Вы ошибаетесь. Если клиент руками сменит IP адрес, то будет с него иметь соответствующий доступ
> А зачем вы выдаёте клиентам сетевые конфиги
Ни кто и не дает, посмотреть IP, маску и шлюз при уже подключенном впн большого ума не надо.
Такая же фигня была при переходе на ростелеком, при чем на старом провайдере коннект не рвался. Звонил в саппорт, они ни чего не стали делать, мол инет работает, что еще надо. В то время был привязан к винде и юзал патти, нагуглил инструкции и настраивал клиента по ним, помогало. Что конкретно делал уже не помню. Но точно получилось далеко не с первого раза.
Смотрите правила фаера, все дело в них. Вангую, что есть запрет в дефолтной сети, но его нет в сети впн, вот трафик и проходит. Никакой дыры, простое непонимание принципа работы фаера
