Bon ça marche,
J'ai finalement remplacé
name WAN_OUT {
default-action accept
description "WAN OK except for VPN clients"
rule 1 {
action drop
description "Drop VPN direct WAN access"
log disable
protocol all
source {
group {
address-group ADDRv4_eth2.55
}
}
}
par
name WAN_OUT {
default-action accept
description "WAN OK except for VPN clients"
rule 1 {
action drop
description "Drop VPN direct WAN access"
destination {
group {
}
}
log disable
protocol all
source {
address 192.168.55.0/24
group {
}
}
}
}
pour une syntaxe avec laquelle je suis plus à l'aise et ça fonctionne.
-> tout le trafic des clients du Vlan passe par le tunnel, y compris les requêtes DNS
-> si le tunnel tombe, les clients du Vlan perdent leur accès à internet, les requêtes DNS n'aboutissent pas.
Faut que je voit s'il y aurait d'autres tests à faire pour rechercher d'éventuelles fuites mais c'est OK pour ce que je peux en juger.