PV Anlage, EMS, Wärmepumpe in separates VLAN?

[Leutnant73]

Servus,

bin vor kurzem in meinem EFH von Fritzbox auf Speedport Smart 4 gewechselt. Hintergrund war, dass ich nur schlechten Internetzugang hatte und jetzt mit dem T Hybrid Anschluss Faktor 3 schnelleres Internet habe. Leider kann die Fritzbox den Hybrid Anschluss nicht managen. Ich wusste , dass ich mich damit einschränke bzgl Funktionalität.

Jetzt stehen wir vor größeren Arbeiten am Haus. Es kommt PV aufs Dach mit Wechselrichter, dazu ein EMS System, ein Speicher und eine Wärmepumpe. Diese benötigen alle Internetanschluss um "Nach Hause" zu telefonieren. Dazu muss das EMS System mit den oben genannten Geräten im selben Netzwerkbereich kommunizieren um den Stromfluss für die Geräte zu steuern. ( z.B. wann geht der Strom in den eigenen Verbrauch, wann wir er gespeichert, wann wird er ins öffentliche Netz eingespeist , etc....)

Jetzt dachte ich mir naiv ich richte mir ein VLAN ein und separiere die neuen Geräte von meinem Hauptnetzwerk um dort die Daten zu schützen. Da meine Netzwerkzeiten schon Jahrzehnte her sind, bin ich nach kurzer Internetrecherche schnell auf Probleme gestoßen.

Momentan hängen hinter meinem Smart 4 direkt eine CCU 2 von Homematic. Ebenfalls geht ein Netzwerkkabel zu meinem Cisco Switch , der im Keller im Serverkasten zusammen mit einer NAS hängt. Vom diesem Cisco SG300-28 managed Switch gehen alle anderen LAN Kabel zu diversen Geräten im Haus. Für die neuen Geräte wollt ich eine freies LAN Kabel vom Switch nehmen , es in den Geräteraum führen , wo die neuen Geräte , wie Wechselrichter, Wärmepumpe, EMS , Speicher etc. hin sollen und es dort einfach an einen billigen 5 Port Switch wie z.B. den SG605E von TP Link hängen und von dort dann an die neuen Geräte.

Problem:

Ich habe keine Ahnung ob das auch nur im entferntesten funktioniert. In welchem Gerät benötige ich die Funktionalität für das VLAN ?
Reicht das nur im Switch, oder muss das zwingend auch über den Internet Router erfolgen (der es nach erster Recherche gar nicht kann ). Bin gerade völlig lost. Hat jemand Ideen wie man die neuen Geräte sicher isolieren kann?

Die müssten am Ende ja trotzdem alle über den einen Internet Router ins WAN , richtig?

Wäre für Tips , Hinweise , Beschimpfungen wie naiv ich bin, sehr dankbar ;-)

Viele Grüße

PS : Sorry, habe noch vergessen zu erwähnen, dass ich vor habe meine Synology in den Ruhestand zu schicken und mir ein Ugreen zu holen. Dort wollte ich ggf auch eine VM aufsetzen um Home Assistant darauf laufen zu lassen. Da müsste dann wohl auch für die neuen Geräte Zugriff möglich sein um diese mit einzubinden. Oh man, mir brummt der Kopf......

 

[wern001]

Du brauchst einen Router der VLan fähig ist sonst wird das nichts.
Eine Fritte ist nicht VLan fähig

 

[sNo0k]

Moderne Geräte beherrschen idR Wlan (Fritzbox Gastnetzwerk, wenn's getrennt sein soll?), ansonsten wäre Modbus TCP auch 'ne Variante. Wenn's aber ein eigenes Netz werden soll, dann wirst Du wohl zusätzliche HW benötigen.

 

[Leutnant73]

Danke für euer Feedback!

Ja, schade , dachte mein Layer 3 Switch könnte da irgendwie einen Workaround bieten.
Aber es ist wohl wie es ist ;-)

 

[F31v3l]

Durch VLAN bzw. entsprechende Router hast du halt die Möglichkeit die Geräte im Zaun zu halten. Muss jeder selbst entscheiden, ob er bestimmte Geräte in seinem privaten Netz haben will. Solange es keine China-Cloud ist, muss man da nicht paranoid sein, wenn man gleichzeitig Meta, Google, Amazon und Co nutzt.

