Исходные данные:
WAN - ether1, выход к провайдеру
172.20.10.2/24 - адрес полученный от провайдера
172.20.10.1 - его шлюз
LAN - 192.168.1.0/24
VPN - ovpn_client
10.10.10.2/32 - адрес полученный от VPN-сервера
10.10.10.1 - его шлюз
с опцией add-default-route=yes, весь трафик по-умолчанию должен уходить через VPN
Теория такая, сейчас весь трафик по-умолчанию уходит через VPN.
Нужно промаркировать нужный трафик и отправить его на нужный маршрут.
1. Завернуть весь трафик в ВПН кроме определенных IP
# создать список адресов, которые не должны идти через VPN
ip firewall address-list add list=exclude_list address=192.168.1.10
ip firewall address-list add list=exclude_list address=192.168.1.11
# маркируем пакеты
ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=exclude_list new-routing-mark=ether1_route_mangle passthrough=no src-address=192.168.1.0/24
# изменяем маршрут, который идёт к провайдеру
ip route add dst-address=0.0.0.0/0 gateway=172.20.10.1 distance=1 routing-mark=ether1_route_mangle
2. Завернуть весь трафик в ВПН кроме определенных доменов *.host.com или поддоменов *
Тоже самое, что и в 1 варианте, только вместо IP, вводить домен
ip firewall address-list add list=exclude_list address=host.com
ip firewall address-list add list=exclude_list address=test.host.com
3. Завернуть весь трафик в ВПН кроме определенных IP + за исключением определенных устройств (клиентов)
Это ведь тоже самое, что и первый вариант?
"определенных устройств" есть IP/домен, просто их добавить в список