Leider gibt FS (wie die meisten Hersteller) nur einen maximalen Stromverbrauch in den Datenblättern an.

TP-Link ist da bei den neueren Geräten präziser und gibt auch einen Leerlauf/Standby Stromverbrauch an. Gerade für den EFH-Bereich eine äußerst nützliche Zusatzinformation.

Ich hab zwar auch einen Hass auf Ubiquiti an Sich aktuell aber das hier alle das Zeug verreissen insbesondere mit dem Verweis auf cloud Zwang, ist nicht so recht richtig.

Ja, die UDM brauchen für die Ersteinrichtung die Cloud, aber man braucht nicht zwingend eine UDM. Wer kein Protect braucht, installiert einfach den Controller auf nen RPi oder was halt gerade fa ist (bei mir docker Container) und gut is. Läuft alles lokal ohne irgendwelches cloud gedöns.

Will ich halt unbedingt von unterwegs dran rum fummeln brauch ich logischerweise cloud oder muss halt selbst (vpn)hand anlegen. Mein US-48-750 läuft jedenfalls problemlos.

Der Switch lässt sich vollständig standalone betreiben oder eben durch omada managed, omada gibt es on prem, cloud oder hybrid (on prem omada mit cloud connect), es ist auch kein einmalige anmeldung oder dergleichen nötig....alles was in die wolke geht ist optional. Das gilt für alle omada kompatbilen geräte. Also auch die EAP Access Points usw. was zumindest bei denen gegenüber unifi und auch aruba instanton geräten auch ein vorteil ist, single setups können komplett autark gemacht werden also auch komplett ohne controller/account

quick_start_guide_for_omada_controller.pdf (tp-link.com)
configuring-omada-cloud-service-for-omada-controller.pdf (tp-link.com)

Na ja, so falsch liegt ThomasM da nicht. Auch ich kenne mich etwas in Netzwerktechnik aus und bin ziemlich ernüchtert darüber, was man sicherheitstechnisch so machen kann und vor allem wie man es machen muss.
Mach mal einen Port wirklich sicher! MAC-Überprüfung fällt raus (hast du auch schon geschrieben), Port Security mittels Radius geht, ist aber aufwändig. Diese und andere Möglichkeiten der Überprüfung ob Gerät zulässig am Port (z.B. für Accesspoint im Außenbereich) scheitern schon daran, dass die meisten Endgeräte das gar nicht können. Also wie lösen? Ich bin gespannt.

Klar kann ich eine Firewall kaufen und einrichten. Dann musst du dich aber mit jedem Gerät sehr gründlich auseinandersetzen, was es genau braucht. Je nach Endgerät artet das schon mal in eine (gefühlt) stundenlange Suche aus bis man die genauen Ports kennt, die das Gerät für bestimmte Aufgaben braucht. Eine Firewall wirklich sicher und sauber zu konfigurieren, ist alles andere als trivial. Wie machst du das mit den ganzen WLAN-Endgeräten? Wie fängt deine Firewall das ab? Auf IP-Basis? Hast du für jedes WLAN-Endgerät ein eigenes WLAN-Netz? Was machst du wenn ein WLAN-Endgerät mit deinem internen Netz kommunizieren muss (Notebook mit PC oder Notebooks untereinander)? Was soll die Firewall dann machen? Alle Ports zu außer die SMB-Ports für Dateifreigaben?! Und was ist wenn da ein verseuchtes Notebook auftaucht oder ein WLAN-Endgerät, das halt doch leider im gesicherten Netz hängen muss, weil du es sonst nicht richtig nutzen kannst?
Sicherheit ist ein großes Thema und wenn mann privat nicht 24h einen Fulltime-Admin-Job machen will, kann ich mir eine saubere Firewallkonfiguration nur sehr schwer vorstellen.

