Prima cosa, mi confermi che il tuo problema era pingare o raggiungere un host locale in lan da un client remoto in vpn e non il viceversa?
Se è così, allora non mi spiego come mai tu abbia bisogno di nattare il traffico lan-lan in quel modo. La wiki la suggerisce, qualora tu non faccia split-tunneling, per abilitare il natting del traffico proveniente dai client vpn e diretto ad internet tramite eth0 che nell'esempio è la porta wan. Come hai fatto tu se ho ben compreso hai abilitato il natting per traffico proveniente dai client vpn e diretto in lan. In sostanza ora il traffico arriva agli host locali con sorgente uguale all'ip lan del router, cioè di br-lan.
Domande:
- in /etc/firewall.user hai le quattro regole menzionate nella guida?
- I tuoi client sono configurati in split-tunneling o no?
- apri wireshark su un host in lan, pingalo da un client vpn remoto, cosa vedi come ip mittente in wireshark? quello del client vpn o quello di br-lan?
- stessa domanda di sopra ma senza le due regole che hai aggiunto
edit: se vuoi applicare regole automatiche ad ogni avvio il modo giusto per farlo è metterle in /etc/firewall.user come dovresti già aver fatto con le quattro menzionate nella guida