Что 'port-forwarding', что 'нат' - все эти правила находятся в одной таблице правил, которая называется nat (имеется ввиду iptables). Отличие лишь в том, что правила для port-forwarding будут находиться в цепочке dstnat, а правила для смены адреса при обращении к vpn-клиенту - в цепочке srcnat.
Может получиться что-то вроде этого:
прокинуть порт на vpn-клиента ($WAN_IP - внешний адрес vpn-сервера, $vpn_client_ip - адрес vpn-клиента)


Поменять адрес при обращении к vpn-клиенту ($WAN_IFACE - интерфейс на сервере, который смотрит в интернет, tun1 - виртуальный интерфейс для того самого клиента):


И еще нужно будет проверить таблицу forward, что бы там был разрешен трафик к vpn-клиентам.

Alexey AgafonovЯ убрал -i и оно заработало!
Действительно, проверил сам сейчас - не получится указать входной интерфейс для траффика, если правило в цепочке srcnat.
Alexey AgafonovКонечно, остается вопрос, как подменять IP адрес ТОЛЬКО с определенного входящего интерфейса, но это больше для любопытсва, так как в моем случае только один. Поскольку интерфейс указать не получится, можно указать подсеть адресов (которые находятся на этом интерфейсе) для которых это правило будет применяться, например:


Т.е. если удаленных клиентов можно отнести к одной подсети (например, 172.16.0.0/24), то их запросы vpn-клиент увидит как-будто бы они от vpn-сервера.
С другой стороны, если клиенты из случайных подсетей, можно попробовать такое правило:


Тогда для любого адреса клиента будет выполняться подмена адреса, даже для клиентов из локальной сети. Если это не желатьельно и локальная сеть имеет вадрес 192.168.1.0/24, то корректнее будет использовать следующее правило:

Т.е. выполнять подмену адреса для всех клиентов, кроме локальной сети.

Сейчас картинку разглядел, там написано что vpn-клиент должен видеть запросы как от 192.168.1.1, при этом vpn-клиент имеет адрес для vpn подключения 192.168.10.2. Если я правильно понимаю работу vpn, то сервер для связи c vpn-клиентами будет использовать адрес 192.168.10.1 (например, при пинге vpn-клиентов с сервера). Это я все к тому, что при использовании в правиле действия MASQUERADE, адрес запросов к vpn-клиенту будет заменён на адрес vpn-сервера на ppp-интерфейсе, т.е. на 192.168.10.1. Если же нужно чтобы vpn-клиент видел запросы именно от 192.168.1.1, то можно попробовать такое правило:


При этом vpn-клиенты должны знать о том, как попасть в подсеть 192.168.1.0/24, чтобы отвечать на запросы. Если vpn подключение для них будет также использоватся как шлюз по умолчанию, то проблем не должно быть. Иначе нужно будет на них вручную прописать маршруть до подсети 192.168.1.0/24 через vpn-подключение.

В свое время мне здорово помогла статья на opennet'e разобраться с iptables.