Vu que dans cette configuration les premiers paquets passant par le VPN sont forcèment NEW depuis l'intérieur, j'ai pas pris la peine de l'indiquer. Mais c'est en entrée, depuis le côté public qu'il faut laisser passer que les paquets marqués ESTABLISHED, le minimum syndical de sécurité l'oblige. Dans le pire des cas j'ai toujours le routeur qui fait office de client VPN, il rajoute une couche de sécurité.
Si je me trompe pas, dans le cas du 1:1 , comme tout passera, je ne pense plus avoir besoin de gérer l'aspect stateful sur iptables, ça devient un pseudo-bridge en quelque sorte et c'est mon routeur à la maison qui fera le tri.