Как запретить клиентам SSTP видеть друг друга?

[zmn]

Добрый день! Есть Keenetic Giga, на нем VPN-сервер SSTP. 
Требуется одному из впн-клиентов запретить доступ к домашней сети и к другим впн-клиентам, кроме одного адреса.
Домашнюю сетку спрятал с помощью техподдержки, прописали по telnet для клиента запрещающие правила на out (как понял, из вэба такое не сделать).
А вот с доступом к другим клиентм пока ничего не получается, он всех видит.
Прошу помощи в решении этой задачи, сам не сисадмин. 
Есть второй роутер City, лежит без дела, может с его помощью что-то придумать? Завести на нем отдельный keenDNS для целевого подключения (один адрес, куда клиенту можно), протащить через домашнюю сеть, прописать на Giga разрешающее правило юзеру на один адрес в домашней сети.. 
Не уверен что сработает, м.б. есть более простой и прямой способ.
 

[Mamay]

52 минуты назад, zmn сказал:

Домашнюю сетку спрятал с помощью техподдержки, прописали по telnet для клиента запрещающие правила на out (как понял, из вэба такое не сделать).
Прошу помощи в решении этой задачи, сам не сисадмин. 

А что вдруг помешало вновь воспользоваться уже пройденным путём с гарантированной помощью? 

[zmn]

Да ничего не помешало, просто этот способ для других клиентов sstp не работает.

access-list vpn
permit ip 172.6.3.9 255.255.255.255 172.6.3.4 255.255.255.255
deny ip 172.6.3.9 255.255.255.255 192.2.2.0 255.255.255.0
deny ip 172.6.3.9 255.255.255.255 172.6.3.0 255.255.255.0

interface Home ip access-group vpn out 
system configuration save

172.6.3.9 -клиент для которого нужны ограничения
192.2.2.0 -домашняя сетка
172.6.3.0 - другие клиенты

Клиент всё равно видит остальных.
 

[sas_72]

Чем дело кончилось?  У меня отчасти похожая проблема. Только нужно чтобы один vpn-клиент (IKEv2) видел лишь один комп в локалке.

permit ip 172.20.8.166 255.255.255.255 192.168.3.116 255.255.255.255

deny ip 172.20.8.166 255.255.255.255 192.168.3.0 255.255.255.255

И блочится вся подсеть. Если поставить блок на какой-то один комп, этот блок не работает.