Геннадий

В маршрутах не прописан pref-source, Плюс если ты делаешь туннель и хочешь чтобы сети видели друг друга, на концах туннеля лучше прописать статику (вместо vpn_pool)

Не получится блокировать https трафик у вас. Только по ip адресам можно заблочить. В инетрнете есть скрипт, который собирает ip адреса соц сетей (их много, у каждой соцсети) и добавляет в adresslist ну а после вы уже по ip блочите

Спасибо всем! Проблему нашел, как всегда дело в невнимательности, в настройках vlan в настройках wifi сети не поставил один нолик. (30 вместо 300)

Владислав и Антон! Спасибо! Ваши варианты оба работают, но я остановился на варианте с GRE туннелем.

И еще маленький вопрос, я так понимаю в случае серого айпи с одной строны, вариант Антона должен сработать?