Netzwerk ist die Infrastruktur, auf der heute alles andere läuft: Telefonie, Türstation, Heizungssteuerung, Videoüberwachung, KNX-Visualisierung, Homeoffice, Streaming. Wenn das Netzwerk wackelt, wackelt der ganze Tag. Trotzdem ist die häufigste Lösung in Privathaushalt und Kleingewerbe immer noch der gleiche Reflex: einen stärkeren Router kaufen und hoffen, dass es reicht.
Reicht in den seltensten Fällen. Stabiles Netz ist eine Planungsaufgabe, keine Hardwarefrage. Das fängt bei der Verkabelung an, Cat6A, Cat7 oder direkt Glasfaser zum Etagenverteiler, und endet beim Funkfeld, das nach echter Heatmap geplant und mit Roaming nach 802.11r/k/v aufgebaut wird, statt mit drei Mesh-Knoten aus dem Onlinehandel.
Dieser Artikel zeigt, wie wir Netzwerke aufbauen, vom Hausanschluss bis zum letzten Access Point. Mit konkreten Standards, konkreten Herstellern, ehrlichen Trade-offs.
Was ein modernes Netz leisten muss
| Anforderung | Heute realistisch | Reserve für 5-10 Jahre |
|---|---|---|
| Backbone | 1 GbE Standard | 10 GbE / Multimode-LWL |
| Etagenverteilung | Cat6A bis 10 GbE / 100 m | Cat7 / OM4-LWL |
| WLAN-Generation | Wi-Fi 6 (802.11ax) | Wi-Fi 6E / Wi-Fi 7 |
| PoE-Versorgung | PoE+ (Typ 2, 30 W) | PoE++ (Typ 4, 90 W) |
| Roaming | 802.11k/v Basis | 802.11r Fast-Roaming |
| Segmentierung | VLAN für Gast & IoT | Microsegmentation, Zero-Trust |
Wer heute neu verlegt und in fünf Jahren nicht aufreißen will, plant nicht auf den aktuellen Bedarf. Er plant auf die Reserve.
Kupfer oder Glas, die Verkabelungs-Frage
Cat6A, Cat7 und Glasfaser im Vergleich
| Medium | Bandbreite | Reichweite | PoE-Eignung | Typische Lebensdauer | Einsatzbereich |
|---|---|---|---|---|---|
| Cat6A | 10 GbE bis 100 m | 100 m | Volle PoE++-Unterstützung (Typ 4, 90 W) | 15-20 Jahre | Standard für strukturierte Verkabelung Wohn-/Geschäftsbau |
| Cat7 | 10 GbE bis 100 m, 25/40 GbE auf kurzen Strecken | 100 m | Volle PoE++-Unterstützung | 20-25 Jahre | Hochwertige Installation, höhere Schirmung, mehr Headroom |
| Cat7A | 40 GbE bis 50 m | 100 m | Volle PoE++-Unterstützung | 20-25 Jahre | Industrie, Rechenzentrum-Vorzonen |
| OM4 Multimode-LWL | 100 GbE bis 150 m | bis 550 m bei 10 GbE | , (kein PoE über LWL) | 25+ Jahre | Etagenanbindung, Backbone zwischen Verteilern |
| OS2 Singlemode-LWL | 100 GbE+ | mehrere km | , | 25+ Jahre | Standort-Verbindung, Outdoor-Trassen |
Was wir in der Praxis empfehlen
Im Einfamilienhaus und Kleingewerbe ist Cat6A Duplex sternförmig zum zentralen Netzwerkschrank der Standard, mit dem nichts schiefgeht. PoE++ läuft, 10 GbE läuft, 100 m Reichweite reichen für jedes normale Gebäude.
Cat7 hat sich vor allem in Deutschland als “Premium-Kupfer” etabliert, höher geschirmt (S/FTP), mehr Reserven, technisch ein Stück besser als Cat6A, aber elektrisch im praktischen Einsatzbereich identisch. Wer einbaut, sollte den Knackpunkt kennen: Cat7 mit GG45- oder TERA-Steckern wird selten konsequent durchgezogen, meistens enden die Leitungen in RJ45-Cat6A-Buchsen. Das ist in Ordnung, aber die Mehrkosten muss man rechtfertigen.
