{"id":18924,"date":"2024-02-20T08:28:41","date_gmt":"2024-02-20T07:28:41","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=18924"},"modified":"2026-03-16T11:12:13","modified_gmt":"2026-03-16T10:12:13","slug":"howto-best-practices-empfehlungen-konfiguration-von-access-points-in-der-watchguard-cloud","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2024\/02\/howto-best-practices-empfehlungen-konfiguration-von-access-points-in-der-watchguard-cloud\/","title":{"rendered":"HOWTO: Best Practices\/Empfehlungen Konfiguration von Access Points in der WatchGuard Cloud"},"content":{"rendered":"<p style=\"text-align: left;\">Dieser Artikel liefert eine Richtschnur \u00fcber die empfohlenen Einstellungen der WatchGuard Access Points. Diese h\u00e4ngen allerdings sehr von den Gegebenheiten vor Ort und der Art und dem Alter der Wi-Fi-Clients ab. Beispielhaft richten wir hier eine Gast-SSID ein.<\/p>\n<p>\u00c4nderungen am Artikel:<\/p>\n<ol>\n<li>Update 05.06.2024 einige Parameter wurden den neusten Erkenntnissen angepasst.<\/li>\n<li>Update 29.08.2024 Die Voraussetzungen f\u00fcr die AP Verbindung zur WG-Cloud wurden hinzugef\u00fcgt.<\/li>\n<li>Update 13.08.2025 Der Link zum LED-Indikator wurde angepasst und kleine \u00c4nderungen vorgenommen.<\/li>\n<li>Update 13.03.2025 Empfehlung f\u00fcr Konfiguration des Management-VLANs<\/li>\n<\/ol>\n<h3>Inhaltsverzeichnis<\/h3>\n<ol>\n<li style=\"list-style-type: none;\">\n<ol>\n<li><a href=\"#1\">Wichtige Vor\u00fcberlegungen<\/a><\/li>\n<li><a href=\"#2\">Voraussetzung f\u00fcr die Verbindung zur Cloud<\/a><\/li>\n<li><a href=\"#3\">Ordnerstruktur anlegen<\/a><\/li>\n<li><a href=\"#4\">Netzwerkeinstellungen<\/a><\/li>\n<li><a href=\"#5\">Management-VLAN aktivieren<\/a><\/li>\n<li><a href=\"#6\">Ger\u00e4tekonfiguration (pro AP)<\/a><\/li>\n<li><a href=\"#7\">Access Point Site hinzuf\u00fcgen<\/a><\/li>\n<li><a href=\"#8\">Access Point Sites Einstellungen<\/a><\/li>\n<li><a href=\"#9\">Einstellungen \/ Settings<\/a><\/li>\n<li><a href=\"#10\">Hinweise<\/a><\/li>\n<li><a href=\"#11\">Weiterf\u00fchrende Links<\/a><\/li>\n<\/ol>\n<\/li>\n<\/ol>\n<div style=\"border: 3px solid red; padding: 20px 20px 0px 20px;\">\n<p><strong>Hinweis:<\/strong> Wir raten generell zu einer professionellen Wi-Fi-Ausleuchtung! Bei WatchGuard besteht die M\u00f6glichkeit den kostenlosen Wi-Fi-Design Service zu nutzen: <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/supportinfos\/wi-fi-design-service\/\" target=\"_blank\" rel=\"noopener noreferrer\">&gt;&gt; Zum Wi-Fi Design Service<\/a>.<\/p>\n<\/div>\n<p><!--more--><\/p>\n<h3 id=\"1\">1. Wichtige Vor\u00fcberlegungen<\/h3>\n<ul>\n<li style=\"text-align: left;\">Die Netzwerkanbindung der Access Points und Konfiguration der VLANs<\/li>\n<li style=\"text-align: left;\">Die Ordnerstruktur in der Cloud<\/li>\n<li style=\"text-align: left;\">Die Erstellung einer Access Point Site<\/li>\n<li>Machen Sie auch m\u00f6glichst zuerst ein Firmware-Update<\/li>\n<\/ul>\n<h3 id=\"2\">2. Voraussetzung f\u00fcr die Verbindung zur Cloud<\/h3>\n<p>Die WatchGuard Cloud ist in drei Regionen verf\u00fcgbar. Regionalspezifische URLs in dieser Liste enthalten <span style=\"color: #0000ff;\">&lt;region&gt;<\/span>, wobei Sie einen dieser Regionalcodes angeben m\u00fcssen:<\/p>\n<ul>\n<li><span style=\"color: #0000ff;\">usa <\/span>= NA \/ Americas region<\/li>\n<li><span style=\"color: #0000ff;\">deu <\/span>= EMEA region<\/li>\n<li><span style=\"color: #0000ff;\">jpn <\/span>= APAC region<\/li>\n<\/ul>\n<p>In der Regel gibt es f\u00fcr die Kommunikation \u00fcber Port 80 und 443 breites vordefinierte Ausnahmen von WatchGuard. Wenn Sie planen ihre APs hinter einem VLAN oder einem Management-Netz zu setzen, sollten Sie diese Kommunikation ber\u00fccksichtigen und Regeln in der Firewall erg\u00e4nzen.