Servus.
Hinweis1
Wenn es ein roborock Staubsauger ist oder werden soll, bedenke das der nicht ohne weiteres von Subnet zu Subnet kommunizieren kann.

Das mit getrennten Vlans hab ich mir anfänglich auch so gedacht. Dann aber auf Grund der Komplexität gleich verworfen.
Der muss mit dem, der mit dem über den Port kommunizieren können.
Das wird dann eh wieder löchrig und muss zwingend gepflegt werden. War mir dann zu viel Aufwand.

Hinweis2
Evtl. überdenke nochmal deine Struktur.
Gäste und deren Geräte bleiben Gäste.
Ich hab das mit Vouchers gelöst, falls mal wirklich einer mit Edge unterwegs sein sollte und was laden will.

viel Erfolg.

Ich habe die ETS auf einer virtuellen Maschine unter Proxmox dauerhaft laufen.

Verbindung via TeamViewer (Remote) oder Microsoft Remote Desktop (im lokalen Netz).

Für mich passt das (da Mac-User) und Lizenz-Troubles hab ich damit auch keine - egal von welchem Endgerät ich gerade zugreife.

Vielleicht wäre das ja auch für dich eine Option, dann musst dich nicht immer an die extra Dose mit dem passenden VLAN hängen.

Das AVM Dect gilt bzgl. Reichweite nun wirklich nicht als Referenz. Wieso ausgerechnet eine Fritzbox für DECT? Wenn es dir um die Spielzeug-Extras geht, nimm direkt ein Smartphone.

ETS-Netzwerkdose: Du wirst nach wenigen Tagen feststellen, dass das nicht praktikabel ist. Nochmal eben die Konfig auf dem NAS sichern oder ein Screenhot ins KNX-User-Forum hochladen.

In dem o.g. Konzept benötigst du eine Firewall mit mehreren Netzen, die entsprechend freigibt. Das ist - vereinfacht - in keinem Switch eingebaut. Wenn du das VLAN Routing im Switch nutzen willst, musst du soviel öffnen, dass man sich die Trennung sparen kann.

Das Routing im layer3 Switch kommt eher daraus, dass man die Broadcast-Domänen verkleinern will. Sprich 5000 Geräte, die alle das selbe machen (z.B. alles Desktop-PCs), auch theoretisch alle miteinander kommunizieren dürfen, aber sich nicht durch die bloße Anzahl untereinander stören sollen.

Drucker in mehrere VLANs: Hierzu würde ich den Drucker eher durch einen Druckserver (z.B. in manchen NAS eingebaut) abkapseln, anstatt ihn mehrfach zur Verfügung zu stellen.

Gäste: Die müssen ins Internet (vmtl über WLAN) und trotzdem abgekapselt werden. Wieso hast due sie nicht in der WLAN Liste mit aufgenommen?

Wenn du einen Angriff IP->KNX verhindern willst, ist KNX-Secure bzw. als Krönung KNX-DataSecure ggü. irgendeiner Kapselung vorzuziehen.

Was würdest du für ein DECT Gateway empfehlen? Bei diesem Setup würde ich gar keine Fritzbox verwenden, sondern eher z.B. UniFi oder Omada.

Mittlerweile setze ich recht gerne Gigaset N610 ein, sobald eine Basis ggf. nicht mehr reicht. Sonst die N510.

Wenn es sich bei diesem Entwurf um ein Einfamilienhaus handelt, würde ich das ganze erst einmal kleiner angehen.

Ich behaupte, man kommt auch problemlos mit 3 VLAN´s aus.

Die Aufteilung der Geräte in der Skizze des TE erscheint mir ein wenig willkürlich. Da fehlt noch ein wenig das Konzept.

Inter-VLAN-Routing auf dem Switch würde ich nicht machen. Eine zentrale Routinginstanz mit integrierter Firewall, ist im Heimbereich eher praktikabel.

Vielen Dank euch für das ganze Feedback!

Das ist der Grund, warum ich die Handys mit in VLAN 2 zum Robbie gepackt habe.

Der Handyempfang ist da absolut grottig, da sind zumindest alle O2 und Vodafone Kunden auf 2G. Die Gäste hätte ich gerne ins VLAN 4 gehängt, aber dann müssten die APs VLAN 1, 2 und 4 bereitstellen. Das kommt mir nicht ganz realistisch vor.

Auch eine interessante Idee.

​Danke für den Input, ich hätte eine Fritz!Box gewählt, da ich die kenne, es damit geht und ich da mein Adressbuch importieren kann. Was würdest du empfehlen? Idealerweise mit Zugriff auf mein Adressbuch via CardDAV (Nextcloud).

