Je suis tout à fait d'accord avec toi au sujet de la règle (10.0.0.0/255.0.0.0). qu'il ne faut absolument pas mettre dans l'interface LAN1; c'est contre les règles élémentaires de protection contre le SPOOFING ; SOURCES ; si un attaquant arrive avec ce type d'adresse, c'est la "fête du slip" pour lui .
Il faut l'intégrer aux règles de l'interface VPN comme par exemple ceci (car je n'utilise qu'OpenVPN)
et surtout bien cocher la case Refuser accès