Клиенты, подключенные к «хабу vlan», не могут получить доступ к Интернету по выделенному vlan с сетью

Я пытаюсь запустить свою сеть с помощью vdsl-маршрутизатора моего нового провайдера, который не может работать в «режиме модема» или «режиме моста».

Моя установка такова:

У меня есть два управляемых коммутатора, оба с несколькими vlan 192.168.x.0 / 24 (vlanX сопоставлен с сетью 192.168.X.0 / 24). Все эти vlan подключены через магистральный порт к моему брандмауэру openbsd (переадресация ip включена). Каждый компьютер в сети имеет адрес виртуального ник на брандмауэре, установленный в качестве шлюза по умолчанию. Например, сеть для vlan20 - 192.168.20.0/24, межсетевой экран имеет адрес 192.168.20.1, и этот адрес установлен в качестве шлюза по умолчанию для каждого клиента в этом vlan. С этой настройкой я могу пинговать между всеми клиентами на одном или разных vlan / коммутаторах.

Здесь возникает проблема: VDSL-Router подключен к брандмауэру через другой выделенный 192.168.x.0 / 24 vlan, скажем 192.168.100.0/24, с IP-адресом брандмауэра 192.168.100.2 и IP-адресом vdsl-router 192.168.100.1. Я установил 192.168.100.2 в качестве шлюза по умолчанию на брандмауэре и теперь могу успешно подключаться к Интернету через брандмауэр, но не с других моих машин. Traceroute показывает, что пакеты застревают на шлюзе client-vlan, например, если я пытаюсь связаться с чем-то за пределами клиента 192.168.20.100, пакеты застревают на клиентском шлюзе 192.168.20.1.

Я отключил все правила брандмауэра (в целях тестирования), а также попытался включить nat на брандмауэре для vdsl-vlan (vdsl-router, конечно же, делает свой собственный nat и на интернет-порту). Я упускаю что-то очевидное?

Маршрутизатор vdsl подключен к порту "доступа" коммутатора и, таким образом, не знает о vlan. Кроме того, из-за физических ограничений я не могу удалить один из переключателей между ними.

Спасибо за вашу помощь!