Die VLAN-Tags in den Switches sind auch nur eine trügerische Sicherheit. Wenn an einem Port gleich mehrere VLANs zugelassen sind und am Endgeräte die Zugehörigkeit zum Sende-VLAN selbst eingestellt wurde, kann jeder dort auch sein eigenes Endgerät dranhängen und die VLAN-IDs einfach selbst ausprobieren. Auch das gibt also keine Sicherheit. Was macht man mit Accesspoints oder Wallboxen im Außenbereich? Im Ernst: Ich habe dafür noch keine Lösung, die kostenmäßig halbwegs in einem Verhältnis steht. Klar, ich kann über VLANs den Zugriff beschränken. Wenn ich von meinem Notebook aber auf die Wallbox kommen will, wirds über VLANs schon schwierig bis unmöglich das abzusichern. Für den Außen-AP gibt es meines Wissens nach überhaupt keine sichere Lösung außer den AP in den unzugänglichen Innenraum zu hängen und nur die Antennen anch außen zu stecken. Davon ab: Wie wahrscheinlich ist es, dass jemand auf meinem Grundstück die Wallbox aufmacht und sich ans LAN hängt?! Das ist der unwahrscheinliche Fall vom unwahrscheinlichen Fall.

Das größte Problem ist aber ein anderes: Die enormen Kosten und der hohe Stromverbrauch all dieser Geräte! Ich muss schon kräftig schlucken, wenn ich von manchen hier lese, dass sie gleich _mehrere_ Switche einsetzen. Ist euch eigentlich klar, was diese Dinger an Strom verbrauchen?!
Ein unmanaged 24-Port-Gigabit-Switch genemigt sich gut und gerne 17W (voll belegt), ein managed braucht auch mal 30W bis 40W. Und davon dann auch gleich noch mehrere?! Puh. Wenn man drei solcher Switche hat, ist man so schnell bei 200 bis 300 EUR Stromkosten im Jahr. Ihr seid ernsthaft bereit für ein bisschen Sicherheit und ein bisschen Geschwindigkeit so viel Geld zu bezahlen? Das käme mir nie in den Sinn!
Dann lieber ein bisschen weniger Performance und größtenteils mit WLAN arbeiten (braucht bei mir rund 6W), dann noch einen kleinen Gigabit-Switch, der die absolut wichtigsten Stellen (wie Arbeitsplatz, Multimediazeug) abdeckt und fertig. Brauchen Gäste Zugang zum LAN?! Muss ich diesen Fall wirklich absichern?!

Und falls es jemand wissen will: Ja, auch ich habe in fast jedem Zimmer Netzwerkdosen, nur hängen die nicht alle am Switch. Die ganzen kleinen Geräte wie KNX-Interface hängen bei mir an einem 100MBit-Switch. Der braucht nämlich für 24 Ports keine 3W.
Über 80% meiner Geräte brauchen kein Gigabit, bei denen reicht 100MBit/s völlig aus. Sogar beim alltäglichen Arbeiten brauche ich selten mehr als 100MBit/s, denn das sind ja auch schon mehr als 10 Megabyte pro Sekunde. Wie oft schiebe ich hunderte von Megabyte durchs Netzwerk? Sehr selten, sehr sehr selten. Im Homeoffice müssen die Daten eh durch die Internetleitung und die ist kleiner als 100MBit/s (zumindest bei mir).

Ich habe mehrere Tage damit zugebracht Datenblätter zu lesen, um einen Switch zu finden, der halbwegs alle Aufgaben abdeckt, wenig Strom verbraucht und möglichst viel von Haus aus filtern kann ohne eine Extra-Firewall zu brauchen (die ja auch wieder Geld kostet und Strom braucht).

Fazit: Obwohl ich gerne mit Technik spiele und eine Switch-Konfiguration für mich kein Problem ist, möchte ich zu Hause nicht mehr als zwei Switche haben, dazu noch eine Firewall konfigurieren müssen und so weiter. Auch ich verwende einen zentralen managed Switch, der noch ein paar L3 und L4 Features beherrscht (und schränke damit die Wallbox in ihrem Zugriff ein), verwende also auch VLANs.
Aber so zu tun, als wäre das alles total easy und anderen zu empfehlen mal so eben die VLANs oder gar eine Firewall anständig zu konfigurieren, käme mir nicht in den Sinn. Damit will ja nicht mal ich mich rumschlagen und ich arbeite im IT-Bereich, aber das noch jemandem zu empfehlen selbst zu machen, der das nicht tagtäglich macht?!

