Konfiguration der SSID-Einstellungen von Access Points

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP330, AP332CR, AP430CR, AP432)

Sie können die WLAN-SSIDs, die von Ihren Access Points gesendet werden und es WLAN-Clients ermöglichen, sich mit Ihrem Netzwerk zu verbinden, konfigurieren.

Access Points können zwei verschiedene Typen von Einstellungen haben:

SSID-Einstellungen für einen Access Point konfigurieren

So konfigurieren Sie in WatchGuard Cloud SSID-Einstellungen auf Geräteebene für einen Access Point:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie den Access Point, den Sie konfigurieren möchten.
  3. Wählen Sie Gerätekonfiguration.
    Die Seite für die Gerätekonfiguration wird geöffnet.

Screen shot of the main Device Configuration page for access points in WatchGuard Cloud

  1. Klicken Sie in der Kachel Wi-Fi-Netzwerke auf SSIDs.

SSID-Einstellungen für eine Access Point Site konfigurieren

So konfigurieren Sie in WatchGuard Cloud SSID-Einstellungen für eine Access Point Site:

  1. Wählen Sie Konfigurieren > Access Point Sites.
  2. Wählen Sie eine vorhandene Site aus oder fügen Sie eine neue Site hinzu.
  3. Klicken Sie auf der Registerkarte Konfigurationsdaten in der Kachel Wi-Fi-Netzwerke auf SSIDs.

Screen shot of the Configuration Details page in an Access Points Site

SSIDs verwalten

Auf der Seite SSIDs sind Ihre konfigurierten Wi-Fi-Netzwerke mit folgenden Informationen aufgeführt:

Screen of the SSIDs page for an access point in WatchGuard Cloud

  • SSID-Name — Der Name der Wi-Fi-Netzwerk-SSID. Es gibt zwei Typen von SSIDs: eine auf Geräteebene und eine von einer Access Point Site konfigurierte SSID, die durch gekennzeichnet ist. Auf dieser Seite können Sie nur SSIDs auf Geräteebene hinzufügen oder löschen. Weitere Informationen über Access Point Sites finden Sie unter Über Access Point Sites.
  • Broadcast — Gibt an, ob der SSID-Name gesendet wird und für Wi-Fi-Clients sichtbar ist.
  • Sicherheit — Der auf diesem Netzwerk konfigurierte Sicherheitstyp, beispielsweise WPA2 Personal, WPA3 Personal oder Offen.
  • Sender — Die Access Point-Sender, die diese SSID senden.

Zum Sortieren der SSID-Liste klicken Sie auf einen Spaltentitel.

Klicken Sie auf eine vorhandene SSID, um deren Einstellungen zu ändern, oder klicken Sie auf SSID hinzufügen, um ein neues WLAN-Netzwerk hinzuzufügen.

SSID hinzufügen

Zum Hinzufügen einer SSID klicken Sie auf .

Sie können auf den Registerkarten unterschiedliche Einstellungen für die SSID konfigurieren: Funknetzeinstellungen, Zugangskontrolle, Planung, Verkehrsformung und erweiterte Einstellungen.

Nach der Konfiguration Ihres WLAN-Netzwerks speichern Sie die SSID mit einem Klick auf Hinzufügen.

Stellen Sie sicher, dass Sie nach dem Speichern der Konfiguration die Konfigurationsänderungen auf Ihrem Access Point bereitstellen. Weitere Informationen finden Sie unter Bereitstellung von Gerätekonfigurationen verwalten und Bereitstellungsverlauf für einen Access Point.

Auf der Registerkarte Wireless können Sie den SSID-Namen konfigurieren, angeben, ob das Netzwerk privat oder für Gäste ist, welche Sender die SSID senden, die SSID-Sicherheit aktivieren, ein Infoblatt mit WLAN-QR-Code erstellen, einen SSID-QR-Code herunterladen und Netzwerkeinstellungen konfigurieren.

Screen shot of the SSID wireless settings page for an access point

  • SSID-Name — Geben Sie den SSID-Namen ein. Dies ist der Name für dieses WLAN-Netzwerk, der für Clients angezeigt wird.
  • SSID aussenden — Aktivieren Sie das Kontrollkästchen SSID aussenden, um den SSID-Namen an WLAN-Clients zu senden. Wenn Sie den SSID-Namen verbergen möchten, deaktivieren Sie dieses Kontrollkästchen.
  • SSID-Typ
  • Privat — Erstellen Sie ein privates WLAN-Netzwerk.
  • Gast — Erstellen Sie ein WLAN-Gastnetzwerk mit begrenztem Zugriff, um Geräte und Ressourcen in Ihrem privaten WLAN-Netzwerk zu schützen. Wenn Sie ein Gast-Netzwerk wählen, ist Client-Isolation standardmäßig ebenfalls aktiviert. Weitere Informationen finden Sie unter Client-Isolation.

