l0ser140

У меня такая схема не заработала и вот почему:
Допустим с маршрутами мы разобрались и мы можем нормально маршрутизировать сеть за роутером и нужные сети за vpn.
Дальше мы идём в фаервол и настраиваем проброс портов: например мы хотим обращаться к 192.168.1.2 и попадать в web интерфейс модема. Ок, настраиваем проброс портов, входящий интерфейс vpn, ip 192.168.1.2, все порты, все протоколы, на 10.0.0.1 (адрес модема).

Но схема не работает из-за того, что роутер NATит только свою локальную сеть.
Перенаправление работает, но вот модем не имеет маршрута до нужной сети, откуда пришел пакет, и отвечает через шлюз по умолчанию.

Короче говоря, нужно NATить соединения из VPN в сеть которую раздаёт модем. Как включить это на Zyxel keenetic - хз, тоже интересен это вопрос.

Можете использовать DHCP со следующими костылями:

1) на контроллере dhcp сервер, который отвечает только на запросы от определённых MAC / хостнеймов или переданных параметров
2) на клиентах игнорировать ответы от dhcp серверов, если те не передают какой-то параметр

Таким образом вы своим dhcp сервером не будете мешать, потому что отвечать будете лишь на запросы именно вашего оборудования. А ваше оборудование не будет брать IP предложенный первым попавшимся сервером, а будет ждать ответ с определённым параметром.

Зачем вообще в такой схеме коммутаторы и какой отказоустойчивости вы ждёте?

Если вам выделяют 1 порт - ставите коммутатор, но и отказоустойчивости никакой.
2 порта - каждый сервер в свой порт.
4 порта - аналогично как с 2, только плюс бондинг.

Сервера дополнительно коммутируете между собой если необходимо.

Схема с коммутаторами имела б смысл если бы серверов было 3+. Резервируются посредством rstp.

А невалидные пакеты дальше всё равно никак не маршрутизируются потому что они внезапно невалидные.
Поэтому их можно просто отбрасывать фаерволом сразу.

interface в команде ping используется для ipv6

Используйте ping с параметром route, а в роутинге добавьте маршрут для помеченных соединений(и запретите таким соединениям искать маршруты в основной таблице маршрутизации, а то пинги будут ходить даже если резервный интернет упал - через основной)

Выкиньте netwatch и напишите скрипт с необходимой логикой.
Пингуйте что нибудь типа гугло-яндекса по интересующим маршрутам и на основании этого принимайте решение что и как переключать.
Логика может быть самая разнообразная.
Чтобы пинговать по определённому маршруту, его нужно сначала пометить, а потом использовать
ping 8.8.8.8 routing-table=RouteMark