Como penguin359 disse corretamente, o problema é que os pacotes de retorno serão roteados pela VPN, em vez de pelo roteador local, de onde veio a conexão de entrada. O SNAT no roteador é uma solução, mas se isso não for viável, você poderá usar o roteamento avançado em seu PC.
Você precisará adicionar essas regras avançadas de roteamento, além das regras existentes do iptables:
ip rule add from 192.168.1.X table 128
ip route add table 128 to 192.168.1.0/24 dev eth1
ip route add table 128 default via 192.168.1.1
Substitua 192.168.1.X pelo endereço IP da LAN do seu PC. 192.168.1.1 é o roteador da sua LAN e 192.168.1.0/24 é a sub-rede da sua LAN.
O primeiro comando cria uma regra que faz com que qualquer pacote com um endereço de origem de 192.168.1.X use uma tabela de roteamento especial que tenha o número 128. Os próximos dois comandos criam a tabela de roteamento 128, em que o gateway padrão é o seu roteador (e não o seu servidor VPN, como na tabela de roteamento principal).
Os únicos pacotes que terão um endereço de origem 192.168.1.X serão pacotes respondendo a conexões de entrada do seu roteador (isto é, conexões SSH encaminhadas pela porta) e pacotes destinados à sua LAN. Estes são exatamente os pacotes que você não quer usar sua VPN. Todos os outros pacotes de saída terão um endereço de origem diferente e usarão a tabela de roteamento principal que os encaminha pela sua VPN.