Source: UniFi IoT VLAN Firewall Rules (terrywhite 2026)¶
Setup canónico 2026 para UniFi: VLAN separadas Trusted + IoT, firewall stateful (no port-specific), mDNS reflector entre VLANs, IPv6 link-local obligatorio para Matter. Modelo "block IoT initiation + allow return traffic" — más simple que las reglas por puerto.
Por qué entró al wiki¶
- El usuario tiene UniFi → guía concreta para su stack.
- Cubre el caso Matter (que requiere IPv6 link-local entre VLANs — gotcha no obvio).
- Modelo stateful = menos rules a mantener.
Páginas derivadas¶
- ../analysis/network-segmentation-unifi — adaptación al setup completo del usuario.
- Update ../entities/matter con el caveat IPv6 link-local requirement.
Takeaways¶
Arquitectura recomendada¶
| Network | Devices |
|---|---|
| Trusted | HA Yellow, mini-PC, laptops, Apple TV, HomePod, Sonos, NAS |
| IoT | Lutron/Hue bridges, Aqara hub (si tenés), SwitchBot Hub 2, ESPHome devices, cámaras |
Firewall (3 reglas, en orden)¶
- Allow Return Traffic (top). Connection state = "Return Traffic" / Established+Related.
- (Opcional) Allow IoT → Apple Hub unicast solo para status push.
- Block IoT → Trusted (all states).
Implícito: Trusted → IoT no bloqueado (sale, recibe return).
mDNS¶
Settings → Networks → Multicast → "IoT Auto Discovery (mDNS)" para ambas VLANs. Sin esto, devices Matter / HomeKit / Chromecast no se ven cross-VLAN.
IPv6 link-local (NO obvio)¶
Matter sobre WiFi requiere IPv6 link-local routing entre VLANs. Aunque tu ISP no tenga IPv6, tenés que configurar redes IPv6 locales en cada VLAN para que Matter funcione cross-VLAN.
Config:
- Trusted: fd00:1::1 /64, SLAAC, Router Advertisement on.
- IoT: fd00:3::1 /64, SLAAC, Router Advertisement on.
Lo que NO trae el source¶
- CIDR específicos de las VLANs (puede ser cualquiera).
- Port specifics (8123 HA, 1883 MQTT) — el stateful model los hace innecesarios.
- Patrón para Zigbee/BLE (que son out-of-band, no van por VLAN — su radio es física).
Citas¶
-
"Matter over Wi-Fi strictly requires IPv6 Link-Local routing."
Abierto / gaps¶
- ¿Qué hacer con devices que NO soportan IPv6 (la mayoría WiFi viejos)? — siguen funcionando, solo el Matter-over-WiFi necesita esto.
- Patrón concreto para WAN egress blocking del IoT VLAN (los devices no deberían poder phone home — privacy).
- Cómo se monitorea el VLAN traffic con UniFi (la propia UI tiene insights buenos).