Ich denke, ich habe den Fehler gefunden. Die Switch-ACL sind nicht stateful, d.h. wenn eine Richtung geblockt ist, ist somit auch die Antwort aus dieser Richtung geblockt.
Über Gateway-ACL kann mein Use Case gelöst werden.
2 „Gefällt mir“