Процесс клиента капсман подключается к серверу капсман по сети, в том числе внутри одного роутера. Если на сервере капсмана есть фаервол, то подключение проходит через него. При этом в настроенном по умолчанию фаерволе есть завершающее запрешающее правило для всех инпут пакетов кроме бриджа локальной сети. Но если другие роутеры подключены проводом к портам, входящим в этот бридж и фаервол их пропускает, то для собственного процесса это выглядит по другому, соединение идет не с бриджа и дропается фаерволом. Решение - дропать на фаерволе только с внешних WAN портов.
Так не работает:
add action=drop chain=input in-interface=!bridge
А так работает, в список WAN добавить все внешние интерфейсы провайдеров и VPN? если надо:
add action=drop chain=input in-interface-list=WAN
Простой
Сложный
