по каким признакам разделяют правила роутинга на группы?

Не делал маршрутизацию на чистой никсе, но я так понимаю тебе нужно:

1. разделить хосты на группы на основе какого-то признака у тебя это $IP добавляется в $T

2. маршрутизировать одну группу по одним правилам, другую по вторым ($T1 и $T2 имеют разные шлюзы)

разделить хосты на группы

на я не делю хосты на группы у себя в голове. Все сайты в интернете и все пользователи из интернета для меня одинаковые. Я хочу чтобы к программе-серверу коннектились через vpn, а сам я из браузера ходил через обычный гейт. И браузер и программа сервер работают на одной машине. А вот гейтов два - один гейт от локальной сети, другой гейт от vpn.

Если я не делю хосты на группы, то нужен какой-то другой признак, не основанный на том, к какой группе принадлежит хост, а основанный на чём-то другом (на том, по какому пути пришел пакет от того хоста).

Тебе нужно настроить PBR, чтобы направлять кому и куда идти. Лучше всего описано это в https://www.tldp.org/HOWTO/Adv-Routing-HOWTO/

на я не делю хосты на группы у себя в голове. Все сайты в интернете и все пользователи из интернета для меня одинаковые. Я хочу чтобы к программе-серверу коннектились через vpn, а сам я из браузера ходил через обычный гейт. И браузер и программа сервер работают на одной машине. А вот гейтов два - один гейт от локальной сети, другой гейт от vpn.

А зачем тогда PBR? Чем обычный маршрут не устраивает?

ip route add 10.0.0.0/24 via 192.168.10.10

Где 192.168.10.10 адрес впн сервера, а 10.0.0.0/24 сеть в которую нужно ходить через впн.