Du willst doch aus dem VPN in das private? Also -i tun0 und -o ethX. IPv4 Forward muss auch aktiviert sein. Und wenn SSH nur das private Netz als Quelle zulässt, dann muss das VPN noch durch die NAT, ansonsten reicht es, wenn die VMs die Route dorthin kennen.