Você não precisa marcar os pacotes, Para fazer o que você está planejando, você precisa do seguinte
no arquivo de configuração do servidor, adicione o seguinte:
"push route q.q.q.q 255.255.255.255"
O acima irá empurrar a rota para o lado do cliente, então todo o tráfego enviado do cliente para aquele ip será enviado através do túnel openvpn.
Também no lado do servidor você precisa aceitar o tráfego de entrada do cliente, você pode aceitar todo o tráfego vindo da sub-rede do cliente como segue
iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT
você também pode precisar disso sem ter certeza:
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
Você precisa atualizar o tráfego do cliente para o lado do servidor [faça isso no lado do servidor]
iptables -t nat -A POSTROUTING -d q.q.q.q -j SNAT --to-source PUBLIC_IP_OR_YOUR_VPN_SERVER
E você não precisa da tabela iproute2 ou mangle.
A ordem das regras é importante, por isso, satisfaça-as antes de uma regra de descarte correspondente