<\/p>\n<table class=\"TableStyle-headertop\" cellspacing=\"0\">\n<thead>\n<tr class=\"TableStyle-headertop-Head-Header1\">\n<th class=\"TableStyle-headertop-HeadE-Column1-Header1\" scope=\"col\">Feature oder Funktion<\/th>\n<th class=\"TableStyle-headertop-HeadE-Column1-Header1\" scope=\"col\">Host Namen und IP Adressen<\/th>\n<th class=\"TableStyle-headertop-HeadD-Column1-Header1\" scope=\"col\">Ports<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr class=\"TableStyle-headertop-Body-Body1\">\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">WatchGuard Cloud Registrierung<\/td>\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">accesspoint.agent.watchguard.com<br \/>\naccesspoint.<span style=\"color: #0000ff;\"><i>&lt;region&gt;<\/i><\/span>.agent.watchguard.com<br \/>\n<span class=\"Input\">*.watchguard.io<\/span><\/td>\n<td class=\"TableStyle-headertop-BodyD-Column1-Body1\">TCP 443<\/td>\n<\/tr>\n<tr class=\"TableStyle-headertop-Body-Body2\">\n<td class=\"TableStyle-headertop-BodyE-Column1-Body2\">WatchGuard Cloud Kommunikation<\/td>\n<td class=\"TableStyle-headertop-BodyE-Column1-Body2\">accesspoint.iot.<span style=\"color: #0000ff;\"><i>&lt;region&gt;<\/i><\/span>.cloud.watchguard.com<\/p>\n<p><span class=\"Input\">*.watchguard.com<\/span><\/td>\n<td class=\"TableStyle-headertop-BodyD-Column1-Body2\">TCP 443<\/td>\n<\/tr>\n<tr class=\"TableStyle-headertop-Body-Body1\">\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">Feature Key Updates<\/td>\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">featurekeyapi.watchguard.io<\/td>\n<td class=\"TableStyle-headertop-BodyD-Column1-Body1\">TCP 443<\/td>\n<\/tr>\n<tr class=\"TableStyle-headertop-Body-Body2\">\n<td class=\"TableStyle-headertop-BodyE-Column1-Body2\">Firmware Updates<\/td>\n<td class=\"TableStyle-headertop-BodyE-Column1-Body2\">cdn.watchguard.com<\/p>\n<p><span class=\"Input\">*.watchguard.io<\/span><\/td>\n<td class=\"TableStyle-headertop-BodyD-Column1-Body2\">TCP 443<\/td>\n<\/tr>\n<tr class=\"TableStyle-headertop-Body-Body1\">\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">NTP Service<\/td>\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">*.pool.ntp.org<\/td>\n<td class=\"TableStyle-headertop-BodyD-Column1-Body1\">UDP 123<\/td>\n<\/tr>\n<tr class=\"TableStyle-headertop-Body-Body2\">\n<td class=\"TableStyle-headertop-BodyE-Column1-Body2\">Verbindungs- und DNS-Test (Google \u00f6ffentlicher DNS Server um die Internetverbindung zu \u00fcberpr\u00fcfen und initiale DNS-Aufl\u00f6sungen zu erm\u00f6glichen)<\/td>\n<td class=\"TableStyle-headertop-BodyE-Column1-Body2\">8.8.8.8<\/td>\n<td class=\"TableStyle-headertop-BodyD-Column1-Body2\">ICMP<\/td>\n<\/tr>\n<tr class=\"TableStyle-headertop-Body-Body1\">\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">Verbindungs-Test<\/td>\n<td class=\"TableStyle-headertop-BodyE-Column1-Body1\">google.com (this can include other regional domains or IP\u00a0addresses)<\/td>\n<td class=\"TableStyle-headertop-BodyD-Column1-Body1\">TCP\u00a080<\/td>\n<\/tr>\n<tr class=\"TableStyle-headertop-Body-Body2\">\n<td class=\"TableStyle-headertop-BodyB-Column1-Body2\">Diagnostik Werkzeuge (f\u00fcr Verbindungstests und zum Abrufen von IP-Adress-Geolokalisierungsdaten)<\/td>\n<td class=\"TableStyle-headertop-BodyB-Column1-Body2\">speedtest.net (dies kann auch andere regionale Dom\u00e4nen umfassen, wie speedtest.<span style=\"color: #0000ff;\">[region]<\/span> oder ookla.