Um verschiedene IP-Adressbereiche auf Ihre WLAN-Netzwerke anzuwenden, können Sie die SSID im NAT-Modus im Abschnitt Netzwerk konfigurieren.

  • Sender — Wählen Sie die Access Point-Funkmodule (2,4 GHz, 5 GHz, oder 2,4 GHz und 5 GHz), die diese SSID aussenden.
  • Sicherheit — Wählen Sie den Typ der Sicherheit für diese SSID.
  • Offen — Open bedeutet, dass keine Sicherheitsverschlüsselung angewendet wird. Diese Option wird typischerweise für öffentliche Gastnetzwerke verwendet.
  • OWE — Opportunistic Wireless Encryption (OWE), auch als Enhanced Open bekannt, ist das neueste und sicherste offene Protokoll für Wi-Fi 6 (802.11ax) Access Points, das jedem Endnutzer eine Verschlüsselung bietet, die den Datenaustausch zwischen dem Client und dem WLAN-Netzwerk schützt. So können Sie ein offenes Netzwerk mit Datenschutz ohne Authentifizierung einrichten. Clients ohne OWE-Unterstützung können sich mit einer SSID, die mit OWE konfiguriert ist, nicht verbinden. Sowohl der Access Point als auch der Client müssen OWE unterstützen.
  • WPA2 Personal (Standard) — WPA2 ist das neueste und sicherste Protokoll für 802.11a/b/g/n/ac Access Points. Sie müssen eine Passphrase eingeben, die WLAN-Benutzer verwenden müssen, um sich mit dieser SSID zu verbinden.
  • WPA3/WPA2 — Eine Kombination der WPA3 und WPA2-Protokolle. Sie müssen eine Passphrase eingeben, die WLAN-Benutzer verwenden müssen, um sich mit dieser SSID zu verbinden.
  • WPA3 Personal — WPA3 ist das neueste und sicherste Protokoll (802.11ax) für Wi-Fi 6-Geräte. WPA3 ermöglicht Protected Management Frames (802.11w) für mehr Sicherheit. WLAN-Clients müssen ebenfalls 802.11ax unterstützen, um WPA3 nutzen zu können. Sie müssen eine Passphrase eingeben, die WLAN-Benutzer verwenden müssen, um sich mit dieser SSID zu verbinden.
  • Passphrase — Falls Sie eine Sicherheitsmethode gewählt haben, die einen gemeinsam verwendeten Schlüssel nutzt, wie WPA2 Personal oder WPA3 Personal, geben Sie die zu verwendende Passphrase ein. WLAN-Benutzer müssen diese Passphrase angeben, wenn Sie eine Verbindung zu der SSID herstellen.

Momentan gibt es anscheinend noch Probleme bei WLAN-Clients mit älteren Betriebssystemen ohne WPA3-Unterstützung, die sich nicht mit einer SSID mit gemischter WPA3/WPA2-Sicherheit verbinden können. Weitere Informationen finden Sie in der WatchGuard-Wissensdatenbank.

  • WPA2 Enterprise — Das WPA2-Protokoll mit Enterprise-RADIUS-Authentifizierung. Ab Access Point-Firmware v2.1 können Sie die RADIUS-Attribute Called Station ID und NAS ID in den erweiterten Einstellungen einer SSID benutzerdefiniert anpassen. Weitere Informationen finden Sie unter RADIUS-Authentifizierung für einen Access Point konfigurieren.
  • WPA3 Enterprise — Das WPA3-Protokoll mit Enterprise-RADIUS-Authentifizierung. Bei WPA3 Enterprise können Sie auch den 192-Bit-Modus (WPA3 Enterprise Suite B) aktivieren, um die Verschlüsselungssicherheit in sensiblen Firmenumgebungen zu erhöhen. Der WPA3 Enterprise 192-Bit-Modus erfordert Access Point-Firmware v2.1 oder höher. Ab Access Point-Firmware v2.1 können Sie die RADIUS-Attribute Called Station ID und NAS ID in den erweiterten Einstellungen einer SSID benutzerdefiniert anpassen. Weitere Informationen finden Sie unter RADIUS-Authentifizierung für einen Access Point konfigurieren.
  • Authentifizierungsdomäne — Bei Auswahl von WPA2 Enterprise oder WPA3 Enterprise müssen Sie eine Authentifizierungsdomäne mit Ihren konfigurierten RADIUS-Servern aus der Dropdown-Liste auswählen. Weitere Informationen finden Sie unter Access Point-Authentifizierungsdomänen. Sind keine Authentifizierungsdomänen konfiguriert, müssen Sie eine Authentifizierungsdomäne unter Konfigurieren > Gemeinsame Konfigurationen > Authentifizierungsdomänen hinzufügen.
  • Weitere Informationen finden Sie unter Access Point-Authentifizierungsdomänen.
  • Weitere Informationen zur Nutzung von RADIUS zur Authentifizierung von WLAN-Clients finden Sie unter RADIUS-Authentifizierung für einen Access Point konfigurieren.

