Везде, где 0.0.0.0/32 - описка.
Читать 0.0.0.0/0.
Вот так это выглядело в выводе show running config:
access-list _CORPORATE_OUT
permit ip 192.168.0.20 255.255.255.255 0.0.0.0 0.0.0.0
permit ip 192.168.0.4 255.255.255.255 0.0.0.0 0.0.0.0
permit ip 192.168.0.6 255.255.255.255 0.0.0.0 0.0.0.0
deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
Не нужно. Маршруты в корпоративную сеть через интерфейс L2TP0 выдаёт VPN-сервер при подключении. Естественно, у этих маршрутов приоритет выше, чем у default route.
Кроме маршрутов в корпоративную сеть через интерфейс L2TP0 при подключении к VPN в таблице маршрутизации появится маршрут к VPN-серверу с приоритетом ещё бОльшим, чем маршруты в корпоративную сеть.
А при чём здесь интерфейс Home?
Интерфейс Home вообще не увидит, с какого адреса идёт пакет, т.к. в соответствии с таблицей маршрутизации пакет в корпоративную сеть сначала попадёт на интерфейс L2TP0, которым он будет зашифрован и инкапсулирован в пакет с адресом назначения равным адресу VPN-сервера и адресом источника равным локальному адресу маршрутизатора.
Поэтому единственный вариант ограничения доступа в корпоративную сеть из локальной домашней сети - применение access-list'а для исходящего трафика на L2TP0.
Вариант с конфигурацией из веб-интерфейса не подходит. В Firewall нельзя прописать правила для исходящего трафика.
"Любой" адрес назначения в записи access-list'а означает лишь одно - адрес назначения не нужно проверять. Если адрес назначения не нужно проверять, это уменьшает количество проверок, снижает задержку пакета на маршрутизаторе и увеличивает пропускную способность. По-моему, так.
Спасибо, но речь идёт не о том, как сделать, а о баге в firmware.