Загнать трафик, поступающий на IP в VPN

Собственно вопрос - можно ли это сделать?

Можно.

В какую сторону копать?

Для начала разобраться со схемой подключения. Я, например, не понял, как Вам поможет дополнительный IP их той же подсети, что у Вас уже есть на сервере.

Правильно ли я понимаю, что Вы хотите сделать свой сервер шлюзом по умолчанию для локальной сети? Если да, то нужно будет поднять отдельный vlan до роутера (роутер должен поддерживать vlans). Как вариант, организовать локальную сеть через отдельный свитч, тогда поддержка vlan на роутере не потребуется. Далее надо разбираться с внешними IP. Как у Вас сейчас все устроено? Роутер имеет статический или динамический внешний IP? Или NAT идет на оборудовании провайдера? В первом случае придется каким-то образом пробрасывать эти IP на Ваш компьютер. Для этого роутер должен иметь возможность подключения в виде моста. Альтерантивой будет двойной NAT. Во втором случае двойной NAT неизбежен.

Есть еще, конечно, вариант поменять ПК и роутер местами - кабель от провайдера воткнуть в ПК, а роутер использовать как свитч в локальной сети. Но тут все зависит от Вашего провайдера и технологии подключения к Интернет.

И только после того, как Вам удастся превратить Ваш ПК в маршрутизатор, нужно поднимать туннель и настраивать маршрутизацию так, ак Вам это нужно.

Загнать трафик, поступающий на IP в VPN

я хочу выдать дополнительный адрес (192.168.1.3) и использовать его как роутер в VPN. Все нужно, естественно, для борьбы с блокировками и раньше этим занимался непосредственно роутер, но у него какие-то проблемы с хардварным офлоадингом и wireguard.

Все нужно, естественно, для борьбы с блокировками

Руслан Д., ты?

Вы даёте советы по обходу блокировок (там это ЯВНО указано), а не помогаете настроить сеть.

Можно, настраивешь на сервере ip и def. Route статикой, настраиваешь vpn и маскардинг, остальным клиентам по dhcp раздаешь адрес сервера в качестве def. Route

Вот с этим у меня проблема и возникла - маскарадинг гнал трафик через дефолтный роут.

Когда маршрутизация была на роутере, силами edgeos, там было отдельное устройство vpn, таблица, где оно default gw, и правила mangle, которые при попадании dst в ipset указывало использовать эту таблицу. Попытки совместить маскарадинг и mangle в моем случае обернулись провалом.

под vpn имеется в виду какой-то vps который будет использоваться как «выходная нода»? если да, то можно использовать домашний сервер просто для проброса порта от vps до дома. то есть подключаясь телефоном или десктопом на определенный порт домашнего сервера сразу попадаем на vps. все маршруты поднимутся сами.

Повесить маскардинг жестко на vpn интерфейс и через iproute2 добавить новую таблицу, в которой для пакетов от «локальных» адресов маршрутом по дефолту будет vpn интерфейс.

Под VPN имеется в виду VPN. Нужно прокидывать трафик прозрачно внутри домашней сети, поэтому дефолтный gw всегда роутер, а куда идти дальше - решает его таблица маршрутизации.

А трафик от локальных адресов не будет включать в себя весь трафик с сервера? Я именно этого пытаюсь избежать.

Создай правило-исключение для ip сервера, чтобы наверняка.

Вы даёте советы по обходу блокировок

И что?