Doporučuji zaměřit pozornost na slovo MUSÍTE kterým jste se zbytku světa snažil sdělit že žádné jiné varianty neexistují
Není vám to hloupé, vysvětlovat mi, co jsem myslel textem, který jsem napsal? „Musíte“ neznamená „žádné jiné varianty neexistují“. Když se někde v baráku dole na recepci zeptáte, kde máte zaplatit poplatek za psa, odpoví vám: „To musíte výtahem do třetího patra, pak se dáte doleva a jsou to na konci chodby dveře číslo 327.“ Tak se s nimi hlavně nezapomeňte pohádat, že nemusíte, že můžete jít pěšky po schodech, můžete jet výtahem do 5. patra a sjet dvě patra po zábradlí a nebo že si můžete nechat přistavit požární žebřík a vlézt tam oknem.
Správné místo pro značkování paketů je ten konec VPN který je v lokální síti
Potřebujete si označit, na kterém zařízení proběhl ten DNAT a pak zařídit, aby se odpovědní paket dostal opět na toto zařízení, které má tabulku spojení, najde v ní údaje pro odpovědní paket a upraví ten odpovědní paket reverzní operací, než jakou udělal na příchozím paketu DNATem (tedy změní zdrojovou IP adresu a případně zdrojový port paketu – ale záměrně to nechci nazývat SNATem).
Ono se totiž klidně může stát, že tazatel síť za dva roky rozšíří a bude mít dvě zařízení s veřejnou IP adresou, a servery bude chtít mít dostupné přes obě dvě ty IP adresy. A v tom okamžiku to vaše řešení „přišlo to z VPN, tudíž to muselo přijít z té jediné veřejné IP adresy“ přestane fungovat.
Ostatně ona je hloupost značkovat vše, co přišlo přes VPN, i když zatím má jen jednu veřejnou IP adresu – protože byste takhle značkoval veškerý provoz, který přišel z VPN, tedy i ten z těch zbývajících dvou lokálních sítí. A ten nepotřebujete hnát přes ten VPS s veřejnou IP adresou, když může jít přímo přes VPN.