Vielen Dank euch nochmal für den ganzen Input! Ich habe mal meine Architektur etwas überarbeitet - ganz habt ihr mich noch nicht von den VLANs abgebracht...
Netzwerkdesign v3.png
Änderungen:

• Egal welcher Router
• DECT via Gigaset N510
• Auftrennung von VLAN 2
  • Damit auch kein VLAN Routing mehr nötig, Drucker wird problemlos gefunden und Layer 2 Switch reicht
• AP Management in VLAN 1 geschoben, separate SSIDs für die VLANs
• ETS Netzwerkdose durch WiFi Dongle ersetzt

Welche Decken-APs könnt ihr empfehlen?

Keine Visualisierung auf die vom Main VLAN zugegriffen werden soll?

Wieso wifi dongle? Du kannst auch einfach eine eigene SSID machen, ggf versteckt (was aber keine zusätzliche Sicherheit bringt) und auf die dann ganz normal von deinem Client zugreifen, ohne weiteren Dongle. (Es sei denn der hat keinen WLAN Chip intern)

Wenn du alles von Unifi nimmst (Router und unifi ap ac) ist das schon sehr angenehm. Zentrale Verwaltung aller Geräte.

Ich setzte auch Privat Unifi von Ubiquiti ein. Ich hab 4 AP, 6 Vlans und 5 SSID. Die SSID sind auf allen AP's verfügbar. Es würde auch noch mehr gehen.
Glasfaseranschluß geht direkt auf UDM-Pro. Spare mir ein Externes Modem. Habe eine vernünfige Firewall. Alle Vlans sind vernüfting von einader getrennt. Im Gäste-Vlan sind sogar alle Geräte Isoliert.

Falls Kinder im Haus sind, kannst du sogar einzelne Soziale Netzwerke oder ander Platformen einschränken, soweit ich gelesen hab. VPN und all diese sachen auch Board.

Falls erforderlich gibt es POE Switche usw. Es hat vorteile alles aus einem System zu nehmen, wenn einfach alles perfekt zusammen arbeitet.

Ich bin nicht mehr auf dem neuesten Stand, zumindest mit dem von vor ein paar Jahren würde ich aber höchstens noch die APs von Unifi nehmen. Die Firewall zu konfigurieren ist verglichen mit pfSense / opnsense spätestens dann ein Graus, wenn die Anforderungen steigen, die VLAN Trennung ist standardmäßig deaktiviert (wer denkt sich sowas aus?), mit der Konsole ist man schneller als mit so einer Klickibunti Lösung.

Sehe es ähnlich wie livingpure. Unifi Geräte kann man nehmen, wenn man schnell und ohne Spezialwünsche zum Ziel kommen möchte. Ebenso wenn man auf eine ansprechende Klickoberfläche steht. Ist aber relativ kostenintensiv.

Wenn man auf die "schicke" Oberfläche verzichten kann und wirklich alles konfigurieren können möchte, für den könnte Mikrotik eine gute Alternative sein. Als Laie sind die Kisten aber nicht mal ebenso konfigurierbar. Dafür hat man damit ne steile Lernkurve. Preislich auch im Vergleich sehr günstig.

Neben Unifi kann man auch TP-Link Omada versuchen, nicht so teuer aber funktionell wohl gleichwertig und auch eine eingängliche Oberfläche.

Danke euch!

• Ubiquiti: Alle Switches mit PoE+ sind eher teuer und auf PoE für die APs ohne extra Injektoren würde ich nur ungern verzichten. Und zudem ist Ubiquiti ja eher als Apple der Netzwerkwelt bekannt. Ich arbeite unter Ubuntu, privat nutze ich Windows, aber mit macOS und dem ganzen geschlossenen Ökosystem konnte ich mich nie anfreunden. Ist jetzt nicht gerade ein Pluspunkt. Und Cloud-Zwang ist ein absolutes KO-Kriterium.
• Mikrotik: Selbes PoE+ Problem. Zudem hatte ich in der Arbeit ab und zu mit Mikrotik-Geräten zu tun und habe sie eher gemieden, wo möglich. Das AP-Angebot bei WiFi 6 ist eher überschaubar. Und obwohl ich normalerweise nicht auf das Aussehen achte bei Technik sehen mir die APs schon etwas nach letztem Jahrtausend aus - wenn die an der Decke auftauchen sinkt der WAF gewaltig ...
• TP-Link sieht interessant aus, auch die 26 statt 24 Ports kommen einem sehr entgegen, wenn die 24 eher auf Kante genäht sind. Hätte halt lieber auf nicht-chinesische Hardware gesetzt. gbglace hast du selbst Erfahrung mit Omada und kannst das im Switch / AP Zusammenspiel mit mehreren SSIDs und VLANs empfehlen?