Beim Beachten vom Leistungsaufnahme und Stromkosten bin ich auf jeden Fall bei Dir, bei der genannten Höhe je Gerät jedoch nicht (mehr; wobei die verfügbaren Geräte im laufe der Zeit allerdings auch sparsamer werden bei vergleichbaren technischen Daten).
Beispiel: CRS125-24G-1S-RM (habe ich auch selbst im Einsatz, Modell nicht mehr verfügbar, also auch schon ein paar Tage älter) nur ~200 EUR und begnügt sich mit maximal 15W (bei meiner letzten Messung waren es unter 10W, ohne SFP-Modul und mit vielen Ports <GBit). Bietet Routing (natürlich nicht mit maximaler Geschwindigkeit) und Firewall und ansonsten noch umfangreich/ste Managementfunktionen. Liefert bis auf WLAN also alles in einem Gerät. ABER: Konfiguration bleibt auch hier eine Herausforderung, die gerne unterschätzt wird. Einfach "mal VLAN einschalten" reicht halt nicht. Das Verbinden der dabei entstehenden verschiedenen Netze, so dass nur der gewünschte Datenverkehr stattfindet passiert nicht von alleine; und ich habe bislang auch leider auch noch keine Lösung gesehen mit der man das so konfigurieren könnte ohne sich zwingend intensiver damit zu beschäftigen.

Naja das mit dem Stromverbrauch kann ich für mich insofern relativieren das alles was geht auch per PoE versorgt wird. Kameras, Telefone, teilweise kleinere Lichter, Modem usw. Wird alles über PoE versorgt und spart daher das Steckernetzteil.

Das dafür der Switch etwas mehr braucht, geschenkt.

Im EFH wird im Regelfall kein Problem mit phsyikalischem Zugriff zu den Ports zu erwarten sein. Da ist der Switch ausserdem sowieso nicht unweit von der Dose, und wird wahrscheinlich nicht entsprechend physikalisch gesichert sein. Wenn Du sorge bei gewissen Ports hast kann man die immer noch ein ein guest-vlan haengen. Einen radius server hat man auch bald mal laufen wenn es nun wirklich 802.1X sein soll. Aussenkameras kann man auch in ein eigenes VLAN haengen - da muss eh nur der video server drauf zugreifen - genauso wie auch einen Outdoor AP (wobei ich niemanden kenne der ein derart grosses Grundstueck hat bei dem nicht sowieso die - hochwertigen - innen-AP(s) den Garten mitversorgen). Alle vernuenftigen zeitgemaessen Geraete koennen jedenfalls 802.1X, wenn man das also unbedingt will muss man halt entsprechend kaufen. Der Angriffsvektor ist im EFH aber doch eher unwahrscheinlich.

Das geht jetzt aber deutlich in eine andere Richtung als "welcher Switch" und "VLAN ja/nein". Stateful firewalls mit connection tracking machen einem das leben aber schon deutlich einfacher.

Im Regelfall wird zuhause ein "internes" und ein "gast" WLAN reichen. Wenig vertrauenswuerdige "IoT" Geraete kann man ja auch noch in ein eigenes verbannen.

Ein Vertrauenswuerdiges Geraet ist mit dem internen WLAN verbunden und hat zugriff auf das interne Heimnetz.

Hast da ein Beispiel dafuer? Ein nicht vertrauenswuerdiges Geraet haengt bei mir maximal im Guest wlan. SMB verwende ich nicht. Geraete die nicht vertrauenswuerdig sind bekommen sicher keinen Zugriff auf meine Dateifreigabe.

Es endet ja nicht bei der Gateway Firewall. Jeder vernuenftige Server hat heutzutage auch lokal eine Firewall. Auch meine Desktops haben OOTB eine Firewall. Ja, da muss man sich schon etwas damit beschaeftigen, aber wie viele Services laufen wirklich? Ich weiss ja nicht wie viele Dienste Du daheim so betreibst, aber auf meinen Desktops hab ich keine Services laufen, und der Server ist halt entsprechend abgesichert. Lokale Firewall, nur die Dienste die man wirklich braucht, nur im Vertrauenswuerdigen Netz.

Wer so einen schwachfug konfiguriert ist selbst schuld. Das macht man einfach nicht. Man laesst nicht ein beliebiges Endgeraet auf einem trunk/tagged port in beliebige VLANs. Du scheinst Dich mit VLANs nicht besonders auszukennen. Da definiert man die erlaubten VLANs und fertig.

