffic-Selektoren, NAT-Traversal oder DPD-Einstellungen. Folgende Schritte helfen bei der Analyse:

Logdateien prüfen:
```
tail -f /log/strongswan.log
```
Status und Security Associations anzeigen:
```
ipsec statusall
ip xfrm state
```
Profile vergleichen: VPN → Site-to-Site → IPsec → IPsec Profiles (IKEv1/v2, AES/GCM, DH-Gruppe, Lebensdauer).
Traffic Selectors: auf beiden Seiten identisch konfigurieren (z. B. 10.0.10.0/24 ↔ 10.0.20.0/24). Bei VTI-Tunneln: statische Route oder SD-WAN-Route anlegen.
NAT-T & DPD: Bei NAT im Pfad NAT traversal aktivieren; Dead Peer Detection auf beiden Seiten konsistent konfigurieren.
Erreichbarkeit der Gegenstelle prüfen:
```
system diagnostics utilities ping 
```

Probleme mit Remote-Access-VPNs

Beim Remote Access via IPsec oder SSL sind korrekte Benutzerzuweisungen, Gruppen, Profile und Firewall-Regeln erforderlich.

Authentifizierung & Gruppen: Benutzer muss existieren, der richtigen Remote-Access-Gruppe zugeordnet sein und ggf. MFA verwenden. Authentifizierungsfehler finden sich im jeweiligen Backend und in /log/csc.log.
IPsec Remote Access: Standardprofil DefaultRemoteAccess bei Bedarf duplizieren und IKE-/ESP-Parameter sowie Lifetimes anpassen.
SSL VPN: Server, Policy, Tunnelnetz und Routen prüfen. Logdateien:
```
tail -f /log/sslvpn.log
tail -f /log/openvpn-status0.log
```
Firewall-Regeln: eigene Regel VPN → LAN/DMZ mit korrekten Zonen anlegen.
Client-Konfigurationen aktualisieren: Nach Profiländerungen SCX-/OVPN-Dateien neu exportieren und verteilen.

Verbindungsabbrüche und Instabilität

Wenn VPN-Tunnel regelmäßig abbrechen oder sporadisch instabil sind, helfen folgende Prüfungen:

Loganalyse:

tail -f /log/strongswan.log
tail -f /log/sslvpn.log

Routing prüfen: Korrekte statische oder SD-WAN-Routen, insbesondere bei VTI-Tunneln. (siehe Abschnitt Routing und NAT)
DPD & Keepalive: Zu kurze DPD-Timer können zu frühzeitigen Rekeys führen. Werte mit der Gegenstelle abstimmen.
MTU/MSS-Anpassung: Fragmentierung vermeiden:
- SSL VPN: Option Override MSS im Profil aktivieren und testen.
- IPsec: WAN-MTU prüfen und bei Bedarf reduzieren. MTU-Test z. B.:
```
ping -s 1400  -M do
```

Diagnosetools für VPN-Probleme

Debug-Modus aktivieren (zeitlich begrenzen!):
```
service strongswan:debug -ds nosync
```
Security Associations prüfen:
```
ipsec statusall
```
Session- und NAT-Tabelle einsehen:
```
conntrack -L | grep 
```

Packet Capture (WAN- oder VPN-Interface wählen):

tcpdump -ni PortW host  or port 500 or port 4500

4. Probleme mit der Hochverfügbarkeit (HA)

Die Hochverfügbarkeit (HA) in SFOS gewährleistet unterbrechungsfreien Betrieb im Active-Passive- oder Active-Active-Modus (modellabhängig). Typische Ursachen für Fehlfunktionen sind Link- oder Speed-Mismatches, fehlende Synchronisationsrechte, VLAN-Fehler oder defekte Kabel und Ports. Die Konfiguration und der Status finden sich im Webadmin unter System → High Availability.

Fehlgeschlagene Aktivierung der HA

Symptom: „HA could not be enabled“ beim Aktivieren der Hochverfügbarkeit.
Prüfungen und Maßnahmen:
- HA-Link-Ports beider Geräte direkt verbinden (nach Möglichkeit ohne Switch dazwischen). Der physische Link muss aktiv sein.
- Beide Geräte benötigen identische Firmware-Versionen, Lizenzen derselben Modellfamilie und synchronisierte Systemzeit (NTP).
- Erreichbarkeit prüfen:
```
system diagnostics utilities ping 
```
- Logdateien kontrollieren:
```
tail -f /log/ha.log
tail -f /log/ha_pair.log
tail -f /log/ctsyncd.log
```

