Сопоставить IP-адрес управления точкой доступа с отображением в другой, более надежной подсети LAN?

Я не уверен в наилучшем способе решения этой проблемы, хотя, возможно, существует несколько решений (включая некоторые действительно простые решения "не беспокойтесь об этом").

В моей локальной сети полностью разделены WiFi и проводные подсети на разных сетевых картах. (Скажем, WiFi=10.10.0.0/16, проводной =10.20.0.0/16). Правила брандмауэра на маршрутизаторе предотвращают передачу всего трафика, поступающего на интерфейс wifi, в локальную сеть или на любой из IP-адресов маршрутизатора, поэтому клиенты WiFi могут получить доступ к глобальной сети и ничего больше.

Но подсеть WiFi также включает в себя один IP-адрес для систем управления точки доступа (webui, ssh). Я хочу полностью отделить это от менее доверенной стороны WiFi, поместив трафик клиента WiFi, скажем, в VLAN 6, и трафик к / от управляющего IP в VLAN7. И я хочу, чтобы VLAN7 был доступен из локальной сети (в идеале - через IP-адрес локальной сети, аналогичный коммутаторам локальной сети и инфраструктурным службам, как видно из локальной сети), а не доступный из VLAN6.

Я использую либо pfsense, либо его close fork, opnsense, они имеют почти идентичные возможности в этих областях.

Я могу себе представить, что я настрою VLAN, определю виртуальный IP-адрес в локальной сети и соединю виртуальный IP-адрес с IP-адресом управления WiFi, используя NAT 1:1 на одном или другом интерфейсе. А затем я бы добавил правила фильтрации на интерфейсах VLAN, чтобы гарантировать, что в VLAN 7 разрешены только пакеты из локальной сети на IP-адрес управления точкой доступа (эта последняя часть меня устраивает, помощь не требуется)

Но я очень неясен в отношении особенностей VLAN/NAT на маршрутизаторе. Как бы я на самом деле это сделал? (Как в фактических шагах)