SSID-Einstellungen von Access Points konfigurieren

Auf der Registerkarte WLAN können Sie den SSID-Namen konfigurieren, angeben, ob das Netzwerk privat oder für Gäste ist, welche Sender die SSID senden, die SSID-Sicherheit aktivieren, ein Infoblatt mit WLAN-QR-Code erstellen, einen SSID-QR-Code herunterladen und Netzwerkeinstellungen konfigurieren.

• SSID-Name — Geben Sie den SSID-Namen ein. Dies ist der Name für dieses WLAN-Netzwerk, der für Clients angezeigt wird.
• SSID aussenden — Aktivieren Sie das Kontrollkästchen SSID aussenden, um den SSID-Namen an WLAN-Clients zu senden. Wenn Sie den SSID-Namen verbergen möchten, deaktivieren Sie dieses Kontrollkästchen.
• SSID-Typ
• Privat — Erstellen Sie ein privates WLAN-Netzwerk.
• Gast — Erstellen Sie ein WLAN-Gastnetzwerk mit begrenztem Zugriff, um Geräte und Ressourcen in Ihrem privaten WLAN-Netzwerk zu schützen. Wenn Sie ein Gast-Netzwerk wählen, ist Client-Isolation standardmäßig ebenfalls aktiviert. Weitere Informationen finden Sie unter Client-Isolation.

Um verschiedene IP-Adressbereiche auf Ihre WLAN-Netzwerke anzuwenden, können Sie die SSID aufrufen im NAT-Modus laut Abschnitt Netzwerk .

• Sender — Wählen Sie die Access Point-Sender (2,4 GHz, 5 GHz, oder 2,4 GHz und 5 GHz), die diese SSID aussenden.
• Sicherheit — Wählen Sie den Typ der Sicherheit für diese SSID.
• Open — Open (Offen) bedeutet, dass keine Sicherheitsverschlüsselung angewendet wird. Diese Option wird typischerweise für öffentliche Gastnetzwerke verwendet.
• OWE — Opportunistic Wireless Encryption (OWE), auch als Enhanced Open bekannt, ist das neueste und sicherste offene Protokoll für Wi-Fi 6 (802.11ax) Access Points, das jedem Endnutzer eine Verschlüsselung bietet, die den Datenaustausch zwischen dem Client und dem WLAN-Netzwerk schützt. So können Sie ein offenes Netzwerk mit Datenschutz ohne Authentifizierung einrichten. Clients ohne OWE-Unterstützung können sich mit einer SSID, die mit OWE konfiguriert ist, nicht verbinden. Sowohl der Access Point als auch der Client müssen OWE unterstützen.
• WPA2 Personal (Standard) — WPA2 ist das neueste und sicherste Protokoll für 802.11a/b/g/n/ac Access Points. Sie müssen eine Passphrase eingeben, die WLAN-Benutzer verwenden müssen, um sich mit dieser SSID zu verbinden.
• WPA3/WPA2 — Eine Kombination der WPA3 und WPA2-Protokolle. Sie müssen eine Passphrase eingeben, die WLAN-Benutzer verwenden müssen, um sich mit dieser SSID zu verbinden.
• WPA3 Personal — WPA3 ist das neueste und sicherste Protokoll (802.11ax) für Wi-Fi 6-Geräte. WPA3 ermöglicht Protected Management Frames (802.11w) für mehr Sicherheit. WLAN-Clients müssen ebenfalls 802.11ax unterstützen, um WPA3 nutzen zu können. Sie müssen eine Passphrase eingeben, die WLAN-Benutzer verwenden müssen, um sich mit dieser SSID zu verbinden.
• Passphrase — Falls Sie eine Sicherheitsmethode gewählt haben, die einen gemeinsam verwendeten Schlüssel nutzt, wie WPA2 Personal oder WPA3 Personal, geben Sie die zu verwendende Passphrase ein. WLAN-Benutzer müssen diese Passphrase angeben, wenn Sie eine Verbindung zu der SSID herstellen.

Momentan gibt es anscheinend noch Probleme bei WLAN-Clients mit älteren Betriebssystemen ohne WPA3-Unterstützung, die sich nicht mit einer SSID mit gemischter WPA3/WPA2-Sicherheit verbinden können. Weitere Informationen finden Sie in der WatchGuard-Wissensdatenbank.

