Cisco Packet Tracer VLANs verbinden, Zugriff regeln

Hallo,
ich bastle gerade an einem Netz im Cisco Packet Tracer.
Ich habe drei VLANs. Die Clients der VLAN sollen sich jeweils erreichen,
Jedes Vlan hat einen Webserver im Netz, dieser soll nur vom eigenen Vlan erreicht werden.

An einem Router ist noch ein vierter Webserver, er soll nur von zwei VLANs erreicht werden. (Das klappt auch soweit)

Der erste Teil haut nicht hin, entweder erreichen sich die Clients in unterschiedlichen Vlans nicht mehr
oder die Clients erreichen alle 3 Webserver - ich hab irgendwo einen Denkfehler oder Tippfehler?

Kann jemand helfen?

VLANs sind 10, 20, 30, soll mit ACLs realisiert werden.

Jedes Vlan hat eigenes /24 Subnetz, ein viertes /24 simuliert den Server "Internet".

Meine Routerconfig:

conf t
interface GigabitEthernet 0/0
no shutdown
 ip address 8.8.8.1 255.255.255.0

interface GigabitEthernet 0/1
no shutdown
 
interface GigabitEthernet 0/1.10
 encapsulation dot1Q 10
 ip address 192.168.1.1 255.255.255.0
 ip access-group 110 in

interface GigabitEthernet 0/1.20
 encapsulation dot1Q 20
 ip address 192.168.2.1 255.255.255.0
 ip access-group 120 in

interface GigabitEthernet 0/1.30
 encapsulation dot1Q 30
 ip address 192.168.3.1 255.255.255.0
 ip access-group 130 in
exit

access-list 110 deny ip 192.168.2.0 0.0.0.255 host 192.168.1.9
access-list 110 deny ip 192.168.3.0 0.0.0.255 host 192.168.1.9
access-list 110 permit ip any any

access-list 120 deny ip 192.168.1.0 0.0.0.255 host 192.168.2.9
access-list 120 deny ip 192.168.3.0 0.0.0.255 host 192.168.2.9
access-list 120 permit ip any any

access-list 130 deny ip 192.168.1.0 0.0.0.255 host 192.168.3.9
access-list 130 deny ip 192.168.2.0 0.0.0.255 host 192.168.3.9
access-list 130 deny ip 192.168.3.0 0.0.0.255 8.8.8.0 0.0.0.255
access-list 130 permit ip any any

Danke.