Modbus ist ein guter Hinweis. Viele Sachen funktionieren nur solange ein Hersteller die Plattform betreibt. Wenn ein BWLer entscheidet, dass kein After Sales stattfindet und man eine Plattform 5-10 nach Produktauslauf einstellt, stehst du da. Mittels Modbus kannst du dir dann im Zweifelsfall über Home Assistant, ioBroker und Co versuchen selbst eine Lösung zu basteln.

 

[Leutnant73]

Danke für den Tip. Muss ich mich erst einlesen, Modbus hört sich für mich an wie Reisebus . Bin da völlig blank vom Wissen her. Die ganzen Wechselrichter Apps, bzw. z.B. der I Home Manager als EMS System sind halt bis auf ein paar Ausnahmen auf irgendwelchen Chinesischen Servern. Keine Ahnung was die im Zweifelsfall für einen Schaden anrichten können. Angeblich sind die z.B. bei Sungrow DSVGO gerecht, aber wer es glaubt. Mir gehts gar nicht um die Geräte an sich, sondern das halt keine Daten aus meinem internen Netzwerk abgegriffen werden können. Bzgl. HO plane ich da jetzt schon das einzusetzen. Wollte das auf einem neuen NAS in einer VM laufen lassen. Aber das wäre halt auch in meinem "normalen" internen Netzwerk. Wie man das mit dem Modbus Ansatz dann machen müsste, muss ich wie gesagt recherchieren. Danke für Eure Hilfe!

Ergänzung (17. Oktober 2025)

Noch eine Frage. Wie gesagt kann ich in meinem Managed Switch den Layer 3 Modus aktivieren, so das er routet. Ich habe vor die neuen Geräte über eine neuen 8 port Switch, der hinter meinen Cisco Hauptswitch hängt, anzubinden. Besteht da nicht die Möglichkeit für den Port an dem der neue kleine Switch angebunden ist ein VLAN einzurichten und dann irgendwie zu konfigurieren , dass dieser Port/ VLAN auch das Standard Internet Gateway des Hauptnetzwerkes nutzt? Oder bringt mir das nichts ?

 

[chrigu]

Deine internetbox kann kein vlan. Also löst sich das vlan beim Switch zu Router wieder auf. Macht also wenig Sinn. Du kannst, sollte der speedport ein langastnetz anbietet, den Switch vlan(Exit)Port dort dranhängen damit auch dieser weg vom normalen Netzwerk getrennt wird.

 

[Leutnant73]

Hi, kann leider nur WLAN Gastnetz. Werde wohl in den sauren Apfel beißen und alles über ein Netzwerk laufen lassen. Danke an alle für die Hinweise!

 

[hildefeuer]

Modbus ist ein industriestandard den es schon länger gibt. Mein pv wechselrichter bj 2010 hat den schon. Meine Wärmepumpe von 2022 ebenfalls.
Bei beiden kann man das zum kaskadieren nutzen. Huawei wr haben das ebenfalls und auch dort wird der genutzt und 2 oder mehr zu verbinden.

 

[sNo0k]

wenn der TE nicht schreibt, um welche Geräte es sich handelt, kann man schwer helfen. und wenn der TE sich auch nicht selbst belesen mag, zu den tips, die ihm gegeben werden, möchte er wohl nicht, dass ihm geholfen wird :/

 

[TPD-Andy]

@Leutnant73 Von welchem Hersteller ist der Wechselrichter, EMS und Batteriespeicher? Manchmal haben die Geräte zusätzlich zu Port 80 (HTTP) oder Port 443 (HTTPS) zusätzliche Ports wegen der Herstellercloud oder ModBus-TCP geöffnet.

 

[Hammelkoppter]

Warum löst du das Problem nicht mit deinem L3 Switch? Transportnetz hin zum Router (Default Route), Netz für deine "normalen" Clients und ein Netz für deine IOT Geräte. Dazu noch ne ACL um den IOT Geräten nur Zugriff uns Internet zu gewähren und den Zugriff uns Internet Netz zu verwehren.

 

[h00bi]

Hi, kann leider nur WLAN Gastnetz. Werde wohl in den sauren Apfel beißen und alles über ein Netzwerk laufen lassen. Danke an alle für die Hinweise!

Naja, du kannst an der Gastnetz SSID des Speedport eine WLAN Bridge anmelden, die dann LAN draus macht.
Dieses "Gast-LAN" kannst du dann in deinen managed Switch einstöpseln und dann in ein separates VLAN konfigurieren.
Du hast zwar eine kurze WLAN Krücke dazwischen, aber bei dem bisschen IOT Krams sollte das kein Problem sein.