@x_term @matteocontrini Vi descrivo meglio la sitazione, mettendo anche lo screenshot delle regole.
Il modem di W3 ha IP 192.168.0.1/30 e la WAN del USG ha IP 192.168.0.2/30. Nella rete ci sono poi 8 VLAN (la Management non è taggata, nè è stato usato il TAG 1, le altre vanno da 2 a 8).
Alcune VLAN sono isolate tra loro e comunicano solo con Internet: CNC, Dipendenti, IoT, Management, Ospiti.
Comunicano tra loro: Corporate, Server e stampanti. Solo la prima accede al Web.
Non so se sapete come funziona il firewall UniFi, ma semplicemente bisogna immaginare di essere l'apparato e vedere i pacchetti che passano. Per bloccare il ruoting tra VLAN infatti ho scelto di mettere le regole sia in IN che in OUT (nonostante sarebbe bastata una sola delle 2, ma i pacchetti da bloccare avrebbero girato di più).
Se guardate bene in LAN OPU è presente una regola che dice che i pacchetti provenienti da 192.168.0.1 (Modem W3) possono andare a 192.168.6.46 (TV). Se questa regola non c'è, streaming Netflix KO. Infatti se la disattivo il firewall prende per buona la regola 2011 che dice "Blocca tutto il traffico da qualsiasi VLAN a VLAN 6 (Dipendenti)". Sembra quindi che essendo l'IP del modem W3 incluso in RFC1918 lo streming venisse bloccato. Eppure non capisco come mai: l'USG non dovrebbe vedere comunque l'IP del serven Netflix? Fregandosene del Modem in mezzo?
Allego le foto, Grazie davvero per l'aiuto. Ah questa cosa succedeva pure col DVR, notare regola 2003.