AUser0

А какая связь между используемым DNS и определением вашего местоположения в соц-сетях?

DNS нужен для того, что бы ваше устройство (компьютер или телефон) узнали IP-адрес сервера, к которому нужно подключиться для получения/скачивания информации. А соц-сети могут вас палить просто по IP-адресу источника коннекта. Вы уверены, что абсолютно все соединения к соц-сетям с вашего устройства идут только и исключительно только через удалённый прокси? Любой другой трафик - заблокирован?

Да даже ваш Wi-Fi роутер, к которому вы же и коннектитесь, уже запеленгован, Google и другие уже знают, где ваш роутер географически находится, поэтому... Скрыться не получится: какой-бы роутер не поставили - он будет виден другим телефонам, они об этом сразу сообщат Google, прощай приватность! Разве что не включать Wi-Fi на телефоне и роутере, раздавать Интернет телефону - про проводу (Android и Gnirehtet), и блокировать весь трафик кроме прокси.
Ноооооооооооооо это не точно!!!

Нет, провайдеры не дают управлять прохождением пакетов. Всё, что вам доступно - это маршруты до оконечного устройства, то есть до роутера. Ну и если два или больше провайдера - можете настроить уход трафика через конкретного провадера, на этом - всё!

С помощью Nginx - запросто!
Весь трафик летит на хост1, оттуда Nginx-ом трафик для site2 методом reverse proxy направляется на хост2. На хост1 будет двойная нагрузка, зато работает.

P.S. Если роутер понимает SNI - то можно попытаться на нём, но это очень вряд ли.

Может дело в MAC-адресе .211-го интерфейса? Или в роутере, в который включаются все сервера?

P.S. Смотрите tcpdump-ом трафик .211, может он вообще на этот gateway не приходит.

Если с #C на #A идёт PING, тогда просто прописываете адрес #A как default gateway у #C, и должно работать.

Ну или для проверки пропишите ROUTE для к примеру 8.8.8.8 через #A, и PING-уйте этот 8.8.8.8. Смотрите, как PING трафик пролетает через #A - ура, всё работает, можно прописывать default gateway, тоже будет работать.

Да, можно. Не редко на таком компьютере ещё и WEB-сайт организации крутится, почта там, DNS-ы, защитный FIREWALL, и всё остальное, что должно быть доступно из Интернет. Ну и можно заодно как файловый сервер для локальной сети настроить, тоже можно.

Хммм, из-за второго правила все клиенты будут приходить на почтовик одним IP, что неудобно. Почтовые спамеры - они же скорострелы, по 50 писем в минуту - как нечего делать. И очень удобно таких гадов не фильтровать через анализ каждого письма в антиспаме, а тупо банить IP этих тварей. А в таком варианте настройки... сами понимаете. Лучше сделать принудительный проброс трафика с 25-го порта почтовика на первый микротик, тогда IP клиентов - сохранится.

Если отдельные адреса нужны для подключения к другим серверам по HTTP - можно обойтись proxy- серверами, в том числе бесплатными (ими полон мир). Ну или VPN, если хочется постоянства за деньги.

А вот если нужно противоположное, т.е. подключение к вашим серверам через это IP - тогда VPS и перенаправление трафика на ваши сервера (reverse proxy). Ещё можно на CloudFlare посмотреть, это то же самое плюс акцент на защите от DDoS.

Что-то не видно, каким образом весь трафик клиентов, использующих Малинку как шлюз, направляется в VPN.
Ещё более странным выглядит ip rule 217: from all lookup main suppress_prefixlength 0, которое просто повторяет стандартное правило 32766: from all lookup main.
Либо в случае VPN-соединения routes выглядят совсем по другому, либо что-то еще. Потому что вот с этой конфигурацией клиенты из Интернета должны спокойно получать доступ к DNS. Может что-то есть в iptables?
А что даёт ip route show table 220?