Ваш SNAT соответствует другому номеру порта DNAT и диаграмме, поэтому эта настройка будет работать, только если клиент OpenVPN в качестве маршрутизатора выходит в Интернет через сервер OpenVPN.
Вероятно, вам следует заменить 32400 на 8081.
Контроллер устройств cgroup управляет доступом к необработанным устройствам. Основываясь на символе типа (или блоке ), старших и младших номерах устройств, он позволяет указать права на чтение, запись и создание. Docker по умолчанию не разрешает чтение и запись на большинство устройств.
В cgroup -v2 контроллер устройства удален, вместо этого вы можете присоединить программу eBPF к cgroup, чтобы определить доступ к устройству. Мне любопытно, насколько читаемым/обнаруживаемым это будет.