SSID-QR-Code

Sie können einen QR-Code erstellen und drucken, der es WLAN-Benutzern ermöglicht, sich unkompliziert mit einer Access Point-SSID zu verbinden. Weitere Informationen finden Sie unter QR-Codes für die Access Point-SSID konfigurieren.

Netzwerk

  • VLAN aktivieren‭ — Um Ihre WLAN-Netzwerk-SSID einem VLAN auf Ihrem Netzwerk zuzuweisen, aktivieren Sie das Kontrollkästchen VLAN aktivieren. Beispielsweise können Sie VLANs so konfigurieren, dass sie den Datenverkehr zwischen Ihren SSIDs aufteilen, z. B. zwischen privaten und Gast-SSIDs. Sie können für jede SSID eine VLAN-ID zwischen 1 und 4094 zuweisen. Weitere Informationen zu VLANs und Ihren WLAN-Netzwerken finden Sie unter Access Points und VLANs.
  • Überbrückt (Standard) — Verwenden Sie ein Bridge-Netzwerk, wenn der Access Point und die mit dem Access Point verknüpften Clients sich im selben Subnetz befinden.
  • NAT — Nutzen Sie Netzwerk-Adressübersetzung (NAT), wenn Sie die Clients und den Access Point in einem separaten Subnetz haben möchten. WLAN-Clients nutzen einen vom Access Point zugewiesenen privaten IP-Adress-Pool. Sie müssen NAT verwenden, um diese SSID mit einem Access Point VPN zu nutzen. Weitere Informationen finden Sie unter Ein Access Point VPN konfigurieren. Fast Roaming ist bei Verwendung von NAT deaktiviert.

    Bei der Aktivierung von NAT müssen Sie folgende Einstellungen konfigurieren:
  • Lokale IP-Adresse (Gateway) — Eine IP-Adresse im ausgewählten Netzwerk außerhalb des DHCP-Adress-Pools. Diese Adresse wird als Gateway-Adresse für die Clients im WLAN-Netzwerk verwendet.
  • Subnetzmaske — Die Netzmaske für das ausgewählte Netzwerk.
  • DHCP-Pool Start-IP-Adresse — Die Start IP-Adresse des DHCP-Adress-Pools im gewählten Netzwerk.
  • DHCP-Pool End IP-Adresse — Die End IP-Adresse des DHCP-Adress-Pools im gewählten Netzwerk.
  • Lease-Zeit — Die DHCP-Lease-Zeit in Stunden (1 bis 24).
  • Primarer und sekundärer DNS-Server — Die primären und sekundären DNS-Server, an die WLAN-Clients DNS-Abfragen stellen.

Um den Zugang für bestimmte WLAN-Clients anhand ihrer MAC-Adresse zu kontrollieren, aktivieren Sie die MAC-Adressenliste für Zugangskontrolle.

  • Verwenden Sie die Liste der zugelassenen MAC-Adressen, um nur den Zugriff für die von Ihnen angegebenen Client-MAC-Adressen zuzulassen.
  • Verwenden Sie die Liste der blockierten MAC-Adressen, um WLAN-Clients basierend auf den von Ihnen angegebenen MAC-Adressen zu blockieren.

Um eine neue Adresse hinzuzufügen, klicken Sie auf MAC-Adresse hinzufügen. Wenn Sie fertig sind, speichern Sie die Zugangskontrollliste mit einem Klick auf Hinzufügen.

Screen shot of the SSID access control settings for an access point

Die Höchstzahl der unterstützten MAC-Adressen hängt von der Firmware-Version des Access Points ab.

