Sonos - Sophos Freigaben und Firewall-Konfigurationen
Sonos verzögert die Ausgabe von Ton oder kann die Lautsprecher gar nicht mehr finden/nutzen
Das ist ein bekanntes Problem — die Sonos Controller-App wird durch Sophos' Web Protection blockiert. Das betrifft nicht die Firewall-Regeln, sondern den Endpoint-Agent selbst, der HTTP/HTTPS-Traffic auf den Clients scannt und die Kommunikation zwischen Sonos-App und den Lautsprechern stört.
Was genau passiert: Sophos Web Protection (Teil der Threat Protection Policy) fängt den Netzwerktraffic ab und prüft ihn auf Malware. Da die Sonos-App über HTTP/HTTPS mit den Speakern und den Sonos-Cloud-Diensten kommuniziert, wird dieser Traffic gescannt und dabei verzögert oder blockiert.
Die Lösung in Sophos Central — Website-Exclusions in der Threat Protection Policy:
Geh in Sophos Central auf My Products → Endpoint → Policies → Threat Protection und dort in den Bereich Exclusions → Add Exclusion → Exclusion Type: Website.
Folgende IPs/Domains musst du als Website-Ausnahmen eintragen:
1. IP-Adressen der Sonos-Speaker im Kundennetzwerk Jede einzelne Speaker-IP (findest du über die Sonos-App unter System → Über mein System, oder über den Router/DHCP). Am besten gibst du den Speakern feste IPs per DHCP-Reservation, damit sich die Ausnahmen nicht durch IP-Wechsel erledigen.
2. Loopback-Adresse 127.0.0.1 — die Sonos-App nutzt oft die Loopback-Adresse für die lokale Kommunikation, und ohne diese Ausnahme funktioniert die Verbindung nicht. Sophos
3. Sonos-Domains (falls Web Control / HTTPS-Decryption aktiv ist):
| Domain | Funktion |
|---|---|
*.sonos.com Sonos |
Alle Sonos-Dienste |
logx.optimizely.com Sonos |
Feature-Deployment für die App |
cdn.optimizely.com Sonos |
Feature-Deployment für die App |
msmetrics.ws.sonos.com Sonos |
Nutzungsdaten |
e.crashlytics.com Sonos |
Crash-Reports |
device-api.urbanairship.com Sonos |
App-Inbox & Benachrichtigungen |
4. Sonos-Prozess als Exclusion (Exclusion Type: Process): Den Sonos-Controller-Prozess (z.B. Sonos.exe unter Windows) ebenfalls als Prozess-Exclusion hinzufügen — damit wird auch der Real-Time-Scan für diesen Prozess ausgenommen.
Zusammenfassung der TCP/UDP-Ports (zur Info, falls ihr auch eine Sophos Firewall beim Kunden habt):
| Protokoll | Ports | Zweck |
|---|---|---|
| TCP | 80, 443 | Content-Services, Radio, Sonos-Konto Sonos |
| TCP | 1400, 1410, 1443, 1843, 3400, 3401, 3500 | Sonos-Steuerung Sonos |
| TCP | 4070 | Spotify Connect Sonos |
| TCP | 4444 | System-Updates Sonos |
| TCP | 7000 | AirPlay Sonos |
| UDP | 1900, 1901 | Sonos App-Steuerung (SSDP/UPnP) Sonos |
| UDP | 5353 | Spotify Connect (mDNS) Sonos |
| UDP | 6969 | Sonos Setup Sonos |
Quick-Check: Wenn du schnell testen willst, ob es wirklich die Web Protection ist, deaktiviere vorübergehend in der Threat Protection Policy die Option "Protect from malicious websites" für den betroffenen Rechner. Wenn Sonos dann sofort wieder läuft, weißt du sicher, dass die Website-Exclusions das Richtige sind.