iptables VPN клиенты

ДОбрый день, поднял джунту 2.6.23, поднял pptpd.
lan=eth1 192.168.1.0/255.255.255.0
wan=eth0 192.168.4.0/255.255.255.0
для vpn соединений используеться 10.1.1.0/255.255.255.0
Сделал скрипт для выхода в интернет.

#Сначала обнуляем наши текущие правила
IPT='sbin/iptables'
$IPT -F
$IPT -t nat -F
$IPT -t managle -F
#Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

#Скопируйте и вставьте для примера...
LAN='eth1'
WAN='eth0'

#Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
$IPT -I INPUT 1 -i $LAN -j ACCEPT
$IPT -I INPUT 1 -i lo -j ACCEPT
$IPT -A INPUT -p UDP --dport bootps -i ! $LAN -j REJECT
$IPT -A INPUT -p UDP --dport domain -i ! $LAN -j REJECT

#(Необязательно) Разрешаем доступ к нашему ssh-серверу из интернета
# iptables -A INPUT -p TCP --dport ssh -i ${WAN} -j ACCEPT

#Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
$IPT -A INPUT -p TCP -i ! $LAN -d 0/0 --dport 0:1023 -j DROP
$IPT -A INPUT -p UDP -i ! $LAN -d 0/0 --dport 0:1023 -j DROP

#В конце добавляем правила для NAT
$IPT -I FORWARD -i $LAN -d 192.168.1.0/255.255.255.0 -j DROP
$IPT -A FORWARD -i $LAN -s 192.168.1.0/255.255.255.0 -j ACCEPT
$IPT -A FORWARD -i $WAN -d 192.168.1.0/255.255.255.0 -j ACCEPT
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

Соотвественно вопрос... Подскажите что нужно исправить что бы выход в интернет имели не все локальные адреса а VPN подключения.
ps.Попробовал поменять последнюю строку на $IPT -t nat -A POSTROUTING -s 10.1.1.0/24 -o $WAN -j MASQUERADE
инет работать не желает.