Ok, tak vykopnu zkušenosti z migrace. V síti jsou důvěryhodné VM, nedůvěryhodné VM, nedůvěryhodné IoT, návštěvníci, AV zařízení (Sonos, Airplay2, Tvheadend) a nějaké věci okolo.
Migrace na all-unifi hardware naprosto hladká. Všechno jede jak z praku. Akorát doporučuju mrknou na článek popisující vlastnosti, které Unifi schází oproti pfSense. K defaultním zónám stačilo přidat dvě navíc (untrusted, semitrusted) a několik Policy Table pravidel. Povětšinou Auto Allow Return Traffic.
Pár poznámek
- Managament VLAN je dobré nechat na defaultní VLAN 1, především k vůli inicializaci nových Unifi zařízení.
- SonosNet stahuje svoje zřízení z Wi-Fi a chová se jako metalický bridge. Takže Unifi DHCP hlásí přidělené IP adresy, ale Unifi AP nehlásí bezdrátové Sonos klienty, resp. jako offline.
- Pokud jsou Sonos zařízení v jiné VLAN a jiné zóně než Home Assistant, tak vzájemně potřebují otevřít hromadu portů. Ze strany HA (Sonos integrace v HA core) nestačí jen
Auto Allow Return Traffic.
- Airplay2 mezi VLANy funguje bez magie, stačí mít zapnutý mDNS forward.
- Nedůvěryhodné VM mají v Proxmoxu vyhrazenou untrusted VLANu.
- Private PSK je super praktická věc k ušetření SSID názvů, ale nepodporuje WPA3.
- Nové Apple zařízení nějakým záhadným způsobem asi umí používat Wi-Fi MLO, i když na straně Unifi AP není MLO zapnuté.
- CyberSecure IDS/IPS v základní (free) verzi funguje hezky, ale zatím málo zkušeností k hodnocení.
- Nezapomenout klasicky blokovat VLAN trunky na portech, na které trunky nepatří.
