Wenn die Etagen von anderen Parteien bewohnt werden, solltest du zunächst unbedingt in den AGBs deines Providers prüfen ob du das überhaupt darfst. Sind die anderen Parteien gar Mieter und du "verkaufst" den Internetanschluss weiter, kann es noch haariger werden. Das solltest du in jedem Fall vorher abklären, weil's sonst Ärger mit dem Provider geben kann. Klar kann man sagen "wo kein Kläger, da kein Richter", aber es kann schnell einen Kläger geben, wenn es beispielsweise mit einem der Bewohner Streitigkeiten gibt - und wenn's nur um die Mülltonnen geht....
Ist das abgeklärt, würde ich wie folgt vorgehen:
Variante 1:
Am Internetanschluss einen WLAN-Router einsetzen, der eine Benutzersteuerung ermöglicht. Bei Fritzboxxen kann man soweit ich weiß zumindest rudimentär die Bandbreite aufteilen.
Von diesem Router geht dann jeweils ein Kabel in die Wohnungen und dort kann der Bewohner dann einen 08/15 WLAN-Router (ohne Modem) anschließen, der sein Internet über die Fritzbox bezieht, in der für eben diesen Router eine Bandbreitenregel eingerichtet wird.
Jede Wohnung behält so aber die Konfigurationshoheit ihres Netzwerks, also DHCP-Server, IP-Range, WLAN des Routers, etc..
Die Isolierung der jeweiligen Wohnungen geschieht dabei über die WAN-Schnittstelle der jeweiligen Wohnungsrouter. So wie von außen keiner in die Fritzbox kommt, weil die interne Firewall alles außer Portweiterleitungen blockiert, würde auch keiner in die Wohnungs-Netze kommen, weil der dortige Router genau dasselbe tut.
So ein Setup wird gemeinhin als Routerkaskade bezeichnet. Die Einrichtung ist auch für Laien relativ simpel, da man sich wie gehabt der Standardsicherheit eines 08/15 Consumer-Routers bedienen kann und sie mehr oder weniger einfach nur anstöpselt. Allerdings ist man natürlich auf die zum Teil sehr eingeschränkte Bandbreitensteuerung des 08/15-Internetrouters angewiesen.
Variante 2:
Wie Variante 1, aber zwischen Internetrouter und Wohnungsrouter wird ein fortgeschrittener Router gehängt (zB EdgeRouter-X oder eine pfSense-Appliance, o.ä.). In diesem Router kann man die Bandbreitensteuerung dann deutlich umfangreicher konfigurieren (Stichworte: Load Balancing, QoS). In den Wohnungen selbst werden nach wie vor eigene Router eingesetzt, die durch die WAN-Schnittstellen jeweils voneinander isoliert sind.
Variante 3:
Wie Variante 2, aber ohne Wohnungsrouter. In diesem Fall übernimmt der fortgeschrittene Router (zB besagter ER-X) jeweils den DHCP-Server der Wohnungen. Dabei wird er so konfiguriert, dass er 4 separate Netzwerk-Schnittstellen hat, 1x zum Internetrouter, 3x 1 zu den Wohnungen. Auch muss die Firewall in diesem Router dann so eingerichtet werden, dass die Wohnungen isoliert sind. Das WLAN muss in den Wohnungen dann entweder über WLAN-Router im AP-Modus oder über eigenständige APs realisiert werden.
Welche Variante man wählt, hängt von den eigenen Kenntnissen ab, aber auch von der Art der Bewohner. Handelt es sich um eine große Familie, würde ich wohl zu Variante 3 greifen, weil man damit am flexibelsten ist und zB mit VLANs auch in der 3. Etage auf einem AP mehrere SSIDs konfigurieren kann, die jeweils in ein anderes Wohnungsnetzwerk gehen. Heißt: Auf allen APs im Haus hätte man stets Zugriff auf die eigene SSID und somit das eigene Netzwerk.
Sind die Bewohner hingegen Mieter, würde ich zu Variante 1 oder 2 greifen, weil da jede Wohnung nach wie vor Herr über ihr eigenes Netzwerk bleibt.
*edit
Fortgeschrittener Router heißt aber auch fortgeschrittene Konfiguration, die fortgeschrittene Kenntnisse voraussetzt. Ein EdgeRouter-X oder eine pfSense sind nicht mit einer Fritzbox vergleichbar. Bei Fritzbox und Co sind gefühlt 90% aller Einstellungen ab Werk fest in die Firmware eingebrannt. Die eigentliche Firewall sieht man beispielsweise gar nicht und kann sie auch nicht ändern / kaputtkonfigurieren, weil man nur über Wizards wie zB Portweiterleitungen Zugriff hat. Bei einem EdgeRouter kommt die Firewall ab Werk nackt, leer, nix, keine Regel, nada. Da kann man sich buchstäblich als Admin aussperren, wenn man die Firewall falsch konfiguriert.
