Nun ja, wenn ich das hier so richtig sehe, ist es auch hier eigentlich ganz einfach
Die L3-Switch zu Haus ist als Gateway für die drei Netzwerke eingetragen, also Routing zwischen diesen Netzten bleibt quasi "lokal" und wird nicht über die UBB geschickt. Macht eventl. Sinn, um die Funkstrecke zu entlasten und der Traffic ist erstmal zwischen diesen drei Netzwerken unabhängig von der UDM-Pro. DNS-Traffic geht aber trotzdem da drüber, da offensichtlich als Default-DNS-Server die 10.255.254.1 verteilt wird, die wiederrum an der UDM-Pro anliegt und als Defaults-GW in der Switch konfiguriert ist. Will man also auf den Server im Firmen-Netzwerk zugreifen, wird es über die Switch und dann auf die UDM-Pro geroutet. Hier könnte man dann auch entsprechende FW-Regeln anlegen, das nur bestimmt Clients aus den Heim-Netzwerken Zugriff bekommen.
Das Problem ist ja aktuell, das die Clients sich unterschiedlich mit dem DNS-Server verhalten, bei manchen, wie z.b dem iPhone, wird die 10.255..254.1 vom DHCP-Server verteilt. Ob das iPhone den DNS-Server anfragen konnte, ist nicht klar, es wurde nur gesagt, das der Wifiman nicht funktioniert. Der funktioniert glaube ich nur wenn der Client und der Server sich im gleichen Netzwerk befinden. Und auf der Switch wird der Wifiman-Server nicht rennen.
Daher erstmal abklären, ob der DNS-Server generell aus den anderen Netzwerken mit dem Laptop funktioniert. Ist das der Fall, liegt ein Problem bei den nicht funktionierenden Clients vor. Hier meine Vermutung, das sie noch nicht die neuen Einstellungen vom DHCP-Server erhalten haben. Ein Neustart der Clients sollte das beheben, wenn das den die Ursache sein sollte.
Ziel war wohl, das Heimnetzwerk vom Firmennetzwerk zu trennen und das Routing im Heimnetzwerk von der Switch übernommen wird, damit nicht alles über die UDM-Pro geroutet wird. Das sollte auch so funktionieren, das Routing übernimmt die Switch, alles was die nicht kennt, wird an die UDM-Pro weitergeleitet. Zwischen den drei Netzwerken im Heimnetzwerk greifen hier natürlich keine Firewall-Regeln, da die Switch hier nur ACLs kennt, die man auch nur über die Console der Switch einstellen kann. Und Stateful Packet Inspection kann die schon gar nicht.
Mal abwarten, ob der Laptop in den einzelnen Netzwerken den DNS-Server erreichen konnte.