Возможно поможет поменять местами правила. А вообще тут решают уже маршруты.
Итак, у вас есть сетка /24, есть хост z.z.z.z. Надо чтобы сетка /24 натилась от айпишника, включенного в маршрутизатор с локальным IP, а один хост натился от IP-адреса VPN-туннеля tun0. шлюз по умолчанию у вас из сети /24 - поэтому в tun0 пакет от хоста z.z.z.z просто не попадет. ЕДИНСТВЕННЫЙ способ заставить его пойти туда - механизм setfib.
В этой статье все подробно описано. Неостатки - компиляция ядра, или (как минимум презагрузка), но оно того стоит, поверьте.
