Удалённые клиенты получают маршруты и Dns-suffix через dnsmasq раздаю
По поводу Full Tunnel я думаю это так то пофиг какой интерфейс ISP слушает ВПН.
Удалённые клиенты всё равно Маскируются под удалённый сервак 192.168.30.25 им по барабану
так что либо strongswan надо ковырять, либо в accel-ppp неправильный шлюз передаёт. либо MTU
маскарадинг работает, иначе я бы подсети удалёные не видел
-A DOCKER-USER -p tcp -m tcp --dport 143 -m geoip ! --source-country RU,UA,BY,KZ -j DROP
-A DOCKER-USER -p tcp -m tcp --dport 587 -m geoip ! --source-country RU,UA,BY,KZ -j DROP
-A DOCKER-USER -p tcp -m tcp --dport 993 -m geoip ! --source-country RU,UA,BY,KZ -j DROP
или хоть так их напиши
-A DOCKER-USER -p tcp -m tcp --dport 143 -j DROP
-A DOCKER-USER -p tcp -m tcp --dport 587 -j DROP
-A DOCKER-USER -p tcp -m tcp --dport 993 -j DROP
разницы никакой
Если с ними то 143, 587 и 993 будут доступны по TCP/UDP
Если их убираю - доступны только по TCP.
да я уже развернул на nginx голом гибридный балансировщик который работает одновременно на двух уровня сOSI (да да именно).
на 4 уровне 143 587 993
а на 7 уровне пачка сайтов и Exchange фильтруя заголовки SNI.
+ geoip блокировка через iptables
+ wildcard сертификат на reverse прокси для домена *.example.ru и example.ru через DNS-01 Challenge + автоматизация через python + DNS API nic.ru ключи всё самое делает. )))
На конечных серверах certbot по HTTP-01 получает сертфиикаты и всё работает.
Конфигурация чрезвычайно сложная на самом деле. Хотел упросить через веб морду но понял что буду дольше возиться с докером чем с конечным продуктом.
Голвой то надо немножко думать