WLAN Verschlüsselungsproblem: Router + Accesspoint(s)

[Mr_T]

Hallo Zusammen,

ich habe eine FritzBox 6660 im Keller. Da das für den WLAN Empfang im Haus nicht so ideal ist, habe ich bereits zwei LAN Kabel ins EG und die 1. Etage gelegt. Für letztere habe ich mir nun einen Netgear WAX202 Access Point gekauft.

Ich möchte EIN WLAN-Netz im gesamten Haus haben, also gleiche SSID für alle Router/APs/Frequenzen. Das habe gestern einmal so eingerichtet, jetzt kommt nur der Punkt der Verschlüsselung/Sicherheit. Nach meinem Wissensstand muss die Art der Verschlüsselung in den verschiedenen WLANs ebenfalls übereinstimmen (korrekt?).

Nun bietet mir die FritzBox lediglich "WPA2 + WPA3" und "WPA2 (CCMP)".
Auf dem Netgear AP gibts "WPA", "WPA2 (irgendetwas anderes, auf jeden Fall nicht CCMP)" und "WPA3 personal"
Aus meiner Sicht stimmt hier keine der Verschlüsselungen 100% überein.

Beim Test (Fritzbox "WPA2 + WPA3" // Netgear AP "WPA3 personal") hat mein Handy je nachdem in welchem WLAN ich gerade war auch die entsprechende Verschlüsselung - wie an FB/AP eingestellt - angezeigt und ich musste beim ersten verbinden mit dem Netgear nochmals das Passwort eingeben....es scheint also nicht zu klappen mit dem "einen, großen WLAN-Netz".

Habt Ihr hier Tipps oder Lösungen (ein Umtausch des Netgear AP wäre in jedem Fall eine Option)?
Vielen Dank

 

[jenstv]

Jeder AP wirft sein eigenes WLAN Netz aus. Auch bei gleicher SSID und Schlüssel sind das unterschiedliche WLANs.

 

[drago1401]

3x unifi ubiquiti AC AP lite kaufen? und in allen 3 das gleiche einstellen ?
oder die 3 dumm halten und von einem controller befeuern lassen. kostet aber noch etwas mehr.

 

[Wilhelm14]

Hallo.
Auch wenn du die SSID gleich benennst und denselben Schlüssel nutzt, sind es für WLAN-Clients zwei verschiedene Netze. Das sieht nur für den Mensch als Nutzer wie "ein großes" Netz aus. Wenn du den Clients SSID und Schlüssel nennst, brauchst du es halt nur einmal einrichten. Und wie du schon festgestellt hast, ist die Verschlüsselung dem Client egal. Der handelt (hoffentlich) jeweils die beste aus.
Bei einem weiteren AVM-Gerät hättest du AP-Steering gehabt:
https://avm.de/service/wissensdaten...t-WLAN-Mesh-Steering-und-wie-funktioniert-es/
Am besten bleibt man innerhalb eines Herstellers.

 

[Timberwolf90]

Habt Ihr hier Tipps oder Lösungen (ein Umtausch des Netgear AP wäre in jedem Fall eine Option)?

Aufgrund der einfacheren Verwaltung insbesondere für Laien würde ich in dem Fall zu einem Repeater von AVM raten. Diese können sofern diese einen Netzwerkanschluss besitzen können diese auch als „LAN-Brücke“ (AVM Bezeichnung für den Accesspoint Modus) betrieben werden.

Je nach Budget würde ich zu einem AVM FRITZ!Repeater 3000 oder greifen AVM FRITZ!Repeater 6000.

Vorteile des FRITZ!Repeater 6000 in Kombination mit der FRITZ!Box 6660 Cable wäre der auf 2.5GBit beschleunigte Uplink zwischen den beiden Geräten.

 

[Mr_T]

@jenstv Ja, das ist mir klar, aber die Geräte sollen selbstständig zum stärksten AP wechseln (ob Sie das wirklich zuverlässig tun ist ja wieder etwas anderes), nur ich hab das Gefühl das verschiedene Verschlüsselungen bei sonst gleichen Einstellungen da irgendetwas durcheinander bringen...

@Wilhelm14 Komischerweise musste ich ja trotz selber SSID und Schlüssel das WLAN Passwort erneut eingeben, als ich das erste mal die Verbindung mit dem neuen AP herstellen wollte.

Generell tun sich hier gerade wieder zwei neue Möglichkeiten auf, die ich vorher nicht bedacht habe:
Fritzbox WLAN deaktivieren und zwei gleiche AP in EG und 1.OG stellen
Fritzbox kaufen und Netgear zurückgeben

@Timberwolf90 Die Repeater von AVM hatte ich nicht auf dem Schirm, der 6000er scheint mir aufgrund von WiFi6 tatsächlich eine gute Option zu sein, auch wenn der Preis beim doppelten des Netgear APs liegt

 

[Wilhelm14]

Auf die 6660 bist du vermutlich schon wegen des Kabelanschlusses angewiesen. Wäre ja durch die Brust ins Auge, erst WLAN zu deaktivieren, den Router an sich aber weiter laufen zu lassen und als Ausgleich ein zusätzliches Gerät anzuschaffen.
Hast du im EG keine Fernsehdose? Dann könnte die 6600 dort angeschlossen werden.
Musst du zwingend WLAN ax haben oder reicht ac? ax ist noch relativ teuer und wird oft nicht ausgereizt.

