Dmitry

Зачем вам двойной dst-nat? Одного правила на "сервере" достаточно. У вас же сети друг друга видят, маршруты есть

На S1 нужно настроить переадресацию dst-nat на адрес туннельного интерфейса S2.
На S2 во избежание лишних заморочек настроить игровой сервер таким образом, чтобы он прослушивал и тоннельный интерфейс тоже. Также на S2 настроить роутинг, чтобы обратные пакеты от игрового сервера уходили в тоннель, а не через шлюз по умолчанию. Делается это через маркировку соединений, Короче, те ещё танцы с бубном

Если я ничего не путаю, использование socks-прокси настраиваются на клиенте. то есть, вы не можете просто перенаправить трафик с VPN сервера на сокс5 прокси. Это так не работает. Вы можете запретить ходить трафику пользователя куда-либо ещё кроме прокси, но так или иначе настройку использования прокси сервера должен произвести сам пользователь.

Вы выбрали самый геморройный способ ограничения трафика – через iptables/netfilter, при этом плохо понимая как оно работает. Возможно, стоит воспользоваться специализированными инструментами? Какой-нибудь Kerio Control или подобное

Из Википедии.
"Объединяя сетевой префикс и идентификатор интерфейса, узел получает новый адрес. Для защиты персональных данных идентификатор интерфейса может быть заменён на псевдослучайное число."

Вы уверены, что узел, для которого вы разрешили пинг, использует постоянный ipv6 адрес?

https://community.openvpn.net/openvpn/wiki/RoutedLans
И никакого NAT на туннельных интерфейсах