>>>пингуются нормально. При подключении по vpn клиенту (Винда) выдается адрес 10.0.0.1/24,
>>>у сервера 10.0.0.254. Клиент пингует только свою локальную сеть
>>Скорее всего после подключения к vpn-серверу default gateway устанавливается на 10.0.0.254, а
>>в FORWARD разрешено хождение только адресов из 10.0.0.0/24.
>
>Да так и есть!
>ради чистоты эксперимента разрешил forward всех пакетов со всех интерфейсов (третье правило):
>
>
>Chain FORWARD (policy ACCEPT 17460 packets, 877K bytes)
>num   pkts bytes target     prot opt
>in     out     source
>          
>   destination
>1    17459 1247K LOG      
>  all  --  *    
> *       0.0.0.0/0  
>         0.0.0.0/0  
>         LOG flags
>0 level 4
>2     481K  224M ACCEPT    
> all  --  *      
>*       0.0.0.0/0    
>        0.0.0.0/0  
>        state RELATED,ESTABLISHED
>3       23  1132 ACCEPT  
>   all  --  *    
>  *       0.0.0.0/0  
>          0.0.0.0/0
>
>4      345 19454 ACCEPT    
> all  --  *      
>*       10.0.0.0/24    
>      0.0.0.0/0
>
>
>
>
>Ситуация никоим образом не изменилась ((

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -d 192.168.2.0/24 -j MASQUERADE

Только маскарадом работает ((

После соединения с VPN у пакетов source ip будет из 10.0.0.0/24. Компы из 192.168.2.0/24 не знают, где находится 10.0.0.0/24 и посылают ответы на default gw (192.168.2.254?), у которого тоже нет такого маршрута.
ИМХО проще на компах из 192.168.1.0/24 прописать маршрут:
route -p add 192.168.0.0 mask 255.255.0.0 192.168.1.254