Вариант сетевой организации. Openvpn работает отдельно от файрволла, при этом отдельного соединения с файрволлом нет, а иметь отдельную зону для подключившихся очень хочется.

Выход - создать самый простой и быстрый локальный gre-тунель на файрвол и на нем уже создать бридж для подключения клиентов к openvpn.

Соответственно, на файрволе и сервере появляются сетевые интерфейсы со своей маршрутизацией. Клиенты получают в openvpn адреса из подсети туннеля и весь трафик от них автоматом идет на файрволл, проходит правила и возвращается обратно.

Исходные данные:

• Название туннеля: tofw
• Адрес файрволла: 192.168.YYY.1
• Адрес сервера: 192.168.YYY.2
• ключ gre (необязательный): 1111

• Адрес файрволла в туннеле: 192.168.XXX.1
• Адрес сервера в туннеле: 192.168.XXX.2
• Подсеть туннеля (и клиентов): 255.255.255.0
• Сеть и широковещательный адрес для них же: 192.168.XXX.0 и 192.168.XXX.255 соответственно.

Файл /etc/network/interfaces

auto tofw

iface tofw  inet static
       mtu 1400
       address 192.168.XXX.2
       netmask 255.255.255.0
       network 192.168.XXX.0
       broadcast 192.168.XXX.255
       bridge_ports tofw tap0
       pre-up iptunnel add tofw  mode gre local 192.168.YYY.2 remote 192.168.YYY.1 key 1111  ttl 255
       pre-up openvpn --mktun --dev tap0
       post-down openvpn --rmtun --dev tap0
       post-down iptunnel del tofw