openvpn ограничить доступ к реальным сетям.

[nokogerra]

Доброго времени суток.
debian 7.11, openvpn. На машине 2 физических интерфейса - 10.12.0.2 (этот слушает 1194) и 192.168.0.2. В server.conf есть опция push "route 192.168.0.0 255.255.255.0" и сделан нат в 192.168.0.0 (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE). Все клиенты нормально попадают в 192.168.0.0. Теперь для некоторых клиентов нужно сделать доступ еще и в 10.12.0.0, делаю в клиентском каталоге (/etc/openvpn/ccd) соответсвующие файлы с добавлением push "route 10.12.0.0 255.255.255.0" и делаю нат в 10.12.0.0 (iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE). Теперь некоторые клиенты (для которых эта опция есть в файлах в ccd каталоге) попадают также в 10.12.0.0. НО, если клиент для которого нет этой опции руками запишет себе маршрут в 10.12.0.0, то тоже туда попадает. Вопрос - как этого избежать? единственный приходящий мне в голову вариант - пушать клиентам с доступом в 10.12.0.0 конкретные адреса и разрешать nat в 10.12.0.0 только им. Есть какой-то другой вариант?

[nerve]

если в ccd у тебя прописаны еще адреса которые выдаются клиентам, то разреши доступ в нужную сеть только для них в фаерволе.

[skeletor]

Как подсказали выше - только файерволом запрещать.