01 — Context & Challenge
01 — Contexte & Défi
⚠ The Challenge — 100% Manual Migration
⚠ Le Défi — Migration 100% Manuelle
Sophos UTM to XG migration has no automated export tool — every firewall rule, network object, address, NAT rule, VPN profile, and Web Filtering policy had to be manually recreated on the new XG platform. 4 clients migrated, each with their own network topology, ISP configuration, and telephony setup. The biggest technical challenge: maintaining the P2P line with ISP HOT for telephony continuity during and after cutover.
La migration Sophos UTM vers XG n'a pas d'outil d'export automatique — chaque règle firewall, objet réseau, adresse, règle NAT, profil VPN et politique Web Filtering a dû être recréé manuellement sur la nouvelle plateforme XG. 4 clients migrés, chacun avec sa propre topologie réseau, configuration FAI et installation téléphonie. Le plus grand défi technique : maintenir la ligne P2P avec le FAI HOT pour la continuité téléphonie pendant et après la bascule.
4
Clients migrated
UTM → XG
UTM → XG
Clients migrés
UTM → XG
UTM → XG
100%
Manual recreation
no export tool
no export tool
Recréation manuelle
aucun outil d'export
aucun outil d'export
v19/v20
Target Sophos XG
versions deployed
versions deployed
Versions Sophos XG
cibles déployées
cibles déployées
02 — Migration Process
02 — Processus de Migration
Manual Rebuild — Rule by Rule
Reconstruction Manuelle — Règle par Règle
01
Full UTM audit — manual inventory
Audit UTM complet — inventaire manuel
Documented every existing rule, network object, IP address, NAT configuration, VPN profile, Web Filtering policy, and ISP line configuration before touching anything. Created a migration checklist per client.
Documentation de chaque règle existante, objet réseau, adresse IP, configuration NAT, profil VPN, politique Web Filtering et configuration ligne FAI avant de toucher quoi que ce soit. Création d'une checklist de migration par client.
02
Sophos XG v19/v20 initial setup
Configuration initiale Sophos XG v19/v20
Installed and configured Sophos XG alongside UTM. Set up network zones, interfaces, and basic routing before starting rule migration. Verified ISP line connectivity on new platform first.
Installation et configuration de Sophos XG en parallèle avec UTM. Mise en place des zones réseau, interfaces et routage de base avant de commencer la migration des règles. Vérification de la connectivité ligne FAI sur la nouvelle plateforme en premier.
03
P2P HOT line — biggest technical challenge
Ligne P2P HOT — plus grand défi technique
The ISP HOT P2P line (dedicated telephony link) required specific routing, NAT rules, and firewall policies that are not standard on Sophos XG. Required deep investigation of the existing UTM configuration to understand the exact traffic flow, then manually rebuild compatible rules on XG to maintain telephony continuity without interruption.
La ligne P2P FAI HOT (lien téléphonie dédié) nécessitait un routage spécifique, des règles NAT et des politiques firewall non standards sur Sophos XG. A nécessité une investigation approfondie de la configuration UTM existante pour comprendre le flux de trafic exact, puis reconstruction manuelle de règles compatibles sur XG pour maintenir la continuité téléphonie sans interruption.
04
Manual rule-by-rule recreation on XG
Recréation manuelle règle par règle sur XG
Rebuilt every firewall rule, DNAT/SNAT policy, Web Filtering profile, application filter, IPS policy, and VPN tunnel manually on XG. Each rule validated against original UTM behavior before moving to the next.
Reconstruction manuelle de chaque règle firewall, politique DNAT/SNAT, profil Web Filtering, filtre applicatif, politique IPS et tunnel VPN sur XG. Chaque règle validée par rapport au comportement UTM original avant de passer à la suivante.
05
SSL VPN → IPSec transition (FortiClient 7.4.3)
Transition SSL VPN → IPSec (FortiClient 7.4.3)
Migrated remote access VPN from SSL to IPSec protocol on XG. Deployed FortiClient 7.4.3 to all remote users with step-by-step configuration guides. Coordinated with third-party client teams for user-side configuration.