<span style=\"color: #0000ff;\">[region]<\/span>)<\/p>\n<p>ipinfo.io<\/td>\n<td class=\"TableStyle-headertop-BodyA-Column1-Body2\">TCP 443<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Wenn Sie einen AP hinter einer Firewall einrichten, die eine Inspektion des HTTPS-Verkehrs durchf\u00fchrt, m\u00fcssen Sie *.watchguard.io zur Ausnahme-\/Bypass-Liste f\u00fcr die Inhaltsinspektion hinzuf\u00fcgen, damit der AP einen Feature Key von den WatchGuard-Servern empfangen kann. Auf der WatchGuard Firebox ist dies standardm\u00e4\u00dfig f\u00fcr Cloud-verwaltete Fireboxen in der WatchGuard Cloud aktiviert.<\/p>\n<h3 id=\"3\">3. Ordnerstruktur anlegen<\/h3>\n<p style=\"text-align: left;\">Zur Verwaltung der Access Points in der Cloud ist es sinnvoll sich eine Ordnerstruktur zu \u00fcberlegen! Hier macht bspw. Sinn: <strong>Firma (Mein Konto)<\/strong> &#8211; <strong>Standort<\/strong> &#8211; <strong>&#8220;APs&#8221;<\/strong>. Sie k\u00f6nnen auf das 3-Punkte Men\u00fc klicken um einen Ordner zu erstellen. Mehrere verschachtelte Ordner sind problemlos m\u00f6glich.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-medium wp-image-18925 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-01-300x176.png\" alt=\"\" width=\"300\" height=\"176\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-01-300x176.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-01.png 322w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/p>\n<p>Beim Hinzuf\u00fcgen eines neuen APs zur Cloud k\u00f6nnen Sie dann gleich den zuvor angelegten <strong>Ordner<\/strong> &#8220;<strong>APs<\/strong>&#8221; <strong>ausw\u00e4hlen<\/strong>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-18927 size-full alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-02-1.png\" alt=\"\" width=\"714\" height=\"746\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-02-1.png 714w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-02-1-287x300.png 287w\" sizes=\"(max-width: 714px) 100vw, 714px\" \/><\/p>\n<h3 id=\"4\">4. Netzwerkeinstellungen<\/h3>\n<p>Bei den Netzwerkeinstellungen besteht die M\u00f6glichkeit, dass sich der Access Point eine DHCP IP-Adresse zieht oder Sie weisen diesem eine statische IP-Adresse zu. Ich empfehle eine <strong>DHCP-Adresse<\/strong>, wenn Sie einen DHCP-Server in diesem Netzwerksegment verwenden. In meiner Labor-Umgebung erh\u00e4lt der AP eine Adresse vom DHCP-Server der Firewall. Die IP-Adresse habe ich zuvor als Reservierung auf der Firewall hinterlegt. So bleibt man auf der einen Seite flexibel und doch ist der AP immer unter der selben IP-Adresse erreichbar.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-18929 size-full alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-03b.png\" alt=\"\" width=\"443\" height=\"89\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-03b.png 443w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-03b-300x60.png 300w\" sizes=\"(max-width: 443px) 100vw, 443px\" \/><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-18928 size-full alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-03a-e1706555423770.png\" alt=\"\" width=\"444\" height=\"317\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-03a-e1706555423770.png 444w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-03a-e1706555423770-300x214.png 300w\" sizes=\"(max-width: 444px) 100vw, 444px\" \/><\/p>\n<h3 id=\"5\">5. Management-VLAN<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-30513 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-Mgmt-VLAN.png\" alt=\"\" width=\"511\" height=\"138\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-Mgmt-VLAN.png 511w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-Mgmt-VLAN-300x81.png 300w\" sizes=\"(max-width: 511px) 100vw, 511px\" \/><\/p>\n<p style=\"text-align: left;\"><strong>Empfehlung<\/strong>: <strong>Management VLAN-Option nicht aktivieren<\/strong>.