Glasfaser planen wir bei zwei Anlässen mit ein:
- Verbindung zwischen mehreren Etagenverteilern oder Gebäudeteilen (OM4 als Standard)
- Backbone zum Serverraum oder Hauptverteiler, wenn 10 GbE Kupfer nicht ausreicht
Im Wohnbau ist LWL selten nötig, im Praxis-, Kanzlei- oder Ladenbau dafür umso öfter.
Strukturierte Verkabelung, die Regeln
- Sternförmig zum zentralen Netzwerkschrank, keine Daisy-Chain
- Patchpanel im Schrank, Dosen an der Wand, keine direkten Leitungsabschlüsse in der Wand
- Mindestens zwei Reservedosen pro relevantem Raum (Wohnzimmer, Arbeitszimmer, Empfang, Kasse)
- Leerrohre mit ausreichendem Innendurchmesser einplanen, damit nachträglich nachgezogen werden kann
- Messprotokoll nach Cat6A/Cat7-Norm bei Übergabe, sonst gibt es im Streitfall keinen Nachweis
- Brandabschnitte beachten: Jede Etagendurchführung mit Datenkabeln ist MLAR-relevant, dazu unten mehr
WLAN-Standards 2025, Wi-Fi 6, 6E, 7
Was die aktuellen Generationen wirklich bringen
| Standard | IEEE | Frequenzbänder | Max. Kanalbreite | Theoretischer Durchsatz | Praktischer Nutzen |
|---|---|---|---|---|---|
| Wi-Fi 5 | 802.11ac | 5 GHz | 80 MHz | 3,5 Gbit/s | Veraltet, im Neubau nicht mehr setzen |
| Wi-Fi 6 | 802.11ax | 2,4 + 5 GHz | 160 MHz | 9,6 Gbit/s | Solider Standard, OFDMA, MU-MIMO Up- und Downlink |
| Wi-Fi 6E | 802.11ax | + 6 GHz | 160 MHz | 9,6 Gbit/s | Eigenes 6-GHz-Band, drastisch weniger Störungen |
| Wi-Fi 7 | 802.11be | 2,4 + 5 + 6 GHz | 320 MHz | 46 Gbit/s | Multi-Link Operation, niedrige Latenz, 4K-QAM |
Warum 6 GHz der eigentliche Sprung ist
In dichten Wohngebieten und Gewerbestraßen ist das 5-GHz-Band längst zugemüllt, Nachbarn, Bluetooth-Geräte, schlecht konfigurierte Repeater. Das 6-GHz-Band ist neu, exklusiv für Wi-Fi 6E/7 freigegeben und für ältere Geräte unsichtbar. Wer dort funkt, hat erstmal Ruhe.
Voraussetzung: Clients müssen 6 GHz unterstützen. Aktuelle iPhones (15 Pro und Pro Max, alle 16er), neuere Android-Flaggschiffe, MacBook Pro ab 2023 und MacBook Air ab 2024 (M3), alles dabei. Ältere Geräte bleiben im 5-GHz-Band, profitieren aber davon, dass die “modernen” Geräte sich nicht mehr drängeln.
Wann lohnt Wi-Fi 7
Wi-Fi 7 lohnt heute in zwei Szenarien:
- Neubau oder Komplettsanierung, die Hardware wird ohnehin auf 10 Jahre hin gekauft, da nimmt man die neueste Generation
- Hochlast-Umgebung mit vielen gleichzeitigen Clients (Konferenzraum, Schulungsbereich, Open Space mit 30+ Personen)
Wi-Fi 7 lohnt sich heute nicht, wenn die Clients noch alle auf Wi-Fi 6 stehen. Dann verbrennt man Hardware-Budget für eine Reserve, die in 2-3 Jahren tatsächlich genutzt wird, bis dahin ist die nächste Access-Point-Generation ohnehin auf dem Markt.
