HOWTO: Best Practices/Empfehlungen Konfiguration von Access Points in der WatchGuard Cloud

20. Februar 2024 Ingo Flügel Comment

Dieser Artikel soll eine Richtschnur liefern über die empfohlenen Einstellungen der WatchGuard Access Points. Diese hängen allerdings sehr von den Gegebenheiten vor Ort und der Art und dem Alter der WiFi-Clients ab. Beispielhaft richten wir hier eine Gast-SSID ein.

Update 05.06.2024 einige Parameter wurden den neusten Erkenntnissen angepasst.

Folgende Vorüberlegungen sind wichtig:

Die Netzwerkanbindung der Access Points und Konfiguration der VLAN’s
Die Ordnerstruktur in der Cloud
Die Erstellung einer Access Point Site
Machen Sie auch möglichst zuerst ein Firmware-Update

Ordner

Zur Verwaltung der Access Points in der Cloud ist es sinnvoll sich eine Ordnerstruktur zu überlegen! Hier macht bspw. Sinn: Firma (Mein Konto) – Standort – “APs”. Sie können auf das 3-Punkte Menü klicken um einen Ordner zu erstellen. Mehrere verschachtelte Ordner sind problemlos möglich.

Beim Hinzufügen eines neuen APs zur Cloud können Sie dann gleich den zuvor angelegten Ordner “APs” auswählen.

Netzwerkeinstellungen

Bei den Netzwerkeinstellungen besteht die Möglichkeit, dass sich der Access Point eine DHCP IP-Adresse zieht oder Sie weisen diesem eine statische IP-Adresse zu. Ich empfehle eine DHCP-Adresse, wenn Sie einen DHCP-Server in diesem Netzwerksegment verwenden. In meiner Labor-Umgebung erhält der AP eine Adresse vom DHCP-Server der Firewall. Die IP-Adresse habe ich zuvor als Reservierung auf der Firewall hinterlegt. So bleibt man auf der einen Seite flexibel und doch ist der AP immer unter der selben IP-Adresse erreichbar.

Management-VLAN

Empfehlung: Management VLAN nicht aktivieren.

Das Management VLAN muss immer tagged sein.

Ein Management VLAN bietet zwar die höchste Sicherheit, jedoch hat diese Einstellung einen großen Nachteil: Wenn Sie bei einem AP einen Reset durchführen oder anderweitig neu zu Ihrer Cloud-Konfiguration hinzufügen müssen, kennt der AP mit seinen werksseitigen Einstellungen, in diesem Augenblick, kein Management VLAN! Sie bekommen den AP dann nicht mehr verbunden ohne Konfigurationsanpassungen in der Cloud rückgängig machen zu müssen oder Sie müssten den AP an einen anderen Switch-Port ohne oder ungetaggten VLAN anschließen, ..der Cloud hinzuzufügen und dann wieder an den ursprünglichen Switch-Port zurückhängen. 🙁 Das ist nicht wirklich praktikabel!

Gerätekonfiguration (pro AP)

Achten Sie darauf das in den Radio-Einstellungen (pro AP) das richtige regulatorische Land ausgewählt ist.

Access Point Site

Fügen Sie den AP Ihrer Access Point Site hinzu.

Eine “Access Point Site” bietet ein Set an Konfigurations-Voreinstellungen. Nutzen Sie dieses Set als Schablone um mehreren APs die gleichen Einstellungen zuzuweisen. Der Site können dann alle APs (bspw. eines Lager-Gebäudes oder eines Filial-Standortes) zugewiesen werden. Mehrere Access Point Sites sind möglich. Das erspart Ihnen, für jeden einzelnen AP, die SSID und weitere Einstellungen konfigurieren zu müssen. Ab der Access Point Firmware Release v2.2.22-0.B691305 können Sie auch die Radio-Einstellungen komfortabel für die APs über die Access Point Site definieren.

Access Point Site Einstellungen

Die Site Einstellungen finden Sie im Menü unter Konfigurieren (Configure).

Wi-Fi-Netzwerke / SSIDs

Empfehlung: Verwenden Sie pro SSID ein eigenes VLAN.

