Вебсервер на VPN-клиенте - почти работает, помогите

Ужасно запутанное описание проблемы с непонятными терминами и действиями.

Есть сервер А, который как клиент поднимает с себя tap-туннель OpenVPN на другой сервер Б.

Если не возражаете, попытаюсь проявить телепатические способности:

Компьютер «А» выступает в качестве OpenVpn-клиента. Сервером выступает компьютер «Б». Тип туннеля: tap. Адреса сетевых интерфейсов на компьютере «А»:
eth0: 2.3.4.5
tap0: 3.4.5.6

на компьютере «Б»:
eth0: 1.2.3.4
tap0: ?.?.?.?

Нужно, чтобы при обращении к хосту Б на адрес 1.2.3.4:80 трафик пробрасывался бы на хост «А» на его адрес 3.4.5.6:80 на tap0 интерфейсе. Я правильно поставил задачу?

проблемы с mtu?

Или с маршрутизацией. Хотя можно долго гадать из-за неполного и невнятного описания проблемы.

Туннель трафик пропускает, но до вебсервера он почему-то не доходит.

Такое вполне может быть, если включён rp_filter (revese path filter): ответные пакеты от web-сервера (как я понял host A) к клиенту из inet-а согласно таблицам маршрутизации маршрутизируются через туннель ?
Если нет, то rp_filter по-любому будет убивать такие пакеты, у него логика простая: если ответный пакет идёт другим путём, чем изначальный (запрос), значит изначальный пакет должен быть убит.
Проверьте такое:
sysctl -a | grep -Fw rp_filter

если включено - выключите.

Если я правильно понял,есть веб-сервер, который является клиентом ВПН и надо, чтоб через впн другие клиенты могли пользоваться этим веб-сервером через впн.

Если так, то предположения:

1) в настройках ВПН-сервера разрешить клиентам ВПН «видеть» друг-друга
2) в настройках веб-сервера разрешить работу в tap устройством
3) маршруты
4) фаервол.

так как телепатией не одарён, какими средствами всё это реализовано не знаю, надо больше информации в ТЗ.