Всё зависит от того как дана вторая сеть, если она дана вам как маршрутизируемая через ваш узел (т.е. вы являетесь маршрутизатором ответственным за сеть чтото/29 то вы назначаете её на другой любой интерфейс, и раздаёте из неё адреса в той физической сети, куда смотрит этот интерфейс, забираете из неё любой один адрес для самого маршрутизатора - всё это про совет рядом от Руслана, вроде бы там всё просто)
Если же сеть дана как вторая на внешний интерфейс, то провайдер уже смаршрутизировал её у себя и сам занял один адрес и является шлюзом в той сети, в этом случае вам нужно раздать её используя бридж, т.е. машины, которые должны иметь адрес из этой сети должны физически смотреть во внешнюю сеть, не через ваше устройство - а значит вам нужно сбриджевать внешний линк и, скажем, vlan проброшенный в локалку, и этот vlan вы уже принимаете на интерфейсе нужной машины и получаете на нём внешний адрес из сети чтото/29, указывая шлюзом узел чтото.1/29
В целом вторая схема ущербная и провайдер с радостью перейдёт на первый вариант (стоит его только попросить), но скорее всего у вас именно она (на это намекает указание gw 2.2.2.1 в вопросе - т.е. провайдер как бы заранее знает шлюз, т.е. скорее всего он им и является).
Позвоните в ТП - уточните что у вас за вариант, и перейдите на первый вариант - DMZ, тогда трафик будет идти через ваш марш, и будет им контролироваться в полной мере.