<\/p>\n<p>Ein Management VLAN bietet die gr\u00f6\u00dftm\u00f6gliche Sicherheit. Bei entsprechender Konfiguration erh\u00e4lt der AP eine IP-Adresse aus dem Management Netz und ist somit von dem Standard-Netz und anderen Wlan-Netzen sicher getrennt. Bei der Erstkonfiguration eines APs oder einem evtl. Reset auf Werkseinstellungen kennt der AP das Management VLAN nicht! Der AP w\u00fcrde dann zun\u00e4chst keine Verbindung zur WatchGuard-Cloud erhalten. Um dies zu umgehen und zu vereinfachen empfehlen wir:<\/p>\n<p>Am Switchport an dem der AP angeschlossen ist, setzen Sie das Mgmt VLAN auf <strong>untagged<\/strong>. Hierdurch bekommt der AP Verbindung ins Netzwerk und kann sich mit der Cloud verbinden. Diese Konfiguration ist sicher und Reset-robust.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-30514 size-large\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2-1024x477.png\" alt=\"\" width=\"800\" height=\"373\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2-1024x477.png 1024w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2-300x140.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2-768x357.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2-1536x715.png 1536w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2-800x372.png 800w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2-1200x558.png 1200w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/WiFi-VLANs-2.png 1807w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><\/p>\n<p>\u00dcberpr\u00fcfen Sie die Kommunikation zwischen AP und der Cloud\u00a0 durch Pr\u00fcfung der Protokolle im Traffic-Log der Firewall oder durch Pr\u00fcfung des AP-Webinterfaces ( https:\/\/&lt;AP-IP-Adresse&gt; ).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-30256 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-32.png\" alt=\"\" width=\"755\" height=\"574\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-32.png 755w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-32-300x228.png 300w\" sizes=\"(max-width: 755px) 100vw, 755px\" \/><\/p>\n<p>Warten Sie bis alle Punkte ein gr\u00fcnes H\u00e4kchen zeigen. Erst dann hat der AP seine vollst\u00e4ndige Konfiguration gezogen.<\/p>\n<h3 id=\"6\">6. Ger\u00e4tekonfiguration (pro AP)<\/h3>\n<p>Achten Sie darauf, dass in den Radio-Einstellungen (pro AP) das richtige regulatorische <strong>Land<\/strong> ausgew\u00e4hlt ist.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-19267\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-30.png\" alt=\"\" width=\"185\" height=\"150\" \/><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-19268\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-31.png\" alt=\"\" width=\"191\" height=\"153\" \/><\/p>\n<h3 id=\"7\">7. Access Point Site hinzuf\u00fcgen<\/h3>\n<p style=\"text-align: left;\">F\u00fcgen Sie den AP Ihrer Access Point Site hinzu:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-medium wp-image-18935 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-05-300x200.png\" alt=\"\" width=\"300\" height=\"200\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-05-300x200.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-05-272x182.png 272w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-05.png 421w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/p>\n<p>Eine &#8220;Access Point Site&#8221; bietet ein Set an Konfigurations-Voreinstellungen. Nutzen Sie dieses Set als Schablone um mehreren APs die gleichen Einstellungen zuzuweisen. Der Site k\u00f6nnen dann alle APs (bspw. eines Lager-Geb\u00e4udes oder eines Filial-Standortes) zugewiesen werden. Mehrere Access Point Sites sind m\u00f6glich. Das erspart Ihnen, f\u00fcr jeden einzelnen AP, die <strong>SSID und weitere Einstellungen<\/strong> konfigurieren zu m\u00fcssen. Ab der Access Point Firmware Release v2.2.22-0.B691305 k\u00f6nnen Sie auch die <strong>Radio-Einstellungen<\/strong> komfortabel f\u00fcr die APs <strong>\u00fcber die Access Point Site definieren<\/strong>.