Produktvorstellung: Access Point HP M330

Die Suche nach Access Point auf www.amazon.de, liefert knapp 4.000 Treffer. Vom TP-Link Einsteigermodell für weniger als 20 € bis hin zum Premium Modell von Cisco für über 500 € findet man eine riesige Auswahl an Geräten, in der man sich notgedrungen zurechtfinden muss. Auch wir machten uns vor einigen Monaten im Auftrag eines Kunden wieder einmal auf die Suche nach einem geeigneten Access Point und haben durch Zufall den M330 von HP gefunden.

Seitdem suchen wir nicht mehr nach Access Points. Dieses technische Spielzeug hat uns so überzeugt, dass wir bei jedem Kundenauftrag nur noch den HP M330 empfehlen – und dass obwohl dieses Gerät der Oberklasse in Deutschland kaum bekannt ist. Warum der Access Point uns so begeistert, beschreiben wir im folgenden Artikel. Dabei beschränken wir uns nicht auf einen reinen Test, sondern zeigen auch die Konfigurationen der verschiedenen Funktionen.

Unser absoluter Geheimtipp eines Access Points. Hier getestet. Unser absoluter Geheimtipp eines Access Points. Hier getestet.

Funktionsumfang des HP M330

Der Access Point M330 ist mit einem Straßenverkaufspreis von ca. 240 € definitiv ein Business-Produkt. Er unterstützt sämtliche aktuell geläufige Verschlüsselungsstandards und bietet dank 802.11ac-Protokoll Übertragungsraten von bis zu 1.3 Gigabit/s. Etwas gemächlicher sind die Transferraten mit dem älteren WLAN-Standard 802.11n – bis zu 450 Mbit pro Sekunde -, dafür kann er auch mit älteren Wifi-Geräten zusammenarbeiten, die die neue ac-Norm noch nicht unterstützen. Darüber hinaus bietet der Access Point die Möglichkeit, mehrere WLAN-Netze aufzuspannen und diese mit unterschiedlichen VLANs zu versehen. Bis zu zwei Portalzugänge für Gäste oder interne Mitarbeiter sind möglich und der Access Point kann über das Netzwerkkabel mit Strom versorgt werden.

Neben diesen Features, die bei Geräten dieser Kategorie in die Rubrik Standard fallen, hat der M330 noch zwei absolute Alleinstellungsmerkmale auf Lager: Kein anderes Gerät dieser Preisklasse bietet eine derart einfache Konfiguration mehreren Access Points in einem Clusterverbund und eine eingeschränkte lebenslange Herstellergarantie. HP nennt dies Limited Lifetime Warranty 2.0. Absoluter Wahnsinn bei einem Straßenpreisverkaufspreis von 240 €.

Aussehen des Access Points

Der M330 steckt in einem schlichten weißen Gehäuse. Das Gehäuse ist flach und trapezförmig. Auf der Rückseite kann die mitgelieferte Wandhalterung befestigt werden. Im ersten Moment waren wir verwirrt, dass sich die Strom- und Netzwerkanschlüsse auf der Oberseite des Gerätes befinden, konnten jedoch schnell die Vorteile dieser Position, inbesondere bei der Nutzung von Power over Ethernet (=PoE), erkennen.

In Summe bietet der M330 somit nur einen Strom- und einen LAN-Anschluss. Darüber hinaus gibt einen Reset-Knopf und vier Statusleuchten:

  • Strom
  • Netzwerkverbindung
  • 2.4 GHz WLAN
  • 5 GHz WLAN

Grundkonfiguration eines M330 Access Point

Die Grundkonfiguration eines M330 ist in wenigen Minuten erledigt. Man versorgt den Access Point mit Strom und einer Netzwerkverbindung und wartet dann eine knappe Minute bis der Access Point per DHCP eine IP-Adresse bezieht. Das Gerät meldet sich dabei mit der Serial No., die man auf der Rückseite des Gerätes findet, am DHCP Server an.

Wenn man anschließend die IP-Adresse in einem Browser aufruft, gelangt man zur Login-Seite. Benutzername und Passwort lauten beide beim ersten Aufruf (oder nach einem Factory-Reset) admin.

Danach bestätigt man einmalig die EULA, wählt das eigene Land aus und wählt beim Quick-Setup das vorgeschlagenen Profil Basic Wireless Network aus. Dann wählt man ein neues Administratorpasswort, lässt den Cluster-Modus erstmal deaktiviert und wählt einen SSID-Namen und die gewünschte Verschlüsselung.