Für ein WiFi-Gast-Netzwerk soll der Traffic getrennt vom Produktiven WiFi laufen. Hierfür nutze ich ein auf der Firewall konfiguriertes Gast-VLAN ID 40. Als Typ wählen wir überbrückt. Dadurch ziehen sich die Clients jeweils eine IP aus dem in der Firewall für VLAN ID 40 konfigurierten Netzwerkpool. Bei NAT würde der AP eine IP-Adresse beziehen, hinter dieser wären dann alle Gäste versteckt. Hier sind dann zusätzlich Netzwerkangaben notwendig. Sehr wichtig ist auch die Aktivierung der Funktion Client Isolation (Standard bei SSID-Typ: Gast) unter den erweiterten Einstellungen. Dadurch können die Clients im Gäste-WLAN sich nicht untereinander erreichen / sehen!

Bei Ablösung bestehender Geräte ist hier der WPA3/WPA2 – Personal Modus sinnvoll ansonsten ist WPA3 aus Sicherheits- und Performancegründen zu bevorzugen.

Beispiel: VLAN und Überbrückt (Empfehlung)

Beispiel: NAT

Bei WPA3

Die Client Isolation verhindert nicht nur Kommunikation mit WLAN-Clients im gleichen SSID-Netz sondern auch die Kommunikation mit Clients im angeschlossenen LAN.

Bei WPA2

Sendereinstellungen / Radios-Settings

Bei den Radio-Settings empfehle wir 20 MHz bei der Kanalbreite, es sei denn, Sie haben einen sehr hohen Anwendungsdurchsatz in Lokationen mit geringer Dichte und einer kleinen Anzahl an WiFi-Geräten.

2.4 GHz

Kanalverteilung

Bei der Verteilung der Kanäle empfehlen wir die überlappungsfreie internationale “Norm” 1, 6, 11.

Es gibt noch das Schema für Europa 1, 5, 9, 13 (bei 20 MHz Kanalbreite). Hier rät WatchGuard jedoch ab, da damit auch einige unerwartete Nebeneffekte und teils sogar Probleme entstehen. Diese Kanäle sind nicht überlappungsfrei zum klassischen Schema 1,6,11 und gerade in Nachbarschaft zu anderen WLAN Netzen ist der Effekt des verfügbaren zusätzlichen Kanals 13 dadurch ggf. nicht so groß wie gedacht. Eine etwas größere Herausforderung könnte durch Geräte entstehen, die „nur“ die international üblichen Kanäle 1,6, 11 unterstützen. Auch wenn in den Standards natürlich die Europäischen Kanäle festgelegt sind und daher Hersteller sich danach richten „sollten“ scheint es hierbei immer mal wieder Probleme zu geben. Beispielsweise bei IoT Geräten sind Problemsituationen durchaus denkbar.

Den Standard 802.11b/g bitte abschalten, dieser ist veraltet und sollte nach Möglichkeit nicht verwendet werden. Dieser sollte nur bei alten WiFi-Clients genutzt werden, die sonst keine Verbindung zum AP erhalten und nicht ersetzt werden können, beispielsweise bei älteren mobilen Lager-Scannern und mobilen Druckern (dadurch werden andere schnellere WiFi-Clients im selben Netzwerk ausgebremst).

5 GHz

Den Standard 802.11a (veraltet) nur zulassen wenn Sie ältere WiFi-Clients mit der SSID verbinden müssen, die sich sonst nicht verbinden können.

Einstellungen / Settings

Geräteeinstellungen

In der Voreinstellung finden Sie unter den Einstellungen für die NTP-Server die weltweit zentralen Pools. Verwenden Sie hier besser Ihre nächsten regionalen Server, da ein exaktes Zeitsignal für die korrekte Funktion der APs wichtig ist. Verwenden Sie als ersten Eintrag den NTP-Server der Firewall (die NTP-Server Funktion muss auf der Firewall aktiviert sein, IP der Firewall im gleichen Segment wie die DHCP IP Adresse) oder Ihren primären DC und im weiteren zwei regionale Pools wie bspw. die folgenden aus Deutschland.

- (Primärer DC oder IP der Firewall)
- 0.de.pool.ntp.org (Bsp. öffentlicher Regionaler Server)
- 2.de.pool.ntp.org (Bsp. öffentlicher Regionaler Server)

Hinweise

Das angegebene Scan-Intervall gilt immer ab Boot-Zeitpunkt. Daher ist es sinnvoll außerhalb der Arbeitszeit einen Reboot der APs zu forcieren.

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Firewall / VPN

WatchGuard Access Points

Indoor Access Points

Outdoor Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Follow-Up Q&A-Session:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen