Sophos Firewall Fehler beheben – häufige Probleme und Lösungen 2025

Diagnosewerkzeuge in Sophos SFOS

Bevor wir die häufigsten Fehler durchgehen: Sophos bietet mächtige Diagnosewerkzeuge die Sie zuerst nutzen sollten.

Log Viewer

Protokoll → Log Viewer:
Alle Firewall-Events in Echtzeit. Filter nach Quell-IP, Ziel-IP, Regel-ID oder Aktion (Blockiert/Erlaubt).

Packet Capture

Diagnose → Paket-Aufzeichnung:
Wireshark-ähnlicher Capture direkt auf der Sophos. Nützlich um zu sehen ob Pakete ankommen/abgehen.

Console / SSH

Verwaltung → Gerätezugang → SSH aktivieren

ssh [email protected]

Im Sophos-Menü: Option 5 → "Advanced Shell"

Fehler 1: Kein Internet für interne Clients

Symptom

Clients haben keine Internetverbindung obwohl Sophos läuft.

Diagnose

1. Log Viewer → Filter: Aktion = "Verweigert"
2. Sehen Sie die blockierten Verbindungen Ihrer Clients?

Lösung

Häufigste Ursache: NAT-Masquerading fehlt in der Firewall-Regel.

Firewall-Regel für LAN → WAN bearbeiten:

• NAT: Masquerading aktivieren
• Oder: Dedizierte MASQ-Regel unter Firewall → NAT-Regeln erstellen

Zweite Ursache: WAN-Interface hat keine IP (DHCP nicht erfolgreich):
Netzwerk → Schnittstellen → WAN prüfen: Hat die WAN-IP eine gültige IP?

Fehler 2: VPN-Verbindung bricht ständig ab

Symptom

SSL-VPN oder IPsec-Tunnel trennen sich regelmäßig nach 1–8 Stunden.

Diagnose

journalctl -u ipsec – IPsec-Logs (via SSH-Shell)

Oder: Protokoll → VPN → Logs

Lösung

IPsec: Prüfen Sie die SA-Laufzeit:

• Phase 1 Standard: 28800s (8h) → Neuaushandlung kann Unterbrechung verursachen
• Dead Peer Detection aktivieren: Automatische Wiederverbindung

SSL-VPN: Timeout-Einstellungen:
VPN → SSL-VPN (Remote-Access) → Erweiterte Einstellungen:

• Keepalive-Intervall: 30 Sekunden
• Inaktivitäts-Timeout: 0 (deaktiviert)

Fehler 3: Webfilter blockiert legitime Seiten

Symptom

Websites werden als "nicht kategorisiert" oder falsch kategorisiert blockiert.

Lösung

Option A: Fehlkategorisierung melden
sophos.com/en-us/home/free-tools/url-categorization → URL einreichen

Option B: Ausnahme für URL/Domain erstellen
Schutz → Web → Ausnahmen:

• URL-Muster oder Domain hinzufügen: *.ihrewebsite.de
• Bypassen: Webfilter, Malware-Scan

Option C: Eigene Kategorien erstellen
Schutz → Web → Kategorien:
Eigene Kategorie mit erlaubten Domains anlegen und in Richtlinie freigeben.

Fehler 4: Sophos CPU permanent bei 100%

Symptom

Weboberfläche ist langsam, Durchsatz eingebrochen, CPU durchgehend ausgelastet.

Diagnose via SSH

top – Welcher Prozess verbraucht CPU?

Häufige Kandidaten:

• fastpath → Paketverarbeitung
• av-scanner → Antivirus-Scan läuft durch
• ips → IPS-Engine überfordert

Lösung

IPS-Policy reduzieren: IPS-Signaturliste auf "Empfohlen" statt "Alle" setzen.

SSL-Inspection ausschalten oder einschränken: HTTPS-Inspektion ist sehr CPU-intensiv.

Firmware-Update: Bugs in alten SFOS-Versionen verursachen manchmal CPU-Spikes.

Hardware zu klein: XGS 87/107 für >50 gleichzeitige SSL-Verbindungen können überfordert sein.

Fehler 5: DHCP-Server vergibt keine IP-Adressen

Symptom

Clients im LAN erhalten keine IP-Adresse (APIPA 169.254.x.x).

Diagnose

Netzwerk → DHCP → DHCP-Lease-Liste: Werden Leases ausgegeben?
Protokoll → DHCP: Sehen Sie DHCP-Discover-Anfragen von Clients?

Lösung

1. DHCP-Server auf dem entsprechenden Interface aktivieren:
   Netzwerk → DHCP → Hinzufügen:

   • Interface: LAN
   • Bereich: 192.168.1.100–192.168.1.200
   • Gateway: 192.168.1.1 (Sophos LAN-IP)
   • DNS: 192.168.1.1 oder 8.8.8.8

2. Konkurrierender DHCP-Server im Netz (Router, anderer Server)?
   Prüfen mit: dhcpdump -i eth0

Fehler 6: Sophos nicht mehr erreichbar nach Update

Symptom

Nach Firmware-Update ist die Weboberfläche nicht mehr erreichbar.

Sofortmaßnahme

Physischer Konsolenzugang (seriell oder Monitor):

1. Boot-Menü: Ältere Firmware-Version auswählen (Sophos hält zwei Versionen vor)
2. In der älteren Version: Verwaltung → Firmware → Rollback

Prävention

Vor jedem Update:

1. Konfiguration exportieren (Sicherung → Export)
2. Update außerhalb der Geschäftszeiten durchführen
3. Nach Update: Konnektivitätstests durchführen

Fehler 7: IPS blockiert legitimen Traffic (False Positive)

Symptom

Anwendungen funktionieren nicht, im Log sehen Sie IPS-Drops.

Diagnose

Protokoll → IPS → Einträge: Welche Signatur löst aus?

Lösung

Option A: IPS-Ausnahme für IP erstellen:
Schutz → Intrusion Prevention → Ausnahmen → Hinzufügen:

• IP-Adresse des Servers/Clients
• Spezifische Signatur-ID deaktivieren

Option B: Signatur-Aktion auf "Protokollieren" statt "Blockieren":
IPS-Policy bearbeiten → Signatur suchen → Aktion von "Blockieren" auf "Warnen" ändern.

Fehler 8: Hohe Latenz / langsamer Durchsatz

Diagnose

Diagnose → Diagnosetools → Bandbreite: Zeigt Schnittstellenauslastung in Echtzeit.

Häufige Ursachen

• SSL-Inspection: Reduziert Durchsatz um 30–70% je nach Hardware
• Antivirus-Scan: Große Dateien scannen kostet Zeit
• Duplex-Mismatch: Interface mit halbem Duplex statt Full-Duplex
• Kleine Hardware: XGS 87/107 für zu viele Verbindungen

Lösung

Interface-Einstellungen prüfen:
Netzwerk → Schnittstellen → WAN → Bearbeiten:
Geschwindigkeit/Duplex: Auto oder manuell 1Gbps/Full

FAQ

Wie setze ich Sophos XGS auf Werkseinstellungen zurück?
Während des Neustarts: Taste gedrückt halten (je nach Modell 3–7 Sekunden). Alternativ: Verwaltung → Sicherung & Firmware → Werkseinstellungen.

Wo finde ich Sophos-Support?
community.sophos.com für Community-Support. Für Business-Support: Sophos Partner oder sophos.com/support.

Können Sophos UTM und XGS parallel betrieben werden?
Ja, als Übergangsphase. Sophos UTM 9 erhält bis Ende 2026 Sicherheits-Updates.

Fazit

Die meisten Sophos-Probleme lassen sich mit dem eingebauten Log Viewer und den Diagnosetools lösen. Systematisch vorgehen: erst loggen, dann analysieren, dann handeln.

Als Sophos-zertifizierte Partner in Heidelberg beheben wir Sophos-Probleme für Unternehmen in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Sophos-Support anfragen.