„Validation Failed For HA Interface IP“

Symptom: Validierungsfehler im Webadmin oder in den HA-Logs während der Einrichtung.
Prüfungen und Maßnahmen:
- Management- und HA-IPs müssen sich in getrennten Subnetzen befinden; keine IP- oder Subnetzüberlappung.
- Gateway- und VLAN-Zuordnung der HA-Interfaces unter Network → Interfaces prüfen.
- Fehler im Log gezielt filtern:
```
grep -i "validation" /log/ha.log
```

Defekte Schnittstellen oder Kabel

Symptom: Spontane Failover, häufige HA-Rollenwechsel oder abgebrochene Synchronisationen.
Prüfungen und Maßnahmen:
- Kabel oder Transceiver tauschen, alternative Ports testen.
- Link-Parameter prüfen:
```
ethtool PortX
```
- Fehlerzähler am Interface auslesen:
```
ifconfig PortX
```
- Synchronisations- und Tunnel-Logs beobachten:
```
tail -f /log/ha_tunnel.log
tail -f /log/msync.log
```

HA-Statusprobleme durch Portausfälle

Symptom: HA bleibt dauerhaft in „Synchronizing“ oder wechselt wiederholt zwischen Primary und Auxiliary.
Prüfungen und Maßnahmen:
- Überwachte Interfaces im HA-Setup prüfen. Wurden kritische Uplink-Ports korrekt ausgewählt?
- Bei 1U-XGS-Modellen (z. B. XGS 2100/3100) und FleXi-Modulen: Auto-Negotiation aktiv lassen; feste Speed-/Duplex-Werte können Mismatches verursachen.
- Bei Verdacht auf Portfehler temporär einen festen Kupfer-Port als HA-Link verwenden.

Diagnosetools und Befehle für HA-Probleme

Dienststatus und Neustart (nur im Wartungsfenster):

service -S | grep -i ha
service ha:restart -ds nosync

Loganalyse:

tail -f /log/ha.log | grep -Ei "error|fail|role|sync"

Allgemeine Netzdiagnose:

tcpdump -ni PortX -c 100
system diagnostics utilities ping

Best Practices: Vor Änderungen Backup anlegen, identische VLAN-/Zonen- und Routing-Konfigurationen sicherstellen. Nach Port- oder Speed-Anpassungen vollständigen Re-Sync abwarten.

5. Fehlersuche bei Netzwerk- und Verbindungsproblemen

Dieser Abschnitt fasst typische End-to-End-Probleme zusammen (ergänzend zu Abschnitt 2). Vorgehen: physisch → Layer 2 → IP/DNS/DHCP → Routing/NAT → Policy.

Physische Verbindungsprobleme

Symptome: Kein Link, geringe Geschwindigkeit oder wiederholte Abbrüche.

Analyse:

# Linkstatus, Speed und Duplex
ethtool PortX
ifconfig PortX

# Basistests
system diagnostics utilities ping 127.0.0.1
system diagnostics utilities ping 
tcpdump -ni PortX -c 50

Maßnahmen: Kabel und Ports tauschen, Auto-Negotiation aktivieren, Switch-Port (Trunk/Access, VLAN-Tagging) prüfen.

DNS-Auflösungsprobleme

Symptome: IP-Adressen sind erreichbar, Hostnamen jedoch nicht.

Analyse:

system diagnostics utilities dnslookup example.com
tcpdump -ni any port 53

Maßnahmen: Resolver unter Network → DNS prüfen oder ändern (z. B. 1.1.1.1/8.8.8.8). Bei Bedarf DNS Protection über Sophos Central aktivieren.

DHCP-Probleme

Symptome: Endgeräte erhalten keine Lease oder eine APIPA-Adresse (169.254.x.x).

Analyse:

tail -f /log/dhcpd.log
tcpdump -ni PortVLAN port 67 or port 68

Maßnahmen: Pool vergrößern, Reservierungen prüfen, VLAN-/Relay-Konfiguration kontrollieren. Falls erforderlich, Dienst neu starten:
```
service -ds nosync dhcpd:restart
```

NAT-Probleme

Symptome: Kein Internetzugang (Outbound) oder kein Zugriff von extern (Inbound/Port-Forwarding).

Analyse:

tail -f /log/nat_rule.log
tail -f /log/firewall_rule.log
conntrack -L | grep

Maßnahmen: Outbound: passende SNAT-Regel vor konkurrierenden Regeln platzieren. Inbound: DNAT + zugehörige Firewall-Regel mit korrektem Ziel-Port konfigurieren.

