Давай более подробно. Что нужно сделать, нарисуй схему сети.

Если у тебя есть ПК, на котором есть VLANы, и этот ПК является шлюзом для сетей в этих VLANах и ты хочешь что бы он дальше маршрутизировал эти пакеты в другие сети через некоторый другой шлюз, то тебе нужно сделать отдельную таблицу маршрутизации, в которой указать другой маршрут по умолчанию и через ip rule указать, что пакеты из сетей во VLAN`ах должны маршрутизироваться через эту таблицу маршрутизации.

Читай как это делается на микротик. Но собственно тебе как раз и нужно сделать то, что я написал в предыдущем сообщении.

Создаёшь отдельную таблицу маршрутизации, в которой маршрутом по умолчанию указываешь 192.168.11.5 и далее указываешь, что пакеты с адресом источника сетей во VLAN`ах должны маршрутизироваться через эту таблицу маршрутизации.

В Linux это пишется примерно вот так:

ip rule from 192.168.10.0/24 lookup table2

мискликнул раньше времени на публикацию темы. сейчас более менее все вводные добавлены

Мне кажется тебе проще настроить, что бы для хостов в сетях 192.168.10.0/24 и 192.168.11.0/24 шлюзом по DHCP получались 192.168.10.5/32 и 192.168.11.5/32 соотвественно.

Либо прописать руками.

Для 192.168.10.0/24 должен остаться роутер (192.168.10.1) дефолтным шлюзом, он все же через него в интернет и лезет, когда соединение устанавливает с vpn сервером.

немного экспорта с роутера:

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=!Internal \
    new-connection-mark=nat-pia-connection passthrough=yes src-address-list=\
    nat-pia
add action=mark-routing chain=prerouting connection-mark=nat-pia-connection \
    new-routing-mark=nat-pia-route passthrough=ye
	
/ip route
add distance=1 gateway=192.168.11.5 routing-mark=nat-pia-route

Настрой DHCP сервер на микротике, чтобы он для сети 192.168.11.0/24 выдавал шлюзом 192.168.11.5

настроил для тестового хоста 192.168.11.9 дефолтным шлюзом 192.168.11.5. друг друга видят, но в интернет (8.8.8.8) не выходит.

с хоста 192.168.11.5 выполнил traceroute -s 192.168.11.5 8.8.8.8 - траффик уходит в vpn-туннель.

Ну так на хосте 192.168.11.5 нужно настроить NAT и разрешить ip forward.

хост 192.168.11.5:

iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 7436 packets, 966K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 399 packets, 56888 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 7 packets, 492 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 7 packets, 492 bytes)
 pkts bytes target     prot opt in     out     source               destination
   19   874 MASQUERADE  all  --  *      tun0    192.168.11.0/24         0.0.0.0/0

iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -j ACCEPT

Покажи лучше

iptables-save
cat  /proc/sys/net/ipv4/ip_forward

Почему «-o tun0», если у хоста 192.168.11.5 шлюзом является 192.168.11.1

eth1 (vlan11) 192.168.11.5/24
добавлен маршрут net 192.168.11.0 netmask 255.255.255.0 gw 192.168.11.1

доступный через интерфейс eth1.

Либо пиши

-A POSTROUTING -s 192.168.11.0/24 -o eth1 -j MASQUERADE

либо вообще убери «-o eth1» из правила.

действительно, ошибка в -o tun0. неверно интерпретировал смысл аргумента, как «через какой интерфейс nat’ить»

Нет, правила iptables работают по другому.

в правиле указываются критерии, а после ключа «-j» что делать в случае, если пакет подпадает под критерий.

У тебя было написано, что для пакетов из сети 192.168.11.0/24 уходящие через интерфейс tun0 нужно применять маскарадинг.

То через какой интерфейс пакет будет уходить управляется таблицей маршрутизации.

И сейчас у тебя на хосте 192.168.11.5 есть грубо говоря 3 маршрута:

• маршрут до сети 192.168.10.0/24
• маршрут до сети 192.168.11.0/24
• маршрут по умолчанию через 192.168.11.1

Напиши что ты хочешь сделать, а не то как ты видишь это должно работать.

Цель - устроить для устройств в vlan11 выход в интернет через vpn канал. При разрыве vpn доступ в интернет прекращается.

