Щас нателепатирую, sysctl net.inet.ip.fw.one_pass показывает 1, и если сделать sysctl net.inet.ip.fw.one_pass=0, то у всей сети отвалится весть томский интернет, да? Поставьте правило с GRE до секции запрета спуфинга, и впн заработает.
А потом идите перечитайте man divert и man ipfw в частях PACKET FLOW и DUMMYNET, ибо оная секция помимо прямого назначения закрывает вашей серой сети интернет, до нее просто не доходит из-за пайпа.