Satellitenreceiver haben keine Zugang mehr zu NAS

Es ist mir eben erst aufgefallen, es muss aber mit meiner Umstellung auf ZBF vor einigen Wochen zusammenhängen, dass meine Satellitenreceiver (VLAN 60) nicht mehr mit meinen NAS (Main VLAN) kommunizieren können.

Ich blocke alle VLANs (ausser Main) den Zugriff auf andere VLANs. Nur für die Receiver hatte ich eine Ausnahme um auf NAS aufzeichnen oder abspielen zu können. Diese Regel war nach der Umstellung mehrfach vorhanden, deshalb habe ich erst mal die Duplikata entfernt. Hier sind meine Firewall Regeln für die interne Zone:

In Regel 4 erlaube ich also den Receivern den Zugriff auf die NAS und "Auto Allow Return Traffc" habe ich versuchsweise jetzt auch eingeschaltet (das erklärt das Vorhandensein der gesperrten ersten Regel die dadurch automatisch erstellt wurde, Regel 7).

Was mache ich falsch?

Es muss an meinen Firewallregeln liegen, denn wenn ich den Receiver in das Main Netzwerk verlege funktioniert alles. Komisch ist nur, dass sogar wenn ich die InterVLAN Blockierregel pausiere (siehe Bild) und der Receiver sich wieder im Media VLAN befindet, klappt der Zugriff aufs NAS trotzdem nicht.

Was blockiert hier immer noch den Zugriff?

(dies sind alle Regeln die die Internal Zone betreffen; in dieser befindet sich das Main, Media un IoT VLAN).

Die Synology-eigene Firewall benutze ich nicht und habe auch kontrolliert ob da nichts ungewollt eingeschaltet wurde. Ausserdem hat es ja jahrelang funktioniert und ich habe den Verdacht dass die Umstellung vor einigen Wochen auf die ZBF Ursache für die Probleme ist, ich es aber erst kürzlich bemerkt habe.

Ich versteh's einfach nicht: sogar wenn ich alle Regeln pausiere bis auf die letzte (allow all) kommt der Receiver nicht ins Hauptnetz. Internetzugang funktioniert, es ist also nicht so dass etwas mit der Netzwerkkarte des Receivers nicht in Ordnung ist.

Alle VLANs befinden sich in der internen Zone:

Ich habe jetzt folgende Regel erstellt (an erster Stelle) und danach den Receiver neu gestartet:

Ergebnis: immer noch kein Zugriff. Ich kann auch keine Geräte in andern VLANs vom Receiver aus pingen. Main zu Media klappt alles.

Im übrigen dachte ich, dass Firewallregeln sofort aktiv werden und dass kein Neustart notwendig sei.

Ich habe jetzt mal zu expliziter Return Traffic Reel umgestellt (anstelle von automatisch generierten). Damit sehen meine Firewallregeln für die interen Zone wie folgt aus:

Eigentlich sollte bei Regel 4 nür die Receiveradressen als Source angegeben werden, aber ich habe einfach mal das ganze Media VLAN freigegeben. Hilft trotzdem nicht.

Das sind Dreamboxen (DM920 und DM900). Port Einstellungen wurden nicht geändert (und liefen vor der Umstellung).

ssh root@192.168.60.19

root@192.168.60.19's password: 

root@dm920:~# ifconfig

eth0      Link encap:Ethernet  HWaddr 00:09:34:46:35:48  

          inet addr:192.168.60.19  Bcast:192.168.60.255  Mask:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:202314 errors:0 dropped:0 overruns:0 frame:0

          TX packets:10418 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000 

          RX bytes:61401392 (58.5 MiB)  TX bytes:3374116 (3.2 MiB)

lo        Link encap:Local Loopback  

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1%1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:65536  Metric:1

          RX packets:3101 errors:0 dropped:0 overruns:0 frame:0

          TX packets:3101 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0 

          RX bytes:1081701 (1.0 MiB)  TX bytes:1081701 (1.0 MiB)

root@dm920:~# traceroute 192.168.60.1
traceroute to 192.168.60.1 (192.168.60.1), 30 hops max, 38 byte packets
1 gateway (192.168.60.1) 0.310 ms 0.255 ms 0.195 ms
root@dm920:~# traceroute 192.168.1.75
traceroute to 192.168.1.75 (192.168.1.75), 30 hops max, 38 byte packets
1 gateway (192.168.60.1) 0.167 ms 0.140 ms 0.110 ms
2 *^C
root@dm920:~# traceroute google.de
traceroute to google.de (142.250.185.227), 30 hops max, 38 byte packets
1 gateway (192.168.60.1) 0.190 ms 0.154 ms 0.118 ms
2 192.168.4.1 (192.168.4.1) 1.612 ms 1.579 ms 1.482 ms
…
9 142.250.236.57 (142.250.236.57) 13.678 ms 13.675 ms 172.253.50.151 (172.253.50.151) 16.048 ms
10 fra16s53-in-f3.1e100.net (142.250.185.227) 14.279 ms 13.846 ms 16.332 ms

Ich habe die Regeln auf 3 reduziert und anbei dokumentiert.

Ich verstehe nicht was hier noch Ursache für die Blockade sein kann.

Hilft auch nicht.

Die NAS Freigaben auf dem Receiver funktionieren, ich brauch die Dreambox ja einfach nur ins Main VLAN zu verlegen und schon klappt der Zugriff.

Ich habe natürlich beide Netze im NAS erlaubt: