Seria mais fácil colocar a VPN em um modo sem ponte, com uma sub-rede separada. Eu tento usar uma sub-rede separada para cada zona de segurança. Isso ajuda a resolver problemas como você está encontrando. A desvantagem é maior complexidade de roteamento versus configuração de segurança mais simples.
Não tenho certeza da sintaxe do iptables resultante, pois não uso o modo de ponte na minha rede. Mas você deve ser capaz de especificar as interfaces de toque no seu conjunto de regras.
Se você está concorrendo, pode querer olhar para a documentação Firewalls Shorewall e Bridged .