Ich versuch's mal und probiere einfach, meinerseits ausnahmsweise mal nicht herablassend zu werden oder zu wirken. Ich hoffe, es gelingt ...
Ich würde hier (wenn Du die Technik dafür hast) das Ganze erst mal lokal aufbauen (notfalls mit zwei Boxen, die als LAN1-Router konfiguriert sind), weil Du dann auch Zugriff auf beide Support-Dateien hast und notfalls leichter den Traffic auf den Interfaces mitschneiden kannst.
Ohne das "Gesamten Netzwerkverkehr ..." fehlt in der Box mit 192.168.3.0/24 an LAN2 die Information, daß auch an andere Ziele als 192.168.2.0/24 gerichtete Pakete ebenfalls in den Tunnel sollen. Mit der Option "Gesamten Netzwerkverkehr ..." wird dann für alle Pakete (Source any, Target 0/0, was dasselbe ist wie any) der Tunnel als Ziel definiert. Eigentlich sollte das theoretisch nur die Pakete betreffen, die jetzt auch am Port eintreffen, der als "ipsecbr1" von den anderen isoliert wurde.
Die restlichen Ports sollten davon nicht beeinflußt werden ... außer der AVM-WAN-Stack, an dem die Pakete für die Tunnel dann "ausgeleitet" werden (denn alle VPN-Pakete müssen über "dev dsl" und die Default-Route, einzelne Einträge gibt es nur für VPN-Verbindungen für Nutzerkonten, die lokale IP-Adressen im LAN kriegen), vergißt an dieser Stelle auf das "Absender-Interface" zu achten und wirft die Selektoren oder die Interfaces durcheinander.
Da das sicherlich auch eine Stelle ist, wo AVM im Rahmen der Nutzung der Crypto-Hardware Änderungen vornehmen muß, wäre ich aber nicht vollkommen von den Socken, wenn das in der Labor-Reihe passiert (Du schreibst ja, es ist auf beiden Seiten eine 07.19, aber eine ältere) - immerhin hat jede Verbindung ihre eigenen Keys und damit muß auch die Hardware zur Verschlüsselung anders konfiguriert werden, je nachdem, was hier das (erste) Ziel eines ausgehenden Pakets ist. Wieviele parallel verwendbare Pipelines die Crypto-Hardware bietet, ist bisher m.W. auch nicht wirklich bekannt - vielleicht sogar nur eine einzige.
Ob diese Vermutung mit der durchbrochenen Isoilation stimmt, müßte man daran überprüfen können, ob ein "ping" aus dem restlichen LAN B (also von 192.168.178.x/24) an die Adresse 192.168.2.1 (also für LAN A, was ja eigentlich nur am LAN2-Anschluß verfügbar sein sollte), am Ende korrekterweise unverschlüsselt auf dem "internet"-Interface landet oder nicht (bzw. nur in verschlüsselter und damit nicht erkennbarer Form, aber dann immerhin als ESP-Paket, was synchron zum Senden eines ICMP-Paketes auftaucht).
Die Mitschnitt-Funktion der Box sollte das hergeben - wobei es wirklich nur um das ausgehende Paket ginge, denn wenn das tatsächlich durch den Tunnel geht (weil die Isolation irgendwann "gelitten" hat und dann ist es natürlich auch wahrscheinlich, daß eine "default route" für LAN2 über den Tunnel, für den Rest in LAN B auch gilt, wenn man sie aktiviert hat) und sein Ziel an der zweiten Box erreicht, weiß diese natürlich trotzdem nicht, wohin sie die Antwort senden sollte (sie kennt ja nur 192.168.3.0/24 und nicht 192.168.178.0/24) und so würde diese (mangels passendem Selektor in der Box in LAN A) dort wieder übers Internet gehen und nicht durch den Tunnel.
Einen Versuch wäre es m.E. ansonsten auch wert, die zweite Regel in den Selektoren dahingehend zu ändern, daß als Absender nicht "any" verwendet wird, sondern nur das Segment, was an LAN2 konfiguriert ist, also die Regel auf "permit ip 192.168.3.0 255.255.255.0 any" zu ändern, in der Hoffnung, daß dann nur noch Pakete aus 192.168.3.0/24 (an beliebige Adressen) durch den Tunnel gehen. Auf der Gegenseite müßte alles bleiben wie bisher (also kein "Gesamten Netzwerkverkehr ..." auswählen) - da wüßte die Box ja schon, daß Antworten an 192.168.3.0/24 durch den Tunnel müssen. Wobei die zweite Regel Zeile in der Box an LAN B (permit ip any 192.168.2.0 255.255.255.0) ja ohnehin obsolet wird, wenn die zweite Regel (von AVM, die dann in der ersten Zeile steht) da hinzukommt - da kann man die dann auch gleich weglassen und es nur mit 192.168.3.0/24 als "Absender" versuchen, denn 192.168.2.0/24 ist in "any" natürlich eingeschlossen.
Wobei das tatsächlich ein dicker Bug wäre ... aber irgendwie auch eine naheliegende Erklärung für Deine Feststellung, daß bei aktviertem "Gesamten Netzwerkverkehr ..." auf der LAN B-Seite gar nichts mehr funktioniert. Eigentlich sollte diese Option ja auf das "ipsecbr1"-Interface beschränkt sein. Vielleicht hat das AVM aber auch schon längst gefixt und Du hast das Problem mit aktuellen Labor-Versionen gar nicht mehr.
Was Du jetzt machst (ob Du es erst mal untersuchst, vielleicht mit dem "ping" und einem Mitschnitt oder einen Workaround suchst mit anderen Selektoren oder erst mal die aktuellste Labor-Version probierst), mußt Du halt selbst wissen - ich persönlich würde mit der neuesten Version beginnen, weil entweder die Chance besteht, daß es schon gefixt ist oder man dann wenigstens, wenn die weiteren Analysen auf "Bug" hindeuten, auch die Meldung für die aktuelle Labor-Version weiterleiten kann (hier würde ich Dir das sogar deutlich ans Herz legen, wenn es sich als Bug herausstellt) und die weniger wahrscheinlich bei AVM untergeht, als eine solche für längst vergessene Labor-Versionen.
Und auch wenn man im Moment keinen Zugriff auf die Box an LAN B hat (vielleicht ja doch über das GUI auf der WAN-Seite?), bräuchte man dort im LAN (also auf einem Gerät aus 192.168.178.0/24) nur irgendeine "Quelle" für ein passendes Paket ... das muß ja kein ICMP sein, auch ein TCP-SYN an eine Adresse aus 192.168.2.0/24 würde ausreichen, wenn man das an der Box im LAN A mitschneiden kann, wenn es "aus dem Tunnel kommt" - das wäre ja schon ein erster Beweis, denn das dürfte natürlich nicht passieren.
EDIT: Wenn man kein Gerät in LAN B hat, wo man einen Request erzeugen könnte, aber per Fernwartung auf die FRITZ!Box dort kommt, kann man auch bei den Podcasts oder als Live-Bild eine URL aus 192.168.2.0/24 einrichten (die muß ja nicht existieren), wenn man die irgendwie aufrufen "lassen kann" (z.B. durch telefonische Anweisung an die Eltern mit dem FRITZ!Fon o.ä.). Auch das Eintragen einer SMTP-Serveradresse aus 192.168.2.0/24 und der anschließende Test der Einstellungen sollte ja wenigstens ein TCP-SYN-Paket hervorbringen können, auch wenn natürlich ein 3-Way-Handshake für TCP nie klappen wird auf diese Weise.