pf NAT на tun адаптер openvpn'a

[DuoMorph]

Ни в какую не получается настроить проброс, подскажите, мб что не так делаю?

ifconfig:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:50:56:8a:47:f6
inet 192.168.1.11 netmask 0xffffff00 broadcast 192.168.1.255
inet6 fe80::250:56ff:fe8a:47f6%em0 prefixlen 64 scopeid 0x1
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33152
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
pfsync0: flags=0<> metric 0 mtu 1500
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
syncpeer: 0.0.0.0 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
inet 10.10.0.10 --> 10.10.0.9 netmask 0xffffffff
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
Opened by PID 8720

pf.conf

###########################
# Variables #
#+++++++++++++++++++++++++#
int_if="em0"
vpn_if="tun0"
tu = "{tcp udp}"
icmp_types = "echoreq"
#+++++++++++++++++++++++++#

set block-policy drop #return
set skip on lo

###############################
######### NAT RULES #########
###############################
nat log on $vpn_if from any to any -> ($vpn_if)

#block all
pass out log all
pass in log all

rc.conf

ifconfig_em0=" inet 192.168.1.11 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
sshd_enable="YES"
dumpdev="AUTO"

gateway_enable="YES"

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pfsync_enable="NO" # Expose pf state to other hosts for syncing
pfsync_syncdev="" # Interface for pfsync to work through
pfsync_syncpeer="" # IP address of pfsync peer host
pfsync_ifconfig=""
ftpproxy_enable="YES"
ftpproxy_flags="-D 0"

sysctl.conf

net.inet.ip.forwarding=1
net.inet6.ip.forwarding=1

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

Проброс чего и куда? Я так понимать...нать всего отовсюду? сильно...с одним интерфейсом...сильно....ТЗ какое?

[DuoMorph]

натить нужно из локальной сетки на tun адаптер

nat log on $vpn_if from any to any -> ($vpn_if)
до этого правило выглядело так:
nat log on $vpn_if from $int_if:network to any -> ($vpn_if)

[gumeniuc]

Так а что не работает ? На tun0 на выходе трафик есть ?