Dazu findet man hier aber auch schon entsprechende Threads ... ein Gerät, was per se nicht auf das Internet zugreifen darf, scheitert im FRITZ!OS bereits an dieser Hürde und der "Tunnel" beginnt erst am externen Interface (dev dsl).
Das Problem ist höchstwahrscheinlich auch gar nicht der Weg vom VPN-Client zum LAN-Client ... nur der Rückweg ist halt versperrt, wenn das Gerät gar nicht auf "das Internet" zugreifen darf.
Wenn man in Betracht zieht, wie der IPSec-Tunnel arbeitet und wo die Daten ausgeleitet, verschlüsselt und wieder eingespeist werden, macht das sogar Sinn.
Ob AVM jetzt noch eine gesonderte Regel/Einstellung als "VPN-Zugriff erlaubt" für einzelne (W)LAN-Clients einrichten sollte, kann man vielleicht diskutieren (und das ist ebenfalls hier schon irgendwo erfolgt) ... aber an der Logik, daß VPN-Clients dem Internet zugeschlagen werden, ist per se ja erst einmal nur wenig auszusetzen.
Bei LAN-LAN-Kopplung ist es am Ende sogar ein anderes IP-Segment ... bei Client-LAN halt nur ein per Proxy-ARP "vorgespielter", weiterer LAN-Client.
Aber eine "einheitliche Behandlung" (durch Prüfung, ob die Pakete vom sendenden LAN-Client überhaupt zulässig sind) ist - zumindest in meinen Augen - durchaus zu vertreten.
Zumal es bei dieser Filterung (außer halt für VPN-Traffic, der dann noch durch die Verschlüsselung muß) ja auch eher um die Einrichtung oder Verweigerung von Einträgen in den PA-Tabellen geht ... beim VPN greift das halt nicht, aber die Logik der Filterung muß ja irgendwo davor sitzen, wenn mit einmal eingerichteter PA-Verbindung das FRITZ!OS nur noch bedingt Einfluß auf den Datenstrom innerhalb dieser Verbindung hat.