Что это за VPN? Точнее что за VPN сервер? По сути, если ты хочешь что бы трафик шёл через VPN сервер, то тебе нужно в качестве маршрута по умолчанию на 192.168.11.5 указать IP адрес VPN сервера в VPN сети.

Если ты хочешь, что бы только пакеты из сети 192.168.11.0/24 ходили через этот маршрут, то нужно создать отдельную таблицу маршрутизации и прописать правило перенаправления пакетов через эту таблицу маршрутизации

echo "1000  vpn" /etc/iproute2/rt_tables
ip route add default via VPN_SERVER_IP table vpn
ip rule add from 192.168.11.0/24 lookup vpn

И как-то это автоматизируй.

Далее просто настраиваешь NAT на 192.168.11.5 с указанием исходящего интефейса.

добавлен маршрут net 192.168.11.0 netmask 255.255.255.0 gw 192.168.11.1

Нахрена? Ты уже в сети 192.168.11.0/24

Идея - говно.

mikrotik умеет openvpn/tun. Подними его там и не уродуйся с маршрутизацией.

анонимус предолжил очень годную идею про dhcp

так цель достигнута уже, осталось только подобие killswitch на хосте с openvpn клиентом настроить через iptables и все.

единственное но, если сразу дефолтным gw указывать 192.168.11.5, а не адрес роутера 192.168.11.1, то пропадает доступ к другим сетям в домашней локалке. 192.168.11.5 о них просто ничего не знает.

казалось бы, вот это должно рещить проблему:

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=!Internal \
    new-connection-mark=nat-pia-connection passthrough=yes src-address-list=\
    nat-pia
add action=mark-routing chain=prerouting connection-mark=nat-pia-connection \
    new-routing-mark=nat-pia-route passthrough=ye
	
/ip route
add distance=1 gateway=192.168.11.5 routing-mark=nat-pia-route

таким образом, к локальным адресам хосты в 192.168.11.0 будут ходить через роутер, а в 0.0.0.0/0 сам роутер будет заворачивать траффик на 192.168.11.5.

но по какой-то причине при такой конфигурации тестовый хост 192.168.11.9 в интернет попал только с 3 попытки:

~ # wget https://mirror.yandex.ru/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-Minimal-2009.iso
Connecting to mirror.yandex.ru (213.180.204.183:443)
ssl_client: mirror.yandex.ru: handshake failed: Connection reset by peer
wget: error getting response: Connection reset by peer
~ # wget https://mirror.yandex.ru/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-Minimal-2009.iso
Connecting to mirror.yandex.ru (213.180.204.183:443)
ssl_client: mirror.yandex.ru: handshake failed: Connection reset by peer
wget: error getting response: Connection reset by peer
~ # wget https://mirror.yandex.ru/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-Minimal-2009.iso
Connecting to mirror.yandex.ru (213.180.204.183:443)
saving to 'CentOS-7-x86_64-Minimal-2009.iso'
CentOS-7-x86_64-Mini 100% |**********************************************************|  973M  0:00:00 ETA
'CentOS-7-x86_64-Minimal-2009.iso' saved

Ну дык выдай им 192.168.11.5 как dgw и не мучайся.

На микротике заперти всем из сети 192.168.11.0/24 доступ в инет.

Если впн на 192.168.11.5 ходит через микротик, то сделай для него исключение.

Два роутера в сети с клиентами это всегда геморой.

единственное но, если сразу дефолтным gw указывать 192.168.11.5, а не адрес роутера 192.168.11.1, то пропадает доступ к другим сетям в домашней локалке. 192.168.11.5 о них просто ничего не знает.

Ну так добавить на хосте маршруты через 192.168.11.1.

А если их много, то ospf подними на хосте и микротике.

vel, да, понял что маршрут для 192.168.11.0 через роутер - лишнее.

Насчет поднять впн на роутере - openvpn у него только tcp. Делал через более перевариваемый им ipsec - проивзодительность отличная, 100 Мбит/с до 15% загрузки CPU давало. Но vpn провайдер оффициально не поддерживает такой способ подключения, и постоянно дропалось соединение требовало вкл/выкл. Решил на более «дубовом» openvpn организовать, и вынести на железку (proxmox, lxc).