Hallo Daniel,
Bei der Unifi Lösung ist es ja so, dass die APs immer das untagged VLAN als Managementnetz nutzen. Wenn du wie von @jrichter vorgeschlagen für ein Unifi-Management Netz einrichtest. Das kann beim Controller als tagged VLAN ankommen. Entweder macht der Unifi für dieses Netz ein DHCP Server auf (z.B. 192.168.x.0/24). Bei den APs kommt dann untagged diese Netz raus. Die APs selbst haben keinen Internetzugriff können aber mittlerweile wieder relativ komfortabel die Firmware lokal vom Controller ziehen:
Für SSIDs ins blaue bzw. grüne Netz und u.U. noch ein offenes Freifunk für Gäste bekommen dann das entsprechende VLAN getagged. Somit sind $Menschen die ein lanfähiges Gerät anstöpseln „nur“ im Unifi-Managementnetz ohne Internetzugriff. Klar mit etwas know how kann man dann auch wieder die VLANs erreichen - aber nicht einfach so.
Mit dem Managementnetz betreiben wir das von Anfang an und abgesehen von den jüngsten Problemen mit den Unifi AP AC Pro läuft das super.
Viele Grüße
Christoph
PS Den Coova konnten wir so komplett in Ruhestand schicken.