Problemas Openvpn com roteamento e configuração empurrando

Eu instalei recentemente um servidor openvpn no GCP, em um contêiner docker, a partir do link .

O docker-host tem o encaminhamento de pacotes ativado.

Agora estou lutando com a configuração. Eu posso conectar-me ao servidor com meu cliente openvpn, mas não posso rotear todo o tráfego através da VPN ou nenhum tráfego.

aqui está minha configuração:

server 172.21.208.0 255.255.248.0
verb 3
key /etc/openvpn/pki/private/mycompany.key
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/mycompany.net.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
persist-key
persist-tun

proto udp
# Rely on Docker to do port mapping, internally always 1194
port 1194
dev tun
status /tmp/openvpn-status.log

user nobody
group nogroup

### Route Configurations Below
route 10.250.0.0 255.255.255.0

### Push Configurations Below
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "route 10.250.0.0 255.255.255.0"

Eu tenho 2 problemas aqui:

1. Eu não entendo o que devo colocar na rota local na parte inferior, antes dos empurrões.
2. "redirect-gateway def1" é adicionado ao client.ovpn, mas não vejo nenhuma configuração que controle o comportamento do tat. Se eu não remover isso do client.ovpn, todo o tráfego é roteado através da vpn, mas eu só preciso rotear 10.250.0.0/24 e acessar todos os outros endereços diretamente através do meu gateway local.

Eu preciso da conexão vpn para alcançar as máquinas na mesma sub-rede que o servidor openvpn é, e nada mais. Não preciso que minha rede local seja acessível pelo GCP, mas entendo que preciso de uma rota para enviar os pacotes de volta ao cliente (daí a confusão sobre essa diretiva de rota).

Minha rede local tem endereços privados de classe C (192.168.x.x) A sub-rede remota tem o cidr 10.250.0.0/24 Os clientes e o servidor vpn obtêm endereços de classe B (172.21.208.0/21)