Du kör antagligen inte OpenWrt eftersom jag inte hittar något om att GL-MT2500 har stöd av OpenWrt.
Jag antar med tanke på ditt svar att det är en vanilla version. Jag hittade den på openwrt-forumet. En snapshot som gick att använda. Installationen i sig funkade fint.
Jag drog iväg en tråd där gällande detta på openwrt forumet, men jag har antagligen forumlerat mig fel eller stött på ett komplext problem.***Edit som verkar fungera som tänkt***
Ähm.
MT-2500 har vad jag kan se bara en LAN-port. Om du bara använder den så kan du inte på meningsfullt sätt använda VLAN. Någon måste tagga upp trafiken och det gör du i switchen.
Så vitt jag vet så funkar det fint, provat av mina VLANs och får IP adresser tilldelade precis som vanligt i segmenterade olika nät.
Skulle jag ändra mina brandväggzoner(sätta Input,Output och forward till accept) funkar allt som tänkt så just VLAN biten funkar. Jag kör ju taggade vlans ut från GL-Inet enheten.
Wi-Fi tycks hamna helt utanför ämnet eftersom ingen av enheterna du nämnt har det, men man behöver mappa ett SSID till ett VLAN om man ska separera trafik till/från Wi-Fi (ja, det finns andra varianter också).
Har jag löst med hjälp av AP's, köpte hem Cisco AX150 när jag hittade dem på rea, den hanterar ju VLANs och massa annat kul. Något för mig att grotta ner mig senare.
Masquerading (kryssrutan under "Zones" på sidan "Firewall - Zone Settings" i luci) är (source) NAT, dvs översättning av privata (RFC1918) IPv4-adresser på LAN till en (förhoppningsvis publik) IPv4 på WAN. Det har inget direkt med ditt problem att göra. Det behövs dock för att trafik från respektive nätverkszon ska nå internet.
Masquerading och dnsmasq har väldigt lite med varandra att göra. dnsmasq är en kombinerad DNS- och DHCP-server som kör på routern. Den översätter host-namn till IP-adresser och delar ut IP-adresser på LAN:et. Ja, det är till dnsmasq du vill ha fram trafiken när du öppnar åtkomst till port 53 och 67-68, det är dnsmasq som ska svara på dessa förfrågningar. Men det är troligen inte där problemet ligger.
Jag vet bara att när jag försöker ansluta min dator till dessa VLANs som inte fugnerar så får jag bara det automatiska IP 169.x.x.x nätet. Försöker du med en andriod enhet så klagar den på att IP adresser inte blir tilldelade.
Det stämmer att man måste duplicera varje regel en gång för varje zon, (l)uci har inget sätt att sätta samma regel i flera zoner. Och ja, det brukar funka fint att överskrida en allmän regel för zonen (blocka allt) med mer specifika regler (tillåt vissa kombinationer av port/protokoll). Och ja, det brukar fungera bra i flera zoner samtidigt.
Jag provade på nytt men av någon märklig anledning ser det nu ut att fungera. Mitt IoT Obetrodda nät har samma brandväggsregler som Gäst, dock fick jag ju aldrig DHCP eller dns att funger, vilket funkar fint nu, oklart varför. Får spåna vidare i detta...