• WPA2 Enterprise — Das WPA2-Protokoll mit Enterprise-RADIUS-Authentifizierung. Ab Access Point-Firmware v2.1 können Sie die RADIUS-Attribute Called Station ID und NAS ID in den erweiterten Einstellungen einer SSID benutzerdefiniert anpassen. Weitere Informationen finden Sie unter RADIUS-Authentifizierung für Access Points konfigurieren.
• WPA3 Enterprise — Das WPA3-Protokoll mit Enterprise-RADIUS-Authentifizierung. Bei WPA3 Enterprise können Sie auch den 192-Bit-Modus (WPA3 Enterprise Suite B) aktivieren, um die Verschlüsselungssicherheit in sensiblen Firmenumgebungen zu erhöhen. Der WPA3 Enterprise 192-Bit-Modus erfordert Access Point-Firmware v2.1 oder höher. Ab Access Point-Firmware v2.1 können Sie die RADIUS-Attribute Called Station ID und NAS ID in den erweiterten Einstellungen einer SSID benutzerdefiniert anpassen. Weitere Informationen finden Sie unter RADIUS-Authentifizierung für Access Points konfigurieren.
• Authentifizierungsdomäne — Bei Auswahl von WPA2 Enterprise oder WPA3 Enterprise müssen Sie eine Authentifizierungsdomäne mit Ihren konfigurierten RADIUS-Servern aus der Dropdown-Liste auswählen. Weitere Informationen finden Sie unter Access Point-Authentifizierungsdomänen. Sind keine Authentifizierungsdomänen konfiguriert, müssen Sie eine Authentifizierungsdomäne unter Konfigurieren > Gemeinsame Konfigurationen > Authentifizierungsdomänen hinzufügen.
• Weitere Informationen finden Sie unter Access Point-Authentifizierungsdomänen.
• Weitere Informationen zur Nutzung von RADIUS zur Authentifizierung von WLAN-Clients finden Sie unter RADIUS-Authentifizierung für Access Points konfigurieren.

SSID-QR-Code

Sie können einen QR-Code erstellen und drucken, der es WLAN-Benutzern ermöglicht, sich unkompliziert mit einer Access Point-SSID zu verbinden. Weitere Informationen finden Sie unter QR-Codes für die Access Point-SSID konfigurieren.

Netzwerk

Im Abschnitt Netzwerk können Sie die Netzwerk-Einstellungen für Ihre SSID konfigurieren.

• VLAN aktivieren‭ — Ermöglicht Ihnen, die SSID Ihres WLAN-Netzwerks einer VLAN-ID in Ihrem Netzwerk zuzuordnen. Sie können für jede SSID manuell eine VLAN-ID zwischen 1 und 4094 zuweisen. Beispielsweise können Sie VLANs so konfigurieren, dass sie den Netzwerk-Datenverkehr zwischen Ihren SSIDs aufteilen, z. B. zwischen privaten und Gast-SSIDs. Weitere Informationen zu VLANs und WLAN-Netzwerken finden Sie unter Access Points und VLANs.
  Diese VLAN-Optionen werden angezeigt, wenn Sie WPA2 oder WPA3 Enterprise-Sicherheit für die SSID konfigurieren:
• Untagged VLAN — Die SSID ist als Untagged VLAN konfiguriert. Es ist keine Tagged VLAN-ID zugewiesen. Dies ist die Standardeinstellung.
• Dynamisches VLAN durch RADIUS zugewiesen — Aktivieren Sie die dynamische VLAN-Zuweisung für einen WLAN-Client. Das dem Client zugewiesene VLAN basiert auf den Benutzerinformationen, die vom RADIUS-Server nach erfolgreicher Authentifizierung bereitgestellt werden.
  Wenn vom RADIUS-Server kein VLAN-Attribut für den Benutzer zurückgegeben wird, können Sie aus der Dropdown-Liste Nicht Zugewiesene RADIUS-Clients das VLAN als Untagged oder als das VLAN zuweisen, das Sie manuell für die SSID konfiguriert haben. Weitere Informationen finden Sie unter Access Point Dynamische VLANs konfigurieren.
• VLAN zugewiesen durch SSID — Sie können für jede SSID manuell eine VLAN-ID zwischen 1 und 4094 zuweisen.
• Überbrückt (Standard) — Verwenden Sie ein Bridge-Netzwerk, wenn der Access Point und die mit dem Access Point verknüpften Clients sich im selben Subnetz befinden.
• NAT — Nutzen Sie Netzwerk-Adressübersetzung (NAT), wenn Sie die Clients und den Access Point in einem separaten Subnetz haben möchten. WLAN-Clients nutzen einen vom Access Point zugewiesenen privaten IP-Adress-Pool.
• Sie können NAT nicht gleichzeitig mit dynamischen VLANs verwenden. Weitere Informationen finden Sie unter Access Point Dynamische VLANs konfigurieren.
• Sie müssen NAT aktivieren, um diese SSID mit einem Access Point VPN zu nutzen. Weitere Informationen finden Sie unter Ein Access Point VPN konfigurieren.
• Fast Roaming ist bei Verwendung von NAT deaktiviert.

