я все со своей задачкой мучаюсь, хочу закрыть всем кто на впн доступ внутрь локалки кроме рдп на 1 ip... нат не нравится т.к. если надо будет сделать 2 рдп внутри на разных ип, то их по портам разводить надо, чтобы каждый порт на свой ip бросать... поэтому пока адресация впн из локального пула, все впн соединения добавляю в интерфейс лист, но любые правила фаервола на на впн клиентов не действуют... ни по ип, ни по портам... наверно я неправильно пишу правило или фаевол просто не фильтрует этот трафик...

Наверное, не надо делать впн в локальном пуле.

А может и правила неправильно пишешь

А вытащить из бриджа порт на котором хост с рдп и плясать от этого не вариант?

так порт с рдп не в бридже... я думаю, что правило неправильно пишу...

Небойсь на инпут ещё и пишешь)

форвард, но что-то не соображу что куда откуда...

172.16.1.1 адрес на бридже, на динамическом l2tp 172.16.1.100

динамические порты добавляются в лист l2tp-port

Если порт не в бридже то на него для работы так же придётся повесить адрес и подсеть, хотя бы что-то с маской 30

И в рамках одного l2 домена есть такая вещь как pppoe

Что ты несёшь...

Не надо так.

насколько я понимаю, адрес динамического l2tp прописан в профиле и настройках сикрета, в мосем случае 172.16.1.10

т.е. 172.16.1.1 бридж, 172.16.1.10 шлюз для l2tp, 172.16.1.100 динамический порт l2tp

1) Вы очевидно запутались в адреcах
2) L2TP в одном L2 домене плохая практика, в крайнем случае pppoe

а правило надо, которое на адрес за бриджем 172.16.1.5 будет пропускать только рдп порт, а все остальные закроет

причину такой адресации выше описывал... задача для 5 чел сделать доступ через микротик в локалку по l2tp-ipsec, с винды, без заморочек с маршрутами

поэтому ставлю такую адресацию и доступ в локалку из впн без шлюза, но хочется еще фаерволом соединение прикрыть... а это пока не получается...

У тебя адресация в офисе 192.168.1.0, зачем что то ещё прикрывать )