в полиси src-address=192.168.88.0/24 src-port=any dst-address=192.168.1.0/24 тут указываешь внешние адреса.
В нате из маскарада убираешь удаленную сеть, оно и так туда не пойдет.
В фаерволе отключи все на время настройки.
Создай интерфейс для впн подключения, в роуте в качестве шлюза выставляешь его.
Вроде так