RRAS 2012R2 NAT com sub-redes isoladas

Estou tentando encontrar uma solução para esse problema por muitas semanas. Espero que alguém possa me ajudar.

Eu tenho uma rede bastante simples:

• Windows Server 2012R2 com várias NICs
• Algumas sub-redes (VLANs) com a opção de roteador do DHCP configurada para a NIC correspondente do servidor nessa sub-rede
• DHCP e DNS ativados (e funcionando) em todas as NICs em cada sub-rede

Cada vlan tem sua própria sub-rede no espaço 192.168.x.0.

O que eu quero:

Eu quero que os clientes de todas as sub-redes possam se conectar à Internet, mas não a qualquer outra sub-rede.

por exemplo. o cliente 192.168.4.12 deve ser capaz de pingar google.com, mas não 192.168.3.0/24

O que eu fiz:

1. Como queria que o servidor fosse roteado, instalei o recurso RRAS como roteador de rede local. Depois disso, os clientes das sub-redes conseguiram fazer ping pela sub-rede, mas não conseguiram acessar a Internet.
2. Adicionei o NAT ao RRAS e eles conseguiram fazer pinges uns com os outros e pela Internet.

Eu tentei:

• Filtros de entrada / saída na interface de cada sub-rede no RRAS - não faz nada enquanto o NAT está ativado
• Rotas estáticas para bloquear o tráfego de todas as sub-redes - nenhuma reação também. Eu poderia ter feito isso errado, mas tentei várias configurações
• Usando o firewall avançado do Windows, mas não encontrou uma maneira de bloquear o tráfego de uma sub-rede específica para uma sub-rede específica

Existe uma maneira de fazer isso, eu senti falta de algo ou como você faz isso?