дано шлюз с 3 интерфейсами:
eth0 (локалка) 192.168.1.2 255.255.255.0
eth2 (внешняя линия) 79.122.x.x
eth3 (vpn канал до филиала) 172.18.103.2 255.255.255.248 gw 172.18.103.1
со стороны филиала несколько клиентов с адресами 172.18.102.2-25 gw 172.18.102.1
на данный момент локалка видит всех клиентов в удаленном офисе, удаленный офис не видит никого кроме сервера 172.18.103.2, сервер видит всех и вся..

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
79.122.213.28   *               255.255.255.252 U         0 0          0 eth1
172.18.103.0    *               255.255.255.248 U         0 0          0 eth2
172.18.102.0    *               255.255.255.0   U         0 0          0 eth2
192.168.1.0     *               255.255.255.0   U         0 0          0 eth0
default         79.122.213.29   0.0.0.0         UG        0 0          0 eth1

iptables -A FORWARD -o eth2 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

в /etc/sysctl.conf строка net.ipv4.ip_forward=1 раскоментирована

каким образом можно сделать сделать доступ из филиала в локалку?