MU-MIMO, OFDMA, BSS Coloring, was die Features wirklich bringen
- MU-MIMO (Multi-User MIMO): Mehrere Geräte werden parallel bedient statt nacheinander. Voraussetzung: Clients und AP unterstützen es. Bringt in Privathaushalten wenig (selten 4+ aktive Clients), in Büros viel.
- OFDMA (Orthogonal Frequency-Division Multiple Access): Trennt einen Kanal in kleine Sub-Kanäle, die parallel an mehrere Clients gehen. Reduziert Airtime-Verschwendung, ist im IoT-Umfeld extrem wertvoll.
- BSS Coloring: Markiert Funkzellen, sodass benachbarte APs sich nicht unnötig blockieren. Wichtig in Mehrfamilienhäusern und dichten Bürolagen.
Heatmap statt Bauchgefühl
Warum eine Funkfeldausleuchtung kein Luxus ist
Ein Bauplan in DIN A4 zeigt nicht, wo die Stahlbetondecke die 5-GHz-Welle schluckt, wo die Küche mit Granitarbeitsplatte als Wand wirkt oder wo der Heizungsraum mit verzinktem Estrich einen Funkschatten produziert. Das sieht man nur, wenn man das Funkfeld misst.
Wie wir vorgehen
- Predictive Heatmap auf Basis der Baupläne: grobe AP-Positionen, Material-Dämpfungen einkalkuliert
- Vor-Ort-Messung mit Spektrum-Analyzer im 2,4-/5-/6-GHz-Band: Störquellen, Nachbar-WLANs, DECT-Telefone, Mikrowellen-Streustrahlung
- APs probehalber montiert, Messung mit echten Clients (Smartphone, Laptop), Roaming-Test über alle Räume
- Feinjustierung: Sendeleistung, Kanalauswahl, Minimum-RSSI-Schwellen
- Übergabe-Heatmap als PDF mit Bestandsplan
In privaten Einfamilienhäusern mit 150-200 m² reichen meistens 2-3 Decken-APs, bei verwinkelten Grundrissen oder zwei Etagen mit massiven Decken eher 3-4. Im Büro rechnen wir grob mit einem AP pro 50-80 m² bei normaler Nutzung, bei Konferenzräumen und dichten Sitzplatzanordnungen entsprechend mehr.
VLAN-Segmentierung, die unterschätzte Disziplin
Warum ein flaches Netz ein Risiko ist
Wer Smart-TV, Saugroboter, Webcam, Drucker und Bürorechner in einem einzigen Netz betreibt, hängt seinen Steuerberater ans gleiche Subnetz wie den günstigen IoT-Schalter aus China. Wenn dieser Schalter eine Sicherheitslücke hat, und billige IoT-Hardware hat fast immer eine -, dann ist die Lücke direkt im Büronetz.
VLANs lösen das. Ein VLAN ist ein virtuell getrenntes Netzwerk auf derselben physikalischen Infrastruktur. Jedes VLAN bekommt eigene IP-Range, eigene Firewall-Regeln, eigene Zugriffsrechte.
