Hilfe bei der Komponentensuche (drei VLAN, VPN)

Hallo zusammen, ich kenne mich im Bereich IT halbwegs aus, ich steige jedoch nicht ganz bei den Funktionen der Unifi Produkte durch und ich hoffe ihr könnt bei mir ein wenig Licht ins Dunkeln bringen.

Mein aktuelle Hardware:

Fritz Box 7590 mit fester IP vom Provider (1000er Leitung, da größere Mediendateien verarbeitet werden)

USW-Pro-Max 24 Poe

AP U6 Enterprise

Synology NAS

NVR

Mehrere Sonos Boxen (in zwei getrennten Räumen)

Heizungssteuerung und Roboterstaubsauger

Erhofftes Szenario (Sportstudio mit zwei Räumen & einer med. Praxis):

VLAN 1 mit eigenem WLAN: Trainer -> können die Sonos Boxen in Raum 1 steuern und haben Internetzugriff, kein Zugriff auf die restliche Hardware

VLAN 2 mit eigenem WLAN: Mitglieder -> können die Sonos Box im anderen Raum (2) steuern und haben Internetzugriff, kein Zugriff auf die restliche Hardware.

VLAN 3: Geschäftsführer -> Kann auf die komplette Hardware zugreifen. Sonos Boxen müssen nicht angesteuert werden, hier wäre für den Zeitraum ein einfacher Wechsel des WLANs in Ordnung.

Zusätzlich würde ich gerne realisieren, dass einzelne Mitarbeiter von unterwegs durch einen VPN auf die Synology zugreifen können, um bspw. Dateien abzulegen. Geschäftsführer soll auch von unterwegs über VPN auf alles zugreifen können (NVR & Synology & Unifi Produkte). Das ganze System soll einen hohe Sicherheitsstufe haben, da unter anderem Gesundheitsbezogene Daten verarbeitet werden.

Was ich mich jetzt frage:

Was benötige noch, um das Projekt zu realisieren und um einen VPN mit einer gescheite Firewall aufzubauen?

Da die Fritz!Box mich mit Internet versorgt, war ich der Meinung, dass eine Dream Machine nicht notwendig ist. Reicht ein Gateway (bspw. Max) aus?

Kann ich das Szenario wie beschrieben erstellen oder habe ich etwas vollkommen falsch verstanden oder nicht beachtet?

Ein Freund von mir hatte mir eine IPU mit OpenVPN (https://www.ipu-system.de/produkte/ipu613.html) empfohlen, bei dem Preis macht ein Unifi Produkt aber wahrscheinlich genauso Sinn, oder?

Fragen über Fragen...falls mir jemand helfen könnte, wäre ich sehr verbunden.

Danke!

Quote from defcon

Kannst dir ein UCG Ultra, ist günstig und für deine Zwecke voll ausreichend.

https://eu.store.ui.com/eu/en/collecti…ducts/ucg-ultra

Danke dir!

Und damit kann ich dann schon alles so wie geplant umsetzen? Ohne ein UCG/UXG bekomme ich auch keinen Zugriff von extern auf meinen Switch, oder?

Quote from defcon

Da läuft die Controller Software drauf, das ist dein Gateway/Firewall, kannst damit deine VLANs realisieren, VPN machen (OpenVPN / Wireguard)

Im Vergleich zum Gateway Max wäre eigentlich nur die die 2,5 GbE Ports von Unterschied?

Ok, danke dir. Das Ultra gibt es leider aktuell nirgendwo zu kaufen. Liegt dies noch am relativ jungen Release?