OPNSense Brandvägg kopplat mellan Router och ISP Modem?

Nu skall vi se, tungan rätt i mun, för detta borde vara lätt, men efter att ha skrivit på OPNSense forum så verkar det inte vara det, om jag tolkar de svar jag får.

Fråga ETT
Är det ogörligt att ha ett nätverk där ISP Fiber Modemet är kopplat till Brandvägg som i sin tur är kopplad till Routern som via eth1 porten fördelar trafiken via en efterföljande Switch? Alltså ha Brandväggen mellan ISP Modem och Router?

Kan jag förtydliga ovanstående...?

ISP <-> FW <-> Router <-> Switch <-> Lan+AP.

ISP får dynamisk adress från internetlevarantören.

FW (SuperMicro Superserver SuperServer 5018A-FTN4 är OPNsense maskin med egna NIC, 4 portar , kanske den behöver vara Gateway på 192.168.1.1?

Router ( Ubiquiti EdgeMax6P) är nu Gateway, men får kanske ge den rollen till FW, men DHCP körs via Router på 192.168.1.1/24 med en del fasta adresser. Till saken hör att Routern har PoE och det behöver jag. Är kopplad till ISP Modem via en WAN port (eth0)

Switch (Ubiquiti EdgeMax24) är kopplad till eth1 på Router och fördelar portar via en patchpanel.

AP (Ubiquiti AirCube) är kopplad till Switch via patchpanel, men skall, sedan, kopplas till Router eth2 på PoE. (För att åstadkomma möjligheten att isolera vissa wifi enheter på ett eget vlan).

Jag har hållt på och koppla runt och konfat en del under förmiddagen, men jag får inte rätt på det. Det borde gå.
Hur skall man annars koppla en brandvägg på ett befintligt nätverk, som är den ursprungliga avsikten?

Ja, det går att konfa brandväggsregler i Edgemax6P, men det är väsentligt krångligare och det är inte en maskin som är gjord för att vara FW (brandvägg). OPNSense är gjort för att vara brandvägg.

Jag vill hålla isär funktionerna och maskinerna, ofta lättare att felsöka och så är man inte beroende av att en maskin gör allt.

Vad gäller PoE injektor så känner jag till dem, har använt sådana många gånger på jobbet, men det finns begränsat med eluttag samt utrymme där jag har satt upp detta.

Det jag möjligen funderar på är att degradera 6P Routern till Switch, genom att ta bort dhcp på den, då kan den sitta kvar och hantera PoE för vissa uttag. Hade kunnat vara en lösning, inte riktigt vad jag är ute efter, men ett gångbart alternativ. Vaknade med den tanken i huvudet.