Петровский

Поднимаете VPN до хостинга, на хостинге ставите обратный прокси в VPN до вашего хоста (Caddy или nginx).

В чём проблема?

https://play.google.com/store/apps/details?id=io.n...

Две сетевые карты не нужно.

Также есть Termux:

apt search sing-box
Sorting... Done
Full Text Search... Done
sing-box/stable 1.11.4 aarch64
  The universal proxy platform

На роутере надо не порты перенаправлять, а устанавливать кэширующий прокси типа nginx или Caddy. На нём можно поднять http-авторизацию. Ненадёжно, да.

Однако желательно уточнить, какого рода приложение вы собираетесь выпускать наружу, и нет ли в нём собственных механизмов такого рода.

dev server надо на адрес 0.0.0.0:8000 (или на адрес ноутбука в локальной сети), а подключаться к нему по адресу ноутбука.

На OpenWRT это решается из коробки: создаётся N Wi-Fi сетей, и с помощью luci-app-pbr для каждой настраивается нужный выход через нужный VPN. Или не создавать дополнительные сети вообще, а настроить VPN только для нужных ("замедленных") доменов.
Ваш конкретный роутер не видел и не знаю, но сомневаюсь, что в стоковой прошивке такие выкрутасы есть.

Так вы на месте злого или доброго дяди?

Под Windows есть т. н. Application Firewall, на каждый чих выдаётся запрос: разрешить, запретить; с указанием процесса. Под Android тоже такое есть. Под Linux auditd, но я не в курсе тут.

Насколько я понимаю, у Алисы таких навыков нет.

Но вы можете купить Raspberry Pi Zero, заходить на неё дистанционно и пулять пакеты Wake-on-LAN с неё

Попробуйте внешний порт 7777

https://habr.com/ru/companies/ruvds/articles/864742/

и ещё пара статей там же есть по поиску, в т. ч. про 10

В том, что ваш роутер находится за CGNAT и недоступен снаружи

Логи какие-нибудь привести... traceroute с телефона и ноутбука...

3xui настраивайте для доменов нужных

Предполагаю, что настроить DHCP server, чтобы выдавал в качестве шлюза 1.3

Это либо iot (лампы итд), либо рандомизированные mac-адреса современных смартфонов, которые стараются прятать настоящие, чтобы бороться с отслеживанием. Можно посмотреть в их настройках WiFi.

К VPN отношения не имеет

Всё то же самое, только не рандомный адрес, а его нужно получить автоматически через DHCP.

Если прописаны маршруты, то они и работают.

А в чём смысл разделения?

Ну и возьмите более промышленный диапазон 10.*

Приведите лог, почему клиентское устройство (wifi) не получает адрес. Для этого в Network-DHCP and DNS-Log включите log queries и проведите повторное подключение клиентского устройства. Потом смотрите лог.

Выдавать статический адрес без понимания проблемы не следует.

Вероятно, пересекаются подсети, и клиентский роутер не хочет принимать выдаваемый адрес.