Bei der Aktivierung von NAT müssen Sie folgende Einstellungen konfigurieren:

• Lokale IP-Adresse (Gateway) — Eine IP-Adresse im ausgewählten Netzwerk außerhalb des DHCP-Adress-Pools. Diese Adresse wird als Gateway-Adresse für die Clients im WLAN-Netzwerk verwendet.
• Subnetzmaske — Die Netzmaske für das ausgewählte Netzwerk.
• DHCP-Pool Start-IP-Adresse — Die Start IP-Adresse des DHCP-Adress-Pools im gewählten Netzwerk.
• DHCP-Pool End IP-Adresse — Die End IP-Adresse des DHCP-Adress-Pools im ausgewählten Netzwerk.
• Lease-Zeit — Die DHCP-Lease-Zeit in Stunden (1 bis 24).
• Primarer und sekundärer DNS-Server — Die primären und sekundären DNS-Server, an die WLAN-Clients DNS-Abfragen stellen.

Um den Zugang für bestimmte WLAN-Clients anhand ihrer MAC-Adresse zu kontrollieren, aktivieren Sie die MAC-Adressenliste für Zugangskontrolle.

• Verwenden Sie die Liste der zugelassenen MAC-Adressen, um nur den Zugriff für die von Ihnen konfigurierten Client-MAC-Adressen zuzulassen.
• Verwenden Sie die Liste der blockierten MAC-Adressen, um WLAN-Clients basierend auf den von Ihnen konfigurierten MAC-Adressen zu blockieren.

Wenn Sie die MAC-Adressenliste für Zugangskontrolle verwenden, um nur bestimmten MAC-Adressen Zugriff zu gewähren, stellen Sie sicher, dass Sie die MAC-Adressen-Randomisierung für Zugriffskontrolle im Betriebssystem Ihres WLAN-Client-Geräts deaktivieren. Weitere Informationen finden Sie unter WLAN-Client-MAC-Adressen-Randomisierung und Reporting in Wi-Fi in WatchGuard Cloud in der WatchGuard-Wissensdatenbank.

Um eine neue Adresse hinzuzufügen, klicken Sie auf MAC-Adresse hinzufügen. Wenn Sie fertig sind, speichern Sie die Zugangskontrollliste mit einem Klick auf Hinzufügen. Sie können bis zu 256 MAC-Adressen hinzufügen.

Liste der MAC-Adressen importieren

Zum Hochladen einer Liste mit mehreren MAC-Adressen klicken Sie auf Liste der MAC-Adressen importieren.

Sie können eine Liste der MAC-Adressen in das Feld ziehen oder die Datei mit der Liste der MAC-Adressen auswählen.

Die Datei mit der Liste der MAC-Adressen muss im Format mit kommagetrennten Werten (CSV) vorliegen und eine MAC-Adresse sowie eine optionale Beschreibung beinhalten.