<\/p>\n<h3 id=\"8\">8. Access Point Sites Einstellungen<\/h3>\n<p>Die Site Einstellungen finden Sie im Men\u00fc unter Konfigurieren (Configure).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-18939 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-06-1.png\" alt=\"\" width=\"242\" height=\"421\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-06-1.png 242w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-06-1-172x300.png 172w\" sizes=\"(max-width: 242px) 100vw, 242px\" \/><\/p>\n<h5>Wi-Fi-Netzwerke \/ SSIDs<\/h5>\n<p><strong>Empfehlung<\/strong>: Verwenden Sie <strong>pro SSID<\/strong> ein <strong>eigenes VLAN<\/strong>.<\/p>\n<p>F\u00fcr ein <strong>Wi-Fi-Gast-Netzwerk<\/strong> soll der Traffic getrennt vom produktiven Wi-Fi laufen. Hierf\u00fcr nutze ich ein auf der Firewall konfiguriertes Gast-VLAN ID 40. Als Typ w\u00e4hlen wir <strong>\u00fcberbr\u00fcckt<\/strong>. Dadurch ziehen sich die Clients jeweils eine IP aus dem in der Firewall f\u00fcr VLAN ID 40 konfigurierten Netzwerkpool. Bei NAT w\u00fcrde der AP eine IP-Adresse beziehen, hinter dieser w\u00e4ren dann alle G\u00e4ste versteckt. Hier sind dann zus\u00e4tzlich Netzwerkangaben notwendig. Sehr wichtig ist auch die <strong>Aktivierung<\/strong> der Funktion <strong>Client Isolation<\/strong> (Standard bei <strong>SSID-Typ: Gast<\/strong>) unter den erweiterten Einstellungen. Dadurch k\u00f6nnen die Clients im G\u00e4ste-WLAN sich nicht untereinander erreichen \/ sehen!<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-19246 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-20.png\" alt=\"\" width=\"582\" height=\"764\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-20.png 582w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-20-229x300.png 229w\" sizes=\"(max-width: 582px) 100vw, 582px\" \/><\/p>\n<p>Bei Abl\u00f6sung bestehender Ger\u00e4te ist hier der WPA3\/WPA2 &#8211; Personal Modus sinnvoll ansonsten ist WPA3 aus Sicherheits- und Performancegr\u00fcnden zu bevorzugen.<\/p>\n<p>Beispiel: <strong>VLAN und \u00dcberbr\u00fcckt <\/strong>(Empfehlung)<strong><br \/>\n<\/strong><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-19249 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-22-vlan-gast.png\" alt=\"\" width=\"783\" height=\"154\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-22-vlan-gast.png 783w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-22-vlan-gast-300x59.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-22-vlan-gast-768x151.png 768w\" sizes=\"(max-width: 783px) 100vw, 783px\" \/><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-19254 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-23-vlan-gast-1.png\" alt=\"\" width=\"775\" height=\"88\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-23-vlan-gast-1.png 775w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-23-vlan-gast-1-300x34.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-23-vlan-gast-1-768x87.png 768w\" sizes=\"(max-width: 775px) 100vw, 775px\" \/><\/p>\n<p>Beispiel: <strong>NAT<\/strong><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-19251 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-24-vlan-gast.png\" alt=\"\" width=\"765\" height=\"140\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-24-vlan-gast.png 765w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-24-vlan-gast-300x55.png 300w\" sizes=\"(max-width: 765px) 100vw, 765px\" \/><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-19255 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-25-vlan-gast-1.png\" alt=\"\" width=\"783\" height=\"109\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-25-vlan-gast-1.png 783w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-25-vlan-gast-1-300x42.