Владимир

добавить

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

перед -A FORWARD -j REJECT ...

допустим 192.168.49.56 висит на eth1, 192.168.49.1 - шлюз к 192.168.55.55

iptables -t nat -A POSTROUTING -p tcp --sport 5689 -d 192.168.55.55 -o eth1 -j SNAT --to-source 192.168.49.56
ip ro add 192.168.55.55/32 via 192.168.49.1 dev eth1

здесь маршрут полностью задан (тоесть смаршрутизируется прочий трафик через eth1), но для проверки пойдет
можно промаркировать так что только ответы с порта 5689 будут рулится

собирать и анализировать Netflow логи

на "втором сервере"
# ip ro add default via ip_первого

может это подойдет
wikibooks Iptables

SAME — в зависимости от цепочки (PREROUTING или POSTROUTING) может работать как DNAT или SNAT. Однако, при указании (в параметре --to-ip) одного или нескольких диапазонов IP-адресов, определяет для каждого нового соединения подставляемый адрес не случайно, а базируясь на IP-адресе клиента. Таким образом, адрес для подмены остается постоянным для одного и того же клиента при повторных соединениях (что не выполняется для обычных DNAT/SNAT). В некоторых случаях это бывает важным.

можно попробовать выставлять и ловить QoS
пример маркера

похоже у вас нет нужных роутов в таблице isc-ml
ip ro sh ta isc-ml

проанализировать DNS-запросы от софтины
прописать подсмотренные зоны на 127.0.0.1

если софтина работает не из под root-а, можно прибить iptables в цепочке OUTPUT таблицы filter, анализируя по пользователю

owner
This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even then some packets (such as ICMP ping responses) may have no owner, and hence never match.

--uid-owner userid
Matches if the packet was created by a process with the given effective (numerical) user id.

--gid-owner groupid
Matches if the packet was created by a process with the given effective (numerical) group id.

--pid-owner processid
Matches if the packet was created by a process with the given process id.

--sid-owner sessionid
Matches if the packet was created by a process in the given session group.

проблема в

-A FORWARD -j REJECT

при старте сервера с таким конфигом должны добавится два роута

10.0.0.0/24 via 10.0.0.2 dev tun0 
10.0.0.2 dev tun0  proto kernel  scope link  src 10.0.0.1

возможно они перетираются
посмотрите таблицу маршрутизации
перезапустите сервер и посмотрите снова
если есть разница, попробуйте вбить вручную в консоли после перегрузки маршрутизатора
если помогает, ищите кто их перетирает