Zugriff zwischen VLANs konfigurieren

Guten Abend, ich habe eine Frage, die eigentlich ganz einfach beantwortbar sein sollte, dennoch finde ich keine Lösung. Bei mir gibt es 4 VLAN: Default, ein internes (H2), eins für Gäste (H2 Gast) und ein für diese Betrachtung irrelevantes (H4). Wenn ich nun ein neues Gerät bspw. an einem Netzwerkport anschließe, landet dies automatisch im Gäste-VLAN und hat eine IP 192.168.10.x. Mein internes Netzwerk hat die IP 192.168.0.x. Die WLANs sind so eingerichtet, dass ich entsprechend des Netzes ins richtige VLAN komme. Nun würde ich aber gerne aus meinem internen Netzwerk auf ein Gerät im Gästenetzwerk zugreifen, was leider nicht möglich ist. Ich kann das Gerät auch nicht pingen. Ändere ich allerdings das WLAN und bin somit ebenfalls Gast, ist das kein Problem. Das lässt sich sogar wärend des Ping-Vorgangs mit hin und her Wechseln reproduzieren.

Aus meiner Sicht könnte das an Einstellungen des Netzwerkports liegen oder an irgendwelchen Firewall-Regeln. Beides kann ich aber eigentlich ausschließen. Von intern nach intern gibt es nur zwei Regeln, die ich euch in den Screenshots darlege. Die allgemeinen VLAN-Einstellungen verhindern es m.E. nach auch nicht. Was sonst könnte noch zum Tragen kommen?

Vielen Dank für eure Ideen

Keine Ideen?

Meine Netzwerkports am UniFi-Switch sind so konfiguriert, dass bekannte Mac-Adressen ins interne Netz kommen, unbekannte ins Gast-Netzwerk. Wenn ich nun also wie tatsächlich geschehen einen neuen Drucker anstecke, möchte ich diesen bspw. konfigurieren können, bevor ich ihn ins interne Netz nehme. Die Firewall-Regel besagt ja, dass das Gast-Netzwerk (Source) nicht auf das interne zugreifen kann, das ist der Sinn davon. Aber sie besagt nicht, dass es umgekehrt nicht gehen sollte, was mein Ziel ist. Wenn ich sie deaktiviere, geht's übrigens auch nicht, das habe ich schon getestet. Und die zweite Regel sollte ja genau das ermöglichen, was ich vor habe. Daher muss irgendwo etwas noch nicht sauber konfiguriert sein und das möchte ich gerne ändern.

Ok, das wäre möglich. Aaaaber, wie gesagt ändert sich am Verhalten ja nichts, wenn ich die Regel deaktiviere. Und da der Drucker einen Webserver hat, habe ich vor den Ping-Versuchen natürlich den regulären http-Zugriff ausprobiert, der aus dem internen Netz nicht und aus dem Gäste-Netz funktioniert.

Ich deaktiviere sie indem ich den Haken bei "Netzwerk isolieren" entferne. Wieviel Zeit dafür notwendig ist, bis das System es übernehmen kann, weiß ich nicht, aber ich habe mehr als eine Stunde gewartet.

Zum bescheidenen Ansatz: der Sinn ist ja, dass Gäste nicht auf das interne Netz kommen, nicht umgekehrt. Ich bin ein Home-User und benötige das 1x im Jahr. Wäre es nicht mit Kanonen auf Spatzen geschossen, wenn ich dafür ein gesondertes Netz machen würde, das dann die Zugriffsrechte der Ethernet-Ports verkomplizieren würde? Und warum sollte ein Gäste-Netzwerk nicht nur in eine Richtung gesperrt sein?

Ich habe das Problem gelöst. Alle Kommentare hier waren richtig, der Return Traffic hat offensichtlich den Zugriff verhindert, auch beim simplen http Aufruf. Warum das Deaktivieren der Regel nicht gewirkt hat, verstehe ich nach wie vor nicht. Jedenfalls habe ich nun die Regel neuerlich deaktiviert, was funktioniert hat und weiter getestet. Die Lösung ist für meine Anforderung, dass der Return Traffic aktiviert erlaubt werden muss, dann kann man das Gast-Netzwerk isoliert lassen und der Zugriff funktioniert einwandfrei.