Нет, Вы понимаете не правильно. Взаимодействие происходит в локальной сети, т.к. с того момента, как клиент VPN получает адрес из пула, принадлежащего локальной сети, он должен являться полноправным членом данной сети. Изолированный от интернета ПК в тоже самое время никоим образом (по крайней мере, явно) не изолирован от всех устройств локальной сети, в том числе и от клиентов VPN. В данном же случае прослеживается, имхо, неявная изоляция части устройств. Я такую логику могу понять, но только если она где-то декларирована. Но пока что не нашёл этому подтверждения и по этому считаю, что данное поведение маршрутизатора не правильно.
Если Вы считаете иначе, пожалуйста, аргументируйте свою точку зрения поподробней.
Возможно, в данном случае так и произошло. Но, с моей точки зрения, выделение клиентов VPN в отдельную сеть является следующим этапом паранойи и требует уже создания DMZ с выносом туда всех требуемых ресурсов из локальной сети. В принципе это хорошее решение, но более трудоёмкое. В данном конкретном случае моя лень пока что побеждает паранойю и говорит, что без этого можно было бы и обойтись. Если не удастся найти причины текущего поведения маршрутизатора, возможно, пойду по этому пути.
На всякий случай (вдруг мы с Вами друг друга не допоняли) поясню - пулы адресов клиентов VPN и устройств локальной сети не пересекаются, а просто принадлежат одной сети. Грубый пример: все устройства локальной сети имеют адреса 192,168,1,10-100, а клиенты VPN - 192.168.1.150-200
Поясните, пожалуйста, как это сделать, когда пул адресов VPN уже принадлежит локальной сети.
Проверю это по возможности, спасибо.