ich möchte mich schonmal vorab für den langen Post mit den vielen Fragen entschuldigen und bei allen bedanken die nach dem lesen noch bereit sind mir weiter zu helfen.
Kurz zum Hintergrund: Ich bin Arzt mit eigener Praxis und zudem ein absoluter Computer-NERD! Ich habe meine eigenen PC's zusammengebaut seit ich 12 Jahre war und bin daher sehr Technik und IT-affin. In meinem Heimnetz habe ich Unifi laufen mit VLAN's und eigenem kleinen Proxmox Homelab.
Mir ist vieles zum Thema "Networking" bekannt. von IP, Routing, Switching, Trunking, VLAN, Subnetting usw. Leider ist mein "Know how" jedoch nicht auf dem CCNA Niveau (obwohl ich fleißig den CISCO-Kurs mache und am Paket Tracer Übe).
Genug der Vorstellung nun zum Grund meines Beitrages:
Ich habe aktuell in der Praxis einen LANCOM r800v der voll funktionsfähig das Netzwerk 192.168.2.0/24 betreibt.
Leider läuft über dieses Netz nicht nur der gesamte Praxis Traffic sondern auch das WLAN (über eine Fritzbox und repeater) für mich und die Mitarbeiter sowie inzwischen einige IoT devices wie SONOS boxen, smart-plugs und ein nanoleaf panel.
Mir ist bewusst das dies eine grobe Sicherheitslücke ist, weshalb ich mir eine LANCOM UF-260 Firewall, einen unifi cloudkey gen2 und 2 AP's gekauft habe um mein Netzwerk sicher zu machen.
Ein befreundeter IT-spezi den ich habe hat mir bereits einige Tipps gegeben wie ich die Topographie einrichten soll, was ich versucht habe bildlich darzustellen (Sein Rat war es die VoIP nicht über die Firewall laufen zu lassen, da dies manchmal Probleme gebe, wobei dies dann natürlich auch wieder eine Sicherheitslücke wäre?): Hardware Liste:
LANCOM R800V Router
LANCOM UF260 Firewall
Netgear GS110TPv3 8-Port Gigabit Smart Managed Pro Switch (Spechzimmer Switch)
Netgear GS748Tv5 ProSafe 48-port Gigabit Ethernet Smart Switch (Haupt-Switch)
Unifi Cloudkey Gen 2
2x Unifi 6 Lite AP's
TP-Link AP der über einen Tunnel ein Gästenetz hostet (Freifunk - von meinem IT-kumpel eingerichtet)
2 Aussagen meines IT-kumpels für die Einrichtung der neuen Infrastruktur waren: "Nat auf der Firewall ausschalten und Rückrouten im Router einrichten"
Leider bin ich hiermit scheinbar überfordert.
Im Moment ist die Firewall nur an den switch angeschlossen damit ich sie konfigurieren/administrieren kann. Sie ist also noch nicht "in reihe" geschaltet wie es auf der Zeichnung irgendwann der Fall sein soll.
Fangen wir mal vorne an:
Ich habe auf dem Cloudkey 2 Netze als reine VLAN Netze erstellt.
Jetzt habe ich in der Firewall unter "Netzwerk->VLAN Interfaces" meine 3 VLANs eingerichtet die über die Firewall laufen sollen (alle dem eth2 zugeordnet der später der trunk sein soll):
unter Netzwerk->DHCP habe ich nun das entsprechende subnet für das jeweilige vlan eingerichtet und dem interface zugeordnet. Unter dem "Erweitert" Reiter kann man Routen eingeben. Hier habe ich das Netzwerk zwischen firewall und router 192.168.2.0/24 und dem LANCOM als Gateway eingetragen, weiß aber garnicht ob das richtig/nötig ist??? (FRAGE1)
Hierdurch müsste die Firewall ja theoretisch für die WLAN's DHCP-Server spielen und den Geräten ihre Adressen rausgeben?
Was ich auch nicht weiß ist, ob ich ich ich unter Netzwerk->Routing->Routing Tabellen in der Firewall Einträge machen muss??? (FRAGE 2)
Was das deaktivieren des NAT auf der Firewall angeht die mein IT-kumpel empfohlen hat ist das einzige was ich gefunden habe dieses: also über das verbindungswerkzeug von dem Netzwerk auf das WAN, dann die dienste auswählen und dann bei jedem Dienst unter NAT, AUS wählen. Ist es das was mit NAT deaktivieren gemeint war oder etwas anderes???? (FRAGE 3)
Sind an der Firewall sonst noch Einstellungen vorzunehmen die ich nicht aufgezählt habe???? (FRAGE 4)
Dann sind wir bei der Frage "Rückrouten im LANCOM Router". Ist damit gemeint gewesen das ich in die Routing Tabelle des Routers die VLAN Subnetze eintrage damit der Router die auch "kennt" weil diese ja hinter der Firewall sitzen? (FRAGE 5)
Muss ich noch andere Dinge im Router konfigurieren???? (FRAGE 6)
Mir ist klar das ich anschließend in den switches die Ports für die VLANs konfigurieren muss, das sollte ich jedoch hinkriegen.
Puh, jetzt habe ich über 1h an dem Artikel geschrieben

Danke nochmal an alle die soweit gelesen haben und noch mehr dank an diejenigen die sich jetzt an die Tastatur setzen um mir meine Fragen zu beantworten oder mir noch andere Tipps zum umsetzen dieser Planung geben.
LG T.