Warum ich die Sophos Access Points AP6 nicht mehr einsetze

Einleitung

Wie ich bereits in einem meiner früheren Blogposts erwähnt habe, setze ich keine Sophos Access Points mehr ein, obwohl ich weiterhin eine Sophos Firewall in meinem HomeLab verwende. Ich bin grundsätzlich ein Freund von Ökosystemen – doch in diesem Fall war das Produkt für mich nicht mehr tragbar. Warum? Das erkläre ich in diesem Artikel.

Ich habe eine tiefgehende Recherche durchgeführt, da es immer wieder Widersprüche und offene Fragen gab. Ich wollte die Ursachen der Probleme genau verstehen und die Situation technisch einordnen. Dabei bin ich auf eine Reihe gravierender Mängel gestoßen – sowohl auf technischer Ebene als auch in der Art und Weise, wie Sophos diese Probleme kommuniziert.

Sophos Teams und das Produkt-Problem

Bevor ich auf die technischen Details der AP6-Serie eingehe, möchte ich betonen, dass dies kein Rant gegen die gesamte Firma Sophos ist. In großen Unternehmen arbeiten Teams oft stark voneinander getrennt und erhalten verschieden hohe Prioritäten. Die Firewall- und Endpoint-Teams bei Sophos leisten meiner Meinung nach gute Arbeit. Leider scheint das Access Point-Team entweder weniger Ressourcen zu haben oder ihre Produkte nicht mit derselben Konsequenz voranzutreiben. Access Points sind bei Sophos kein Fokusprodukt – dennoch halte ich es für fraglich, wenn unfertige Lösungen auf den Markt gebracht werden und Kunden unfreiwillig beta Tester sein müssen.

Kurzer Rückblick auf die Sophos Access Points

Ich kenne die Sophos Access Points, seit es sie gibt, und habe sie sowohl im Unternehmensumfeld als auch privat getestet. Dabei waren die Sophos Access Points nie die günstigsten auf dem Markt und auch nicht die Spitzenreiter in Bezug auf Features. Für viele Netzwerke, insbesondere solche mit grundlegenden Anforderungen, reichten sie vollkommen aus. Wer nur ein Gäste-WLAN oder Basis-Internetzugang für einige mobile Endgeräte benötigt, war damit durchaus gut bedient.

Mit dem Release der AP6-Serie kam jedoch der Bruch. Neben einer deutlichen Verzögerung bei der Markteinführung – der WiFi-6-Standard (802.11ax) war bereits lange etabliert, als die Geräte endlich erschienen – kamen diese Access Points auch mit anderen gravierenden Nachteilen.

WiFi 6 zu spät und WiFi 7 im Anmarsch

WiFi 6 (802.11ax) ist 2019 offiziell erschienen und hat sich ab 2020 im Consumer- und Enterprise-Bereich immer stärker durchgesetzt. Als Sophos schließlich Ende 2023 mit seinen WiFi-6-Modellen nachzog, war bereits abzusehen, dass WiFi 7 (802.11be) nicht mehr weit entfernt sein würde. Wer in moderne Wireless-Lösungen investiert, erwartet heute den Standard der Zukunft – oder zumindest kein veraltetes Produkt kurz vor dem nächsten Technologiesprung.

Cloud-only-Management und fehlende Features

Ein weiterer Kritikpunkt an den neuen Access Points ist, dass sie nur noch über Sophos Central managebar sind. Das lokale Management über die Firewall wurde gestrichen. Zudem fehlten wichtige Funktionen wie Mesh oder Gäste-WLAN zum Zeitpunkt des Launches. Diese Features sind heutzutage Grundvoraussetzung, selbst für günstige Entry-Level-Modelle bei anderen Herstellern.