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/AP-BP-25-vlan-gast-1-768x107.png 768w\" sizes=\"(max-width: 783px) 100vw, 783px\" \/><\/p>\n<div id=\"attachment_20578\" style=\"width: 695px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-20578\" class=\"wp-image-20578 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/2024-05-27_19h05_54.png\" alt=\"\" width=\"685\" height=\"413\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/2024-05-27_19h05_54.png 685w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/2024-05-27_19h05_54-300x181.png 300w\" sizes=\"(max-width: 685px) 100vw, 685px\" \/><p id=\"caption-attachment-20578\" class=\"wp-caption-text\">Bei WPA3<\/p><\/div>\n<p>Die Client Isolation verhindert nicht nur Kommunikation mit WLAN-Clients im gleichen SSID-Netz sondern auch die Kommunikation mit Clients im angeschlossenen LAN.<\/p>\n<div id=\"attachment_19298\" style=\"width: 603px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-19298\" class=\"wp-image-19298 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-27b.png\" alt=\"\" width=\"593\" height=\"290\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-27b.png 593w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-27b-300x147.png 300w\" sizes=\"(max-width: 593px) 100vw, 593px\" \/><p id=\"caption-attachment-19298\" class=\"wp-caption-text\">Bei WPA2<\/p><\/div>\n<p>Wenn Sie unbedingt alte Clients ohne &#8220;protected Management Frames&#8221;-Unterst\u00fctzung anbinden m\u00f6chten, empfehlen wir hier ein eigenes VLAN bzw. SSID zu verwenden (das sollte eigentlich nicht vorkommen, da 802.11w bereits seit Jahren Standard ist).<\/p>\n<h5>Sendereinstellungen \/ Radios-Settings<\/h5>\n<p>Bei den Radio-Settings empfehlen wir 20 MHz bei der Kanalbreite, es sei denn, Sie haben einen sehr hohen Anwendungsdurchsatz in Lokationen mit geringer Dichte und einer kleinen Anzahl an Wi-Fi-Ger\u00e4ten.<\/p>\n<p>&nbsp;<\/p>\n<h6><strong>2.4 GHz<\/strong><\/h6>\n<h5>\u00a0<img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-20582 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-26-24ghz-1.png\" alt=\"\" width=\"536\" height=\"723\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-26-24ghz-1.png 536w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-26-24ghz-1-222x300.png 222w\" sizes=\"(max-width: 536px) 100vw, 536px\" \/> <img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-20584 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-27-24ghz.png\" alt=\"\" width=\"327\" height=\"536\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-27-24ghz.png 327w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-27-24ghz-183x300.png 183w\" sizes=\"(max-width: 327px) 100vw, 327px\" \/><\/h5>\n<p><strong>Kanalverteilung<\/strong><\/p>\n<p>Bei der Verteilung der Kan\u00e4le empfehlen wir die \u00fcberlappungsfreie internationale &#8220;Norm&#8221;\u00a0 <strong>1, 6, 11<\/strong>.