Switch- oder VLAN-Fehlkonfiguration

Symptome: Hosts im selben Subnetz erreichen sich nicht, Inter-VLAN-Kommunikation gestört.
Analyse: Trunk-/Access-Mode und Native VLANs am Switch prüfen. SFOS-Interfaces müssen korrekten Zonen zugewiesen sein.
Tracing:
```
tcpdump -ni PortTrunk vlan 
```

Probleme mit Firewall-Regeln

Symptome: Bestimmte Anwendungen oder Ports werden blockiert, obwohl Grundverbindungen bestehen.

Analyse:

tail -f /log/firewall_rule.log | grep -i "deny"
system diagnostics utilities traceroute

Maßnahmen: Explizite Allow-Regel über generischen Block-Regeln anordnen, korrekte Zonen wählen (z. B. VPN→LAN). Bei Web-Traffic zusätzlich awarrenhttp.log prüfen.

6. Fehlersuche bei VPN-Verbindungen

Verbindungsprobleme bei IPsec- oder SSL-VPNs entstehen häufig durch Konfigurationsfehler, Authentifizierungsprobleme oder unpassende Traffic-Selektoren. Die folgenden Schritte helfen, typische Ursachen schnell zu identifizieren.

Verbindungsaufbau schlägt fehl

Konfiguration beider Seiten prüfen: IP-Adressen, IKE-Version, lokale/Remote-IDs, PSK oder Zertifikate müssen übereinstimmen.

Logs und Statusabfrage:

tail -f /log/strongswan.log
ipsec statusall

Erreichbarkeit prüfen:
```
system diagnostics utilities ping 
```

Authentifizierung schlägt fehl

IDs, PSK und Zertifikate: exakt identisch konfigurieren; bei Zertifikaten CN/SAN und Vertrauenskette kontrollieren.

Fehler im Log filtern:

grep -i "authentication failed" /log/strongswan.log

Hinweis: Wiederholte Authentifizierungsfehler können auf ein veraltetes Remote-Profil oder falsche Schlüsseldatei hinweisen.

Kein Datenverkehr durch den Tunnel

Firewall-Regeln: Erlaubnisregel von VPN → LAN/DMZ oberhalb allgemeiner Block-Regeln positionieren.
Routing und Traffic Selectors: Beidseitig identische Subnetze konfigurieren; bei VTI-Tunneln statische Route anlegen.
Aktive Sessions prüfen:
```
conntrack -L | grep 
```
Debug bei Bedarf aktivieren:
```
service strongswan:debug -ds nosync
```

Falsche oder asymmetrische Traffic-Selektoren

Subnets exakt definieren: Keine überlappenden oder zu weit gefassten Netze verwenden.
Verbindung neu aufbauen: Nach Änderungen Security Associations (SAs) erneuern:
```
ipsec down 
ipsec up 
```

Fehler „Ungültiger HASH_V1 Payload“

Ursache: Authentifizierungs-Mismatch in IKEv1 – PSK oder Identität stimmt nicht, oder der Hash-Algorithmus passt nicht zum Profil.
Maßnahmen: PSK und IDs auf beiden Seiten abgleichen. Falls möglich, auf IKEv2 migrieren (bessere Stabilität und Kompatibilität).

7. CLI-Befehle und Logs für fortgeschrittene Fehlerbehebung

Die Advanced Shell (SSH → 5) Device Management → 3) Advanced Shell) bietet detaillierte Diagnosemöglichkeiten für SFOS. Diese sollten ausschließlich von erfahrenen Administratoren genutzt und Debug-Modi nur temporär aktiviert werden.

Wichtige CLI-Befehle

Logs in Echtzeit anzeigen:

cd /log
tail -f firewall_rule.log
tail -f strongswan.log
tail -f sslvpn.log
tail -f dnsd.log
tail -f awarrenhttp.log

Logs filtern:

grep -ni "error" /log/awarrenhttp.log
grep -ni "deny"  /log/firewall_rule.log

Netzwerkverkehr mitschneiden:
```
tcpdump -ni any host  or port 
```
Aktive Verbindungen prüfen:
```
conntrack -L | grep 
```

Dienste analysieren oder neu starten (nur im Wartungsfenster):

service -S
service strongswan:debug -ds nosync
service awarrenhttp:restart -ds nosync

Fehlerbehebung mit Logdateien

IPsec-VPN: strongswan.log – IKE-/SA-Aufbau, Rekeying, DPD, NAT-T
SSL VPN: sslvpn.log, openvpn-status0.log
Web/Proxy: awarrenhttp.log
DNS/DHCP: dnsd.log, dhcpd.log
Firewall/NAT: firewall_rule.log, nat_rule.log
Central/Cloud: csc.log
HA/Sync: ha.log, ha_pair.log, msync.log

Best Practices

Vor Änderungen immer ein Backup erstellen (Backup & Firmware → Backup & Restore).
Debug nur so lange wie nötig aktivieren; Logrotation beachten (/var/rollout).
Für Supportfälle unter Diagnostics → Technical Support Tools einen Collect Technical Report erzeugen.