Ich vergleiche noch die Datenblätter Preise YT-Tutorials und entscheide dann ob Omada oder Unifi

Geht aber nicht nur um "können". Ich würde schon behaupten, dass ich im Bereich Netzwerk sowohl im Bereich Soft- als auch Hardware auf allen Ebenen ein recht gutes Verständnis habe. Will ich aber deswegen da Stunden auch noch für das Heimnetzwerk dranhängen?

Hab TP-Omada hier, an sich sehr zufrieden, aber bisher noch nichts mit VLANs eingerichtet. Außerdem sollte man genau schauen: IPv6 ist immer noch nicht ausreichend unterstützt. Ich konnte zwar von Anfang an (Okt. 2022) IPv6 lokal und WAN nutzen, aber man konnte zumindest beim ER7206 keine Firewallregeln für IPv6 anlegen und Inbound-Traffic wird standardmäßig durchgeleitet. Daher ist bisher IPv6 auf WAN-Seite schlichtweg abgeschaltet bei mir. Da gibt es zwar Fortschritte, aber bis das vollständig läuft dauert es wohl noch etwas.

Muss jeder selbst entscheiden wie viel Zeit da investiert werden soll. Viele machen da gerade zuhause eine Wissenschaft draus...


Die IPv6 Problematik bei TP-Link wäre für mich ein Ausschlusskriterium.

Wer übernimmt bei dir das Routing zwischen den VLANs? Doch hoffentlich nicht ein überteuerter L3 Switch, mit dem du was genau dann unterbinden willst?
Was willst du denn mit geringem Aufwand unterbinden?
Also was für einen Vorteil gibt es, den KNX Router in ein vom sicheren Heimnetz getrennten VLAN zu packen, außer, dass es unnötig kompliziert wird, was du ja eigentlich nicht willst.
Was ist am Netzwerklautsprecher sicherer als am TV? Beides sind IoT Geräte, die keine Updates erhalten.
Was machst du dann mit den Geräten im VLAN4? Schränkst du deren Internetzugriff irgendwie ein?

Ich hab bei mir auf TP-Link Omada gesetzt, Gründe sind schlicht das meiner Meinung nach deutlich bessere Preis/Leistungsverhältnis.
Was mit Sicherheit aktuell darauf abzielt, Ubiquiti UniFy Kunden abzuziehen.

AP sind im Wohlbereich EAP 660HD, im Keller sitzt ein EAP235Wall, Outdoor werden es bei Bedarf EAP650

Switch für "Standard" Endgeräte: TL-SG3428 XMP (24x 1GBit + 4x 10 SFP+ mit 10GBit)
Switch für die AP und "performance" Endgeräte: TL-SG3210XHP-M2 (8x 2,5GBit + 2x SFP+ mit 10GBit)

Aktuell hab ich nur zwei VLAN, einmal Gäste und einmal unseres, Routing übernimmt noch die Fritzbox von Vodafone.

Ob ich überhaupt DECT noch nutzen werde, bezweifle ich aktuell stark.
Ich komm mit der FritzFon App ganz gut zurecht, für die paar Festnetz anrufe die ich überhaupt noch mache. Im Büro steht noch ein Snom VoIP Telefon, das reicht eigentlich.

Ich hab bei Kunden inzwischen mehrere SNOM DECT Multizellenanlagen an 3CX Anlagen laufen, einfach und schnell konfiguriert.
Und für viele kleine Betriebe sogar in der kostenfreien Version ausreichend.

Von "günstigen" Preisen musst Du dich allerdings verabschieden, Du willst SMB Hardware, die möchte auch bezahlt werden.

Wobei das immer noch preislich erschwinglich ist, Enterprise Hardware im Netzwerkbereich kostet gleich nochmals deutlich mehr, im dreistelligen Bereich bekommst da gerade mal ein SFP+ Modul

Dann pack diese Geräte doch ins Gast-VLAN, wo nur Internet geht. So gewinnst auch Sicherheit, da keiner weiß, was darauf so läuft.

Am Ende reicht bei mir GAST, LAN und Gebäude. Im letzteren ist KNX, HS, WR, WP, usw. und dazwischen sitzt die Firewall und macht was sie soll.

Ähnlich wie FrankMaier sehe nicht viel Sinn in der Segmentierung wenn hier nicht gefiltert wird.
Die Segmentierung in viele VLAN ohne vernünftiges Filtern sieht eher wie eine lustige Fingerübung für einen Netzwerkekurs aus. Da kann man mit Subnetzmasken spielen und schauen ob das Routing funktioniert. In der Grafik fehlt für mich ganz oben - über dem Switch - ein wichtiges Gerät, und das ist ein Router mit Filtermöglichkeiten.

mMn:
- Vertrauenswürdiges Heimnetzwerk für die Familie
- Reines Internet-Netzwerk für Gäste, Geräte die halt ins Internet müssen o.ä.
- Eingeschränktes Netzwerk für Geräte ohne Internet

Da muss schon gefiltert werden. z.B. Mikrotik kostet nicht viel, und kann das problemlos.