<\/p>\n<p>Es gibt noch das Schema f\u00fcr Europa\u00a0 1, 5, 9, 13 (bei 20 MHz Kanalbreite). Hier r\u00e4t WatchGuard jedoch ab, da damit auch einige unerwartete Nebeneffekte und teils sogar Probleme entstehen. Diese Kan\u00e4le sind nicht \u00fcberlappungsfrei zum klassischen Schema <strong>1,6,11<\/strong> und gerade in Nachbarschaft zu anderen WLAN Netzen ist der Effekt des verf\u00fcgbaren zus\u00e4tzlichen Kanals 13 dadurch ggf. nicht so gro\u00df wie gedacht. Eine etwas gr\u00f6\u00dfere Herausforderung k\u00f6nnte durch Ger\u00e4te entstehen, die \u201enur\u201c die international \u00fcblichen Kan\u00e4le <strong>1,6, 11<\/strong> unterst\u00fctzen. Auch wenn in den Standards nat\u00fcrlich die Europ\u00e4ischen Kan\u00e4le festgelegt sind und daher Hersteller sich danach richten \u201esollten\u201c scheint es hierbei immer mal wieder Probleme zu geben. Beispielsweise bei IoT Ger\u00e4ten sind Problemsituationen durchaus denkbar.<\/p>\n<p>Den Standard<strong> 802.11b\/g<\/strong> bitte abschalten. Dieser ist veraltet und sollte nach M\u00f6glichkeit nicht verwendet werden. Dieser sollte nur bei alten Wi-Fi-Clients genutzt werden, die sonst keine Verbindung zum AP erhalten und nicht ersetzt werden k\u00f6nnen, beispielsweise bei \u00e4lteren mobilen Lager-Scannern und mobilen Druckern (dadurch werden andere schnellere Wi-Fi-Clients im selben Netzwerk ausgebremst).<\/p>\n<h6><\/h6>\n<h6><strong>5 GHz<\/strong><\/h6>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-20583 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-28-5ghz.png\" alt=\"\" width=\"591\" height=\"681\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-28-5ghz.png 591w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-28-5ghz-260x300.png 260w\" sizes=\"(max-width: 591px) 100vw, 591px\" \/><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-20585 size-full\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-29-5ghz.png\" alt=\"\" width=\"311\" height=\"546\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-29-5ghz.png 311w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/02\/AP-BP-29-5ghz-171x300.png 171w\" sizes=\"(max-width: 311px) 100vw, 311px\" \/><\/p>\n<p>Den Standard <strong>802.11a (veraltet)<\/strong> nur zulassen wenn Sie \u00e4ltere Wi-Fi-Clients mit der SSID verbinden m\u00fcssen, die sich sonst nicht verbinden k\u00f6nnen.<\/p>\n<h3 id=\"9\">9. Einstellungen \/ Settings<\/h3>\n<h5>Ger\u00e4teeinstellungen<\/h5>\n<p>In der Voreinstellung finden Sie unter den Einstellungen f\u00fcr die NTP-Server die weltweit zentralen Pools. Verwenden Sie hier <strong>besser<\/strong> Ihre n\u00e4chsten <strong>regionalen Server<\/strong>, da ein exaktes Zeitsignal f\u00fcr die korrekte Funktion der APs wichtig ist. Verwenden Sie als ersten Eintrag den NTP-Server der Firewall (die NTP-Server Funktion muss auf der Firewall aktiviert sein, IP der Firewall im gleichen Segment wie die DHCP IP Adresse) oder Ihren prim\u00e4ren DC und im weiteren zwei regionale Pools wie bspw. die folgenden aus Deutschland.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-medium wp-image-18943\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-10-208x300.png\" alt=\"\" width=\"208\" height=\"300\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-10-208x300.png 208w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2024\/01\/20240129-APBP-10.png 286w\" sizes=\"(max-width: 208px) 100vw, 208px\" \/><\/p>\n<ol>\n<li style=\"list-style-type: none;\">\n<ul>\n<li><span style=\"color: #003366;\">(Prim\u00e4rer DC oder IP der Firewall)<\/span><\/li>\n<li><span style=\"color: #003366;\">0.de.pool.ntp.org (Bsp. \u00f6ffentlicher Regionaler Server)<br \/>\n<\/span><\/li>\n<li><span style=\"color: #003366;\">2.de.pool.ntp.org (Bsp. \u00f6ffentlicher Regionaler Server)<br \/>\n<\/span><\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<h3 id=\"10\">10. Hinweise<\/h3>\n<p>Das angegebene Scan-Intervall gilt immer ab Boot-Zeitpunkt. Daher ist es sinnvoll au\u00dferhalb der Arbeitszeit einen Reboot der APs zu forcieren.