  • Access Points mit einer Firmware ab Version 1.1.24 unterstützen maximal 256 MAC-Adressen.
  • Geräte mit einer Firmware-Version niedriger als 1.1.24 unterstützen nur maximal 32 MAC-Adressen. Importierte Listen für diese Geräte werden auf 32 Adressen gekürzt.

Liste der MAC-Adressen importieren

Zum Hochladen einer Liste mit mehreren MAC-Adressen klicken Sie auf Liste der MAC-Adressen importieren.

Screen shot of the Import MAC Address List dialog box

Sie können eine Liste der MAC-Adressen in das Feld ziehen oder die Datei mit der Liste der MAC-Adressen auswählen.

Die Datei mit der Liste der MAC-Adressen muss im Format mit kommagetrennten Werten (CSV) vorliegen und eine MAC-Adresse sowie eine optionale Beschreibung beinhalten.

Um beispielsweise Adressen mit einer Beschreibung zu importieren:

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description

Um Adressen ohne eine Beschreibung zu importieren:

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

Um Adressen mit und ohne Beschreibung zu importieren:

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4

Wenn die importierte Datei analysiert ist, können Sie die MAC-Adressen für den Import auswählen. Mit einem Klick auf Speichern importieren Sie die MAC-Adressen.

Screen shot of the SSID access control import settings for an access point

Geben Sie den Zeitraum für die Freigabe des Wi-Fi-Zugangs für diese SSID an. Dies beschränkt den Zugang zu dieser SSID anhand der von Ihnen konfigurierten Zeiten. Beispielsweise könnten Sie den WLAN-Gastzugang auf die Geschäftszeiten beschränken. Die Zeiten basieren auf dem 24-Stunden-System mit 30 Minuten als kleinstem Intervall.

Die Standardeinstellung ist Immer verfügbar. Sie können auch einen vorkonfigurierten Zeitplan mit 8:00 Uhr bis 17:00 Uhr von Montag bis Freitag auswählen oder einen Benutzerdefinierten Zeitplan erstellen.

Ein mit dieser SSID konfiguriertes Access Point-VPN wird ebenfalls gemäß des konfigurierten SSID-Plans aktiviert und deaktiviert. Weitere Informationen finden Sie unter Ein Access Point VPN konfigurieren.

Screen shot of the SSID scheduling settings for an access point

Sie können die Bandbreitenkontrolle aktivieren, die den Bandbreitenverbrauch dieser SSID begrenzt. Beispielsweise können Sie Beschränkungen Ihrer Gast-SSID aktivieren, damit Gastnutzer nicht zu viel Bandbreite nutzen und die WLAN-Performance in Ihrem privaten WLAN-Netzwerk beeinträchtigen.

Zum Aktivieren der Bandbreitenkontrolle wählen Sie SSID-Bandbreitenkontrolle.

Geben Sie Upload-Limit und Download-Limit in Mbit/s an. Sie können einen Wert von 1 bis 999 Mbit/s wählen.

Diese Beschränkungen werden auf Datenverkehr der gesamten SSID angewendet.

Um diese Upload- und Download-Limits auf einzelne Benutzer der SSID anzuwenden, wählen Sie das entsprechende KontrollkästchenPro Client.

Screen shot of the SSID traffic shaping settings for an access point

Mit den erweiterten Optionen können Sie zusätzliche Verwaltungs-, Sicherheits- und Lenkungsoptionen für diese SSID konfigurieren.

Screen shot of the SSID advanced settings for an access point

  • Protected Management Frames (802.11w) — Für WPA2- und WPA3-Sicherheitsverschlüsselung können Sie zusätzlich Management Frame Protection aktivieren, um Spoofing-Angriffe mit Deauthentication und Disassociation Frames zu verhindern. Sie können Alle Clients zulassen wählen, wobei nur 802.11w-fähige Clients geschützt werden, oder Nur 802.11w fähige Clients zulassen wählen. 802.11w ist verpflichtend und für die WPA3-Verschlüsselung automatisch aktiviert.
  • Called Station ID/NAS ID — Für die WPA2 und WPA3 Enterprise-Authentifizierung können Sie RADIUS-Attribute anpassen, die den Access Point und Client bei der Authentifizierung für den RADIUS-Server identifizieren. Sie können benutzerdefinierten Text [a-z, A-Z, 0-9, -] in Verbindung mit den vordefinierten Variablen eingeben. Die maximale Länge beträgt 84 Zeichen. Achten Sie bei der Verwendung von Variablen darauf, dass die maximale Länge nicht überschritten wird.
  • %m — MAC-Adresse der Access Point-Ethernet-Schnittstelle
  • %s — SSID-Name
  • %n — Gerätename

Diese Funktion erfordert Access Point-Firmware v2.1 oder höher. Weitere Informationen finden Sie unter RADIUS-Authentifizierung für einen Access Point konfigurieren.

