HOWTO: Access Point AP130 AP330 AP332CR AP430CR AP432 Ersteinrichtung

Comment

Diese Anleitung soll einen kurzen Überblick über die Ersteinrichtung eines neuen WatchGuard Access Points AP130, AP330, AP332CR, AP430CR oder AP432 geben. Eine ausführliche Anleitung finden Sie unter >> Get Started with Wi-Fi in WatchGuard Cloud im WatchGuard Help Center.

Aktivierung

Zunächst wird der Access Point im WatchGuard Portal unter My WatchGuard > Activate Products registriert. Im gleichen Dialog wird die verfügbare Add-In License des Access Points aktiviert.

Danach wird für den Access Point automatisch ein FeatureKey erzeugt, der dem AP dann zugewiesen wird. Dieser kann wie auch bei den Firewalls direkt heruntergeladen werden.

Definitionen in der Firewall

In meiner Labor-Umgebung nehmen wir folgende Voraussetzungen als Beispiel:

Ich habe kein Management VLAN konfiguriert. Ich habe zwei VLANs auf der WatchGuard definiert. Eines für Gäste (Guest) und eines für die Arbeit (Work).  Beide VLANs sind dem PoE-Port der WatchGuard zugeordnet. VLAN Work ist untagged, damit sich der AP hier eine IP-Adresse ziehen kann.

Für dieses Netz sollten entsprechende Regeln für NTP, DNS, ping und HTTPS in der Firewall konfiguriert sein, damit der AP die WatchGuard Cloud erreicht.

WatchGuard Cloud

Im nächsten Schritt wird der Access Point der WatchGuard Cloud Instanz hinzugefügt.  Dazu wechseln Sie in den WatchGuard Cloud Bereich.
Zu beachten: Die Access Points werden im neuen Cloud-Bereich von WatchGuard unter My WatchGuard > WatchGuard Cloud verwaltet und nicht mehr in der „alten“ Cloud Instanz.

Wenn der Access Point angeschlossen, aber noch nicht der Cloud hinzugefügt wurde, blinkt die LED des APs orange:

In der Cloud unter Configure – Devices  – Access Point – Add Device wird der AP hinzugefügt:



Idealerweise haben Sie in der Cloud schon eine Site definiert und der Site SSIDs zugeordnet.

Für das Hinzufügen des APs müssen noch kurz folgende Schritte definiert werden:

Zeitzone: (UTC+1:00) Amsterdam, Berlin, Bern, Rome, Stockholm, Vienna

Ordner: hier können Sie einen Ordner in Ihrer Cloud angeben, dem der AP zugewiesen werden soll (dies dient der Organisation in Ihrem Cloud-Account) in meinem Beispiel ist das APs
IP Address: DHCP IP Address
Keine Management VLAN
Access Point Site:  Meine Firma (als Beispiel)
Set the admin user account password for CLI access to the device. :   <Ihr Kennwort>

Done.

In der Deployment History sieht man den folgenden Eintrag. An dieser Stelle ist etwas Geduld gefragt:

Nach erfolgreicher Einrichtung leuchtet die LED des AP konstant blau. Der AP ist nun im Status “Connected” und läuft:

Nachdem der AP in der Cloud angemeldet ist, strahlt dieser noch keine SSIDs aus. In der Cloud-Verwaltung unter KonfigurierenGeräteeinstellungen ist keine Sendeleistung ersichtlich.

Wechseln sie in die Gerätekonfiguration des APs, in die Sendeeinstellungen für das 5 GHz-Band:

Hier hat WatchGuard als regulatorisches Land schon Deutschland erkannt, dies muss durch Sie aber noch bestätigt und gespeichert werden.

Speichern Sie die Einstellung und anschließend führen Sie auch gleich die Bereitstellung durch.

D

Danach kann es einen Augenblick dauern, der AP strahlt dann die SSID’s aus und die Sendeleistung wird angezeigt.

Firmware Upgrade

In einem Fall ist mir berichtet worden, dass während des Vorgangs des Connects mit der Cloud automatisch ein Firmware-Upgrade durchgeführt wurde und der Access Point sich dadurch unverhältnismäßig lange im orange leuchtenden Zustand befand.  Stöpseln Sie in diesem Fall den AP bitte nicht ab, sondern kontrollieren Sie zunächst den Status in der Cloud.

Hinweis: Neue Geräte, die einem Standort zugeordnet sind, werden sofort bei der Erkennung aktualisiert, wenn Sie neue Geräte-Firmware-Updates für diesen Standort aktiviert haben.

In meiner Labor-Umgebung wurde mir ein Firmware-Upgrade explizit angeboten und meine Bestätigung eingeholt:

Änderungen / Deployment

Änderungen in der Cloud Instanz werden nicht sofort aktiv!
Wird eine Einstellung angepasst und mit SAVE gespeichert ist diese nicht aktiv. Sie erhalten stattdessen folgende Meldung am unteren Bildschirmrand:

Sie haben beim Drücken des blauen Links die Möglichkeit diese Änderung sofort durchzuführen oder diese zeitgesteuert zu einer bestimmten Zeit auszuführen.

Sehr gut gelöst ist auch die Deployment History. Hier haben Sie nicht nur ein Änderungsprotokoll, sondern auch die Möglichkeit nach einer Änderung zur vorherigen Konfiguration zurückzukehren.

Stati der LED

(aus der WatchGuard Hilfe >> Wi-Fi in WatchGuard Cloud access point LED indicators)
LED-Farbe Status
Einfarbig Orange oder Rot Dauerhaft orange oder rot -> Gerät fährt hoch
Blinkend orange oder rot
(schnell 100ms)		 Überprüfung der Access Point Aktivierung und FeatureKey-Download
Blinkend orange oder rot
(mitttel 500ms)		 Der Access Point registriert sich in der Cloud
Blinkend orange oder rot
(langsam alle 2 sec)		 Verbindungsprozess zu den WatchGuard Cloud Servern
Ununterbrochen blau Gerät ist online
Blinkend blau Aktion von WatchGuard Cloud, die die LED blinken lässt. Bespw. bei einem Firmware Upgrade

Update (07.06.2022)

Neben den im WatchGuard Help Artikel angegebenen Domains:

  • *.watchguard.io    for product activation and feature key updates
  • *.watchguard.com   for WatchGuard Cloud registration and connections 

möchten die Access Points weiterhin Zugriff auf:

  • *.pool.ntp.org (ntp/udp 123)
  • 8.8.8.8 (icmp)
  • google.com (http/tcp)
  • DNS erhält er von DHCP-Server (dns/udp)

Im Labor funktionierte der Access Point aber auch ohne den erlaubten Zugriff via ping auf Google.

Leave a Reply

Your email address will not be published. Required fields are marked *