(Anfänger-)Fragen zur Einrichtung eines Heimnetzwerkes mit opnsense

[Sphyrna]

Liebe opnsense-Nutzer*Innen,

ich möchte unser Heimnetz ,,modernisieren" und habe da noch einige offene Fragen, von denen ich nicht genau weiß, wo ich sie stellen könnte, daher wende ich mich hier hoffnungsvoll an euch.

Wir (5 Personen) haben einen Anschluss der Deutschen Glasfaser (ONT, FTTH). Die Verbindung in unser LAN erfolgt über eine opensense. Alle Geräte im Haus sind entweder über einen 24-Port-Layer-3-Switch verkabelt oder finden ihren Weg über einen WLAN-Router von Ubiquiti (U6 long-range) ins Netz. Auf einem Raspi3 läuft der unifi-controller. Im LAN befinden sich eine Synology-NAS (bald zwei), ein Unraid-Server zum spielen, PCs (Ubuntu, Mint, Windows), Handys (Android und Apple), Tablett, Freifunk-Router, Receiver, libreelec, Smart-TV und verschiedene IOTs, wie Aquariensteuergeräte, für die es mal eine Android oder Windows-App gibt.

Ich möchte mich intensiver mit der opnsense auseinandersetzen und sie stärker nutzen. Die opnsense hat 4 NICs (I226-V), eine NIC für WAN, eine für LAN und eine fürs Management, die vierte ist sozusagen unbenutzt (Intel Celeron(R) N5105 @ 2.00GHz (4Kerne, 4 Threads), 256GB NVME, 8GB RAM).

Was ich nach und nach umsetzen möchte:
1. Ich möchte die Geräte gerne über VLANs trennen. VLAN1 für private Handys, PCs, NAS, VLAN2 für Gäste, VLAN3 für IOT und Smart-TV und VLAN4 für Freifunk.
2. Ich möchte den unbound-Server der opnsense als Werbefilter nutzen.
3. Ich möchte gerne eine site-to-site-VPN-Verbindung zu meinen Eltern aufbauen, damit wir uns gegenseitig besonders schützenswerte Daten auf das jeweilige externe NAS sichern können. Meine Eltern haben auch Deutsche Glasfaser und eine Fritzbox als Router.
4. Ich möchte gerne einen VPN-Server für Zugriffe von unterwegs einrichten.
5. Ich möchte mit der opnsense IDS und vielleicht später IPS machen.
6. Ich überlege für den WLAN-Zugriff einen Radiusserver auf der opnsense aufzusetzen.
7. Die opnsense, Switch und WLAN-Router sollen 24/7 laufen. Der Unraid-Server und NASen sollen bei Nichtbenutzung schlafen, wobei die NASen nicht runterfahren sollen, weil ich sonst jedes mal alle verschlüsselten Zugänge erst wieder freigeben muss. Um dennoch verschiedene Dienste im LAN betreiben zu können und die opnsense zu entlasten, überlege ich mit Debian einen kleinen stromsparenden 24/7-Server aufzusetzen. Darauf sollen unifi-controller, eigene Cloud mit Kalender etc, Log-Server, SearXNG und vielleicht noch andere Dienste laufen (Android-VM für Aquarien-Apps, damit ich das Tablett entsorgen kann?). Dafür habe ich noch einen MINISFORUM U700 (8GB RAM, i5-5257U@2.7 GHz, NVME) hier liegen.

Nun meine Fragen, bevor ich viel Zeit investiere:
8. klingt das Konzept sinnig oder habe ich irgendwo einen Denkfehler?
9. Ist die Hardware der opensense (Intel Celeron(R) N5105 @ 2.00GHz (4Kerne, 4 Threads), 256GB NVME, 8GB RAM) stark genug für meine Wünsche?
10. reicht der U700 für die angedachten (Server-)Aufgaben?
11. kann man den unbound-Server so einrichten, dass die VLANs jeweils unterschiedlich behandelt/gefiltert werden?
12. Gibt es irgendwo ein empfehlenswertes Howto für die site-to-site-Verbindung und VPN für Deutsche-Glasfaser-Anschlüsse? Am besten ein solches, das die Verbindung automatisch neu aufbaut, für den Fall dass die fritzbox bzw. opnsense eine neue IPv6 beziehen.
13. den Debian-Server stelle ich wohl am besten ins VLAN1 oder eher in ein eigens VLAN?

Meine Ziele:
• Trennung von vertraueswürdigen Geräten und dem Rest
• Steigerung der Netzperformance
• Spaß/Interesse/Neugier

Über Antworten freue ich mich sehr!