Стоит у нас 2.2.4-RELEASE, 1 lan, 2 wan
Настроили соединение openVPN с сторонним сервисом vpn, с их стороны администратор подтвердил что соединение стабильно и установлено.
Vpn сервиса просто смотрит в интернет, никаких излишеств.

Что бы внести сразу ясность - 188.64.173.4 (ip нашего VPN), 10.102.208.26 (виртуальный ip выдающийся нашему VPN), 10.10.1.158 (наш wan0), 10.102.208.26 (наш OPT3)

Задача стоит такая:
нужно с определенного компьютера выходить в интернет через vpn, и через vpn заходили в нашу сеть по типу 188.64.173.4:1234 на 192.168.17.100:5896 (и таких маршрутов несколько).
на стороне vpn проброс портов сделают нам, на нашей стороне надо сделать маршрутизацию.

Но вот проблема, когда начали делать гейт opt3 - в логе vpn стала падать ошибка.

Attempting to establish TCP connection with [AF_INET]188.64.173.4:995 [nonblock]
TCP connection established with [AF_INET]188.64.173.4:995
TCPv4_CLIENT link local (bound): [AF_INET]10.10.1.158:1992
TCPv4_CLIENT link remote: [AF_INET]188.64.173.4:995
TLS: Initial packet from [AF_INET]188.64.173.4:995, sid=1c9e2d99 72d7f61c
..... ключи, авторизация и т.д.
[server] Peer Connection Initiated with [AF_INET]188.64.173.4:995
SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,route 10.102.208.0 255.255.240.0,topology net30,ping 8,ping-restart 30,ifconfig 10.102.208.26 10.102.208.25'
OPTIONS IMPORT: timers and/or timeouts modified
OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: route options modified
ROUTE_GATEWAY 10.10.1.1
TUN/TAP device ovpnc1 exists previously, keep at program end
TUN/TAP device /dev/tun1 opened
do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=0
/sbin/ifconfig ovpnc1 10.102.208.26 10.102.208.25 mtu 1500 netmask 255.255.255.255 up
/usr/local/sbin/ovpn-linkup ovpnc1 1500 1543 10.102.208.26 10.102.208.25 init
/sbin/route add -net 10.102.208.0 10.102.208.25 255.255.240.0
ERROR: FreeBSD route add command failed: external program exited with error status: 1

Видел, что с такой ошибкой сталкивались, но там решения были тривиальны, типа ip неправильный был указан. У нас я вроде все проверил и не вижу таких несовпадений, подскажите кто знает.