PS: Es muss keine weitere Fritzbox sein. Die wird nur oft empfohlen, da AVMs Fritzboxen teilweise günstiger als deren "Repeater" sind, sie aber manchmal mehr können. Fritzboxen gibt es wie Sand am Meer, haben viele Leute von Vertragswechseln übrig und werden bei ebay-kleinanzeigen gehandelt.

 

[Mr_T]

Genau, der Kabelanschluss ist im Keller neben der FB. Die Fernsehdose im EG gibt es, die wurde zusammen mit dem entsprechenden LAN Kabel dorthin gelegt.
Die Idee dahinter ist, dass alles im Keller zusammen kommt (also im Moment 2 LAN Kabel Richtung in EG und 1.OG), da dort neben dem Kabelanschluss auch der Glasfaseranschluss und die Telefonleitung liegt. Bei einem zukünftigen Wechsel von Anbietern, müsste dann nur ein Gerät im Keller ersetzt/ergänzt werden und das Heimnetz bleibt trotzdem bestehen.

Ich denke es wird nun der FritzRepeater6000, der kommt an das LAN Kabel, dadurch das er 2 Ports hat kann ich noch ein Gerät/Switch dran hängen und das WLAN-Verschlüsselungsproblem sollen die beiden Fritz-Geräte dann unter sich ausmachen Vielen Dank für den wertvollen Input, da habe ich vor dem Kauf wohl etwas zu "einfach" gedacht!

 

[Wilhelm14]

Patchpanel, also LAN-Kabel können ja im Keller, HWR oder Flur zusammen kommen. Deshalb muss der Router da ja nicht stehen. 😉
Kannst du vielleicht die 6600 ins EG stellen und mit einem LAN-Kabel runter in den Keller und von dort weiter? Die Telekom schlägt das auch so mit zwei LAN-Kabeln vor.

 

[Mr_T]

Für den Moment würde das gehen, die Lösung mit zwei LAN Kabeln klappt nicht mehr, da im EG und OB jeweils nur 1 liegt....und die Wände mach ich jetzt nicht nochmal auf, das ist gerade tapeziert

Jetzt bleibt's bei WLAN im Keller, WLAN AP im OG, 8er Switch ins EG (TV und Co bekommen alle ein LAN-Kabel). Bei den Holzdecken sollte der WLAN-Empfang im EG damit abgedeckt sein.

Kabel vom Keller in den Garten zum nächsten AP ist dann das Projekt fürs nächste Jahr

 

[Raijin]

Grundsätzlich sollte in jedem WLAN-Beacon eines APs auch die verwendete Verschlüsselung mitgeteilt werden. Das heißt, dass AP#1, der nur mit WPA2 arbeitet, sich unter derselben SSID mit demselben Schlüssel im Äther bekannt macht und einen Login via WPA2 anbietet. AP#2 tut dasselbe bis auf die Tatsache, dass er WPA3 bietet.

In der Theorie sollte ein Client daher auch bei mehreren APs unter derselben SSID mit verschiedenen Verschlüsselungen klarkommen, sofern er zB WPA3 überhaupt unterstützt und/oder der entsprechende AP einen Fallback auf WPA2 ermöglicht. Da clientbasiertes Roaming aber eh schon eine Blackbox ist und einige Clients sich sehr wechselfreudig zeigen, während andere sehr anhänglich sind und selten wechseln, würde ich persönlich die Unterschiede so gering wie möglich halten bzw. es zumindest ausprobieren ob es einen Unterschied macht ob alle APs dieselbe oder verschiedene Verschlüsselungen anbieten.

Es bietet im übrigen tatsächlich 0 zusätzliche Sicherheit, wenn nur ein Teil der APs WPA3 spricht, weil ein Angreifer mit Tools ausgestattet ist, die ihm den gezielten Angriff auf bestimmte APs ermöglichen. Das heißt der Angreifer sieht nicht nur "eine SSID", sondern er sieht die Beacons aller beteiligten APs in Reichweite und kann sich aussuchen welchen er angreift - natürlich den mit der schwächsten Verschlüsselung.


Unterm Strich lässt sich aber sagen, dass Roaming tendenziell besser funktioniert, ganz allgemein, wenn alle APs identisch bzw. vom selben Hersteller sind. Je mehr Mischmasch im System, umso undurchsichtiger ist der Roamingwald und umso eher kann ein Client einen bestimmten AP lieber mögen oder eher meiden - aus Gründen.

 

[Wilhelm14]

die Lösung mit zwei LAN Kabeln klappt nicht mehr

Moment. Bei einem Kabelrouter brauchst du ja nicht zwei LAN-Kabel sondern einmal Koax hoch, bzw. Router im EG an eine TV-Dose und einmal LAN runter in den Keller. Also ja, du brauchst zwei Kabel, aber Koax+LAN. Oder ich stell mir deine Situation falsch vor.

 

[Mr_T]

@Wilhelm14 Ja, daher würde das "für den Moment" klappen, aber falls ich in paar Jahren auf Glasfaser wechseln würde, sieht es in dem Bild aus Beitrag #9 so aus, als ob ich dann ein zweites Kabel im EG bräuchte, wenn der Glasfaserrouter die Fritzbox ersetzen würde.

@Raijin Super, Danke für die tolle Zusammenfassung! Das mit der Sicherheit ist noch ein guter Hinweis! Und ob sich die Herstellertreue bezahlt macht, sehe ich dann Anfang nächster Woche wenn der AVM 6000er Repeater da ist!