Host.Community | hcom.link

Доброго времени суток
Есть локальная сеть с тупыми свичами.
Есть задача настроить wifi c доступом в интернет но без доступа в локальную сеть (в которую точка подключается WAN портом.
В наличии есть TPLink WA701. т.к. подобное организовать средствами стандартной прошивки невозможно она біла перешита на OpenWRT.
Настройки вроде сделаны правильно но правило не отрабатывает. по wifi с точки доступа можно попасть в локальную сеть.
Настройки:
root@OpenWrt:~# cat /etc/config/network config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config interface 'WLAN' option ifname 'wlan0' option proto 'static' option ipaddr '192.168.88.1' option netmask '255.255.255.0' option dns '208.67.222.222' config interface 'WAN' option ifname 'eth0' option proto 'dhcp'

root@OpenWrt:~# cat /etc/config/firewall config defaults option syn_flood '1' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' config zone option name 'lan' option input 'ACCEPT' option output 'ACCEPT' option network 'WLAN' option forward 'REJECT' config zone option name 'wan' option output 'ACCEPT' option forward 'REJECT' option masq '1' option mtu_fix '1' option network 'WAN' option input 'ACCEPT' config forwarding option src 'lan' option dest 'wan' config rule option name 'Allow-DHCP-Renew' option src 'wan' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' config rule option name 'Allow-Ping' option src 'wan' option proto 'icmp' option icmp_type 'echo-request' option family 'ipv4' option target 'ACCEPT' config include

Ситуация такая:
openvpnclient(10.8.0.6)(10.8.0.1)linux-router(192.168.9.105)(192.168.9.106)mikrotik(192.168.11.1){192.168.11.0/29}
на mikrotik прописан роут на 192.168.0.0/16 через 192.168.9.105
Не получается сделать NAT для openvpn клиентов.
ifconfig tun4 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 tun30 Link encap:IPIP Tunnel HWaddr inet addr:192.168.9.105 P-t-P:192.168.9.106 Mask:255.255.255.252 UP POINTOPOINT RUNNING NOARP MTU:1480 Metric:1
ip r 10.8.0.0/24 via 10.8.0.2 dev tun4 192.168.11.0/29 via 192.168.9.106 dev tun30
router:/# ping 192.168.11.1 PING 192.168.11.1 (192.168.11.1) 56(84) bytes of data. 64 bytes from 192.168.11.1: icmp_req=1 ttl=64 time=7.75 ms
tcpdump -i tun30 -n 14:03:49.380280 IP 192.168.9.105 > 192.168.11.1: ICMP echo request, id 17531, seq 2, length 64 14:03:49.388094 IP 192.168.11.1 > 192.168.9.105: ICMP echo reply, id 17531, seq 2, length 64
iptables -A POSTROUTING -t nat -s 10.8.0.0/24 -d 192.168.11.0/29 -j SNAT --to-source 192.168.9.105
c:\openvpnclient>ping 192.168.11.1 Обмен пакетами с 192.168.11.1 по с 32 байтами данных: Превышен интервал ожидания для запроса.
tcpdump -i tun30 -n 14:18:25.587304 IP 10.8.0.6 > 192.168.11.1: ICMP echo request, id 1280, seq 64262, length 40 14:18:31.087791 IP 10.8.0.6 > 192.168.11.1: ICMP echo request, id 1280, seq 64518, length 40 14:18:36.587831 IP 10.8.0.6 > 192.168.11.1: ICMP echo request, id 1280, seq 64774, length 40