Fragwürdige Preispolitik

Die Preisgestaltung der AP6-Serie war anfangs regelrecht abschreckend. Fast das Dreifache eines älteren Einstiegsmodells zu verlangen, ist eine Ansage. Nach wenigen Monaten gab es dann massive Rabatte (bis zu 60%), und mit diversen Promotions („Kaufe zwei, erhalte einen gratis“) wurden Early Adopters regelrecht vor den Kopf gestoßen. Dieses Hin und Her bei den Preisen zeugt nicht nur von schlechter Planung, sondern schafft auch Verunsicherung am Markt.

Meine Tests im HomeLab

Natürlich habe ich, wie auch meine Kollegen, von der Firma Testgeräte der AP6-Serie erhalten und diese verschiedenen Umgebungen und ich in meinem HomeLab installiert und intensiv getestet. Meine Wohnung ist groß genug, um mehrere Access Points sinnvoll zu platzieren und dabei Roaming-Szenarien zu simulieren. Doch die Ergebnisse waren enttäuschend.

Schlechte Sendeleistung

Bei WiFi 6 spielt neben der Kanalbreite (80 MHz oder 160 MHz Kanäle) und der Anzahl an Spatial Streams (MU-MIMO) auch die Sendeleistung eine wichtige Rolle. Besonders im 5-GHz-Band (und künftig im 6-GHz-Band bei WiFi 6E) wird Reichweite schnell zum Thema. Die neue AP6-Serie lieferte in meinen Tests eine deutlich geringere Reichweite als die vorherigen Modelle (APX) – selbst in identischer Umgebung und mit denselben Sendeleistungs-Einstellungen.

Als ich beim Training Musik über WLAN-Lautsprecher streamte, kam es regelmäßig zu Aussetzern. Zunächst dachte ich an ein Problem meiner Internetleitung. Doch nach wiederholten Tests, auch im lokalen Netzwerk ohne Internet, war klar, dass der Access Point das Hand-over oder die Signalstabilität nicht sauber handhabte.

Professionelle Analyse und alarmierende Erkenntnisse

Um meine subjektiven Eindrücke zu objektivieren, habe ich aus der Firma professionelle Messtechnik eingesetzt, um das Wireless-Signal der AP6 Access Points detailliert zu analysieren. Die Ergebnisse bestätigten meine anfänglichen Beobachtungen. Die Empfangsleistung war tatsächlich schlechter als bei den APX-Modellen und um einiges schlechter als bei den AP100-Modellen – und das trotz der externen Antennen der AP6. Es ist zwar bekannt, dass die AP100-Modelle in der Vergangenheit möglicherweise die zulässigen Sendeleistungsgrenzen überschritten haben, was zu einer subjektiv guten Reichweite führte, aber selbst unter Berücksichtigung dieses Faktors enttäuschten die AP6 in Bezug auf die Signalstärke.

Unregelmässiges Signal (Flackern)

Zusätzlich zum schwächeren Signal bemerkte ich ein “Flackern” im Signal, also instabile Signalstärke, und immer wieder kurze Unterbrechungen der Signalleistung. Zuerst vermutete ich einen Hardwaredefekt, aber da alle meine Testgeräte das gleiche Verhalten zeigten, schloss ich dies aus.

Schlechtes Roaming

Roaming-Protokolle in IEEE 802.11-Umgebungen setzen auf standardisierte Mechanismen (wie 802.11r, 802.11k und 802.11v)

Auch beim Roaming fiel auf, dass Sophos bei der Nummerierung der Access Points nicht den 802.11 Standard zu befolgen schien, was ungewöhnlich ist und potenziell zu Inkompatibilitäten führen kann.

Bei modernen Standards wie 802.11r (Fast Roaming) und 802.11k (Radio Resource Management) sollte ein Client beim Wechsel des Access Points (z. B. bei einem laufenden FaceTime- oder VoIP-Call) kaum Aussetzer bemerken. Trotzdem gab es bei meinen Anrufen immer wieder Unterbrechungen, was auf nicht sauber implementierte Roaming-Funktionen schließen lässt.

