задача решилась так:

у lan0.1 и lan0.2 убираем все маршруты из таблицы main

добавляем 2 таблицы:

ip route add 192.168.0.0/24 dev lan0.2 table 101
ip route add 192.168.0.0/24 dev lan0.1 table 102

добавляем правила:
ip rule add iif lan0.1 lookup 101
ip rule add iif lan0.2 lookup 102

теперь все, что прилетает на lan0.1 уйдет на lan0.2 и обратно.
можно еще добавить
iptables -A FORWARD -j ACCEPT
iptables -t nat -A POSTROUTING ! -d 127.0.0.1/8 -j MASQUERADE

на lan1.1 и lan1.2 маршрутизируемся как обычно через таблицу main

Разобрался сам. Надо было добавить пользователя в группу tty.