Предположу, что в правилах нет правила маскарадинга на tap-интерфейсе
Судя по цепочке FORWARD (в том числе отсутсвие дропнутых пакетов по правилу по умолчанию) в ней затыка нет, значит проблема в nat
Покажите
iptables -t nat -nvL POSTROUTING | grep tap
НИЧЕГО НЕ ВОЗВРАЩАЕТ (если без grep tap - то что-то есть)
root@OpenWrt:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.0.0 * 255.255.0.0 U 0 0 0 eth0.2
default 192.168.0.111 0.0.0.0 UG 0 0 0 eth0.2
rroot@OpenWrt:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.0.0 * 255.255.0.0 U 0 0 0 eth0.2
default 192.168.0.111 0.0.0.0 UG 0 0 0 eth0.2
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING | grep tap
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
pkts bytes target prot opt in out source destination
56 4107 postrouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0
56 4107 zone_wan_nat all -- * * 0.0.0.0/0 0.0.0.0/0
root@OpenWrt:~# /etc/init.d/openvpn restart
root@OpenWrt:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
xx.xx.xx.101 192.168.0.111 255.255.255.255 UGH 0 0 0 eth0.2
10.8.0.0 * 255.255.255.0 U 0 0 0 tap0
192.168.1.0 * 255.255.255.0 U 0 0 0 br-lan
192.168.0.0 * 255.255.0.0 U 0 0 0 eth0.2
default 10.8.0.1 0.0.0.0 UG 0 0 0 tap0
root@OpenWrt:~#
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING | grep tap
root@OpenWrt:~# iptables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 7 packets, 1000 bytes)
pkts bytes target prot opt in out source destination
58 4209 postrouting_rule all -- * * 0.0.0.0/0 0.0.0.0/0
58 4209 zone_wan_nat all -- * * 0.0.0.0/0 0.0.0.0/0
Пользователь решил продолжить мысль 21 Февраля 2011, 23:20:20:
Разберитесь с маршрутами.
я уже писал - топографический кретинизм у меня
а про трафик через OPENVPN - почему это плохо. На самом деле это нужно для подключения некоторый железок - например SIP адаптера для IP телефонии - провайдер закрывает SIP порты и устройство даже не может пройти SIP авторизацию на сервере