загнать адреса пользователей в адрес лист, загнать адреса серверов в адрес лист. создать запрещающее правило в форварде, где источник пользователи, назначение - адреса серверов. а выше делать разрешающие правила конкретному пользователю(ям) до конкретного сервера и порта.
я бы сделал новый маршрут по умолчанию в отдельной таблице пометив например ее VPN , где GW будет pptp . Затем в route rules создал бы правило, где src-address будет сеть 5го порта, загнать в свежеиспеченную таблицу маршрутизации VPN
а зачем менять, не справляется? firewall везде есть, даже в самой дешевой модели.
rb3011 - два ядра, больше памяти.
RB1100AHX4 - еще мощнее + аппаратное шифрование.
