Hola Tonioel te comento que yo tengo algo asi implementado en mi trabajo, cree una red wifi para los invitados, una para los empleados y una que da a la red interna. Con los ubiquiti AUP-Pro y PFSENSE, utilizo switches cisco por lo que no tuve ningun problema con las VLANS. Dependiendo tu presupuesto puedes ver en tu region cuanto te salen los cisco, aunque te comento que los Mikrotik tambien soportan Vlans y un monton de cosas mas, tambien cisco tiene una gama de Small Bussines que sale mas barata, No se que mas marcas soporten VLANS, pero deberias hecharte una vuelta por las paginas de 3COM, TP-LINK, HP, Dell, Huawei, Juniper.
Te comento rapidamente que efectivamente los Access Points de ubiquiti se configuran con el software de UNIFI. El cual solo lo necesitas cuando les vas a modificar la configuracion a menos que tengas otras cuestiones como el portal cautivo integrado, creo que si lo ocupas encendido siempre.
Bueno el caso es que yo instale el pfsense, la interfaz LAN del pfsense pues la puse como VLAN y di de alta las VLANs que tenia en el switch. La interfaz del switch que da al pfsense la pones en TRUNK y ya con eso pasan las VLans. LA WAN del pfsense pues va hacia el router del proveedor de internet.
Tambien te comento que para la red de empleados habilite el portal cautivo de PFSENSE para que cada usuario se autentique con un usuario y clave diferente por el portal web y esto te puede servir mucho para la red de los alumnos y de maestros, bueno ahi como comentario.
Ya que configure mis interfaces virtuales, el dhcp para cada interfaz, los NATs, habilite el portal cautivo cree mis reglas del firewall para que no se comunicaran de la red empleados a la de wifi o viceverza.
En cuanto a las interfaces del switch que dan a los access points pues lo pones en modo trunk, puedes delimitar que por ese puerto pacen solos las vlans que necesitas, mediante el comando de cisco "allow vlan"
Bueno y en cuanto a la configuracion del access point ubiquiti solo declara la red wifi INVITADOS que diera a la VLAN que quiero y la red wifi EMPLEADOS que de a la otra VLAN. En mi caso utilice la opcion de reenviar a portal cautivo externo y que bloqueara la comunicacion interna hasta que se loguearan en el portal cautivo.
Te dejo el link de la pagina de ubiquiti donde viene la parte de como configurarlos con VLANS
https://help.ubnt.com/hc/en-us/categories/200320654-UniFi-Wireless
Te recomiendo buscar en el youtube lo del portal cautivo con pfsense.
Y como recomiendan los companeros tienes que estudiar y comprender bien tu entorno y lo que deseas hacer porque son varias cuestiones y te puedes atorar muy facil y tal vez hasta culpar a pfsense, asi me paso con la implementacion de un amigo,,jejejej, ya estaba culpando a pfsense porque bloqueaba el trafico en su misma LAN, decia,,jajajaja.
Bueno la verdad a mi PFSENSE me a asombrado desde que lo comence a ver y cuando lo implemente me facino.
Solo por presumir sus capacidades y lo que es capaz de llegar a hacer comento que actualmente lo tengo virtualizado con varias redes internas, algunas con portal cautivo, todas con su DHCP, DNS Forwarder, reglas de firewall para bloqueo entre redes, algunas interfaces limitadas en el ancho de banda que pueden utilizar hacia "internet", balanceo de dos enlaces de internet que tengo, tengo mi DMZ y mis servidores publicados mediante esta, estoy intentando implementar un proxy de reversa para publicar todos mis servidores web por el mismo puerto solo diferente nombre DNS externo. Todo esto para unos 100 usuarios internos y pues los sitios publicados son un servidor de CORREO Roundcube, uno de IIS que tiene unos sistemas web, uno que recibe datos de dispositivos GPS y los muestra por una interfaz web (TRACCAR), y varias cosilla mas por ahi.
En fin, sin duda te servira perfecto para tu entorno, solo no hagas pruebas con la produccion, jejeje, primero realiza tu entorno de labotario para que te vayas familiarizando con cada detalle y una vez listo y seguro pues a realizar el cambio.
Posdata: Tu imagen no la logre apreciar.