Mit diesen Angaben werden dann auf dem Access Point direkt ein WLAN-Netz im 2.4 und eines im 5 GHz Netz angelegt.

ACHTUNG:
Bei der ersten Konfiguration übersahen wir, dass wir nur ein Passwort für Radio 1, d.h. für das 2.4 GHz WLAN-Netz gesetzt hatten. Das Netz unter Radio 2 wurde ohne Verschlüsselung angelegt. Dies ist natürlich kritisch, weil es unbefugten Personen den vollen Zugriff auf das lokale LAN ermöglicht. Achten Sie deshalb unter Step 3: Specify wireless network settings ganz besonders auf das Dropdown Radio. Definieren Sie ein Passwort für Radio 1, wählen Sie dann Radio 2 und vergeben Sie auch dort ein Passwort. Ansonsten ist Ihr Netzwerk ungeschützt.

Zwei HP M330 zu einem Cluster verbinden

Bis zu 16 Access Points können zu einem WLAN-Cluster verbunden werden. Dabei verfügt jeder Access Point über eine eigene Netzwerkverbindung und erhält auch eine eigene IP-Adresse. Gegenüber den Client-Geräten und auch bei der Konfiguration verhält sich der Clusterverbund jedoch wie ein Gerät.

Ändert man beispielsweise die SSID oder das Passwort auf einem Access Point, wird die Einstellung von allen anderen Access Points übernommen. Gleichzeitig ermöglichen die HP330 im Clusterverbund ein WLAN-Roaming, d.h. eine nahtlose Übergabe von Clientverbindungen zwischen den Geräten. So kann man sich frei bewegen und von Access Point zu Access Point wandern, ohne dass die Internetverbindung verloren geht. Diese Fähigkeit ist normalerweise nur bei sehr teuren Access Points integriert oder erfordert einen separaten WLAN-Controller.

Um ein Cluster von M330 Access Points aufzubauen, muss man zunächst den Clustermodus aktivieren. Dies geschieht unter Clustering / Configuration. Entscheidend ist, dass der Cluster Name auf allen Geräten identisch ist. Die Cluster Location darf unterschiedlich sein und erlaubt z.B. eine entsprechende Standortangabe wie z.B. 1.OG oder Besprechungsraum.

Man aktiviert somit den Cluster-Modus auf einem ersten Gerät und vergibt einen Cluster-Namen. Dann hängt man einen zweiten M330 ins lokale Netzwerk und ruft die IP-Adresse des neuen Gerätes auf. Man loggt sich wieder mit zweimal admin ein, bestätigt die EULA und gibt das eigene Land an.

Auf der Quick-Setup Seite wählt man nun Add to wireless network with existing AP Cluster. Auf der folgenden Seite muss man den gleichen Cluster-Namen eintragen und eine eigene Cluster-Location. Nach dem Speichern sind bereits beide Access Points dem Cluster zugeordnet und agieren wie ein Gerät. Leichter geht es fast nicht.

Vermessen der WLAN-Sendestärke

Wenn man mehrere Access Points zu einem Cluster verbindet, möchte man ein gewisses Gebiet bestmöglich mit WLAN versorgen. Eine zuverlässige WLAN-Abdeckung sollte man jedoch nicht dem Zufall überlassen. Man muss sich zwar auch keinen professionellen WLAN-Tester für mehrere tausend Euro kaufen, aber eine kurze Kontrolle des WLAN-Empfangs im gesamten Gebiet sollte man auf jeden Fall machen.

Hierzu eignen sich je nach Betriebssystem unterschiedliche Tools:

  • unter Linux empfehlen wir LinSSID,
  • unter Windows verwenden wir InSSIDer,
  • mit einem Android Handy verwenden wir Fritz!App WLAN aus dem Google Playstore.

Das folgende Bild zeigt die Darstellung der Signalstärke mit LinSSID. Wir starten das Tool mit Root-Rechten auf einem Ubuntu-Notebook, blenden alle anderen Netze aus und laufen das gesamte Gelände ab. Solange die Empfangsstärke oberhalb von -70 liegt, können wir davon ausgehen, dass die Anwender ein funktionierendes WLAN vorfinden. Sollte die Stärke unter diese Grenze fallen, muss man entweder die Position der WLAN-Access Points verändern oder ggf. noch weitere Geräte hinzufügen.

WLAN Test mit LinSSID

Konfiguration eines Gäste-WLANs mit Hilfe eines VLANs

Der Aufbau eines Gäste-WLAN-Netzes gehört zu den häufigsten Wünschen unserer Kunden in Bezug auf Ihr WLAN. Der Aufbau eines solchen eingeschränkten Netzes ist denkbar einfach, wenn die sonstige Hardware (Switch und Router bzw. Firewall) virtuelle LANs (=VLANs) unterstützt. Die häufig von uns verwendete OpnSense sowie die HP Switches beherrschen diese Technik natürlich.

