Über VPN Netzwerk ins private Netzwerk

Ja, aber soviel kann ich hier nicht schreiben. 
Vielleicht findest Du Zeit, die sich Dir stellende Problematik zu spezifizieren, dann könnte ich meinerseits das Passende aus dem riesigen Lösungsfundus zitieren.

Thema erledigt

Das heißt, die VM2 hängt mit einer NIC im privaten Netz, genauso, wie die VM3 und die UTM (VM1)? Und alle drei VMs besitzen auch eine NIC im öffentlichen Netz? Interessantes Konzept ...

Das VPN terminiert auf der VM2, also muss diese auch das "forwarding" in das private Netz übernehmen. In der Konstellation ist die UTM als Umsetzungsbeteiligter nicht gefragt. Es sei denn, ich hab den Aufbau falsch verstanden, dann bitte grafisch.

Thema erledigt

Die VM2 ist VPN Server und hat ein physische Verbindung zum privaten Netzwerk. Wie sehr willst Du denn Netzwerkstandards vergewaltigen, um die UTM dazwischen zu pressen?

Und nein, es klingt nicht interessant.

Thema erledigt

Du willst doch aus dem VPN in das private? Also -i tun0 und -o ethX.
IPv4 Forward muss auch aktiviert sein. Und wenn SSH nur das private Netz als Quelle zulässt, dann muss das VPN noch durch die NAT, ansonsten reicht es, wenn die VMs die Route dorthin kennen.

Thema erledigt

Da das VPN nicht auf der UTM terminiert, wird das von Dir gezeigte DNAT nichts bringen, weil es denn wenn ein SNAT sein müsste - und auf der VM2.
Konfiguriere lieber das Routing für das VPN auf den VMs.