Peace.
Ich kenne kein WLAN-AccessPoint der VLANs innerhalb eines Netzes(SSID) separieren kann.
Das wäre auch sinnfrei, denn solange ich das WPA-Passwort habe und in Reichweite des WLAN bin, kann ich alles mitschneiden und entschlüsseln, weil es über das gleiche Medium geht (die Luft). Da hilft wirklich nur VPN zu einem (möglicherweise internem) Server. Ein Möglichkeit wäre noch, für jeden User einen extra AP hinzustellen.
Nicht ganz. Pro Teilnehmer gibt es einen "Pairwise Transient Key" (PTK) und einen "Group Temporal Key" (GTK - für Broadcast Traffic). Bei korrekt Implementierung kann Teilnehmer A Traffic für Teilnehmer B nicht "ohne Aufwand" mitlesen (PTK/Crypto brechen).
VPN macht aber mehr Sinn und ich bleib dabei, ich kenne keine Implementierung die PTKs auf VLans mapped