Доброе время суток!

Дано:
Сервер с тремя сетевыми картами одна из которой rl0 имеет реальный IP и является  default router.

Две другие rl1 и rl2 смотрят во внутренние виртуальные подсети.

На сегменте rl1 (192.168.1.1/24) висят клиенты, которым нужно ходить в интернет, что они с успехом и делают, благодаря natd, который дивертит все пакеты через rl0.

На сегменте rl2 (10.0.0.1/24) висят другие компы, которым не нужно ходить в интернет, а нужно ходить на 192.168.1.1/24.

Теперь самое интересное: с rl2 на хост из его подсети осуществляется vpn-соединение и получается еще один интерфейс с реальным IP - tun0.

Вопрос: как осуществить в этой ситуации policy-routing, чтобы с одних машин из 192.168.1.1/24 весь внешний трафик в интернет и из него шел через rl0 а с других - через tun0.
Сейчас все идет через rl0.

Возможные решения:

- Пытался делать ipfw fwd РОУТЕР_ЗА_TUN0 ip from 192.168.1.клиент to any

Однако ничего не получилось - не взирая на правило пакеты через tun0 не идут а все опять работает через  rl0 (это происходит из-за natd?)

Может кто сталкивался с подобной проблемой или сможет подсказать решение?