Чтобы VPS при обращении к его IP с каким то портом форвардил пакеты в VPN сеть даже для устройств не в VPN?
iptables -t nat -A PREROUTING -d %VPSIP% -p tcp --dport 8123 -j DNAT --to-destination 20.20.20.2
как раз и должно это обеспечивать (входящий пакет на порт 8123 форвардить в VPN на устройство с IP 20.20.20.2 с тем же портом)
iptables -A FORWARD -i eth0 -j ACCEPT
где eth0 - сетевой адаптер VPS.
Ну и не забыть про
net.ipv4.ip_forward=1
в /etc/sysctl.conf и пробросить порт на домашнем роутере.
Либо в моем случае, т.к. использую UFW, вместо iptables можно настроить в нем (может кому тоже пригодится, в инете довольно разрозненная инфа).
В /etc/default/ufw исправить DEFAULT_FORWARD_POLICY на ACCEPT.
В /etc/ufw/before.rules в конце добавить
После этого перезапустить UFW
systemctl restart ufw.service