Typische VLAN-Struktur
| VLAN | Verwendung | Internet | Zugriff auf andere VLANs |
|---|---|---|---|
| 10, Management | Switch, AP, Firewall-Verwaltung | beschränkt | nur vom Admin-Client |
| 20, Mitarbeiter / Familie | Arbeitsrechner, Privatgeräte | voll | beschränkt |
| 30, IoT / Smart Home | Saugroboter, Smart-TV, Sprachassistent | beschränkt | nein |
| 40, Gäste | WLAN für Besucher | voll, Bandbreitenlimit | nein |
| 50, Kameras / Sicherheit | IP-Kameras, NVR, Türstation | nein (lokal!) | nur Management-VLAN |
| 60, KNX / Bus-Server | KNX-IP-Gateway, Visualisierungs-Server | beschränkt | nur vom Mitarbeiter-VLAN |
| 70, VoIP | IP-Telefone, SIP-Trunk | beschränkt | QoS-Priorisierung |
Firewall-Policies dazu
Die VLAN-Trennung allein bringt wenig, wenn die Firewall alles erlaubt. Die Regel: Default Deny, Whitelist statt Blacklist. Konkret:
- IoT-VLAN darf nichts außer DNS und seinen Hersteller-Server erreichen
- Kamera-VLAN darf gar nicht ins Internet, nur lokales NVR
- Gäste-VLAN darf nur ins Internet, nicht in andere VLANs
- Mitarbeiter-VLAN darf in alle anderen VLANs explizit auf bestimmte Ports zugreifen (z. B. KNX-Visualisierung, NVR-Webinterface)
PoE, die Leistungsstufen ehrlich verstehen
IEEE-Standards im Überblick
| Standard | Typ | Max. Leistung am Port | Spannung am PD | Typische Geräte |
|---|---|---|---|---|
| 802.3af (PoE) | Typ 1 | 15,4 W | 12,95 W | VoIP-Telefon, einfache Kamera |
| 802.3at (PoE+) | Typ 2 | 30 W | 25,5 W | Wi-Fi-6-AP, PTZ-Kamera, Türstation |
| 802.3bt (PoE++) | Typ 3 | 60 W | 51 W | Wi-Fi-6E/7-AP mit Multi-Radio, Dome-Kamera mit Heizung |
| 802.3bt (PoE++) | Typ 4 | 90 W | 71,3 W | Sehr leistungsfähige APs, kleinere Displays, LED-Panels, Outdoor-Kameras mit Heizung |
Häufiger Planungsfehler
Switch wird gekauft, der PoE+ kann, aber im Datenblatt steht das PoE-Budget pro Switch, nicht pro Port. Ein 24-Port-Switch mit 250 W PoE-Budget liefert nicht 24 × 30 W = 720 W, sondern eben 250 W aufgeteilt. Wer alle Ports voll mit PoE+ belegen will, braucht entsprechend dimensionierte Hardware.
Regel: PoE-Budget mindestens 30 % über dem rechnerischen Bedarf, Reserven für Spitzen, neue Geräte und Effizienzverluste.
Mesh vs. Controller, die richtige Entscheidung
Mesh ist nicht gleich Mesh
Was im Handel als “Mesh-System” verkauft wird (TP-Link Deco, Google Nest, Asus ZenWiFi), ist meistens drahtloses Backhaul mit gemeinsamem SSID, bequem für die Selbst-Installation, aber mit Trade-offs: Die Verbindung zwischen den Mesh-Knoten geht selbst über Funk und teilt sich die verfügbare Airtime mit den Clients. In dichten Umgebungen sinkt die effektive Bandbreite spürbar.
Controller-basierte Systeme
UniFi (Ubiquiti), MikroTik CAPsMAN, Aruba Instant On, Cisco Meraki, bei allen diesen Systemen sind die Access Points per Kabel angebunden. Das Funkfeld wird zentral konfiguriert: Kanäle, Sendeleistung, Roaming-Schwellen, VLANs, Captive Portals.
| Kriterium | Mesh (Funk-Backhaul) | Controller (Kabel-Backhaul) |
|---|---|---|
| Einrichtung | App-basiert, einfach | Web-Interface, mehr Tiefe |
| Roaming | je nach Hersteller passabel | sehr gut, 802.11r/k/v voll genutzt |
| Skalierbarkeit | 3-6 Knoten realistisch | unbegrenzt |
| Bandbreite je Knoten | sinkt mit jedem Hop | konstant |
| VLAN-Unterstützung | meist eingeschränkt | volle Trennung möglich |
| Wann sinnvoll | Bestand ohne Kabelverlegung möglich | jede Neuinstallation, jedes Gewerbeobjekt |
Was wir typisch einsetzen
UniFi Dream Machine / Cloud Gateway als Router/Firewall, UniFi U6 / U7 Pro / U7 Enterprise als Access Points, UniFi PoE-Switch dazwischen. Vorteil: alles aus einer Oberfläche, lokale Verwaltung ohne Cloud-Zwang, faire Hardware-Preise und keine Lizenzkosten.
MikroTik mit CAPsMAN oder dem neueren RouterOS-Wireless-Stack ist die Wahl, wenn man mehr Tiefe in der Konfiguration braucht, etwa bei mehreren Standorten, dynamischem Routing, VPN-Mesh oder anspruchsvollerem Traffic-Management. Höhere Einarbeitung, dafür kein Vendor-Lock-in.
