История изменений

У вас логика нарушается, по умолчанию у ваc политика drop и после этого вы зачем-то разрешаете форвард по интерфейсам и тут же что-то дропаете в куче.

Я бы сделал так, удалил:

iifname eth0 oifname tun0 accept
iifname tun0 oifname eth0 accept

и добавил бы правило для vpn:

ip saddr ip/mask iifname tun0 accept

Т.е. вы либо оставляете политику drop и пишете только accept правила для исключений, либо политику accept и пишете правила drop для исключений, если мешать все вместе, то хрен разберешься.

У вас логика нарушается, по умолчанию у ваc политика drop и после этого вы зачем-то разрешаете форвард по интерфейсам.

Я бы сделал так, удалил:

iifname eth0 oifname tun0 accept
iifname tun0 oifname eth0 accept

и добавил бы правило для vpn:

ip saddr ip/mask iifname tun0 accept

Т.е. вы либо оставляете политику drop и пишете только accept правила для исключений, либо политику accept и пишете правила drop для исключений, если мешать все вместе, то хрен разберешься.

У вас логика нарушается, по умолчанию у ваc политика drop и после этого вы зачем-то разрешаете форвард по интерфейсам.

Я бы сделал так, удалил:

iifname eth0 oifname tun0 accept
iifname tun0 oifname eth0 accept

и добавил бы правило для vpn:

ip saddr ip/mask iifname tun0 accept

Т.е. вы либо оставляете политику drop и пишете только accept правила для исключение, либо политику accept и пишете правила drop для исключений, если мешать все вместе, то хрен разберешься.

У вас логика нарушается, по умолчанию у ваc политика drop и после этого вы зачем-то разрешаете форвард по интерфейсам.

Я бы сделал так, удалил:

iifname eth0 oifname tun0 accept
iifname tun0 oifname eth0 accept

и добавил бы правило для vpn:

ip saddr ip/mask iifname tun0 accept

У вас логика нарушается, по умолчанию у вам политика drop и после этого вы зачем-то разрешаете форвард по интерфейсам.

Я бы сделал так, удалил:

iifname eth0 oifname tun0 accept
iifname tun0 oifname eth0 accept

и добавил бы правило для vpn:

ip saddr ip/mask iifname tun0 accept