Als erstes nochmal zur Info: Die gesamte Netzwerkkonfiguration findet auf der Sophos statt, der Cloud-Key ist (nur) für die Integration der APs und die Erstellung der SSIDs zuständig.
Ich kenne die Sophos nicht im Detail, versuche es also allgeminverständlich zu erklären.
Auf der Sophos Deine Netzwerke erstellen und Deine Einstellungen, wie DHCP, DNS, etc., konfigurieren.
Sagen wir WAN=ETH0, Privat=ETH1, WLAN=ETH2, IoT=ETH3, Gast=ETH4 (Hier müssen, bei diesem Setup, keine VLANs konfiguriert werden, diese kommen erst auf dem Switch ins Spiel.)
Deinen Switch mit 3 bzw. 4VLANS konfigurieren:
Privat=VLAN1 (Default), WLAN=VLAN20, IoT=VLAN30, Gast=VLAN40
Port 1 = untagged in VLAN1 (Privat)
Port 2 = untagged in VLAN20 (WLAN)
Port 3 = untagged in VLAN30 (IoT)
Port 4 = untagged in VLAN40 (Gast)
Die Ausänge (ETH1-ETH4) von der Sophos mit den passenden Ports auf Deinem Switch (Port 1-4) verbinden.
Wenn Du jetzt weitere Ports entsprechend der VLANs untagged konfigurierst, sollten Deine Netzwerke funktionieren und Adressen vom DHCP bekommen und anhand der Firewall-Regeln miteinander kommunizieren dürfen.
Port 24 wird tagged in allen VLANs und mit Deinem nächsten Switch verbunden, der entsprechend konfiguriert wird.
Als nächstes kommt die Konfiguration des Cloud Key:
Der Cloud-Key kommt untagged ins das Netz Privat (VLAN1).
Unter Netzwerke die Netzwerke erstellen (Nur VLAN):
WLAN=VLAN20
IoT=VLAN30
GAST=VLAN40
Dein Privates Netzwerk bleibt einfach VLAN1 bzw. LAN auf dem CK.
Anschließend unter Drahtlose-Netzwerke die SSIDs erstellen:
SSID: Privat, WLAN, IoT, Gast
Bei "Network" wählst Du das passende Netzwerk, was eigentlich nur die VLAN-Auswahl ist. Privat bleibt "LAN".
Jetzt kannst Du auf Deinem Switch die Ports für die APs konfigurieren.
z.B.
Port 10: untagged in VLAN 1 und tagged in allen anderen VLANs
untagged, damit der AP gefunden wird und tagged, damit er alle SSIDs in das entsprechende VLAN legen kann.
Bei diesem Setup kannst Du Sicher sein, dass erstmal alles funktioniert und auf allen Ports dein Privates Netz vorhanden ist, wenn nicht anderes konfiguriert wird. Dies ist zwar nicht optimal, aber der erste Schritt, bis alles funktioniert. Man könnte dies noch mit einem Management-Netzwerk optimieren, wäre jetzt aber erstmal zu kompliziert.
Du solltest auf jedenfall auf dem CK das "neue Benutzerinterface" deaktivieren. Warum All APs ausgegraut ist, kann ich Dir gerade nicht sagen. Unter der Liste gibt es in der "alten" Benutzeroferfläche aber den Punkt "Create New AP Group". Evtl. alles auf Werkseinstellung setzen und von vorne beginnen.