Auch meine Kollegen, die denselben Testaufbau in Firmenumgebungen durchführten, bestätigten ähnliche und teilweise noch gravierendere Probleme. Das Gesamtbild war eindeutig: Das Produkt wirkte unfertig und noch nicht reif für den produktiven Einsatz in anspruchsvolleren Umgebungen.

Central Management

Ein weiteres Problem betraf die Management-Oberfläche Sophos Central. Änderungen, die ich in Sophos Central vornahm, wurden nicht immer zuverlässig auf die Access Points übertragen. Es schien Kommunikationsprobleme zwischen Sophos Central und der lokalen GUI der Access Points zu geben, was zu Inkonsistenzen und Konflikten in den Einstellungen führte. Ein weiteres Indiz für einen verfrühten Produktstart war die Tatsache, dass die lokale GUI der Access Points deutlich mehr Konfigurationsoptionen bot als Sophos Central, insbesondere in Bezug auf Sendeleistung und WLAN-Einstellungen. Diese Diskrepanz deutet auf eine unfertige Cloud-Management-Lösung hin.

Kommunikation mit dem Sophos Support

Ich wandte mich mit meinen Erkenntnissen an den Sophos Support und erhielt zunächst die Standardantwort, dass die AP6 Access Points einwandfrei funktionieren sollten und ich doch bitte einige Standardtests durchführen solle. Ich befolgte die Anweisungen des Supports, setzte die empfohlenen Einstellungen um und führte die Tests erneut durch – mit dem gleichen negativen Ergebnis. Nach Wochen des E-Mail-Verkehrs, des Austauschs von Logs und Support-Sessions wurden die Antworten des Sophos Supports immer generischer und weniger hilfreich. Die Reaktionszeiten verlängerten sich von anfangs alle drei Tage auf einmal pro Woche, was die Problemlösung erheblich verzögerte.

Sophos Community Foren

Parallel dazu suchte ich im Internet nach Berichten anderer Nutzer mit ähnlichen Problemen. Auffällig war, dass das offizielle Sophos Forum sehr “sauber” war. Kritische Beiträge oder Problembeschreibungen zu den AP6 Access Points gab es nur sehr wenige oder wurden vielleicht wieder gelöscht.

• Different problems with AP6
• AP6 840 losing internet connection
• AP6 problem with VLANs and other configuration issues

Desing

Über Design lässt sich bekanntlich streiten, aber es gibt schon einen Grund, wieso andere Hersteller sich überlegen, wo das Kabel aus dem Access Point kommt und dass dieses besser versteckt sein sollte.

Source: Sophos Community von Rafael Telles

Mehr schlechtes Kundenfeedback

In der Zwischenzeit wurden vom Unternehmen auf Kundenwunsch diese Access Points bestellt und an erste Kunden ausgeliefert. Die Erfahrungen waren gemischt. Bei einigen Kunden gab es scheinbar keine Probleme, während andere mit denselben Symptomen kämpften, die ich in meinem HomeLab beobachtet hatte: Schwache Sendeleistung, Notwendigkeit, mehr Access Points als zuvor zu installieren, und immer wieder Verbindungsverluste und Probleme mit der Radius Server Authentifizierung. Auch hier wurden Tickets beim Sophos Support eröffnet, die den gleichen frustrierenden Verlauf nahmen: Log-Austausch, Standardtests, Treiber-Updates, bis die Tickets nach Wochen im Sande verliefen.

Feedback von Sophos & Distribution

Meine direkten Sophos-Kontakte im Vertrieb und Technik wiesen jegliche Probleme mit der AP6-Serie zurück und versicherten mir, dass die Geräte einwandfrei funktionieren und keine Probleme bekannt sind.

Um ein umfassenderes Bild zu erhalten, kontaktierte ich verschiedene Distributoren weltweit. Einige antworteten nicht, aber einige Distributoren bestätigten ein ähnliches Bild, dass es bei einigen Kunden erhebliche Probleme mit den AP6 Access Points gab.

