Хотим использовать DI-804HV в качестве VPN gateway для филиалов (звезда, ipsec, в центре gateway Checkpoint FW-1 NG AI FP3)

Вопросы:

1. В встроенном фаерволе DLink отказывается принять сеть с маской, бОльшей чем 255.255.255.0.
Мне же реально нужно указать как разрешенные сети 255.255.0.0, или как минимум 255.255.240.0, и ещё горстку.. Сколько всего может быть таких строк в правилах?

2. Есть ли способ задавать порядок действия правил фаервола? Как минимум, интересует возможность установки завершающего "очистительного" правила

3. Можно ли как-то явно указать, что пакеты от каких-то адресов должны приходить только из VPN, но ни в коем случае не просто через внешний интерфейс (кто мешает врагам слать мне из внешнего мира вредные пакеты с обратным адресом центрального оффиса)?

Спасибо за ответы.