Migration du VPN d'accès distant du protocole SSL vers IPSec sur XG. Déploiement de FortiClient 7.4.3 sur tous les utilisateurs distants avec guides de configuration étape par étape. Coordination avec les équipes tierces pour la configuration côté utilisateur.
06
Cutover, validation & UTM decommission
Bascule, validation & décommissionnement UTM
Scheduled cutover during low-traffic window. Full traffic validation post-cutover: internet access, VPN tunnels, telephony (P2P HOT), email flow, and all internal services. UTM decommissioned after 48-72h monitoring period with no issues.
Bascule planifiée pendant une fenêtre de faible trafic. Validation complète du trafic après bascule : accès internet, tunnels VPN, téléphonie (P2P HOT), flux email et tous les services internes. UTM décommissionné après 48-72h de surveillance sans problème.
03 — ISP HOT P2P Line — Technical Deep Dive
03 — Ligne P2P FAI HOT — Analyse Technique
The Hardest Part of This Migration
La Partie la Plus Difficile de Cette Migration
⚠ Root Challenge
⚠ Défi Racine
The P2P dedicated line from ISP HOT carries all telephony traffic. Unlike standard internet traffic, P2P lines have specific routing requirements, fixed IP addressing, and require precise firewall rules to pass VoIP protocols correctly. On Sophos UTM these rules were often implicit or built over years — reconstructing them on XG from scratch required reverse-engineering the existing traffic flows.
La ligne dédiée P2P du FAI HOT porte tout le trafic téléphonie. Contrairement au trafic internet standard, les lignes P2P ont des exigences de routage spécifiques, un adressage IP fixe, et nécessitent des règles firewall précises pour faire passer correctement les protocoles VoIP. Sur Sophos UTM ces règles étaient souvent implicites ou construites sur des années — les reconstruire sur XG depuis zéro a nécessité une rétro-ingénierie des flux de trafic existants.
✓ Resolution
✓ Résolution
Analyzed UTM packet captures and logs to map exact P2P traffic flows. Rebuilt dedicated routing entries, NAT rules, and firewall policies on XG matching the original behavior. Telephony maintained without interruption across all 4 client migrations.
Analyse des captures de paquets et logs UTM pour cartographier les flux de trafic P2P exacts. Reconstruction des entrées de routage dédiées, règles NAT et politiques firewall sur XG correspondant au comportement original. Téléphonie maintenue sans interruption sur les 4 migrations clients.
04 — Screenshots
04 — Captures d'Écran
05 — Technologies
05 — Technologies
Sophos XG v19/v20
Target platform
Plateforme cible
Sophos UTM
Legacy source
Source legacy
IPSec VPN
New VPN protocol
Nouveau protocole VPN
FortiClient 7.4.3
Client VPN
VPN client
P2P HOT Line
ISP telephony link
Lien téléphonie FAI
VLAN Design
Network segmentation
Segmentation réseau
NAT/DNAT
Traffic routing rules
Règles routage trafic
Web Filtering
Policy migration
Migration politiques
06 — Results
06 — Résultats
4
Clients fully migrated
UTM → XG
UTM → XG
Clients entièrement
migrés UTM → XG
migrés UTM → XG
0
Telephony
interruptions
interruptions
Interruptions
téléphonie
téléphonie
100%
Rules manually
recreated
recreated
Règles recréées
manuellement
manuellement
v19+v20
XG versions
deployed
deployed
Versions XG
déployées
déployées
✓ Key Outcome
✓ Résultat Clé
Successfully migrated 4 clients from end-of-life Sophos UTM to Sophos XG v19/v20 with zero service interruption. Every rule, address, and policy manually recreated. The P2P HOT telephony line — the most complex element — maintained full continuity across all migrations. All remote users transitioned to IPSec FortiClient 7.4.3.
Migration réussie de 4 clients depuis Sophos UTM en fin de vie vers Sophos XG v19/v20 sans interruption de service. Chaque règle, adresse et politique recréée manuellement. La ligne téléphonie P2P HOT — l'élément le plus complexe — a maintenu une continuité complète sur toutes les migrations. Tous les utilisateurs distants transférés vers IPSec FortiClient 7.4.3.