Alexey Dmitriev

Нужно добавить следующие правила:
1. Разрешить FORWARD пакетов из сети wireguard
2. Добавить SNAT\Masquerade правило для сети wireguard.
Раз низкое понимание nftables, замените на iptables.

А входящие нужно тоже разрешать все порты одной командой и со state RELATED, ESTABLISHED

Причем тут маршруты на сервере? Они автоматом создаются.
На сервере должен быть разрешен:
1. forward пакетов через ядро (sysctl)
2. Файрвол должен разрешать прохождение пакетов между сетями 192.168.1.0 и 192.168.0.0 (iptables -A FORWARD xxxx -j ACCEPT), либо между интерфейсами (iptables -A FORWARD -i xxx -o xxx -j ACCEPT).

А вот ваши оконечные устройства в обеих подсетях должны иметь маршруты до противоположных подсетей - каждая через свой VPN. Или раздавайте их автоматически или руками.

А вообще идея полупереезда и ожидания ответа здесь на форуме вместо полной миграции дачи и квартиры выглядит кривовато.

Чтобы сделать squid прозрачным - нужно нагуглить одну из инструкций-как сделать squid прозрачным и по ней сделать его прозрачным.
В ней явно будет гораздо больше пунктов, чем одно добавление intercept
И если она хорошая - там вам еще и укажут, что для прозрачного прокси лучше отдельный порт заводить, так как добавление intercept поломает непрозрачный прокси.

В nginx-mod https://www.getpagespeed.com/nginx-mod-a-better-fa... есть:

Попробуйте Haproxy

Перевести роутер в режим "Точка доступа\WIFI Access point" (если он умеет), зацепиться им к точке доступа включенной на телефоне, проводом в компьютер.

Маршрутизацией или NAT.

Либо по одной подсети в строке и таким образом будет несколько команд iptables, либо как посоветовали выше - собрать их все в один ipset и и уже его имя подать в iptables (ipset сбрасывается при перезагрузке ОС)

NCSI для корпоративных и consumer версий WIndows 10 происходит по разному. Убедитесь, что у вас запросы идут точно туда, куда вы думаете.
Можно это сделать, например установив Wireshark на саму Windows или linux router для захвата трафика и его анализа.

Ответ на задачу - "В LAN2 есть еще один компьютер COMP2(10.0.0.30).
Из LAN1 необходим доступ до COMP2(10.0.0.30)"
1. Присвоить всем компам из LAN1, которым надо ходить в до COMP2 - дополнительные адреса из другой подсети.
2. Присвоить COMP2 дополнительный ip из третьей подсети.
3. Обеспечить маршрутизацию или NAT между LAN1 и COMP2.
4. Использовать для доступа к COMP2 - дополнительный ip.

то получается я добавил аж 4 правила:

Транзитные пакеты - то есть проходящие сквозь сервер, не попадают в цепочки INPUT и OUTPUT, а только в FORWARD.

потому что в /etc/sysconfig/iptables-config есть настройка, включающая сохранение правил при перезагрузке.

1. Делаете SNAT на VPS

iptables -t nat -A POSTROUTING -d внешний_ip_сервера/32 -p tcp --dport 2222 -j SNAT --to-source 10.9.8.2

2. На роутере делаете что-то подобное или переадресацию портов\port forwarding внутрь. Но уже с порта 2222 на ip 192.168.0.7 и порт 22

Изучайте iptables
Команда для блокировки всех новых соединений, приходящих на ip адрес - следующая:
iptables -I INPUT -p ipдляблокировки -m state --state NEW - j DROP
Ключ -I - для того, чтобы правило попало вверх списка и имело приоритет.
Ключ -m state --state NEW - для того, чтобы обратные входящие соединения в ответ на открытые, инициированные самим хостом - не запрещались, а запрещались только новые соединение на ip адрес откуда-либо.

1. OpenVPN может не слушать второй интерфейс.
2. У OpenVPN есть свой лог - нужно смотреть в него.