Ты всё ещё можешь, так как они все собираются внутри ядра машины pfSense, где net.inet.ip.forwarding=1... просто по умолчанию включено правило "запретить всё".

Конечно. Когда я вернулся к этому, возможности Unifi-шлюзов были очень ограниченными. За последний год или два они сделали некоторые серьезные улучшения, так что некоторые из этих ограничений были устранены. Допустим, я хочу, чтобы одно устройство имело только 10 мбит/с интернет-скорости. На pfSense это супер-просто. Или что, если я хочу, чтобы одно устройство отправляло весь свой трафик через PIA? Готово. Хочу настроить планировщики трафика (например, FQ CODEL)? Это всего несколько кликов. Отправить определенное устройство только на WAN2? Легко! Хочешь иметь 4 подключения к провайдеру? Готово. Просто как пирог. Встроенный Tailscale VPN? Есть. Высокодоступные брандмауэры? У них это было уже несколько лет. Опять же, некоторые из этих вещей были решены, некоторые полностью, а некоторые немного сырые, но ситуация была совсем другой на USG и контроллере 5.14.23. Еще вопрос цены. Конечно, я не могу получить Unifi-шлюз с 3 портами WAN ни за какие деньги (я не говорю об использовании LTE-боксов Unifi). С pfSense я могу назначить любой сетевой адаптер на любой LAN- или WAN-порт, который мне нужен, так что в моем случае цена системы была лишь частью процесса размышлений. Но у меня валялся старый ПК и пара Intel 4-портовых гигабитных сетевых адаптеров, за которые я заплатил по 50 долларов каждый, так что общая стоимость, как вы видите здесь, была практически нулевая, но если вы включите цену одного 4-портового Intel NIC, то выйдет около 50 долларов, если вы используете ПК, который просто пылился на полке. Теперь эта коробка — мой резервный брандмауэр, я перешел на такой небольшой коробочный вариант некоторое время назад как основной. https://www.amazon.com/dp/B0BCKRTXV9 Трудно найти что-то лучше устройства, которое экономит энергию и имеет 6 2,5-гигабитных Intel NIC за менее чем 300 долларов, и это включает в себя 16 гигабайт оперативной памяти и 64-гигабайт SSD. Вот как выглядит мое использование на этом ящике. Кто заботится об отсутствии обновлений? Если оно делает то, что вам нужно, и нет проблем с безопасностью, это не имеет значения. Последнее обновление в декабре 2023 года было для исправления безопасности. В остальном я рад, что они оставляют его в покое. У них тут немного сходят с ума по поводу обновлений прошивки, и вы время от времени будете видеть, что происходят плохие вещи. Сейчас они сосредоточены (кажется) на стабилизации устройств U7, так что было хорошо, что в последнее время не было всплеска "обновлений" других точек доступа.

Ну что ж, и мне так нравится. Мне нравится видеть каждую из моих сетей как отдельный NIC в pfSense.

Традиционные правила файрвола в UI соответствуют тому, к чему вы привыкли в pfSense: простые правила UI <> правила pfSense, расширенные правила UI <> правила pfSense с расширенными опциями (вроде бы). С нуля лучше начать с ZBF. Пока с ним не играл.

Этот пост сделал меня счастливее, я не мог поверить, насколько сложно было найти эту информацию. Кажется, VLAN'ы против физических LAN-портов – это как «помидор – помидоре». Извините, что казалось, что я говорю, что "мой способ лучше", просто гордился тем, что знал, что делаю, а просить помощи в понимании, почему что-то насильно впихивают в сеть, было немного стыдно. Как в большинстве случаев, когда люди привыкли делать что-то одним способом (кстати, я сам себя обеспечиваю), все свелось к "я привык делать так", зачем что-то менять? Оказалось, ответ на вопрос "зачем менять" в том, что я только что ввязался в экосистему шлюзов, где это не совсем очевидно.

Может быть, поможет вам немного успокоиться, если вы будете разделять в голове "инфраструктурные" порты коммутатора и "периферийные" порты коммутатора. Инфраструктурные порты подключаются к другой инфраструктуре, то есть к точкам доступа и коммутаторам; у них по умолчанию установлен VLAN как "native" и "Allow All" для всех остальных VLAN. Периферийные порты подключаются к компьютерам, телевизорам и т.д. и получают соответствующий VLAN как "native" и "Block All" для остальных. SSID получают единственный VLAN, с которым они связаны. "Сеть" в терминологии UniFi — это описание виртуального интерфейса, который связывает IP-подсеть с VLAN.

В общем, неконтролируемые сетевые устройства — конкретная VLAN (НЕ стандартная) + Tagged = BlockAll. Контролируемые сетевые устройства — VLAN по умолчанию + Tagged = AllowAll. Упоминаю про остальное оборудование Unifi, потому что этим пользуюсь уже много лет (использовал AP и коммутаторы Unifi). Только сейчас, когда я ввожу Unifi gateway, у меня всё перевернулось с ног на голову.

Вот черт, да, я это сейчас вижу, когда предпринял действия, упомянутые @marcg1. AP получает адрес .10.x, а клиенты - .20.x адрес. Это... займет какое-то время, чтобы я это переварил. Смотрел видео за видео про VLAN и Unifi, но как-то не складывалось до сих пор... в общем, нужно думать о конкретном ТРАФИКЕ как о чем-то разделенном (независимо от порта), а не о физических ПОРТАХ, разделенных друг от друга (относительно, ну, портов).

Ты можешь это сделать на USG-3. На новых шлюзах так уже не получится из-за того, что говорилось выше, там нет отдельных портов. VLANs понадобятся. Я проектировал и внедрял много сетей именно так, как ты описал, когда сети физически полностью разделены. Но это было на очень дорогом корпоративном оборудовании, ничто по сравнению с тем, что предлагает Unifi. Но, честно говоря, сейчас нет никакой необходимости в этом, VLANs делают то же самое. Как ты, возможно, заметил, в pfSense VLANs полностью изолированы друг от друга, если ты не поставишь правило файрвола, чтобы разрешить трафик. Это называется "безопасность по умолчанию", и, если честно, именно так должны работать все файрволы. Unifi позволяет всему трафику проходить между VLANs, пока ты не поставишь правила, чтобы заблокировать его.