в конфигурации сервера включить опцию
client-to-client - разрешает общаться клиентам openvpn (скорее всего, взлетит и без неё)
и сказать линуксу, что пакеты можно перекидывать через себя:
echo 1 > /proc/sys/net/ipv4/ip_forward
Если что, вот так у меня звучат правила:
iptables -t nat -A PREROUTING -d mysite.ru -p tcp --dport 32901 -j DNAT --to-dest 12.0.1.29:8730
iptables -t nat -A POSTROUTING -d 12.0.1.29 -p tcp --dport 8730 -j SNAT --to-source 12.0.1.1
вторым правилом обрабатываем возвращающийся пакет, иначе вопрос придёт, а ответ зависнет, потерявшись в промежутке между vpn-роутером и физической машиной