допуск только до IPSec тоннеля

renegat.iosif

Доброго времени суток. Ситуация следующая: есть головной офис, в нем стоит ZyWall USG100. В филиале установил PfSense, настроил тоннель и маршрутизацию, все прекрасно.
Вопрос в следующем - как мне закрыть ВЕСЬ выход в интернет и оставить конечным пользователям только выход на IPSec тоннель и к ресурсам головного офиса? Нарисовал правило:

правило не помогает:) как открывались и пинговались ресурсы из внешки, так и открываются\пингуются.
Кроме того, крайне загадочно ведет себя правило для доступа из головного офиса в филиал. При созданном правиле
ресурсы внутренней сети были доступны ну максимум минут 10, после чего таинственным образом оказались недоступны. При всем при этом из филиала доступ есть на ура, т.е. ресурсы головного офиса вполне себе доступны.
PfSense версии 2.1, установлена на VirtualBox (пока тестируется, потом будет выведена на отдельную станцию).
Заранее спасибо за уделенное время и внимание.

werter

Рисунок 1 :
1. Отключите правила №3 и №4 .
2. В правиле №1 - разрешите доступ только к удаленной сети на том конце IPSec-туннеля :

**IPv4 ***  LAN net    *  192.168.20.0/24  *  *

Т.е. на LAN останется только одно правило.

Рисунок 2:
Если хотите дать сети филиала полный доступ к ресурсам в главной сети , то :

IPv4  замените на IPv4*
TCP

renegat.iosif

Спасибо огромное, все работает как надо.

werter

Рад помочь

P.s. Если не трудно, добавьте в название этой темы [РЕШЕНО] . Так нагляднее для всех будет.