Dann bliebe noch die Möglichkeit, zwischen dem kaskadierten und dem Edge-Router eine VPN-Verbindung einzurichten (die 7272 auf "Firmenzugang" konfigurieren und einen Benutzer-Zugang auf der 7490 verwenden, keine LAN-LAN-Kopplung) und deren Benutzung auf die Adressen zu beschränken (auf der 7490 - wobei die VPN-Selektoren keine Firewall sind und keinen eingehenden Traffic verhindern können), die nicht aus dem LAN stammen.
Allerdings hat das natürlich auch entsprechende Auswirkungen (und zwar einigermaßen heftige) auf den max. erzielbaren Durchsatz ... und auch das nicht nur für das kaskadierte Netz, sondern auch für den Rest hinter der 7490, denn die ist dann natürlich auch mit der Ver-/Entschlüsselung beschäftigt.
Damit eine Portfreigabe zu einer solchen VPN-Adresse funktioniert (die man u.U. auch nur "von Hand" eintragen kann über die Export-Datei), könnte es allerdings auch erforderlich sein, daß man die Paketbeschleunigung in der 7490 komplett abschaltet (müßte man halt testen), damit die (unsolicited) eingehenden Pakete auch an die CPU gelangen und dort dann den Weg über den Tunnel nehmen können.
Prinzipiell geht das also schon (zumindest sollte es das tun), aber als "Lösung" würde ich das auch noch nicht ansehen. Ob und wie sich ein eigener L2TPv3-Tunnel zwischen 7272 und 7490 einrichten läßt (womit die 7272 dann auch nicht auf das LAN zugreifen könnte, solange die "ausgepackten Pakete" aus diesem Tunnel nicht wieder ins "normale Routing" entlassen werden, sondern direkt an "dev dsl" expediert werden), weiß ich auch nicht bzw. habe ich noch nie wirklich ernsthaft probiert (zumindest nicht als "Feature", sondern höchstens als mögliche Lücke bzw. Schutz vor Entdeckung und das i.d.R. dann ohne "durchschlagenden Erfolg") ... der Kernel gäbe es vermutlich sogar noch her, aber die notwendigen Kommandos zur Konfiguration solcher Tunnel fehlen gerne mal in der originalen Firmware, weil die das direkt in eigenen Binaries konfiguriert.
Alles ziemlich viel Aufwand für etwas, was man mit einem RasPi (mit Ethernet-Port und als "exposed host") und einem VLAN-fähigen Switch (weil der RasPi nun mal nur einen Port hat, muß man den Traffic für den kaskadierten Router passend taggen, um ihn an einem dedizierten Port an die 7272 auszuleiten) auch preiswert lösen können sollte (50-80 EUR, je nachdem, was man zusätzlich anschaffen muß ... kein Vergleich zum Preis einer FRITZ!Box) - passende Linux- und Netzwerk-Kenntnisse mal vorausgesetzt (die natürlich - nicht nur in diesem Falle - unbezahlbar
und daher in der Rechnung nicht enthalten sind).