Мне удалось решить проблему 2 способами. Дублирую свой же комментарий, что бы пометить его ответом - может, кому-то поможет. Первый подсказали на форуме и он делает в точности то, что я описывал в начальном сообщении с вопросом: перепускает трафик клиентов из LAN через VPN туннель, а трафик самой Малинки - через провайдера. Для этого нужно после подключения VPN добавить таблицу маршрутизации с правилом по-умолчанию пускать трафик через роутер и 2 правила для интерфейса lo:
ip route add to default via 10.10.10.1 table 100
ip rule add iif lo to 10.10.10.0/24 lookup main prio 16000
ip rule add iif lo to default lookup 100 prio 16010
Как выяснилось, существенный минус этого решения - это увеличение пинга с 4 до 120 мс. и падение скорости более, чем в 10 раз до провайдера. Это очень печалит.
Второй вариант решения задачи я нашёл, когда начал гуглить ради интереса про
not from all fwmark 0xca6c lookup 51820
Вот здесь описано решение:
https://unix.stackexchange.com/questions/607004/ca...
Нужно добавить один маршрут:
ip rule add from 10.10.10.100 lookup main
Тогда трафик, идущий с IP провайдера сможет достигнуть Малинки.
Добавлять правила после подключения нужно потому, что в противном случае хитрый NordVPN подсмотрит их порядок и добавит свои правила перед ними.