Teils funktionierende Umgebungen

Ich analysierte die Kundenumgebungen genauer, bei denen es keine Probleme gab, und stellte fest, dass dies hauptsächlich Kunden waren, die WLAN nur für grundlegende Anwendungen nutzten. Beispielsweise Kunden ohne VoIP über WLAN oder mit stationären Installationen, bei denen Roaming-Probleme weniger ins Gewicht fielen. Oftmals wurde WLAN dort primär für Gästenetzwerke oder einfache Internetzugänge genutzt. Im Gegensatz dazu traten Probleme vor allem in Umgebungen auf, in denen WLAN intensiv für geschäftskritische Anwendungen genutzt wurde: Video-Konferenzen brachen ab, Remote-Sessions wurden instabil, und Datenübertragungen wurden immer wieder unterbrochen.

OEM-Hersteller Bestätigung die Vermutung

Gegen Ende 2024 wandte sich ein Kollege an einen früheren Kollegen bei EDIMAX, dem OEM-Hersteller der Sophos AP6 Access Points. Er wollte in Erfahrung bringen, ob EDIMAX Probleme mit dieser spezifischen Serie bekannt seien, da es sich um ein OEM-Produkt handelte, das möglicherweise auch von anderen Anbietern verwendet wurde. Der EDIMAX-Kontakt bestätigte, dass Probleme mit der AP6-Serie bekannt seien und vermittelte einen Kontakt im Global Escalation Service von Sophos. Um diesen Kontakt zu schützen, nenne ich hier keinen Namen. Dieser Sophos-Mitarbeiter bestätigte jedoch, dass es massive Probleme mit den AP6 Access Points gibt, dass eine große Anzahl von Support-Tickets offen war und Sophos zum damaligen Zeitpunkt (August 2024) noch keine klare Ursache für die Probleme identifizieren konnte.

Fazit: Enttäuschung und Konsequenzen

Meine umfassende Recherche hat ein klares Bild gezeichnet: Es gab massive Widersprüche in den Aussagen verschiedener Sophos-Kanäle. Während der Support und meine Vertriebskontakte Probleme abstritten oder nicht bekannt war, bestätigten interne Quellen, Distributoren und der OEM-Hersteller EDIMAX die Existenz weit verbreiteter Probleme. Für mich deutet dies stark darauf hin, dass Sophos versucht hat, die Probleme mit einem Produkt zu vertuschen, das schlichtweg nicht stabil funktionierte. Das Fehlen unabhängiger Testberichte, die diese Probleme aufzeigen, verstärkt diesen Eindruck. Entweder ist Sophos als Wireless-Hersteller so unbedeutend, dass Tests ausbleiben, oder es wurde aktiv versucht, negative Berichterstattung zu verhindern.

Aus all diesen Gründen habe ich privat die Sophos Access Points aus meinem HomeLab entfernt und bin wieder auf UniFi gewechselt. In der Firma, in welcher ich arbeit, setzen wir die AP6-Serie ebenfalls nicht mehr ein und empfehlen noch stärker namhafte Hersteller wie UniFi, Ruckus, Aruba oder Cisco. Ein halbes Jahr ohne Lösung für grundlegende WLAN-Probleme ist inakzeptabel. Ich bin am Thema drangeblieben und habe erfahren, dass Sophos Anfang Dezember 2024 mit dem MR5-Update ein Firmware-Update für die AP6 Access Points veröffentlicht hat, das die meisten Probleme scheinbar behoben haben soll. So zumindest das Feedback meines Sophos-Kontakts, den Nerv dies zu testen hatte ich jedoch nicht, da das Produkt für mich gestorben ist.

Bildet euch aber eure eigene Meinung anhand meiner Erkenntnisse. Was mich betrifft, bin ich von Sophos als Hersteller, von der Kommunikation und von der Produktqualität der AP6-Serie zutiefst enttäuscht. Für mich ist dieses Kapitel Sophos Access Points bereits abgeschlossen.

Bis zum nächsten Mal, Joe