Client kann aus anderen VLan Synology erreichen

[Workstation]

Moin zusammen,

ich habe ein VLan Problem, was ich einfach nicht gelöst bekomme und ich nicht mal weiß, welches Gerät die Ursache ist.

Ich habe eine FritzBox 7530, ein Netgear GS108PEv3, 3 Accesspoints Unifi NanoHD und meine DS918+.
Ich habe VLan 10 (Heimnetzwerk) und VLan 20 (Gastnetzwerk) erstellt.
Die FritzBox ist mit Lan 1 (VLan 10 Untagged Port 7) und Lan 4 (Gast VLan 20 Untagged Port 8) an dem Netgear angeschlossen. Die 3 Accesspoints sind mit Vlan 10 (Tagged) und VLan 20 (Tagged) an Port 1-3 angeschlossen. Der iMac ist mit VLan 10 auf den Port 4 (Untagged) verbunden und hat die PIVD 10. Die DS ist auf Port 5 mit VLan 10 (Untagged) angeschlossen. PIVD ist Port 1-7 VLan 10 und Port 8 VLan 20.

Heimnetzwerk 192.168.10.1 und Gastnetzwerk 192.168.179.1
Soweit klappt auch alles. Jedes Gerät bekommt die richtige ip und das auch im WLAN.

Jetzt kommt das komische.

Wenn ich im Gastnetzwerk bin bekomme ich beispielsweise die Ip 192.168.179.13 und kann auf die Synology mit der IP 192.168.10.3 zugreifen.
Auf alle anderen Geräte wie FritzBox und co aus dem Heimnetzwerk kann ich nicht zugreifen, so wie es soll, aber trotzdem auf die DS.

Wie kann das sein?
Wo habe ich meinen Denkfehler? ?

 

[the other]

Moinsen,
ich weiß ehrlich gesagt nicht, was und wie und warum da was gehen sollte...liegt wohl an mir.
1. du hast eine fritzbox als router. Diese kann nichts mit VLANs anfangen. Ein Routing über die VLANs hinweg geht nicht mit der Fritbox.
https://community.netgear.com/t5/Sm...-mit-Fritzbox-und-Netgear-Switch/td-p/2019387

2. da dein switch ebenfalls nicht routen kann, geht das so nicht (also nicht im Sinne von VLANs).

Wie im link schn geschrieben: du brauchst einen vlan-fähigen router, der auf alle Netzsegmente dhcp schiebt und auch die VLANs trennt und ggf. Verbindungen von VLAN X auf VLAN Y emöglicht.

Die Fritzbox selber bietet eigentlich dahingehend nur das Heimnetz und eben das Gastnetz. Und untersagt idR den Zugriff von Gast auf Heim.
Was du da also zurecht konfiguriert hast, kann ich von hier ehrlich gesagt nicht nachvollziehen. Ein echtes VLAN.Konstrukt ist das aber im Sinne von 802.1Q VLAN.

 

[Workstation]

Was wäre denn, wenn ich mir eine USG besorgen würde? Die kann ja alles, aber dann hätte ich das Problem mit doppelten NAT. Ich habe eine FritzBox 7530 als DSL-Aschluss von Vodafone.

 

[the other]

Moinsen,
wenn du ein vlan nach 802.1q haben willst, dann muss eine Alternative zur Fritzbox her. Du kannst dann (wenn vodafon das erlaubt) entweder die FB ersetzen oder aber eben einen vlanfähigen Router dahinter klemmen.
Ich habe hier zwar nicht den unifi Router, den du vorschlägst, aber einen anderen Router hinter einer Fritzbox. Mich stört das doppelte NAT nicht. Für manche Dinge muss man einen kleinen Umweg gehen (VPN), aber das ist schnell gemacht.
Bedenke: wenn du die FB ersetzt musst du erneut Geld für ein Modem in die Hand nehmen, falls bei deinem unifi keiner integriert ist (vermutlich nicht).

Also: erstmal überlegen, ob du vlans wirklich willst denn die machen auch immer viel Arbeit. Dann such dir ein Gerät aus (wenn du schon andere Geräte von unifi hast, dann in der Tat nicht schlecht). Alternativ: Geräte von draytek oder eine eigene pfsense/opnsense Lösung auf einem APU Board.
Bedenke aber auch, dass da sehr viel Einarbeitung nötig wird, denn mit vlans bist du shnell beim thema Netzwerk allgemein und Firewall und und und...