Есть роутер который подключен к openvpn серверу с подсетью 10.10.10.0/24 (сервер 10.10.10.1). На роутере (10.10.10.5) нужный кусок домашней подсети 172.16.0.0/24 маркируется (цепочка PREROUTING в таблице mangle) и пересылается с помощью ip rule в свою таблицу маршрутизации с дефолтным маршрутом на openvpn сервер. Всё работает хорошо, но хочется кинуть ssh сервер с роутера в openvpn подсеть. Для этого маркирую весь входящий и исходящий трафик по порту 22 в/из tun0 в таблице mangle (правила INPUT/OUTPUT) и тем же ip rule они пересылаются в таблицу маршрутизации на vpn сервер.
Проблема в том, что на сервере openvpn я не могу подключиться к ssh серверу на роутере. tcpdump показывает что пакеты ssh от сервера vpn (10.10.10.1) доходят до роутера (10.10.10.5), но обратно никак не идут. Форвардинг на vpn-сервере и на роутере разрешен для интерфейса tun0. Роуты vpn удалены из стандартной таблицы роутера и есть только в таблице для vpn подключения. Или же нужно маркировать пакеты с роутера цепочкой PREROUTING вместо OUTPUT/INPUT в таблице mangle?
P.S С vpn сервера так же нельзя пинговать роутер - пакеты icmp идут только в сторону клиента, а обратно тишина.
