Ahogy fentebb is írtam: a probléma megoldására válaszul ne egy másik problémát hozzunk be!
Ahogy írtad is: a probléma az, hogy visszataláljon a válaszcsomag, arra amerre neki mennie kell.
De az, hogy közben tökönlövöd magad, és elrejted a vpn mögé tett szerver elől az eredeti kliens ip-ket, az azért elég erős!
Rendesen be kell állítsa a routingot és ennyi.
Ha a kliens mögött nincs másik gép/ alhálózat, akkor tök egyszerű a rule is, amit fel kell venni: ha a srcip a vpn-ipje, akkor vpn-es table, egyébként, meg mehet a default "normál"-os irányba.
A vpn-es table-be meg elég kb. a vpn alhálózatát "directly connected"-ként felvenni + defaultroute-ot a vpngw-n át.
Összetettebb esetben meg lehet connmarkolni. Arra is van tonnányi leírás. Akkor meg a rule mehet connmark alapján.