Ah sim, é que achei que tinha um dst-address ali no mangle e que na rota era o IP do servidor, hehe.
Sobre as regras, acho que eu devo ter errado algo ao transcrevê-las para cá, pois na verdade estão implementadas igual ao que você sugeriu.
Testei tudo que você sugeriu e nada funcionou. Mas como eu disse no título desse tópico, se no router A eu adicionar ou substituir a regra srcnat atual (inclusive essa que você sugeriu) por uma com action=masquerade, eu consigo o que estou querendo perfeitamente, exceto pelo que o IP de origem do acesso vai ser mascarado, o que não quero.
Então tenho absoluta certeza que o problema envolve somente nas regras srcnat no router A, mas o quê? Já defini a interface de saída, removi a especificação de protocolo e porta, como você sugeriu no penúltimo post.
Como a única diferença do src-nat para o masquerade é a abstração da seleção do IP público e interface de saída, parece que o problema está no IP ou interface que estou selecionando na srcnat, mas não sei o porquê disso. Existe alguma forma de eu ver por qual IP/interface está saindo o tráfego da masquerade?
Atualização: fiz uns testes com o masquerade mudando o src-address e constei que o único que funcionou foi o IP público do router C. Como nesse router - que é pelo qual o router B tem acesso à internet - há um NAT, o tráfego do EoIP está sendo mascarado nele. Mas não entendi o porquê disso ocorrer. O tráfego de um túnel não deveria estar "imune" ao que é feito ao tráfego normal? Ainda mais por estar em uma bridge. E mais, não adianta eu apenas colocar na src-nat o IP do NAT do router C como src-address, não funciona aqui, embora no masquerade ocorra tudo bem. Acredito que seja um problema de identidade da conexão. O dst-nat diz que ela será feita com 192.168.84.1, mas a resposta está vindo de 198.51.100.40 (IP público do router C); a resposta esperada não é daí. Eu tentei fazer o tráfego pelo túnel não passar pelo NAT, mas não consegui. Acho que vou ter que alterar o NAT do PC Linux que está entre os routers B e C de masquerade para dst-nat/src-nat também.