Der Aufbau eines Gäste-WLANs ist somit in Bezug auf den Access Point denkbar einfach. Wenn im Router, Switch und in der Firewall z.B. ein VLAN 100 eingerichtet ist und der Traffic z.B. auf die Ports 80 und 443 eingeschränkt ist, sind die notwendigen Arbeiten am M330 ein Kinderspiel.

Im Bereich Wireless / Communities fügt man mit Add a new wireless community ein neues Netzwerk hinzu. Bei diesem neuen WLAN wählt man die passende SSID und als VLAN die 100. Der gesamte Datenverkehr der Clients, die sich mit diesem Netzwerk verbinden, läuft im VLAN 100. Durch das VLAN 100 können die Ports oder die erlaubten Netzwerke genau definiert werden. Eine Abschottung des internen LANs oder eine Limitierung der erfügbaren Bandbreite ist ganz einfach.

Auch an dieser Stelle soll nochmal an die etwas ungewöhnliche Struktur der Konfiguration des M330 hingewiesen werden. Die Administrationsoberfläche zeigt immer nur die WLAN-Netze des 2.4 GHz oder des 5 GHz Bereichs. Radio 1 sind dabei die Netze des 2.4 GHz und Radio 2 die Netze des 5 GHz Bereichs. Bei unseren ersten Konfigurationen ist es regelmäßig vorgekommen, dass wir nur Radio 1 konfiguriert und Radio 2 einfach vergessen haben. Dies ist aber auch die einzige Stelle an der die Konfiguration des Access Points etwas unübersichtlich ist.

Das lokale Netzwerk nur für bestimmte MAC-Adressen erlauben

Manchen unserer Kunden möchten den internen WLAN-Zugang weiter absichern, indem Sie z.B. nur gezielt einzelne Geräte in einem Netzwerk erlauben oder Sie möchten einzelne Geräte bewusst ausschließen. Beides ist möglich im Bereich Wireless / Mac Authentification.

Beim sogenannten whitelisting wählt man zuerst Local MAC authentification configuration und fügt die MAC-Adressen von den Geräten hinzu, die man in einem Netzwerk erlauben will. Als Nächstes muss im Bereich Wireless / Communities beim entsprechenden WLAN-Netz die Mac authentification auf Local gesetzt werden.

Genauso funktioniert auch das sogenannte blacklisting. Sie fügen diesmal in die Liste der MAC-Adressen die Gerätekennungen ein, die Sie bei einem Netzwerk ausschließen wollen. Anschließend ändern Sie wieder im entsprechenden WLAN-Netz die Mac authentification.

Captive Portal mit dem HP M330 einrichten

Die letzte großartige Fähigkeit, die wir in diesem Artikel vorstellen wollen, ist das Captive Portal. Ein solches Captive Portal wird üblicherweise für ein öffentliches oder Gäste-Netzwerk verwendet. Der M330 kann bis zu zwei solcher Zugangsportale aufbauen, die den Clients solange den Zugang zum Netzwerk verwehren, bis diese sich verifiziert haben.

Diese Verification kann dabei drei Formen annehmen:

  • Bestätigung eines Textes (z.B. der Nutzungsbedingungen) durch den WLAN-Nutzer,
  • Login mit Zugangsdaten (lokale Datenbank auf dem Access Point) oder
  • Authentifizierung gegen einen RADIUS-Server im gleichen Netzwerk

Die Konfiguration eines solchen Captive Portals benötigt ein bisschen Zeit. Wenn man sich die Zeit jedoch nimmt, wird man am Ende mit einem mehrsprachigen Portal mit eigenem Logo und Texten belohnt. Die folgenden Schritte müssen dabei durchgeführt werden, wobei man sich vorher klar machen sollte, welche Authentifizierung für welches WLAN-Netz gewünscht ist:

  1. Aktivierung des Captive Portal Features
  2. Anlegen einer Captive Portal Instanz
  3. Das Captive Portal einer oder mehrerer WLAN-Netze zuweisen
  4. Anlage und Zuweisung von mindestens einer Sprachversion für das Portal
  5. Ggf. Anlage von Benutzerzugängen (max. 128 Accounts sind möglich)

1. Aktivierung des Captive Portal Features auf dem M330

Unter Captive Portal / Basic Configuration wird das Captive Portal auf dem HP M330 aktiviert. Zusätzlich sollte man noch den HTTP-Port 80 und den HTTPS-Port 443 eintragen. Dies sind die typischen Webprotokoll-Ports und uns ist kein Grund bekannt, warum diese Ports geändert werden sollten.

