Ну да.
Есть ещё такое - в настройках Firewall > Packet Filter > Internal networks можно одну подсеть изолировать (или частично разрешить) от другой. Не только обслуживаемые подсети VPN но вообще любые обслуживаемые роутером. В вашем случае это излишнее, но так... на всякий случай.
Как-то понадобилось временно подключить соседнюю фирму через нашу сеть к интернету так, чтобы интернетом они могли пользоваться, но в нашу сеть хода не было. Создал новую подсеть и запретил любой обмен пакетами между нею и подсетью фирмы.
Ещё есть такое что можно определять через какие внешние IP выходят разные ресурсы фирмы. Делается в настройках в настройках Firewall > Packet Filter > SNAT
Это просто необходимая настройка в случае наличия нескольких почтовых серверов т.к. у каждого должен быть свой IP с правильным PTR, но и для большего порядка сервера у меня выходят через IP серверов, пользователи через IP для пользователей, почтовики как уже писал каждый на своём, клиенты VPN у меня тоже выходят отдельно и т.д.. Бывают инциденты, IP засветится из-за вирусов, действий клиентов или ещё чего и в этом случае ущерб локализуется на конкретной группе или сервере не затрагивая остальных. Плюс проще понять откуда что пошло.
Ах, совсем забыл. У зенчала то что расположено выше срабатывает первым, потом дальше по списку вниз. Если правило сработало, дальше не проверяет. Обязательно учитывайте при настройке и правильно укладывайте логику срабатывания! На моём скрине видно что всё разрешено, но выше есть запрет, который приоритентее, но затрагивает только описанную третью подсеть.