darf ich meine Frage pushen?

Portweiterleitungen sollten heutzutage nicht mehr eingerichtet werden. Es sei denn, man weiß absolut, was man tut und sichert den Dienst, der dahinter steht, noch irgendwie vernünftig ab - wenn es gar nicht anders geht.

Und wie sieht es in Bezug auf das lokale Netzwerk aus?

bzgl Portweiterleitung sehe ich das genauso, nur die VoIP Anlage (3cx) benötigt leider einige, auch wenn ich das schon mehrmals bemängelt habe. Es gibt auch regelmäßig Angriffe, die werden aber zumindest von der Anlage gut geblockt.

Taugt das als Generalaussage? Ich denke nicht.

Hat der Router eine vernünftige VPN-Funktion kann man das ja damit realisieren, aber wenn nicht? Wie sollte man ohne Weiterleitung von außen auf den VPN-Server kommen?
Für das EFH wäre das, für mich, so ziemlich die einzigste Ausnahme, da man alle internen Dienste über das VPN erreicht; ich denke, so hast Du das auch gemeint.

Wer weitere Dienste nach außen verfügbar machen möchte, wird da auch nicht rumkommen - sollte aber sich mal das DMZ-Konzept verinnerlichen.

Ich denke schon, dass das als Generalaussage für den Otto-Normal-Verbraucher ohne IT Hintergrund taugt. Wer in der Lage ist, einen VPN Server sicher und vernünftig aufzusetzen und auch versteht, was er da tut, der kann auch das Risiko einer Portweiterleitung einschätzen bzw entsprechende Maßnahmen zur Absicherung ergreifen.

Prinzipiell hast Du natürlich Recht, dass ein Port zu einem gesicherten VPN Server eher Mal weitergeleitet werden kann, als zu einer IP Schnittstelle ohne jegliche Sicherheitsmechanismen.

Nächstes Problem ist, dass viele denken, sie könnten das Risiko einschätzen. Es gibt ja sooooo viele IP-Adrressen im Internet, da wird man schon nicht zu finden sein.

Ich habe sogar auch eine Portweiterleitung auf einen IP Router laufen. Der Kunde weiß davon und es das Gerät läuft im secure Mode. Mal sehen wie sicher das auf Dauer ist.

Suche einfach mit der Suchmaschine deiner Wahl nach "zero trust prinzip".

Ich kenne das zero trust Prinzip, aber lässt sich das mit KNX umsetzen? das war teilweise schon meine Frage oben

Naja, wenn Du telefonisch über SIP erreichbar sein möchtest, muss die Anlage natürlich auch von extern erreichbar sein, daran wird sich nichts ändern lassen...

Systeme, die frei aus dem Internet erreichbar sein müssen, (wie zum Beispiel eine SIP-Anlage) sollten immer in einem möglichst isolierten Netz stehen.
Warum? Weil bei einer Sicherheitslücke ein potentieller Angreifer das System übernehmen könnte, und dann von hier aus auf weitere Systeme "springen"
Daher sollte es von diesem Netz keine ausgehende Regeln in sensible Bereiche (wie deine KNX-Schnittstelle) geben.

Für Systeme die nur von Dir aus dem Internet erreicht werden sollen, ist der VPN-Tunnel das Mittel der Wahl.

Dein WLAN-Passwort und auch das Passwort für den VPN-Zugang sollte entsprechend komplex sein. Mindestens 12 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen zufällig generiert. Und wenn das Passwort an Dritte ausgegeben wird, weil die Sonntags immer zum Bier trinken kommen und das Netz im Keller zu schlecht ist, dann gilt diese Zone genau so unsicher wie wenn sie aus dem Internet erreichbar ist.

Damit haben es potentielle Angreifer in der Regel für einen Privathaushalt ausreichend schwer, zumindest von außen!

damit kommt man halt schnell an Grenzen, zum Beispiel wenn der sip Client ein softphone am PC ist

[OT]
Das kommt jetzt schon zum vierten mal.
In der Standard-Konstellation (Telefonanlage drinnen / SIP-Provider draußen ) werden KEINE Portweiterleitungen von draußen nach drinnen benötigt!

(Die braucht man nur wenn man externe Clients (Telefone) anbinden will, und das macht man besser per VPN)

Was ist, wenn Du keine Telefonanlage hast, sondern dein PC der Sip Client eines externen Anbieters? So einfach ist das für Otto Normalverbraucher nämlich nicht.

Dann brauchst du auch keine Portweiterleitung.
(Eine Telefonanlage ist auch nur ein Sip-Client nach außen)

Bei meiner 3CX habe ich übrigens keine einzige Portweiterleitung und ich bin trotzdem über die App erreichbar.

Das mag funktionieren wenn alle Komponenten dazwischen mitspielen.

Wenn dein Provider aber intern auch NAT einsetzt und die Tabelle voll ist verhungert Dein Sprach Paket auf dem Rückweg.

Also wegen mir gibt es Konstellationen wo es auch ohne funktioniert, aber grundsätzlich kann man das meiner Meinung nach so nicht behaupten.