Screen shot of the SSID advanced settings (Called Station ID/NAS ID) for an access point

  • Fast Roaming (802.11k/r) — Wenn Sie WPA2 Sicherheitsverschlüsselung wählen, können Sie Fast Roaming aktivieren, um die Zeit für die erneute Authentifizierung für einen WLAN-Client zu reduzieren, wenn er von einem WatchGuard-Access Point zu einem anderen Access Point wechselt. So kann der WLAN-Client einen schnellen Übergang bei der WLAN-Kommuniktaion gewährleisten, was die Performance und Stabilität von Streaming-intensiven Anwendungen, wie VoIP und Video-Streaming verbessert. WLAN-Clients müssen die Standards 802.11k und 802.11r unterstützen, um Fast Roaming nutzen zu können. Fast Roaming ist bei Verwendung von NAT im SSID deaktiviert. Fast Roaming ist bei WPA3 automatisch aktiviert.
  • Band Steering — Band Steering lenkt WLAN-Clients aktiv vom 2,4-GHz-Band zum weniger genutzten 5-GHz-Band, um zu einem Ausgleich der zugeordneten Clients zwischen den 2,4-GHz- und 5-GHz-Sendern auf dem Access Point beizutragen. Band Steering aktiviert darüber hinaus die Unterstützung von 802.11v, um das Roaming-Verhalten für Clients zu verbessern und sie beim Wechsel zum bestgeeigneten Access Points zu unterstützen.

Screen shot of the SSID advanced settings for an access point

Sie können aus den folgenden Einstellungen wählen:

  • Clients ausgleichen: Verteilt die WLAN-Client-Last zwischen den 2,4-GHz- und 5-GHz-Sendern. Geben Sie im Textfeld Ausgleichsverhältnis den Prozentsatz der Clients an, die den 5-GHz-Sender nutzen können. Der restliche Prozentsatz muss den 2,4-GHz-Sender nutzen.
  • 5 GHz bevorzugen (Standard): Clients werden zum 5-GHz-Band übergeben, wenn die Signalstärke des Clients im 5 GHz-Band höher ist als die konfigurierte RSSI-Schwelle (Standard -75 dBm).
  • 5 GHz erzwingen: Ermöglicht die Nutzung zusätzlicher Verwaltungspakete, um sicherzustellen, dass die Verbindung eines Clients zum 2,4-GHz-Sender immer getrennt wird und dass der Client bei der erneuten Verbindung zum Access Point zum 5-GHz-Sender übergeben wird.
  • Client-Isolation — Verhindert, dass WLAN-Clients direkt mit anderen WLAN- oder Wired-Clients und -Geräten kommunizieren, wenn sie mit demselben Netzwerk verbunden sind. Client-Isolation ist in typischen Gast-WLAN-Zugangsbereitstellungen nützlich, um eine Kommunikation zwischen Gast-Clients und anderen Clients und Geräten im Netzwerk zu verhindern. Client-Isolation ist standardmäßig aktiviert, wenn die SSID als Gast-SSID konfiguriert ist.
  • Erzwingen für Netzwerkzugriff — Erzwingen für Netzwerkzugriff bietet eine zusätzliche Schutzebene, wenn ein WLAN-Client sich mit dem Firmennetzwerk verbindet. Erzwingen für Netzwerkzugriff erfordert, dass auf einem WLAN-Client ein WatchGuard Endpoint Security-Produkt (WatchGuard Advanced EPDR, EPDR, EDR, EDR Core oder EPP) installiert ist, damit das Gerät sich mit dem WLAN-Netzwerk verbinden kann. Erzwingen für Netzwerkzugriff erfordert eine Access Point-Firmware ab v2.1. Weitere Informationen finden Sie unter Erzwingen für Netzwerkzugriff bei Access Points.

Screen shot of the SSID advanced settings for an access point

Related Topics

Geräteeinstellungen von Access Points konfigurieren

Sendereinstellungen eines Access Points konfigurieren

Über Access Point Sites