Como encaminhar o tráfego de outra rede para a internet

Estou fazendo um pouco de experimentos com minha rede doméstica e tenho a seguinte configuração:

+---------+      +----------+       +-----------+       +----------+
| Host A  |_WiFi_| Router A =1)___(2=  Linux    =1)___(1= Internet =)_____ *** Internet **
|         |      |          |       |  Server   |       |  Router  |
+---------+      +----------+       +-----------+       +----------+
                                                             |
                                                        +----------+
                                                        |   PC     |
                                                        +----------+

• O roteador A (DDWRT) fornece NAT e DHCP e tem um IP estático na conexão 1 de 10.0.0.2
• O host A recebe o IP 10.1.0.2 pelo DHCP do roteador A, que tem um IP de 10.1.0.1 no lado do Wi-Fi, o gateway fornecido pelo DHCP é 10.1.0.1
• O servidor Linux tem uma interface 10.0.0.1 conectada ao roteador A via conexão 2
• O servidor Linux tem um IP estático 192.168.0.2 na conexão 1, que está conectada ao roteador da Internet
• O servidor Linux fornece DHCP & DNS etc para 192.168.0. * Rede

Eu configurei as tabelas de rotas no servidor Linux de forma que pareça que o tráfego interno é roteado bem. Também configurei uma rota estática para 10.0.0.0/16 no roteador da Internet para rotear para o roteador A ( 192.168.0.2 ).

Para que eu possa fazer ping do Host A até o roteador da Internet. Se eu fizer um traceroute em um IP externo como google.com do Host A, recebo o seguinte:

10.1.0.1 (Router A) -> 10.0.0.1 (Linux Server) -> 192.168.0.1 (Internet Router)

Então, o que eu preciso definir no roteador de Internet (que está fazendo NAT etc) para conseguir que ele direcione o tráfego da Internet corretamente?

Pouco de contexto / pergunta secundária: O objetivo geral (e eu sei que isso é uma maneira bem louca de fazer isso) é tentar separar o tráfego WiFi do resto da rede. Isso é possível com essa configuração usando a configuração de firewall no servidor Linux? E assim, para exigir que alguém em WiFi para VPN no servidor linux, se quisessem acesso à rede com fio ( 192.168.0.* ).

FYI aqui são as tabelas de rotas:

Roteador A:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 vlan2
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 vlan2
10.1.0.0        0.0.0.0         255.255.255.0   U     0      0        0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 br0
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 vlan2

Servidor Linux:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Roteador da Internet:

Destination     Gateway         Genmask         Flags Metric Iface
<External IP>   0.0.0.0         255.255.255.255 UH    0      pppoa0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      br0
10.0.0.0        192.168.0.2     255.255.0.0     UG    0      br0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      pppoa0