2. Anlegen eines Captive Portal Instanz

Als nächstes wechselt man zum Bereich Captive Portal / Advanced Configuration. Dort legt man per Dropdown-Liste eine neue Instanz an und gibt dieser einen Namen. Auf den Screenshots verwenden wir captiveGast. Danach kann man noch ein paar Einstellungen treffen, wovon die wichtigste Einstellung der Punkt Verification ist. Bei Verification wählt man zwischen Guest, Local und RAIDUS, wobei wir für die Einrichtung eines Gästeportals ohne Benutzerauthentifizierung die Auswahl Guest treffen.

3. Zuweisen des Captive Portals zu einem WLAN-Netz

Als nächsten Schritt muss man unter Captive Portal / Community Binding das Portal einem WLAN-Netz zuordnen. Hierzu wählt man, wie überall im M330, die passende Radio (1 = 2.4 GHz, 2 = 5 GHz) und dann die VSC (=virtual service community) aus. In unserem Beispiel weisen wir dem ersten WLAN-Netz in der Liste (VSC = 0) das captivePortal zu, um dieses Netz mit einem Gastzugang abzusichern.

4. Anlage einer Sprachversion

Der letzte Notwendige Schritt für ein Gästeportal ohne Benutzerauthentifizierung ist die Anlage und Zuweisung einer Sprachversion. Dies erfolgt unter Captive Portal / Web Customization. In diesem Bereich wählt man unter Web customization den Punkt Captive Portal web locale / Create und vergibt einen passenden Namen. In unserem Beispiel vergeben wir Deutsch als passenden Namen und klicken auf Save.

Das folgende Formular erlaubt eine umfangreiche Anpassung des Aussehens des Portals. Es können die Grafiken, die Hintergrundgrafik sowie die Texte entsprechend angepasst werden. Nach erfolgter Anpassung speichert man das Formular und zeigt sich mit Preview das angepasste Portal an.

5. Anlage von Benutzerzugängen

Wenn keine Authentifizierung der Benutzer verlangt wird, kann man an dieser Stelle aufhören. Im Falle einer lokalen oder RADIUS-Authentifizierung muss man noch einen Schritt weitergehen. Lokale Benutzer legt man unter Captive Portal / Local User/Group Association an. Zuerst wählt man das gewünschte Captive Portal aus und definiert dann einen Username. Nach Anlage des Benutzers kann man zusätzliche Angaben wie Passwort, maximalen Up- und Download oder eine Gruppenzugehörigkeit angeben.

Factory Reset und sonstige Features

Der Factory Reset ist beim HP M330 Access Point etwas versteckt. Dieser befindet sich nämlich unter Maintenance / Config File Management.

Neben der Möglichkeit, den Access Point auf Werkseinstellungen zurückzusetzen, findet man dort auch noch die Möglichkeit zum Neustart des Gerätes sowie zum Up- und Download der aktuellen Konfiguration.

Fazit – großartiger Access Point mit herausragenden Fähigkeiten und einem super Preis-Leistungs-Verhältnis

Der HP M330 hat uns restlos überzeugt. Der Access Point liefert alle von uns benötigten Fähigkeiten, Verschlüsselungstechniken und eine gute Übertragungsleistung und -geschwindigkeit. Die Konfiguration ist bis auf wenige Ausnahmen logisch und intuitiv. Absolut unschlagbar ist die Möglichkeit, mehrere Access Points zu einem Cluster zusammenzufassen. Die lebenslange Herstellergarantie durch den Hersteller HP ist das Sahnehäubchen oben drauf.

Für uns hat die Suche nach dem idealen Access Point ein Ende. Wir werden zukünftig unseren Kunden nur noch dieses Gerät empfehlen und sind auf Ihr Feedback gespannt.

geschrieben von

Christoph Dyllick-Brenzinger

Christoph ist Gründer und Chefentwickler von datamate. Er ist ein absoluter Linux-Fan und hat schon früh seine Leidenschaft für Technik und Programmierung entdeckt. Seine langjährige Erfahrung als Unternehmensberater spürt man regelmäßig, wenn er nach optimalen Lösungen für die Kunden sucht. Wenn er nicht gerade den Tennisplatz unsicher macht oder bei Overwatch sein Liga-Ranking verbessert, verbringt Christoph seine Freizeit mit seiner Frau und seinen drei Kindern.