8. Sophos Firewall und Central Integration

Über Sophos Central lassen sich mehrere Firewalls zentral verwalten, überwachen und mit erweiterten Reports auswerten. Dies vereinfacht Administration und Compliance erheblich.

Vorteile der Integration

Zentrales Dashboard: Übersicht zu Status, Alarmen, Regel-Treffern und Bandbreitennutzung über alle Appliances hinweg.
Policies & ZTP: Zentrale Richtlinienverteilung und Zero-Touch-Provisionierung für neue Standorte.
Reporting: Standardmäßig 7–30 Tage (je nach Lizenz/Bündel); Central Firewall Reporting Advanced erweitert Aufbewahrungszeiträume und Filteroptionen.

Häufige Probleme und Lösungen

Verbindung zu Central unterbrochen: DNS-Auflösung, Proxy- oder Firewall-Regeln prüfen. Logdatei:
```
tail -f /log/csc.log
```
Policy-Synchronisation fehlschlägt: Firmwarestände vergleichen, lokale Überschreibungen prüfen und ggf. zurücksetzen.
Zero-Touch-Bereitstellung scheitert: Seriennummer und Registrierung des Geräts sowie Internetverbindung prüfen.

Best Practices

Firmwarestände über alle Cluster und Standorte hinweg angleichen.
Role-Based Access Control (RBAC) in Central aktivieren und Änderungen protokollieren.
Alarme und Benachrichtigungen konfigurieren (E-Mail, SIEM- oder Service-Desk-Integration).

9. Troubleshooting bei SD-WAN-Verbindungen

SD-WAN Routes verteilen Datenflüsse anhand definierter Kriterien wie Diensten, Benutzern oder Performance-SLAs über mehrere WAN-Links. Fehler entstehen häufig durch falsche Prioritäten, zu strikte SLAs oder Routing-Konflikte.

Häufige Probleme und Lösungen

Bevorzugter WAN-Link wird nicht verwendet: Reihenfolge und Match-Kriterien der SD-WAN routes prüfen. Eine statische oder Policy-Route kann mit höherer Präzedenz greifen (siehe Routing und NAT).
Instabilität oder häufige Failovers: SLAs ggf. weniger streng konfigurieren, Health-Checks und Schwellenwerte anpassen. MTU-Werte am Upstream-Link testen.
Leistungseinbußen: QoS oder Traffic-Shaping aktivieren, Flows priorisieren und Packet Captures auf Verluste oder Retransmits prüfen.

Diagnose

Webtools: Diagnostics → Tools (Ping, Traceroute, Packet Capture).

CLI-Befehle:

system diagnostics utilities ping 
system diagnostics utilities traceroute 
tcpdump -ni PortW  # am betroffenen WAN-Port

Regel-Treffer prüfen: Rules and policies → SD-WAN routes (Hit-Zähler, Reihenfolge, Kriterien).

10. FAQ: Häufig gestellte Fragen zur Sophos Firewall

Dieser FAQ-Bereich fasst häufige Fragen zur Fehlersuche, Konfiguration und Wartung der Sophos Firewall zusammen. Die Antworten beziehen sich auf SFOS ab Version 19.5.

Wie greife ich auf die CLI der Sophos Firewall zu?

SSH zur Admin-IP verwenden (z. B. PuTTY). Menü: 5) Device Management → 3) Advanced Shell. Alternativ lokale Konsole. Wichtige Logs liegen unter /log (siehe Abschnitt CLI-Befehle).

Was tun, wenn der VPN-Tunnel keine Verbindung aufbaut?

Profile (IKE/ESP, DH-Gruppe, Lifetimes) beidseitig abgleichen.
Traffic-Selectors/Subnetze symmetrisch definieren.

Logs/Status prüfen:

tail -f /log/strongswan.log
ipsec statusall

Erreichbarkeit der Gegenstelle testen:
```
system diagnostics utilities ping 
```

Wie behebe ich DNS- oder DHCP-Probleme?

