Прошивка роутера последняя - 1.22.

Задача - организовать vpn-доступ с компов производственной базы на сервер офиса, сидящий за роутером DIR-330. База и офис имеют статик IP. На роутере в офисе без проблем разворачивается vpn с авторизацией логин/пароль. Но в целях безопастности требуется отсеять все нежелательные возможные подключения.

И вот тут в теории должно быть все просто.
Создаю 2 правила в фаерволе:
Запрещаю всех по порту 1723, а затем разрешаю базу по этому порту.

При этом как все ходили, так и ходят, будто и нет запрета.
Дальше я пробовал просто всех запрещать, причем как 0.0.0.0/0, так и вполне конкретные дипазоны(например, домашнюю сеть 188.22.0.0/16, откуда успешно подключался к рабочей) без следующих разрешающих правил.

По итогу пришел к тому, что я никак не могу с помощью фаервола запретить хоть что-то.
Возникло 2 подозрения - неправильно понимаю синтаксис фаервола или некорректно работает роутер.
Роутер не только перепрошивал на 1.22, но и сбрасывался на заводские установки.

Если ни у кого нет мыслей по поводу того, что я сам делаю не так(может с маской что не то или еще где-то в синтаксисе/логике ошибаюсь), то хотя бы подскажите пример блокировки входящих соединений заданного протокола и заданного порта(в идеале для PPTP).

А то не понятно - толи железяка не работает, толи правила ей задаю неверно...