Und von dem VLAN in dem die Wallbox haengt darf man genau was? Eben, genau das was auf der Firewall erlaubt ist. Also quasi gar nix wenn es ordentlich aufgesetzt ist.

Ja. Ich habe einen 24port Cisco Catalyst PoE Switch - daran haengen 8 IP Cams und 3 APs mit PoE - plus OpenBSD Firewall auf einem PcEngines board, Server mit mehreren Laufwerken mit Dateifreigabe, Videoaufzeichnung und Homeassistant. Das alles zusammen braucht 120 Watt.

Wer sagt das das alles total easy ist? Was ist die alternative? Alles offen zu lassen? Und es meint ja jeder alles selber machen zu muessen. Kann ja nicht so schwer sein ein paar Geraete am Switch anzustecken, oder? Dann darf man sich aber auch nicht wundern wenn eines der unzaehligen Services auf irgendwelchen Geraeten kompromitiert wird.

Hui, das ist wäre ja mal fast ne Verdoppelung meines derzeitigen 48h Durchschnittsverbrauches unter der Woche.

Ich find das fuer einen Intel Server mit vielen Platten, einer PCEngine basierenden Firewall, dem Switch und einem haufen Kameras + Access Points nicht sehr viel. Was betreibst Du denn fuer Geraetschaften?

Eine Fritzbox ohne DECT (die immer so 29% anzeigt) und einen Timberwolf-Server für das KNX-Spielzeug im Haus, ansonsten sind es ein PC + Laptop im HO als Verbrauchstreiber, Heizung /Kühlschrank / Lampen sind harmlos. Am Wochenende kommt dann mehr Licht und Werkzeug und Waschmaschinendurchläufe ins Spiel.

Ich fühle mich da jetzt auch in keiner Weise als repräsentativer Haushalt. Aber irgendwann brauche ich da auch umfangreichere HW bei den Switchen. daher lese ich die Beiträge die hier immer mal auftauchen gespannt mit.

Wenn man auf einen möglichst niedrigen Verbrauch aus ist kann es sich wie von raffix geschrieben lohnen auf mehrere "kleinere" Gerätschaften zu setzen.
Meine bisherige Erfahrung: Unmanaged Switches bis 16 Ports sind im Leerlauf bereits meist deutlich genügsamer als solche mit 24 Ports oder mehr, 100Mbit spart nochmal ein gutes Stück. Allerdings gibt es auch große Unterschiede zwischen den Herstellern und verschiedenen Gerätegenerationen.

Unverständlich, dass für derartige Immer-an-Geräte keine ordentlichen Verbauchsangaben ins Datenblatt müssen. Beim Gefrierschrank ist es ein Hauptverkaufsargument, obwohl dieser bei vielen weniger "schluckt", als so manche IT-Hardware im Haus...

Zum Vergleich:

108 Watt:
Unifi Dream Machine pro
16 port Unifi PoE
24 Port Unifi
Draytek Modem
Intel Nuc
VoIP Gateway
Synology DS mit 5x HDD
4 voIP Telefone
Dect Station
3x Unifi AP

In einem durchschnittlichen EFH ist sicher deutlich weniger als das notwendig, somit sollte ein niedrigerer Verbrauch als das leicht möglich sein.

ich hab noch die Hikvision Tuersprechanlage mit zwei Innenstationen vergessen, das laeuft auch vom gleichen Switch.

Genau da haben wir schon einen Dissens. Wenn man Outdoor-APs vernünfig verwenden will, dann stellen diese ein internes und ein Gäste-WLAN bereit. Dafür müssen sie aber VLAN-seitig in beide Netze kommen. Wenn jemand auf seinem Grundstück unterwegs ist, will er ja auch auf die Visu kommen, um im Garten was zu schalten.

Hier muss ich gestehen, dass ich das bei meinen APs noch nicht nachgeprüft habe. Doch auch hier wäre mir der Aufwand deutlich zu hoch das ganze Spiel (Radius Server aufsetzen, den Switch konfigurieren) nur um einen Outdoor-AP zu betreiben.

