Roteador doméstico DD-WRT, duas interfaces WAN, uma interface LAN: o roteamento falha

Meu roteador doméstico DD-WRT tem várias interfaces entre as quais:

• eth0: ISP WAN
• eth1: LAN
• tun0: abra a configuração do cliente vpn no provedor de VPN acesso privado à internet

Eu hospedo NAS "Joe" na LAN, acessível pela internet na porta 12345 graças ao redirecionamento de portas (AKA D-NAT). Antes de definir o tun0 no DD-WRT, isso funcionou bem.

Agora, no DD-WRT, "Joe" está configurado para passar pelo tun0.

Por isso, quando me conecto a Joe: 12345 pela internet, acontece o seguinte:

1. Joe recebe pacote TCP SYN
2. Joe responde, envia como pacote TCP ACK para o iniciador
3. Problema: O DD-WRT direciona o TCP ACK para tun0, em vez de eth0
4. A conexão do iniciador nunca é reconhecida

Minha idéia é usar tabelas IP para poder direcionar os pacotes TCP corretamente, ou seja:

• Conexão TCP "Joe" iniciada a partir de eth0: respondida através de eth0 (em vez de tun0)
• outro tráfego de "Joe": roteado por tun0

Eu estou olhando para marcação de pacotes com tabelas ip, sem sucesso até agora. Como posso corrigir esse problema de roteamento de interface?