Um beispielsweise Adressen mit einer Beschreibung zu importieren:

00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2,Description

Um Adressen ohne eine Beschreibung zu importieren:

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

Um Adressen mit und ohne Beschreibung zu importieren:

00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3,Description
00:aa:00:bb:00:c4

Wenn die importierte Datei analysiert ist, können Sie die MAC-Adressen für den Import auswählen. Mit einem Klick auf Speichern importieren Sie die MAC-Adressen.

Geben Sie den Zeitraum für die Freigabe des Wi-Fi-Zugangs für diese SSID an. Dies beschränkt den Zugang zu dieser SSID anhand der von Ihnen konfigurierten Zeiten. Beispielsweise könnten Sie den WLAN-Gastzugang auf die Geschäftszeiten beschränken. Die Zeiten basieren auf dem 24-Stunden-System mit 30 Minuten als kleinstem Intervall.

Die Standardeinstellung ist Immer verfügbar. Sie können auch einen vorkonfigurierten Zeitplan mit 8:00 Uhr bis 17:00 Uhr von Montag bis Freitag auswählen oder einen Benutzerdefinierten Zeitplan erstellen.

Ein mit dieser SSID konfiguriertes Access Point-VPN wird ebenfalls gemäß des konfigurierten SSID-Plans aktiviert und deaktiviert. Weitere Informationen finden Sie unter Ein Access Point VPN konfigurieren.

Sie können die Bandbreitenkontrolle aktivieren, die den Bandbreitenverbrauch dieser SSID begrenzt. Beispielsweise können Sie Beschränkungen Ihrer Gast-SSID aktivieren, damit Gastnutzer nicht zu viel Bandbreite nutzen und die WLAN-Performance in Ihrem privaten WLAN-Netzwerk beeinträchtigen.

Zum Aktivieren der Bandbreitenkontrolle wählen Sie SSID-Bandbreitenkontrolle.

Geben Sie Upload-Limit und Download-Limit in Mbit/s an. Sie können einen Wert von 1 bis 999 Mbit/s wählen.

Diese Beschränkungen werden auf Datenverkehr der gesamten SSID angewendet.

Um diese Upload- und Download-Limits auf einzelne Benutzer der SSID anzuwenden, wählen Sie das entsprechende Kontrollkästchen Pro Client.

Mit den erweiterten Optionen können Sie zusätzliche Verwaltungs-, Sicherheits- und Lenkungsoptionen für diese SSID konfigurieren.

• Protected Management Frames (802.11w) — Für WPA2- und WPA3-Sicherheitsverschlüsselung können Sie zusätzlich Management Frame Protection aktivieren, um Spoofing-Angriffe mit Deauthentication und Disassociation Frames zu verhindern. Sie können Alle Clients zulassen wählen, wobei nur 802.11w-fähige Clients geschützt werden, oder Nur 802.11w-fähige Clients zulassen wählen. 802.11w ist verpflichtend und für die WPA3-Verschlüsselung automatisch aktiviert.
• Called Station ID/NAS ID — Für die WPA2 und WPA3 Enterprise-Authentifizierung können Sie RADIUS-Attribute anpassen, die den Access Point und Client bei der Authentifizierung für den RADIUS-Server identifizieren. Sie können benutzerdefinierten Text in Verbindung mit den vordefinierten Variablen eingeben. Das Zeichen % muss mit einer Variablen verwendet werden. Die maximale Länge des Felds beträgt 32 Zeichen. Die maximale Länge der Called Station ID oder der NAS ID beträgt bei variabler Erweiterung 84 Zeichen.
• %m — MAC-Adresse der Access Point-Ethernet-Schnittstelle
• %s — SSID-Name
• %n — Gerätename

Diese Funktion erfordert Access Point-Firmware v2.1 oder höher. Weitere Informationen finden Sie unter RADIUS-Authentifizierung für Access Points konfigurieren.