Klar, aber dafür brauche ich ja schon wieder ein Gerät, das Strom braucht. Und wie gesagt: Was soll die Firewall im EFH wirklich absichern?! Ich würde das deshalb einem Otto-Normaluser nicht empfehlen.

Das sehe ich auch so.

Mit SMB wird das Protokoll bezeichnet, das für Windows-Dateifreigaben verwendet wird, also wenn du Windows-Dateifreigaben nutzt (NAS, Server), dann verwendest du auch SMB.

Alles sinnvoll, aber aufwändig, vor allem für den Normaluser, der nicht IT-affin ist.

Doch, ich kenne mich recht gut damit aus. Du hast mich allerdings missverstanden. Ein Outdoor-AP sollte nicht auf einen trunk port, sondern an einen Port, der mit allen Netzen kommunizieren kann, die er bedient. Du hast bei einem Outdoor-AP, der unterschiedliche SSIDs (für die verschiedenen Netze) bereitstellt auch keine andere Chance, denn der muss sowohl mit dem internen Netz wie auch mit dem Gastnetz sprechen. Das geht nicht anders.
Exakt hier liegt auch ein mögliches Anriffsszenario. Jemand klemmt den Outdoor-AP ab und hängt sich ans Kabel dran. Danach muss er nur die VLANs durchprobieren bis er im internen Netz landet. Das bekommst du als Heimanwender nicht wirklich dicht. Zumindest wäre der Aufwand hoch. Mir fällt nur die Lösung ein, einen AP nach innen zu hängen und die Antennen nach außen zu führen. Klar, wenn der AP Radius kann... es geht alles irgendwie, aber der Aufwand ist einfach übertrieben für einen derart unwahrscheinlichen Fall.

Sorry, aber du bist kein Otto-Normaluser, trotzdem (oder gerade deshalb) würde ich mir gerne deine Installation einmal persönlich anschauen, einfach weil ich neugierig bin für was man das alles braucht. Ich arbeite im IT-Bereich und habe wirklich Spaß an sowas, aber ich wüsste echt nicht, wofür ich 8 Kameras bräuchte. Ich habe ja sogar die Kamera in der Klingel weggelassen, weil ich da eh nie draufschauen würde. (Ich weiß wie der Postbote aussieht )

Jein. Wenn du einen üblichen Router (wie eine FritzBox) einsetzt, sind die meisten Ports zum Internet schon mal dicht. Im Privaten würde ich jedem Normalnutzer tatsächlich empfehlen auf den ganzen Kram zu verzichten und nur einen Router einzusetzen (wie die FritzBox) und das WLAN entsprechend abzusichern. Nicht mehr. Wie sähe ein konkreter Anriffsvektor denn aus? Wie wahrscheinlich ist dann so ein Angriff?
Ja man kann Fort Knox aus seiner bescheidenen Bude machen, aber zu welchem Preis? Meist macht man nur einem einzigen Menschen damit das Leben schwer - nämlich sich selbst.

Ich sehe die Gefahr ganz wo anders: Das Smartphone wird kompromitiert, wahlweise auch das Tablet oder Notebook (alles, was auch beim Einsatz von VLANs im internen Netz hängen würde, weil man ja damit auf die Visu will), Einbrecher brechen einfach die Haustür auf, jemand schmeißt die Scheiben ein, etc.
Unternehmen sollten das Geld in entsprechende Netzwerktechnik investieren, aber Privatpersonen?! Meine klare Meinung: verschwendetes Geld.

Ich frage hier deshalb noch einmal ganz offen: Was versprechen sich all jene, die im Privaten einen derartigen Aufwand treiben und so hohe Kosten in Kauf nehmen? Macht es wirklich soviel Spaß das einzurichten und am Laufen zu halten?
Manche schauen bei anderen Produkten auf jeden Euro, zucken aber nicht mit der Wimper sich Technik anzuschaffen, die über die Jahre viel Geld (in Form von Strom) verbrät, aber tatsächlich nichts oder fast nichts bringt; oft sogar nur für einen Sicherheitsgewinn, den sie selbst nicht einmal benennen können.

Schon wenn einer den AP abklemmt, ist der Port am Switch aus….. da kann er machen was er will. Gilt übrigens auch für IP Klingeln…