Echas todas las pruebas pertinentes, creo que habrá que esperar a que implementen lo necesario para que funcione, darte las gracias por toda la ayuda, y a ver si en OpenSpa tienen consideración y nos escuchan.Es un problema de la tabla de rutas.
He probado a que el deco actue como cliente y es cierto que cuando en AllowedIPs se pone 0.0.0.0/0 no se establece el tunel. Si se pone la red de la VPN más cualquier otro rango al que se necesite acceder saliendo por la VPN si que funciona.
Por ejemplo, si en el deco el fichero incluye AllowedIPs = 10.9.0.0/24, 216.0.0.0/8, 172.0.0.0/8 enrutaría tanto la red de la VPN como el tráfico dirigido a los rangos 216.0.0.1-216.255.255.254 y 172.0.0.1-172.255.255.254. Esos rango los he utilizado para poder probar el servicio ifconfig.me y ifconfig.co que básicamente devuelven la IP con la que sales a internet.
Puedes ver las pruebas de con qué IP sale en esta captura:
Recapitulando: si lo que necesitas es que el deco salga a ciertos sitios usando la IP del servidor, puedes utilizar lo que te digo indicando los rangos a los que necesitas acceder. Si lo que quieres es que todo el tráfico del deco vaya por la VPN, tendrás que esperar a que en OpenSPA se permita sustituir la ruta por defecto por la de la VPN (Yo he intentado varias formas pero no he sido capaz)
Un abrazo.
