Você não permite que novas conexões sejam encaminhadas ou aceitas em seu servidor VPN. Mudar
iptables -A FORWARD -i tap0 -o enp0s3 -m state --state RELATED,ESTABLISHED -j ACCEPT
para
iptables -A FORWARD -i tap0 -o enp0s3 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
e tente se funcionar. Em caso afirmativo, remova a instrução NEW da regra geral e crie uma nova regra somente encaminhar e aceitar para os protocolos / portas que você precisa encaminhar, e. g .:
iptables -A FORWARD -i tap0 -o enp0s3 -p tcp --dport 22 -m state --state NEW -j ACCEPT
Além disso, você precisa usar o NAT de destino se quiser encaminhar uma solicitação externa para sua LAN interna:
Exemplo: Encaminhe o SSH na porta 10022 para uma porta interna da máquina 22:
iptables -t nat -A PREROUTING -p tcp --dport 10022 -j DNAT --to-destination 192.168.1.100:22
iptables -t nat -A POSTROUTING -p tcp --dport 10022 -j MASQUERADE
Além disso, você definiu a regra de encaminhamento permanentemente em /etc/sysctl.conf? Se você acabou de fazer echo 1 > /proc/sys/net/ipv4/ip_forward
, ele estará ativo somente até a próxima reinicialização.
EDITAR: Acabei de descobrir que sou cego. É claro que o seu firewall não responde ao seu pedido ARP, ele está em outra rede. As solicitações ARP não são encaminhadas por definição. Se o seu Laptop quiser se comunicar com o firewall, ele não se comunicará diretamente, mas através do gateway (sua VPN). Em sua tabela de roteamento, a VPN está presente como gateway para comunicação com o firewall, portanto, não deve enviar uma solicitação ARP para o firewall. ARP não é IP, não é encaminhado.
Você deve testar se o NAT funciona com o SSH, tente o que eu postei antes e conecte-se ao seu roteador pela porta 10022, você deve ser encaminhado para o seu firewall.