openvpn nao enxerga maquinas remotas, só servidor

não consigo pingar as maquinas remotas da vpn, somente pingo os servidores, nem passando nmap eu acho alguma coisa.
tenho uma vpn configurada com openvpn com a seguinte configuração:
matriz
(
eth0 192.168.1.201
tun0 10.0.0.2
route 192.168.3.0 10.0.0.3
)
filial
(
eth0 192.168.1.201
tun0 10.0.0.3
route 192.168.4.0 10.0.0.2
)
no iptables de ambos os servidores:
iptables -A INPUT -p udp --dport 5000 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

Pelo que eu entendi, as maquinas da filial ficariam com o ip 192.168.3.x, mas so acho os servidores vpn.
Aqui esta a configuracao da vpn /etc/openvpn/matriz.conf:
(
dev tun
ifconfig 10.0.0.2 10.0.0.3
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
comp-lzo
ping 15
verb 3
client-to-client
)
configuração da filial
(
dev tun
ifconfig 10.0.0.3 10.0.0.2
remote 200.168.95.25
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
comp-lzo
ping 15
verb 3
client-to-client
)
Alguém poderia me ajudar, o que esta errado?
uso slackware 10.1, openvpn 2.0.7 (ambos os servidores)
Desde ja agradeço.

descobri que meu problema era o roteamento!
ambos os servidores eram gateway ;
matriz:
eth0 200.x.xx.xx.xx
eth1 192.168.1.201
tun0 10.0.0.2
rota para a vpn:
route add -net 192.168.3.0/24 gw 10.0.0.3 dev tun0;
filial:
eth0 189.xx.xx.xx
eth1 192.168.1.201
tun0 10.0.0.3
rota para a vpn:
route add -net 192.168.2.0/24 gw 10.0.0.2 dev tun0;

no servidor da filial eu executei o tcpdump, que ficou escutando:
tcpdump host 10.0.0.2 -i tun0

no servidor da matriz dei um nmap:
nmap 192.168.3.*

o tcpdump do servidor da filial capturou os pacotes,
então eu tentei usar o nmap de uma maquina da rede interna da matriz para ver se o tcpdump da filial captura os pacotes, porem não capturou nada. Entao é um problema de roteamento.
no iptables da matriz coloquei:
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

entao executei o nmap de uma maquina da rede interna da matriz e o servidor da filial (com tcpdump) respondeu
Agora eu so tenho que arrumar a rede da filial (agora é 192.168.1.0) para 192.168.3.0, ja que , se não me engano,não da para rotear uma rede remota com mesma faixa, ambas 192.168.1.0, caso seja possivel isso gostaria que alguem me contasse como fazer isso.