Bloqueio de sites no firmware Tomato conectado à VPN

No trabalho, temos algumas configurações de roteadores Asus RT-N16 com Tomato Firmware, para que os programas externos possam fazer parte de nossa rede interna. Ele é configurado com o OpenVPN e funciona muito bem para permitir que os usuários usem nosso servidor proxy, nosso servidor de arquivos, etc.

Eu tive alguns dos sites solicitados para o Facebook ser bloqueado. Eu percebi que seria fácil, dado o número de tutoriais disponíveis on-line (Vá para Restrições de Acesso, crie uma nova regra, digite facebook para bloquear todas as solicitações para o Facebook). Parece bastante simples ...

Eu adicionei a regra e deixei o roteador redefinir apenas no caso. O outro site ainda pode acessar o Facebook!

Sinto que é devido à conexão VPN, mas não sei para onde ir a partir daqui. Eu acho que se ele estivesse bloqueado no roteador e o roteador estivesse fazendo a VPN (e não os PCs clientes!), Ele ainda teria seu próprio conjunto de regras. Estou faltando alguma coisa aqui?

Eu tenho acesso via SSH e Web Console aos roteadores do meu site principal. As configurações que eu coloco estão abaixo: