Я кончно слоупок, но напишу.
Подмена соурс ip происходит во втором правиле, соответственно его нужно убрать. Вероятнее всего без этого правила сломается подключение к серверу через тунель, т.к. сервер будет отправлять ответы не в тунель, а на роутер по умолчанию. Поэтому нужно курить iproute2, а именно маркировку пакетов и роутинг по метке.
Еще вариант, изоляция сервера и тунеля в неймспейсе.