Zur Startseite gehen
0,00 €*

iPhone 11 ohne Verbindung bei aktivem OWE auf Sophos AP6

von: Daniel Benmoussa - Mahi | 22. Oktober 2025

iPhones und Sophos Central WLAN – wenn OWE bei bestimmten Modellen scheitert

OWE: 

Sicheres WLAN ohne Passwort Mit Opportunistic Wireless Encryption (OWE) hat die Wi-Fi Alliance eine moderne Lösung geschaffen, die offene WLANs automatisch verschlüsselt – ohne Kennwort oder Authentifizierung. 

Die Sophos AP6-Serie unterstützt OWE vollständig, und über Sophos Central Wireless lässt sich der Modus einfach aktivieren. So entsteht ein sicheres Gäste- oder Besucher-WLAN ohne gemeinsame Passwörter. 

Dieser Beitrag zeigt, wie Sie OWE sicher in Sophos Central WLAN einsetzen und dabei typische Kompatibilitätsprobleme mit älteren iPhones vermeiden. 

In der Praxis zeigte sich: Einige iPhones – insbesondere das iPhone 11 – konnten sich mit OWE-SSIDs nicht verbinden, während Android-, Windows-, macOS- und neuere iPhones (ab iPhone 12) problemlos funktionierten.

Warum verbindet sich das iPhone 11 nicht mit OWE?

Das WLAN-Setup bestand aus:

  • Fritz!Box 7590 als Router und DHCP-Server, 
  • Sophos CS101-8FP Switch
  • Sophos AP6 Access Point (Firmware MR-6, 1.7.2618). 

Die SSID war auf OWE konfiguriert, DHCP wurde über die Fritz!Box bereitgestellt. 

Trotz korrekter Einrichtung konnten sich iPhone 11 nicht verbinden, während iPhone 13 und neuere Modelle sofort eine stabile Verbindung aufbauten. Auch ein identischer Testaufbau bei einem Kollegen zeigte dasselbe Verhalten. 

Zur Verifizierung wurden alle Parameter überprüft: Firmware, Frequenzbänder, OWE-Einstellungen, Gastnetz und Client-Connection-Modus. 

Der Client-Traffic war direkt ins LAN gebrückt, sodass alle Clients denselben DHCP-Server wie der Access Point nutzten. 

Das Captive Portal (Hotspot) war aktiviert, Authentifizierung stand auf None / Voucher, Weiterleitung auf die Original-URL. 

Das Verhalten blieb unverändert – OWE funktionierte auf allen Geräten außer bei bestimmten älteren Apple-Modellen. Nach Umstellung auf WPA3-Personal (SAE) funktionierten alle Geräte sofort stabil.

Analyse und Ergebnisse:

Die Recherche in technischen Quellen bestätigte: 

  • Apple implementierte OWE erst ab der iPhone-12-Generation vollständig. 
  • Geräte mit A13-Chip (z. B. iPhone 11, SE 2, MacBook Air M1) unterstützen OWE hardwareseitig nicht. 
  • Obwohl sie WPA3-fähig sind, scheitert der OWE-Handshake (ECDH-Schlüsselaustausch) bereits im WLAN-Chipset. 
  • Selbst aktuelle iOS-Versionen können dies nicht nachrüsten.

Systemkonfiguration in Sophos Central:

Die getestete SSID OWE-Test war in Sophos Central Wireless wie folgt eingerichtet: 

  • Encryption Mode = OWE, 
  • Frequenz-Bänder 2.4 GHz und 5 GHz
  • AP-Typ = AP6, 
  • LAN-Mode (Bridging ins gleiche Netz wie der Access Point)
  • Gastnetz deaktiviert
  • Captive Portal aktiviert
  • Authentifizierung = None / Voucher, Redirect = Original URL. 
  •  Alle Einstellungen entsprachen den Best Practices – eine Fehlkonfiguration konnte ausgeschlossen werden.
Damit stand fest: Die Infrastruktur arbeitete fehlerfrei.

OWE-Unterstützung prüfen

Wenn ein Gerät keine Verbindung zu einem OWE-Netzwerk herstellen kann, lässt sich die Unterstützung einfach über die Systemkonsole prüfen. Damit stellen Sie sicher, ob das Problem an der Hardware oder der Konfiguration liegt. 

OWE-Unterstützung prüfen auf:

  • Windows: netsh wlan show wirelesscapabilities macOS: system_profiler SPAirPortDataType | grep -i owe
  • Linux: iw phy | grep -i owe 
  • Android (ADB): adb shell dumpsys wifi | grep -i owe 

Wenn das Gerät OWE unterstützt, zeigt der jeweilige Befehl eine Bestätigung im Ergebnis an. Fehlt diese Ausgabe, unterstützt das WLAN-Modul die Funktion nicht – eine Verbindung mit reinen OWE-Netzwerken ist dann nicht möglich.

Empfohlene Lösung:

Die stabile Verbindung wurde nach Umstellung auf WPA3-Personal (SAE) erreicht. OWE kann weiterhin verwendet werden, sofern alle Geräte den Standard unterstützen – wie bei neueren iPhones und aktuellen Clients. 

Für Umgebungen mit älteren Geräten empfiehlt sich eine separate SSID im WPA2/WPA3-Mixed-Mode. So bleibt die Sicherheit erhalten, ohne Kompatibilitätsprobleme zu riskieren.

Fazit :

  • Alle getesteten Komponenten – Fritz!Box 7590, CS101-8FP Switch und Sophos AP6 420 – arbeiteten ordnungsgemäß. 
  • Die OWE-SSID war korrekt konfiguriert und das Verhalten reproduzierbar bestätigt. 
  • Die Ursache liegt in der fehlenden OWE-Unterstützung bestimmter Apple-Geräte mit A13-Chip. 
  • Ab iPhone 12 funktioniert OWE uneingeschränkt. 
  • Nach der Umstellung auf WPA3-Personal lief die Verbindung auf allen Endgeräten stabil. 

Mit der Sophos AP6-Serie und Central Wireless behalten Sie die volle Kontrolle über Ihre WLAN-Sicherheit – auch in gemischten Client-Umgebungen.

Unsere Empfehlung:

  • OWE ist ein zukunftssicherer WLAN-Standard und eignet sich ideal für moderne Endgeräte. 
  • In gemischten Umgebungen empfiehlt sich jedoch WPA3-Personal oder der Mixed-Mode, um Sicherheit und Kompatibilität gleichzeitig zu gewährleisten. 
  • So stellen Sie sicher, dass Ihr Netzwerk auch mit älteren Apple-Geräten zuverlässig funktioniert.

Hilfe benötigt? 

Benötigen Sie Unterstützung bei der Einrichtung von Sophos Central Wireless oder bei der Planung einer WPA3-/OWE-Konfiguration für Ihre AP6-Access Points? 

Unser technisch geschultes Team hilft Ihnen gern weiter – kontaktieren Sie uns im UTMshop .

Autor: Daniel Benmoussa - Mahi

7 Jahre Technischer Support 


Zertifizierung: 

  • Sophos MDR Sales Consultant
  • Sophos Firewall Sales Consultant
  • Sophos Central Sales Consultant
  • Sophos Central Engineer
  • Sophos Central Technician
  • Sophos Central Architect
  • Sophos Firewall Engineer
  • Sophos Firewall Technician
  • Sophos Firewall Architect 

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung