ITsis, У вас не работает SSH внутри туннеля? Вы точно публикуете все правила, а не часть (вы зачем-то каждый раз добавляете свои правила к тем, что я пишу)?
У вас нет запрещающих правил, которые бы блокировали SSH. FORWARD-таблица применяется только для транзитного трафика, доступ к серверу транзитным не является, независимо от интерфейса.
CityCat4, я не уверен, как ipsec реализован на mikrotik. Обычно, если есть отдельный интерфейс, применять изменение TCP MSS требуется только для маршрутизируемого трафика.
Можно clamp-mss-to-pmtu применить ко всему маршрутизируемому трафику, вне завимости от интерфейса — хуже не будет.
Alexey Dmitriev, Всё верно, это и нужно автору, перечитайте вопрос и посмотрите правила. Автор знает, как ограничить транзитный трафик, но не знает, как правильно настроить сервер, чтобы у самого сервера при этом был доступ к VPN-каналу.
Aleksandr Yurchenko, я не понимаю, что вы сделали, чтобы понять, эквивалентна эта настройка, или нет.
Сети 192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32 все пересекаются, достаточно добавить один маршрут до 192.168.0.0/16.
Вы кажется неправильно понимаете смысл этой настройки.
Боюсь, это вы запутались: AllowedIPs задаёт правила внутренней маршрутизации внутри мультипользовательского туннеля, а также добавляет маршруты в таблицу маршрутизации ОС.
Он не настраивает какие-либо правила доступа для подключения к туннелю.
У вас нет запрещающих правил, которые бы блокировали SSH. FORWARD-таблица применяется только для транзитного трафика, доступ к серверу транзитным не является, независимо от интерфейса.