Zyxel Keenetic Lite II проблема с vlan + проброс портов

[dan_aspire 81]

У клиентов есть сеть магазинов, подключенных к нам, у них стоят роутеры и за ними видеорегистраторы. Решили выделить им один влан и завернуть все филиалы внутрь него, а НАТ и проброс портов выполнять должен Zyxel, стоящий в одном из филиалов. На всех остальных роутерах отключили дхцп сервер и включили всё в лан порты, то есть используем как простые неуправлялки с прозрачными точками доступа.

 

Мы на Zyxel отдаём интернет тегом (3003, IP 1.1.1.1) и забираем их сеть нетэгированой с этого же порта (192.168.1.1). 

 

 

На остальные филиалы пробрасываем их влан, то есть абсолютно все устройства получают от зикселя айпишники из подсети 192.168.1.0

На зикселе все порты настроены идентично

interface Switch0
    port 4
        mode access
        mode trunk
        access vlan 1
        trunk vlan 3003
    !
    port 3
        mode access
        mode trunk
        access vlan 1
        trunk vlan 3003
    !
    port 2
        mode access
        mode trunk
        access vlan 1
        trunk vlan 3003
    !
    port 1
        mode access
        mode trunk
        access vlan 1
        trunk vlan 3003
    !
    port 0
        mode access
        mode trunk
        access vlan 1
        trunk vlan 3003

В один из портов зикселя воткнут аплинк, а в другой видеорег.

Попадая в их внутренний влан видно всю их сеть, любое устройство пинается и т.д.

 

Есть какая-то загвоздка с пробросом портов: если подключать устройства непосредственно к зикселю, проброс портов работает, если устройства находятся в этом же влане, но подключены через аплинк-порт, проброс портов работает невменяемо:

 

Если получить IP внутренний вида 192.168.1.Х и с него попробовать обратиться к любому из проброшеных портов по адресу 1.1.1.1:ХХ, то всё замечательно, но при этом если делать запрос извне - работает проброс только на те порты, устройства с которыми подключены непосредственно к зикселю.

Никакой фильтрации портов нет, это исключено.