Sichere Leitung im selben Netzwerk zwischen zwei Räumen

Hi zusammen,

aus aktuellem Anlass suche ich gerade nach der Möglichkeit, zwei Switches im selben Netzwerk über eine sichere Leitung zu verbinden.
Hintergrund ist folgender:

• Mietwohnung mit Internet-Anschluss über Kabel (Unitymedia) im Wohnzimmer. Dort wird ein Teil der Netzwerkinfrastruktur (Medienserver, Access Point, Router) stehen

Büro-Zimmer mit dem Rest (Server, Drucker, Scanner, PCs usw.)

• nicht alle Geräte sind WLAN-fähig und ich bevorzuge immer, wenn es geht, Kabel. WLAN wird es zwar auch geben, aber es soll möglichst nur für Mobilgeräte zum Einsatz kommen, wo es nicht anders geht
• die Wohnung hat eine Ethernet-Verkabelung, die im Keller auf einem Patchfeld aufliegt. Und hier kommt das Problem: die beiden anderen Wohnungen liegen ebenfalls auf dem Patchfeld! Der Schrank ist nicht gesichert und zu dem Raum hat jeder, der in den Hausflur gelangen kann, freien Zutritt.

Hätte man das professionell geplant, dann hätte zu jeder Wohnung der zugehörige Keller ein eigenes kleines Patchfeld, physikalisch getrennt von den anderen und hinter Schloss und Riegel. Leider hier nicht so. Das Patchfeld wird auch nur minimal genutzt, derzeit hauptsächlich für DSL-Leitungen, die im Keller ankommen und in die jeweilige Wohnung zum Router gepatcht sind. Das hat jemand leider nicht zuende gedacht.
Ich würde deshalb auch nur genau zwei Buchsen auf dem Patchfeld nutzen wollen, eine fürs Wohnzimmer und eine fürs Büro, und die zwei direkt mit einem kurzen Patchkabel verbinden. Oben steht dann an jedem Ende ein Switch, um wieder ein Gesamt-Netzwerk daraus zu machen. So war es zwar nicht gedacht, alles andere ist aber viel zu unsicher. Ich bin selbständiger IT-ler, aber auf dieser Ebene der Netzwerktechnik gehen mir die Ideen aus.
Würde man es so lassen, dann könnte jederzeit jemand sich auf eine der beiden Buchsen patchen und die Hälfte meines (noch-Windows-)Netzwerks mitlauschen. Damit stehe ich mit einem Bein im Knast. DSGVO und so...
Es gibt also folgende Anforderungen:

• zwischen den beiden Räumen in meiner Wohnung und dem Keller-Patchfeld muss an jedem beteiligten Port eine Sicherheitsebene eingezogen werden
• es soll nicht möglich sein, auf einem der beiden verwendeten Ports im Keller irgendwas mitzulauschen oder sich ins Netzwerk einzuklinken
• die beiden Hälften des Netzwerks sollen sich weiterhin ungehindert sehen können, die Lösung sollte also möglichst ganz transparent sein
• wenn es mit vertretbarem Aufwand machbar ist, sollten die Ports auch vor physikalischen Attacken wie Kurzschlüssen und Überspannung geschützt sein

Abgesehen vom letzten Punkt kommt man jetzt schnell auf Managed Switches mit RADIUS (802.1x), aber nicht jedes Gerät in meinem LAN kann das. Es würde außerdem erfordern, dass der Smart Switch dann im Keller-Verteilerschrank liegt, wo er Strom braucht, der dort nicht vorhanden ist, und wo er auch einfach geklaut werden könnte. Selbst wenn eine Stromversorgung da wäre, würde die nicht auf meinem Stromzähler liegen, sondern auf dem Hausstrom - da ist Protest vorprogrammiert.

Die primitivste Form der Absicherung wäre, die Beschaltung der LAN-Buchsen so zu ändern, dass ein normales Gerät damit nichts anfangen kann. Ein Adapter auf der einen Seite vertauscht die acht Adern durcheinander, und auf der anderen Seite macht der nächste Adapter das wieder rückgängig. Das funktioniert aber bestenfalls, wenn man jedes verdrillte Paar auch als solches weiter nutzt, und ich denke, die Ethernet-Chips dürften relativ genau auf die Kabelbelegung abgestimmt sein (unterschiedliche Verdrillung) und Abweichungen davon würden zu mehr oder weniger starken Bandbreiteneinschränkungen führen.
Ein anderer Gedanke: kann man mit zwei Smart Switches, also einem pro Seite, eine sichere Leitung zwischen beiden aufspannen, die RADIUS-gesichert ist? Dazu müssten sich beide Switches gegenseitig authentifizieren können. Aber klappt das mit dem gegenseitigen Routing auch, also wäre das völlig transparent für den Rest des Netzwerks? Würde es sich negativ auf den Datendurchsatz auswirken? (mehr als 1Gbit/s kommt derzeit nicht zum Einsatz). Ab welcher Geräteklase wäre das überhaupt umsetzbar? Das Budget würde ich gerne bei 500 Euro deckeln.
Gegen elektrische Attacken könnte jeweils ein Isolator helfen, gibt es dazu Empfehlungen?

Ihr denkt jetzt wahrscheinlich, dass ich in irgendein Ghetto ziehe. Das Gegenteil ist der Fall. Aber als Selbständiger mit IT-Hintergrund kann ich eine so unsichere Lösung nicht akzeptieren und bin offiziell ja auch verpflichtet, Vorkehrungen zu treffen. Nebenbei wäre es ein interessantes Projekt, um Erfahrungen zu sammeln und diese vielleicht irgendwann auch noch mal professionell anzuwenden.

Würde mich freuen, wenn sich eine rege Diskussion entwickelt. Euch schon mal vielen Dank und einen schönen Tag!
Grüße
Johannes