OPNSense com Trunk para roteador geral

[ferreira94]

bom dia a todos, desde já agradeço a comunidade pois foi com os conteúdos postados no fórum que consegui avançar em meus estudos de firewall e começar a desenvolver algo mais significativo e eficiente para meus negócios e trabalho, entretanto ainda carrego dúvidas que não consegui responder e venho solicitar a ajuda da comunidade mais uma vez.

Nesse tópico, trago minha configuração e cenário iniciais de aprendizado (com intuito de substituí-la futuramente por algo mais robusto e não necessariamente profissional).

---//---//---//---

I -Cenário:
---->a) moro numa casa loft integrada aos escritórios meus (aulas particulares) e de minha esposa (advogada);
---->b) o ambiente não é fisicamente grande, mas há muitas paredes e por isso planejo usar, pelo menos, três roteadores (sem DHCP).

II - Minhas limitações:
---->a) sou iniciante e por isso não posso tornar o OPNSense meu roteador único/principal (mas ainda o farei);
---->b) os provedores de grandes empresas de internet no BR não entregam um bom serviço na minha região (instabilidade constante), por isso, assinamos um plano de internet de terceirizados locais que o fazem com maior qualidade, porém, eles não permitem o acesso às configurações desses equipamentos (nem mesmo nos pífios "planos empresariais" oferecidos forçando a chamar/cobrar por quaisquer modificações que se façam necessárias), logo, não consigo configurar IP estático para o OPNSense e tento realizar todo o trabalho por uma segunda rede de um roteador próprio (meu).

III - Minhas configurações (Hardware):
---->a) um miniPC Gigabyte com placa-mãe GA-H110MSTX-HD3 (rev. 1.0)
---->b) processador G4560, 8GB de RAM (2x4GB)
---->c) 256GB de SSD SATA M.2 + 2TB (2x1TB) de HDD
---->d) NIC da placa mãe + NIC 2.5G no slot M.2 Wifi (modelo rtl8125bg - LAN do OPNSense) + NIC no USB 3.0 (modelo RTL8153 - LAN do Home Assistant)
---->e) 2 roteadores TP-Link (um Archer C20 e WR840N), cabos Cat6 e um Switch Ethernet (Tenda-SG105M).

IV - Observações:
---->a) até o momento não houve problemas de reconhecimento de hardware;
---->b) tudo roda em virtualização no Proxmox, não desejo que exista conexão virtual entre as máquinas virtuais do OPNSense e o Ubuntu Server (com o Home Assistant) e o faço apenas fisicamente conectando a NIC do USB no Switch (acho mais conveniente ter menos interfaces para gerenciar focando apenas nas interfaces físicas),
---->c) por hora (em vista de minha falta de conhecimento) todos os roteadores (inclusivo o do plano de internet) ficarão com wifi ligados para evitar transtornos até que eu consiga uma configuração definitiva.

V - Plano de configuração física/topologia (Vide imagem):


VI - configuração do OPNSense (com VLANs)
----> IP da LAN (padrão)-> 10.0.1.1:10443 (acesso à GUI do OPNSense)
----> Minha pretensão é criar 2 VLANs de modo que o Home Assistant e o Roteador R1 se conecten à LAN padrão e possam se enxergar e enxergar tudo que está conectado no roteador R2;
----> Quero impedir o acesso do roteador R2 à internet, apenas.
----> Quero Permitir que o Roteador R3 acesse a internet mas não enxergue nada relacionado aos demias dispositivos (isolar ele das VLAns e da LAN padrão) de modo que eu ainda consiga enxergá-lo acessando a LAN pelo R1.

VII - O que já fiz
----> consegui configurar tudo até fazer o R1 se conecatar à internet e mantendo todos os roteadores como "AC-Burro"
----> criei 2 VLANs com faixas de IP completamente diferentes da padrão (vlan0.20: 192.168.20.1 para o R2 e vlan0.30: 192.168.30.1 para o R3), com sufixo de IP indo de 100 até 199 e vinculadas à mesma NIC da LAN padrão, pois foi isso que entendi ser o médotodo de Trunk.

VIII - Minhas dificuldades/problemas e dúvidas
----> não consigo conectar nenhum dos roteadores às redes VLAN;
----> em algum momento, por insistência, consegui testar o roteador R1 na vlan0.30-192.168.30.1, mas não obtive sucesso em acessar a internet;
----> estou em dúvida se esses problemas são limitações dos roteadores e ou switch, ou se é sobre o fato de não ter aplicado corretamente as configurações no OPNsense.