У нас есть ответвительный мост между 2 локальными сетями. Он отлично работает, за исключением того, что клиенты из «другой» сети могут использовать DHCP-сервер и, что наиболее важно, могут использовать WAN-шлюз второй сети, что плохо. Это невозможно сделать, просто заблокировав ip, потому что каждый может установить статический ip. Я предполагаю, что это можно сделать, заблокировав некоторый трафик интерфейсов, но я действительно не эксперт.
tap0 соединен с lan и wlan как br-lan
Было бы проще перевести VPN в режим без моста, с отдельной подсетью. Я стараюсь использовать отдельную подсеть для каждой зоны безопасности. Это помогает решать проблемы, с которыми вы сталкиваетесь. Компромисс - повышенная сложность маршрутизации по сравнению с более простой настройкой безопасности.
Я не уверен в синтаксисе iptables, к которому это приведет, поскольку я не использую мостовой режим в своей сети. Но вы должны иметь возможность указывать интерфейсы ответвлений в своем наборе правил.
Если вы работаете, вы можете посмотреть на Межсетевые экраны Shorewall и мостовые системы документация.