Umstieg von FB auf unifi

Moin, moin,
wird der erste Thread hier im Forum - bitte nachsichtig sein, falls was unklar beschrieben wird...

Wie der Titel schon aussagt, ist der Weggang von der FB angedacht bzw. im Gange. Möglicherweise gibts bald hier (Dorf/Land!) den fertigen Glasfaserausbau, dann ist eh Umstieg angesagt.

Aktuell also: FB -> proxmox/pfsense(bridged) -> switch*/openwrt-router -> internes Netz/WLAN. Im proxmox hängen auch einige web-server (VM), die in der Aussenwelt via dyndns erreichbar sind und intern mit IP xx.178.xxx - das möchte ich nur ungern alles umstellen.

Zur Verfügung stehen ein UCG-Ultra und ein switch flex 2.5G.

#1. Um die IPs nicht alle umwerfen zu müssen, ist der Plan den proxmox samt pfsense am UCG-Ultra zu hängen. Die UCG wird dann den IP-Bereich xx.178.xxx abdecken. Die Fritzbox kriegt einen anderen IP-Bereich verpasst und dient quasi nur als Modem+Telefonanschluss. Doppeltes NAT ist nun dank aktueller Firmware abgeschaltet

#2. den internen WLAN/Netz des OpenWRT-Routers würde ich hinter dem switch flex2.5 hängen und VLANs aufsetzen:

das wäre der Plan: FB (modem) -> UCG-ultra -> proxmox/pfsense(bridged) -> switch flex 2.5G -> internes Netz/WLAN (VLAN)

Ursprünglich war mit einem *zyxel GW1200 bereits ein VLAN aufgebaut und ein raspi bediente die neuen IP-Adressen. Das habe ich später mit dem unifi switch flex 2.5G umgesetzt.

Und nun mein aktuelles Problem: die UCG-ultra hat offenbar Probleme wenn proxmox/pfsense als bridge im Zweig hängt.

• obwohl als dhcp-server angegeben, werden die kabelgebundenen IPs nicht aktualisiert
• das gilt auch für den switch, wenn dort ein VLAN mit IP-Vergabe angegeben ist
• der identische VLAN-Aufbau hat ja mit zyxel funktioniert

Meine Fragen: Ist obere Aufbau grundsätzlich so möglich? Wo sollte man den proxmox samt pfsense idealerweise packen? Oder sind irgendwelche Ports zu öffnen, damit die Gateway Kommunikation funktioniert? Und warum funktioniert das ganze VLAN nicht?
Tipps sind willkommen - videos habe ich schon zu Hauf gesehen...

gruss

Die Fritzbox soll (spätestens mit Glasfaser) komplett entfallen; habe den Switch Flex nicht als vollständigen Ersatz angesehen - benötigt ja noch den "Controller" - hatte ich in proxmox lokal gehostet. Und ich möchte ungern alles in "einem" Paket halten, kommt noch die home-Automation dazu usw usw. Will halt flexibel bleiben...

Ich bin mir halt nicht bewusst, ob ein grundlegender Fehler in der Konfig ist, oder (hatte ich irgendwo gelesen) dass die unifi UCG alles hinter einer firewall als 1x Client ansieht und dort keine "Konfig" stattfindet; würde erklären warum das VLAN sich aussperrt.

NACHTRAG: ich muss das wohl anders aufsetzen und die pfsense ohne Proxmox (und die anderen VMs) separat betreiben. M*st, ich dachte damit 1x Gerät zu sparen: nächster Versuch:
FB (modem) -> pfsense (bridged) --> UCG-ultra <-> +proxmox/VMs -> switch flex 2.5G -> internes Netz/WLAN (VLAN)

eben, "UCG ist ein Router mit Firewall" - pfsense ist eine firewall mit router Optionen, wenn man die denn nutzen will.

Ich will halt flexibel bleiben und nicht alles in einem System haben. Aktuell wenn mal was zickt, wird der OpenWRT (auch Router) direkt an die FB geschaltet und gut ist. Und man hat Zeit den Defekt oder Konfigfehler zu beheben, OHNE dass alles offline ist.