你这个不是默认网关也不早说，折腾一大溜。

那这样的话问题就简单了。
1、A 上做路由，去往 10.200.30.0/24 的 via 172.16.14.2 dev tun0
B 上做路由，去往 192.168.1.0/24 的 via 172.16.14.1 dev tun0
2、B 上做 NAT，来自 192.168.1.0/24，去往 10.200.30.0/24 的，SNAT 为 10.200.30.1
3、防火墙策略先清掉，并设置默认 ACCEPT 再做这些，以防有干扰。

@lilogo #64 别闹了，陪媳妇去吧，，明天的哦。
我发现我手机不连 WIFI 可以上 v2

我还特别 FQ 上来才能看 v2，不知道贵州怎么回事，连 v2 都墙

@defunct9 #58 哈哈，我也有这种想法，給我急的，结果 LZ 还被媳妇薅走了

你就别 MASQUERADE 了，这种已知的固定 IP 直接做 SNAT 呗，两头都做一下，伪装成 172.16.14.1 和 14.2 去通讯就好了。
PREROUTING 上加策略哦

172.16.14.0/24 dev ztmjffzrix proto kernel scope link src 172.16.14.1
172.16.14.0/24 dev tun0 proto kernel scope link src 172.16.14.1
好像是这两行的问题，ztmjffzrix 是个啥？

ifconfig -a 看看
别是 tun0 的 MTU 有问题吧

Other possible annotations after the time are !H, !N, or !P (host, network or protocol unreachable), !S (source route failed), (fragmenta-
tion needed - the RFC1191 Path MTU Discovery value is displayed), !U or !W (destination network/host unknown), !I (source host is iso-
lated), !A (communication with destination network administratively prohibited), !Z (communication with destination host administratively
prohibited), !Q (for this ToS the destination network is unreachable), !T (for this ToS the destination host is unreachable), !X (communi-
cation administratively prohibited), !V (host precedence violation), !C (precedence cutoff in effect), or !<num> (ICMP unreachable code
<num>). These are defined by RFC1812 (which supersedes RFC1716). If almost all the probes result in some kind of unreachable, traceroute
will give up and exit.

@pubby #36 赞同。
我以上的回答和协助都是基于策略路由+GRE Tunnel 的经验

@lilogo #32 对端的 VPN IP，可以顺便加一个 dev tun0

另外在 B 上执行 ip ro get 10.200.30.55 from 192.168.1.1 这个，可以看到路由策略是否正确。

@lilogo #18 不用呀，因为这是 FORWARD 链的事呀。
iptables 的策略链是这样的顺序（不是給本机的部分），进入 INPUT->PREROUTING 路由前->路由处理并转发->POSTROUTING 路由后然后就是 OUTPUT 了

你这情况仅仅是路由转发而已，不需要 MASQUERADE 呀。
或者说，完全不需要 netfilter(iptables)参与就能搞定的。

我看您的主机名是 openwrt，是不是 openwrt 有什么特殊的东西呀？
你登录一下 web 界面看看，是不是还有其它路由协议生效着，好像我记得它确实支持其它路由工具的。
另外网卡有一些 ICMP 的开关，sysctl -a |grep icmp
看下是不是网络层面就把 icmp 协议給过滤掉了，我遇到过中间设备直接 ignore 掉了 ICMP 协议，然后上下游都懵逼，但是不影响其它 tcp 和 udp 协议通讯。
所以你也别光用能不能 ping 通作为测试结论，你可以试试那边开个 web 服务之类的，比如在 10.200.30.55 随便开个 web 服务，默认安装的 apache 和 nginx 直接启动服务都可以，然后从 Route A 去 telnet 10.200.30.55 80，然后 GET /试试，没准其它应用协议是通的，只是 icmp 过滤掉了而已。

@lilogo #11 从 10.200.30.55 ping 和 trace 172.16.14.1

@KimJun #2 我说呢，那就正好在我的知识盲区里了。

你用 traceroute 探一遍路看看。
1、从 10.200.30.55 ping 172.16.14.1
2、然后反过来，从 172.16.14.1 ping 10.200.30.55
3、看一下上面两个的 traceroute 的结果

比较闲，说个题外话哦，我特别好奇是什么让公司的创始人取这样的生僻字作为公司名的，反正我是不认识后面那个字，这其实对外人很不友好。

或者装个 snort

同感+1，键盘也超不适应

A 和 B 的路由表和策略表放出来看看

ip ro sh
ip ru sh