Спасибо за ваш ответ, он оказался очень полезным.
Подскажите, пожалуйста, вот ещё какой момент. Домашняя сеть у меня в диапазоне 192.168.21.0/24, адрес роутера 192.168.21.1, а адрес VPN клиента 172.16.3.34.
Через cli я сделал следующее:
access-list vpn2lan_block
deny ip 172.16.3.34/32 192.168.21.0/24
exit
interface Bridge0 ip access-group vpn2lan_block out
system configuration save
У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём.
А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было?