​Ich habe nicht vor mit dem Heimnetzwerk irgendeine Sicherheitszertifizierung zu bestehen, möchte gerne aber mit geringem Aufwand schon das unterbinden, was man einfach unterbinden kann. Wenn es keinen bösartigen Angreifer gibt kann es schon viel helfen einfach unterschiedliche Subnetze zu verwenden (was mit VLANs automatisch der Fall ist), da benötigt man nicht zwingend eine echte Firewall.

​Ich verstehe nicht ganz, was der Vorteil davon ist. Die NAS soll ja definitiv nur im VLAN 1 liegen. Der Drucker scannt direkt auf die NAS und ich möchte sowohl vom Rechner als auch Handy drucken können, daher in beiden VLANs.

​Ich würde die sofort ins VLAN 4 schieben, wenn ich das auch auf WLAN bekomme. Aber da schon 1 und 2 aufs WLAN müssen weiß ich nicht, ob ich da noch ein drittes drauf bekomme...

​Ich nutze schon teilweise KNX Secure - zumindest am TP/IP-Router.

Den letzten Satzteil würde ich noch einmal überdenken...

Ich würde alles in ein LAN packen.
Und halt ein Gäste WLAN.

Aber wenn du unbedingt willst:
Bei uns wird sehr oft von Handy aus gedruckt. Würde ich nicht missen wollen

Die Gigaset-Geräte sprechen vermutlich nicht CardDAV, oder? Ich konnte nichts direkt dazu finden, nur kostenpflichtige Angebote, die den Sync ermöglichen sollen - daher gehe ich mal davon aus, dass das von Haus aus eher nicht geht. Das wäre sehr schade.
Zudem würde ich gerne die TKS mit auf die DECT Telefone legen. Ich habe mal gelesen, dass das mit einer Fritz!Box as DECT-Basis wohl gehen soll (muss mich da noch tiefer einarbeiten), würde das auch mit Gigaset gehen?

Wenn du halbwegs Komfort in deinem Netz haben möchtest, wie Streaming zwischen den Geräten, vom Handy drucken usw. dann mach ein vlan für alles. Diese Features nutzen broadcast. Und broadcast Pakete bleiben innerhalb eines vlans. Das Handy würde also nie den Drucker finden.

das einzige was Sinn macht, ist ein getrenntes Gäste wlan. Gerade wenn die Freunde der Kids vorbei kommen. Alles andere ist Quatsch.

vlans ohne Firewall bringen überhaupt keinen Schutz.

Inwiefern? Standardmäßig läuft der über eine Cloud und es ist egal, wo du bist. Meiner über valetudo und problemlos inter VLAN.


Sonst ist das noch sehr wirr.
Kurzantwort: wenn du auf die VLANs verzichtest, wirst du zu 99,99% keine Probleme bekommen und viel weniger Arbeit haben.

Ich habe bisher trotzdem VLANs, paar Hinweise dazu:

-Layer 2 Switch + Router reicht
-offene Ports sind nötig, sonst schränkst du dich zu sehr ein. Natürlich nur ganz gezielt
-bessere APs können zumindest 4 SSIDs und damit 4 VLANs, mit RADIUS auch mehr und dann kann innerhalb einer SSID jedem Gerät sein VLAN zugeordnet werden
-RADIUS privat ist ein Krampf und alle IoT Geräte fallen raus
-eigenes VLAN für IoT, da das unsichere Geräte sind
-Drucker VLAN würde ich mir mittlerweile sparen
-Gäste VLAN ist Pflicht, können dann aber nicht drucken
-FRITZ!Box ist für einfache Anforderungen top, aber kommt hier an ihr Limit

Gigaset kann eigene XML-Dateien oder LDAP. Es gibt Carddav->LDAP Konverter (z.B. 1. Suchmaschinen-Treffer L2CPBG).
Das Gira TKS Gateway kann man als SIP Server ggü. den Gigaset Basen verwenden. Aber nur die 'kleine' also N510 kann hier intern Umsetzen. Die Große N610 braucht eine SIP Telefonanlage.

Meine WLAN Accesspoints haben eine Art integrierte Firewall. Darin habe ich die Kommunikation zw. IOT Geräten und allen Geräten außer dem 'KNX-Server' gesperrt.

Ich hatte auch erst ausufernde Ansätze, aber du brauchst dann intern doch zu viele Verbindungen. Wurde mir zu Komplex.
Effektiv gibst nun nen Gäste/IoT VLAN, ELW VLAN und ein Main VLAN. Meine PCs, Handy meiner Frau und meins sind auch in dem Main VLAN, der Drucker und meine Musiccast Geräte auch.