Для ограничения доступа клиентов OpenVPN к внешней сети через VPN можно использовать настройки firewall. Вот пример того, как это можно сделать в Linux:
1. Создайте правило в firewall, которое будет блокировать трафик с IP-адресами внешней сети через VPN. Например, если внешняя сеть имеет диапазон IP-адресов 192.168.1.0/24, то правило будет выглядеть примерно так:
```
iptables -A FORWARD -s 192.168.1.0/24 -i tun0 -j DROP
```
2. Убедитесь, что правило firewall применяется после правил NAT и маршрутизации в вашем конфигурационном файле iptables.
3. Перезапустите firewall, чтобы изменения вступили в силу.
Чтобы предоставить клиентам доступ к другим машинам в сети VPN, но ограничивать их доступ к глобальной сети через VPN, можно настроить маршруты на сервере OpenVPN. Например, можно установить специальные маршруты для сетей, к которым нужно предоставить доступ.
Вот пример настройки маршрутов на сервере OpenVPN:
```
push "route 192.168.2.0 255.255.255.0"
```
Где 192.168.2.0/24 - сеть, к которой нужно предоставить доступ клиентам.
Таким образом, клиенты смогут достучаться до машин в сети VPN, но не смогут выходить в глобальную сеть через VPN. Для доступа к глобальной сети им потребуется использовать свои собственные интернет-соединения.