Aruba Instant On ist eine solide Wahl im KMU-Bereich, wenn man ein Cloud-Dashboard explizit will.
Roaming, die unterschätzte Disziplin
Was passiert ohne 802.11r/k/v
Ohne Roaming-Standards entscheidet das Endgerät allein, wann es den Access Point wechselt. Die meisten Smartphones halten viel zu lange an einem schwachen AP fest (“Sticky Client”) und wechseln erst, wenn das Signal praktisch weg ist. Ergebnis: Telefonate brechen ab, Videocalls ruckeln im Treppenhaus, der Saugroboter verliert in der Küche die Verbindung.
Die drei wichtigen Standards
| Standard | Funktion | Vorteil |
|---|---|---|
| 802.11k | Neighbor Reports | Client weiß, welche APs in der Nähe sind |
| 802.11v | BSS Transition Management | AP empfiehlt dem Client einen Wechsel |
| 802.11r | Fast Transition (FT) | Authentifizierung wird vom alten AP zum neuen vorab übergeben, Wechsel in unter 50 ms |
In Kombination mit konsequenter Sendeleistungs-Steuerung und einem realistisch gesetzten Minimum-RSSI-Schwellwert (typisch -75 dBm für allgemeine Nutzung, -65 dBm für VoIP-Anforderungen) entsteht ein Netz, in dem Geräte automatisch im richtigen Moment wechseln.
Wichtiger Praxis-Hinweis
802.11r und WPA3 vertragen sich nicht in allen Konfigurationen perfekt. Mit WPA2/WPA3-Mixed-Mode läuft Fast-Roaming nur bedingt. Wer maximales Roaming braucht und einige ältere Clients hat (z. B. ältere IoT-Geräte), fährt mit einem getrennten 2,4-GHz-SSID für Legacy-Clients besser als mit Mixed-Mode auf allen Bändern.
Brandschutz, der Punkt, der oft vergessen wird
Strukturierte Verkabelung kreuzt Brandabschnitte. Jeder Etagenwechsel mit Datenkabel-Bündel, jede Wand zwischen Nutzungseinheiten und jede Schachtwand zum Treppenhaus ist nach MLAR 2015/2020 schott-pflichtig, sobald sie eine klassifizierte Feuerwiderstandsklasse hat.
Konkret bedeutet das:
- Geschossdecken zwischen Wohn- oder Nutzungseinheiten: Kabelschott erforderlich
- Schachtwände des Treppenhauses: streng zu schotten, das ist der Fluchtweg
- Serverraum-Eintritt: Kombischott für Strom-, Daten- und Brandmeldeleitungen
- Brandwände zwischen Gebäudeteilen: ohne Schott keine Bauabnahme
Wer Datenleitungen verlegt und das Schott “dem Maurer überlässt”, riskiert eine Baustelle, auf der niemand den Verwendungsnachweis hat. Wir setzen Brandschotts mit Hilti-Firestop-Systemen und führen den Schott-Pass mit, Details dazu im Artikel zu Brandschotts in Bestand und Neubau.
Häufige Fehler im DIY-WLAN
Stärkerer Router statt mehr Access Points. Ein einzelner Router mit hoher Sendeleistung überversorgt nahe Bereiche und überreicht trotzdem nicht in den entferntesten Raum. Mehrere kabelgebundene APs liefern homogenere Abdeckung, und sind schlanker im Funkfeld als ein einzelner “Bumser”.
Kanalbreite 160 MHz auf 5 GHz im Mehrfamilienhaus. Mehr Kanalbreite klingt nach mehr Tempo. In dichten Lagen blockiert man damit den halben 5-GHz-Bereich und kollidiert mit jedem Nachbar-WLAN. 40 oder 80 MHz sind in Wohnumgebungen oft die bessere Wahl. 160 MHz lohnt erst auf 6 GHz, wo das Band leer ist.
