Есть ubuntu 20.04 Внешний ip 2.2.2.2

В before.rules
-A PREROUTING -d 1.1.1.2/32 -p tcp -m tcp –dport 1723 -j DNAT –to-destination 192.168.0.50:1723
-A PREROUTING -d 1.1.1.2/32 -p 47 -j DNAT –to 192.168.0.50
Это я открыл для сотрудников локальный VPN сервер.
Извне соединяются по PPTP без проблем

Но мне нужно, чтобы сотрудники ещё и могли подключаться из локальной сети к внешним PPTP VPN серверам.

Пишу правило для GRE -A POSTROUTING -s 192.168.0.0/20 -p 47 -j MASQUERADE

пакет GRE уходит на внешний сервер.
приходит ответный пакет GRE на 2.2.2.2 Но подключения нет.

есть ubuntu 20.04 два интерфейса WAN 2.2.2.2/30 и LAN 192.168.0.25/20 в before.rules
-A PREROUTING -d 1.1.1.1/32 -p tcp -m tcp –dport 80 -j DNAT –to-destination 192.168.0.47:80
-A POSTROUTING -s 192.168.0.0/20 ! -d 192.168.0.0/20 -j MASQUERADE

Из внешнего мира 1.1.1.1вполне доступен по 80 порту.

А вот как сделать, чтобы из сетки 192.168.0.0/20 был доступен внешний адрес 1.1.1.1:80?

Есть подозрение, что всё просто. Но что-то у меня ничего не получается.