<\/p>\n<h3 id=\"11\">11. Weiterf\u00fchrende Links<\/h3>\n<ul>\n<li><a href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000bzLeSAI&amp;lang=en_US\" target=\"_blank\" rel=\"noopener noreferrer\">Access point actions that result in a reboot of the device or a restart of the radios that disconnect wireless clients<\/a><\/li>\n<li><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2023\/11\/howto-access-point-factory-reset-fuer-ap130-ap330-ap332cr-ap430cr-ap432\/\" target=\"_blank\" rel=\"noopener noreferrer\">HOWTO: Access Point Factory Reset f\u00fcr AP130 AP330 AP332CR AP430CR AP432<\/a><\/li>\n<li><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/2016\/12\/einrichten-wlan-hotspots-mit-user-passwort-tickets\/\">HOWTO: Einrichten eines WLAN Hotspot mit User\/Passwort Tickets<\/a><\/li>\n<\/ul>\n<h5>Access Point LED<\/h5>\n<ul>\n<li><a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Hardware-Guides\/intro\/AP-hardware-guides.html\">Die Beschreibung des Access Point LED-Indikators finden Sie im Hardware-Guide des jeweiligen Models<\/a><span id=\"j_id0:CustomerTemplate:j_id111:j_id112:j_id120\"><\/span><\/li>\n<li>KB-Artikel:\u00a0 <span id=\"j_id0:CustomerTemplate:j_id105:j_id106:j_id132\"><a class=\"CoveoSalesforceResultLink CoveoResultLink\" tabindex=\"0\" title=\"Access point system integrity checks and failsafe mode\" href=\"https:\/\/techsearch.watchguard.com\/KB?type=Article&amp;SFDCID=kA16S000000bykOSAQ&amp;lang=en_US\" target=\"_blank\" rel=\"noopener\" data-always-open-in-new-window=\"true\" aria-label=\"Result\">Access point system integrity checks and failsafe mode<\/a><\/span>\u00a0<span id=\"j_id0:CustomerTemplate:j_id111:j_id112:j_id120\"><\/span><\/li>\n<li><a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/WG-Cloud\/Devices\/access_point\/ap_system_integrity_checks.html\">Access Point System Integrity Checks<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dieser Artikel liefert eine Richtschnur \u00fcber die empfohlenen Einstellungen der WatchGuard Access Points. Diese h\u00e4ngen allerdings sehr von den Gegebenheiten vor Ort und der Art und dem Alter der Wi-Fi-Clients ab. Beispielhaft richten wir hier eine Gast-SSID ein. \u00c4nderungen am Artikel: Update 05.06.2024 einige Parameter wurden den neusten Erkenntnissen angepasst. Update 29.08.2024 Die Voraussetzungen f\u00fcr die AP Verbindung zur WG-Cloud wurden hinzugef\u00fcgt. Update 13.08.2025 Der &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2024\/02\/howto-best-practices-empfehlungen-konfiguration-von-access-points-in-der-watchguard-cloud\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">HOWTO: Best Practices\/Empfehlungen Konfiguration von Access Points in der WatchGuard Cloud<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362,3],"tags":[728,154,396,363,947,473,760,605,628,474,438],"class_list":["post-18924","post","type-post","status-publish","format-standard","hentry","category-howto","category-watchguard-technischer-blog","tag-access-point","tag-access-points","tag-ap","tag-best-practices","tag-boc-best-practices","tag-howto","tag-led","tag-watchguard-cloud","tag-watchguard-wi-fi","tag-wi-fi","tag-wi-fi-cloud"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/18924"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=18924"}],"version-history":[{"count":70,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/18924\/revisions"}],"predecessor-version":[{"id":30543,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/18924\/revisions\/30543"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=18924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=18924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=18924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}