openvpn не может пинговать частную локальную сеть с сервера

Пожалуйста, помогите с другим вопросом по openvpn.

Я пытаюсь подключиться с сервера (на котором работает openvpn как сервер) к частному LAN-устройству дома. Частное LAN-устройство получает свой IP/шлюз от DHCP локально (dnsmasq). Топология выглядит так:

Домашнее устройство    <-> VPN-клиент/DHCP Raspberry PI     <-> VPN-сервер в интернете
192.168.1.134      tun0 10.8.0.2                   tun0 10.8.0.1
                   eth0 192.168.1.99               eth0 <публичный IP>
                   wlan0 <моя домашняя сеть>

Домашнее устройство и raspberry pi напрямую подключены с помощью ethernet-кабеля – raspberry получает доступ в интернет через wlan0

Что работает?

• raspberry PI правильно выдает 192.168.1.134
• с домашнего устройства PING И SSH на 10.8.0.1
• Raspberry PI может SSH и PING все (192.168.1.134, 10.8.0.1)
• с VPN-сервера SSH и PING raspberry PI (10.8.0.2)

Не работает

• с VPN-сервера PING 192.168.1.x (оба IP)

Итак: трафик идет и возвращается из частного LAN к VPN-серверу. Трафик от VPN-сервера к VPN-клиенту также работает. tcpdump (на vpn-клиенте) это подтверждает:

когда ping от 192.168.1.134 К 10.8.0.1 (работает)

13:51:50.753125 IP 192.168.1.134 > 10.8.0.1: ICMP echo request, id 38796, seq 0, length 64
13:51:50.839622 IP 10.8.0.1 > 192.168.1.134: ICMP echo reply, id 38796, seq 0, length 64
13:51:51.756973 IP 192.168.1.134 > 10.8.0.1: ICMP echo request, id 38796, seq 1, length 64
13:51:51.836193 IP 10.8.0.1 > 192.168.1.134: ICMP echo reply, id 38796, seq 1, length 64

но ping от VPN-сервера к 192.168.1.134 выглядит странно:

13:51:45.140662 IP static.x.x.x.x.clients.your-server.de > 192.168.1.134: ICMP echo request, id 29623, seq 38, length 64
13:51:46.165299 IP static.x.x.x.x.clients.your-server.de > 192.168.1.134: ICMP echo request, id 29623, seq 39, length 64
13:51:47.191915 IP static.x.x.x.x.clients.your-server.de > 192.168.1.134: ICMP echo request, id 29623, seq 40, length 64

Вышеуказанное работает без какой-либо дополнительной конфигурации, кроме включения ip forwarding на клиенте и сервере.

Маршрутная таблица на raspberry PI

0.0.0.0/1 via 10.8.0.1 dev tun0 
default via 192.168.178.1 dev wlan0 proto dhcp src 192.168.178.147 metric 600 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.2 
<IP сервера VPN> via 192.168.178.1 dev wlan0 
128.0.0.0/1 via 10.8.0.1 dev tun0 
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.99 metric 100 
192.168.178.0/24 dev wlan0 proto kernel scope link src 192.168.178.147 metric 600 

Маршрут VPN-сервера

default via <шлюз провайдера> dev eth0 proto dhcp src <публичный IP> metric 100 
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1 
<шлюз провайдера> dev eth0 proto dhcp scope link src <публичный IP> metric 100 
192.168.1.0/24 via 10.8.0.2 dev tun0 

Важные моменты из openvpn server.conf

topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 ipv6 bypass-dhcp"
route 192.168.1.0 255.255.255.0 # добавляет маршрут для сервера
client-to-client

ccd

ifconfig-push 10.8.0.2 255.255.255.0
iroute 192.168.1.0 255.255.255.0

Необходимые шаги:

• изменение маршрута по умолчанию raspberry pi на шлюз 10.8.0.1

• разные параметры маршрута на стороне сервера

• push “route 192.168.1.0 255.255.255.0” # НЕ ВЛИЯЕТ

• push “route gateway 10.8.0.1” # НЕ ВЛИЯЕТ

• push “route 10.8.0.0 255.255.255.0” # НЕ НУЖЕН, так как создает дубли

• (на raspberry PI) Ответ на ping не доходит до LAN-устройств, но доходит до шлюза Linux

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE   
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Мне кажется, что ping, исходящий от VPN-сервера и доходящий до raspberry PI, неправильно “отмечен”, так как raspberry отбрасывает ответ. Или PI не знает, как маршрутизировать трафик между 10.8.0.x и 192.168.1.x. Любая помощь была бы очень полезна.