У меня такая схема работает, но с MIkrotik.
Я добавил 6 интерфейсов (по кол-ву доп. IP) смотрящих в vmbr0 (туда же входит внешний интерфейс сервера. MAC-и естественно взяты из Робота.
Далее сдеделал LAN-интерфейс смотрящий в vmbr1 (куда все виртуалки подключены) и нарезал vlan-ы. Соответственно в настройках сети KVM-машин и LXC-контейнеров я указываю не только интерфейс vmbr1, но и требуемый vlan.
НА Mikrotik-е настроен Source policy routing, грабли - нужно указывать явно интерфейсы шлюзов, т.к. у Хетцнера чаще всего доп. IP идут из одной сети и с одним GW.
