Тут проблема в том, что политику default-policy нельзя выбрать явно для клиента, только policyX, а дефаулт - это автоматом conform - что в случае deny политики на сегменте ведет к отсутсвию интернета.
Перещелкивание политики для клиента помогает, но только до перезагрузки. После нее conform возвращается.
Надо это как то разрулить.