2,4 GHz mit voller Sendeleistung. 2,4 GHz reicht weit, daher reicht ein einziger AP für ein ganzes Stockwerk. Wer auf jedem AP 2,4 GHz mit voller Leistung lässt, baut sich eine Eigenstörung ein. Faustregel: 2,4 GHz nur auf jedem zweiten oder dritten AP aktivieren, dort dann moderat.
Repeater im Wohnzimmer. Ein WLAN-Repeater halbiert die effektive Bandbreite (weil er zur Quelle und zum Client gleichzeitig funkt) und sitzt meistens dort, wo das Signal schon schlecht ist, er bekommt also ein schlechtes Signal und reicht ein schlechteres weiter. Wenn überhaupt, dann mit dediziertem Backhaul-Band oder direkt einem kabelgebundenen AP.
Alles im Default-VLAN. Smart-TV, Kindertablet, KNX-Visualisierung, Drucker, Smartphone, alles im selben Netz. Eine kompromittierte günstige IoT-Steckdose bekommt damit Zugang zu allem. Segmentierung ist keine Hochsicherheits-Maßnahme, sondern Hygiene.
Kabel mit “passt schon”-Mentalität verlegt. Cat-Kabel verträgt keine engen Knicke (mindestens 4-fach des Außendurchmessers), keine Quetschung beim Verlegen, keine Parallelführung mit Starkstrom über mehrere Meter ohne Schirmtrennung. Wer das übersieht, bekommt ein Patchpanel mit unkalkulierbaren Übertragungsfehlern, und niemand findet die Ursache.
Was wir bei einer Netzwerk-Installation übergeben
- Schemaplan mit Verteiler, Patchpanel, AP-Positionen, VLAN-Struktur
- IP- und VLAN-Plan als PDF, mit Subnetzen und Default-Gateways
- Messprotokoll der Cat-Verkabelung (Link-Test nach DIN EN 50173)
- WLAN-Heatmap vor und nach Inbetriebnahme
- Controller-Konfiguration als Backup-Export
- Zugangsdaten in Tobis Vault für Wartungskunden, sonst auf Wunsch verschlüsselt übergeben
Bei Wartungskunden kommt ein regelmäßiger Health-Check dazu: Firmware-Stand, AP-Auslastung, Roaming-Statistiken, Speicher des Recorders, Backup-Status des Controllers. Das ist die unsichtbare Arbeit, die ein Netz langfristig stabil hält.
Fazit
Ein gutes Netzwerk fällt nicht auf. Es liefert in Küche, Bad, Garten und Werkstatt das gleiche schnelle WLAN, schaltet beim Gang durchs Treppenhaus ohne Unterbrechung um und hält den IoT-Schrott vom Geschäftsnetz fern. Es altert langsam, weil die Verkabelung auf 15+ Jahre ausgelegt ist und die Access Points ohne Cloud-Lizenz auch in fünf Jahren noch laufen.
Wir planen Netze, die so funktionieren, mit Cat6A oder Cat7 als Standard-Kupfer, OM4 als Backbone-LWL wo sinnvoll, Wi-Fi 6/6E heute und Wi-Fi 7 dort, wo die Hardware-Lebensdauer es rechtfertigt. UniFi und MikroTik sind unsere Arbeitspferde, Aruba und Cisco da, wo das Lastenheft sie verlangt. Brandschott und Schott-Pass laufen dabei mit.
Mehr zur Substanz unter Netzwerktechnik & IT-Infrastruktur. Konkretes Objekt? Kontakt oder 06202 9530190.
Verwandte Beiträge und Leistungen
- Netzwerktechnik & IT-Infrastruktur, Cat6A/Cat7, Glasfaser, Serverraum
- Überwachungstechnik, PoE-Kameras, VLAN-Segmentierung
- KNX Smart Home, Bus-Server, IP-Gateway, Visualisierung im eigenen VLAN
- Brandschutz & Brandschotts, Funktionserhalt für Datenleitungen, MLAR-Praxis
- Brandschotts in Neubau und Bestand qualifizieren, Kabelschott, Kombischott, Doku
- Smart Home Sicherheit, Cyber-Schutz, KNX Secure, IoT-Segmentierung
- Alarmanlagen & Videoüberwachung, IP-Kameras im eigenen VLAN, lokale Aufzeichnung
