Denken wir uns ...
VPN NETZ1 -> VPN -> VPN NETZ2
Nun will ich aber das ein paar IPs vom Netz1 nicht ins Netz2 kommen.
Also Firewall regel -> CLIENT MIT IP 1.1 darf nicht nach NETZ2 die regel auf verwerfen und als nur Firewall versucht nix (als VPN Regel versucht was ja nicht sein muss) ... der client kommt immer noch durch.
Ich muss dazusagen das der Client den ich Blocken will per Remote VPN eingewaehlt ist und per Proxy ARP im Netz haengt. aber es geht mit anderen IP auch nicht
selbst wenn ich auf die zu blockende Remote IP eine 0 route setzen wird die nach den VPN aufbau ignoriert und alles geht immer noch (die SAs liegen ja druber)
PS: es ist auf beiden seiten so (bis auf das mit der 0 route)
EDIT: die regel ist ganz oben und es werden keine weiteren regeln genommen .. ich bin relativ sicher das es so mal ging mit dieser regel.
edit2: die 0 route greift nach neuverbinden des VPNs ... also so schon mal ok ...