• Fast Roaming (802.11k/r) — Wenn Sie WPA2 Personal oder WPA2 Enterprise Sicherheitsverschlüsselung wählen, können Sie auch Fast Roaming aktivieren, um die Zeit für die erneute Authentifizierung für einen WLAN-Client zu reduzieren, wenn er von einem WatchGuard-Access Point zu einem anderen Access Point wechselt. So kann der WLAN-Client einen schnellen Übergang bei der WLAN-Kommunikation gewährleisten, was die Performance und Stabilität von Streaming-intensiven Anwendungen, wie VoIP und Video-Streaming verbessert. Fast Roaming wird in erster Linie für Netzwerke mit WPA2 Enterprise empfohlen, um die RADIUS-Authentifizierungszeiten beim Roaming zu reduzieren. WLAN-Clients müssen die Standards 802.11k und 802.11r unterstützen, um Fast Roaming nutzen zu können. In einigen Fällen haben ältere WLAN-Clients Probleme mit der Verbindung zu einem Netzwerk, auf dem Fast Roaming aktiviert ist. Fast Roaming ist bei Verwendung von NAT im SSID deaktiviert. Fast Roaming ist bei WPA3-Sicherheit automatisch aktiviert.
• Band Steering — Band Steering lenkt WLAN-Clients aktiv vom 2,4-GHz-Band zum weniger genutzten 5-GHz-Band, um zu einem Ausgleich der zugeordneten Clients zwischen den 2,4-GHz- und 5-GHz-Sendern auf dem Access Point beizutragen. Band Steering aktiviert darüber hinaus die Unterstützung von 802.11v, um das Roaming-Verhalten für Clients zu verbessern und sie beim Wechsel zum bestgeeigneten Access Points zu unterstützen.

Sie können aus den folgenden Einstellungen wählen:

• Clients Ausgleichen: Verteilt die WLAN-Client-Last zwischen den 2,4-GHz- und 5-GHz-Sendern. Geben Sie im Textfeld Ausgleichsverhältnis den Prozentsatz der Clients an, die den 5-GHz-Sender nutzen können. Der restliche Prozentsatz muss den 2,4-GHz-Sender nutzen.
• 5 GHz bevorzugen (Standard): Clients werden zum 5-GHz-Band übergeben, wenn die Signalstärke des Clients im 5 GHz-Band höher ist als die konfigurierte RSSI-Schwelle (Standard -75 dBm).
• 5 GHz erzwingen: Ermöglicht die Nutzung zusätzlicher Verwaltungspakete, um sicherzustellen, dass die Verbindung eines Clients zum 2,4-GHz-Sender immer getrennt wird und dass der Client bei der erneuten Verbindung zum Access Point zum 5-GHz-Sender übergeben wird.
• Client-Isolation — Verhindert, dass WLAN-Clients direkt mit anderen WLAN- oder LAN-Clients und -Geräten kommunizieren, wenn sie mit demselben Netzwerk verbunden sind. Client-Isolation ist in typischen Gast-WLAN-Zugangsbereitstellungen nützlich, um eine Kommunikation zwischen Gast-Clients und anderen Clients und Geräten im Netzwerk zu verhindern. Client-Isolation ist standardmäßig aktiviert, wenn die SSID als Gast-SSID konfiguriert ist.

  Um das Client-Isolationsnetzwerk genau zu ermitteln, muss der Access Point DHCP-Anfragen senden und erfolgreiche Antworten vom DHCP-Server empfangen können. Stellen Sie sicher, dass im DHCP-Pool des Netzwerks genügend IP-Adressen für die Access Points verfügbar sind, einschließlich der DHCP-Pools in VLAN-Netzwerken. Wir empfehlen Ihnen, eine DHCP-Reservierung für die MAC-Adresse des Access Points einzurichten, um eine ordnungsgemäße Netzwerkfunktion sicherzustellen.

• Erzwingen für Netzwerkzugriff — Erzwingen für Netzwerkzugriff bietet eine zusätzliche Schutzebene, wenn ein WLAN-Client sich mit dem Firmennetzwerk verbindet. Erzwingen für Netzwerkzugriff erfordert, dass auf einem WLAN-Client ein WatchGuard Endpoint Security-Produkt (WatchGuard Advanced EPDR, EPDR, EDR, EDR Core oder EPP) installiert ist, damit das Gerät sich mit dem WLAN-Netzwerk verbinden kann. Erzwingen für Netzwerkzugriff erfordert eine Access Point-Firmware ab v2.1. Weitere Informationen finden Sie unter Erzwingen für Netzwerkzugriff bei Access Points.