DNS: Resolver unter Network → DNS prüfen; Tests:

system diagnostics utilities dnslookup example.com
tcpdump -ni any port 53

DHCP: Pools/Leases unter Network → DHCP; Logs/Capture:

tail -f /log/dhcpd.log
tcpdump -ni PortX port 67 or port 68

Was mache ich bei Leistungseinbrüchen oder hohem Traffic?

Top-Talker/Regel-Treffer im Log Viewer prüfen (Monitor & analyze).
QoS/Traffic-Shaping aktivieren; unnötige Inspektion für unkritische Dienste reduzieren.
Sessions/Verbindungen:
```
conntrack -L | grep 
```
Bei Web-Traffic awarrenhttp.log analysieren (Block/Bypass-Gründe).

Wie wird ein HA-Setup korrekt konfiguriert?

Gleiche Firmware/Modellfamilie; direkte HA-Link-Verbindung.
HA-Link erreichbar:
```
system diagnostics utilities ping 
```

Logs:

tail -f /log/ha.log
tail -f /log/ha_pair.log

Kann ich Probleme bei der SD-WAN-Policy selbst beheben?

Match-Kriterien/Reihenfolge der SD-WAN-Routes prüfen.
Route-Präzedenz beachten (siehe Routing-Priorität).
Link-Checks/SLA-Schwellen anpassen; Captures auf Verlust/MTU testen.

Was tun, wenn ARP-Probleme auftreten?

Nach Gerätewechsel können alte MAC-Mappings stören. Switch/Router ARP-Cache leeren oder neu starten. Auf SFOS Konnektivität testen; ggf. Ports kurz down/up setzen. Traffic zur Gegenstelle per tcpdump prüfen.

iPerf Speedtest: Geschwindigkeit hinter der Sophos Firewall

Server:
```
iperf3 -s
```
Client:
```
iperf3 -c 
```
UDP/Weitere Parameter:
```
iperf3 -c  -u
iperf3 -c  -t 30 -R
```
Bei stark abweichenden Werten: MTU/MSS, Duplex/Speed, Captures und QoS prüfen.

IPsec Remote Access Timeout nach einigen Stunden

Session-Abläufe werden primär durch IKE/Child-SA-Lifetimes des verwendeten Profils sowie ggf. MFA/OTP-Erneuerungen bestimmt. Standardwerte variieren je Profil. Vorgehen:

RA-Profil duplizieren und gewünschte Lifetimes setzen (VPN → IPsec → IPsec profiles); danach Client-Konfiguration neu verteilen.

Alternativ per CLI (nur wenn erforderlich und bekannt):

# Beispiel: Parameter über die DB nur mit Vorsicht anpassen
# (exakte Tabelle/Felder je Version prüfen)

Sophos Firewall Services neu starten

Über die Web-GUI (Diagnostics → Services) oder gezielt via CLI:

Auflisten: service -S

Neustart (z. B. WebAdmin/IPsec/SMTP):

service awarrenhttp:restart -ds nosync
service strongswan:restart -ds nosync
service smtpd:restart -ds nosync

Status:
```
service awarrenhttp:status -ds nosync
```

Routing-Priorität auf der Sophos Firewall ändern

Die Präzedenz von static, sdwan_policyroute und vpn bestimmt, welche Route gewinnt.

Aktuelle Routing-Präzedenz anzeigen

system route_precedence show

Präzedenz setzen

system route_precedence set static sdwan_policyroute vpn

Nach der Anpassung Konnektivität und Regel-Treffer kontrollieren.

Wie erhalte ich Unterstützung, wenn ein Problem nicht gelöst wird?

Selbst mit sorgfältiger Analyse kann es vorkommen, dass sich ein Problem nicht eindeutig eingrenzen lässt. In solchen Fällen stehen verschiedene Supportwege zur Verfügung, um Fehler strukturiert zu eskalieren und zeitnah eine Lösung zu erreichen:

Sophos Support: Erstellen Sie ein Ticket beim Sophos Support und fügen Sie alle relevanten Informationen hinzu – z.B. Logauszüge, Firmware-Version, betroffene IPs oder Regel-IDs sowie einen Collect Technical Report (CTR).
Partner-Support: Kontaktieren Sie uns oder einen anderen zertifizierten Sophos Firewall Partner für individuelle Beratung und technische Unterstützung durch erfahrene Spezialisten.

Um die Bearbeitung zu beschleunigen, sollten möglichst alle verfügbaren Informationen und ein aktuelles Backup bereitgestellt werden.

Verwandte Produkte