Configurar um roteador Linux para encaminhar o tráfego e DNS de alguns hosts da LAN através de um túnel OpenVPN?

Eu tenho uma caixa GNU/Linux que configurei como roteador para minha rede doméstica. Eu tenho três interfaces de rede ...

• ppp0 é a conexão upstream
• lan é a rede local
• nordvpn é o túnel VPN

Estou usando nftables para o firewall e executando um servidor DNS de cache (dnsmasq). As solicitações DNS da LAN são interceptadas e enviadas para o servidor DNS no roteador. Até aí tudo bem, porém...

Por padrão, rotas NordVPNtodostráfego upstream através do túnel VPN e, se estiver configurado dessa forma, funciona, mas não quero isso. Quero que a maior parte do tráfego para a Internet passe pela interface ppp0, com o tráfego de hosts LAN específicos sendo enviado através da VPN. As solicitações de DNS para os hosts que usam a VPN devem ser direcionadas aos servidores DNS do provedor de VPN, e não ao servidor local.

Li vários artigos discutindo como fazer coisas semelhantes (mas não idênticas) e até agora não consegui fazer funcionar. Estou claramente fazendo pelo menos uma coisa errada. Pelo que entendi, devo ser capaz de marcar pacotes no firewall e, em seguida, enviá-los pela interface nordvpn usando uma tabela de roteamento personalizada. O que tenho até agora é o seguinte...

Eu adicionei a seguinte linha ao /etc/iproute2/rt_tables.

5     nordvpn

Para evitar que o openvpn configure suas próprias rotas, adicionei estas linhas ao arquivo /etc/openvpn/client/nordvpn.conf.

route-noexec
script-security 2
route-up /etc/openvpn/client/mkroute.sh

Acredito que preciso desabilitar a filtragem de caminho reverso na interface nordvpn para fazer as coisas funcionarem. Este é o script que o openvpn usa para configurar meu roteamento.

#!/bin/bash

TABLE="nordvpn"
MARK="0x5"

die() {
  echo "Error: $1"
  exit 1
}

[ $(id -u) -eq 0 ] || die "Not running as root"

ip route flush cache || echo "error 1"
ip route flush table "$TABLE" || echo "error 2"

ip route add 192.168.2.0/24 dev lan src 192.168.2.1 table "$TABLE" || echo "error 3"
ip route add $route_vpn_gateway dev lan src $ifconfig_local table "$TABLE" || echo "error 4"
ip route add default via $route_vpn_gateway dev "$dev" table "$TABLE" || echo "error 5"
ip rule delete fwmark "$MARK" || :
ip rule add fwmark "$MARK" lookup "$TABLE" || echo "error 6"
sysctl -w net.ipv4.conf.nordvpn.rp_filter=0 || echo "error 7"

Finalmente, este é o meu script nftables.

flush ruleset

define i_wan = ppp0
define i_nordvpn = nordvpn
define i_lan = lan

define p_dns = 53

define a4_nordvpn_dns_1 = 103.86.96.100
define m_nordvpn = 5

define h4_nimrod = 192.168.2.21

table ip ip4_firewall {

  set s_inet_nordvpn { type ipv4_addr; elements = { $h4_nimrod }; }

  chain c_here_to_wan { tcp flags syn tcp option maxseg size set rt mtu; accept; }
  chain c_here_to_nordvpn { tcp flags syn tcp option maxseg size set rt mtu; accept; }
  chain c_here_to_lan { accept; }
  chain c_wan_to_here { ip protocol icmp accept; drop; }
  chain c_wan_to_lan { ip protocol icmp accept; drop; }
  chain c_nordvpn_to_here { ip protocol icmp accept; drop; }
  chain c_nordvpn_to_lan { ip protocol icmp accept; drop; }
  chain c_lan_to_here { accept; }
  chain c_lan_to_wan { tcp flags syn tcp option maxseg size set rt mtu; accept; }
  chain c_lan_to_nordvpn { tcp flags syn tcp option maxseg size set rt mtu; accept; }

  chain preroute_nordvpn {
    udp dport $p_dns mark set $m_nordvpn dnat $a4_nordvpn_dns_1
    tcp dport $p_dns mark set $m_nordvpn dnat $a4_nordvpn_dns_1
    oif $i_wan mark set $m_nordvpn
  }

  chain prerouting { type nat hook prerouting priority -100
    ip saddr @s_inet_nordvpn goto preroute_nordvpn
    iif $i_lan oif $i_wan udp dport $p_dns redirect
    iif $i_lan oif $i_wan tcp dport $p_dns redirect
  }

  chain postrouting { type nat hook postrouting priority 100
    oif $i_nordvpn masquerade
    oif $i_wan snat <my public IP address>
  }

  chain input { type filter hook input priority 0; policy drop
    ct state established,related accept
    ct state invalid drop
    iif vmap {
      lo: accept,
      $i_wan : jump c_wan_to_here,
      $i_nordvpn : jump c_nordvpn_to_here,
      $i_lan : jump c_lan_to_here
    }
    log prefix "Unhandled input: " drop
  }

  chain output { type filter hook output priority 0; policy drop
    ct state established,related accept
    ct state invalid drop
    oif vmap {
      lo: accept,
      $i_wan : jump c_here_to_wan,
      $i_nordvpn : jump c_here_to_nordvpn,
      $i_lan : jump c_here_to_lan
    }
    log prefix "Unhandled output: " drop
  }

  chain forward { type filter hook forward priority 0; policy drop
    ct state established,related accept
    ct state invalid drop
    iif . oif vmap {
      $i_lan . $i_wan : jump c_lan_to_wan,
      $i_wan . $i_lan : jump c_wan_to_lan,
      $i_lan . $i_nordvpn : jump c_lan_to_nordvpn,
      $i_nordvpn . $i_lan : jump c_nordvpn_to_lan,
    }
    log prefix "Unhandled forward: " drop
  }
}

Depois de configurado, tenho o seguinte.

[root@cerberus ~]# ip rule ls
0:      from all lookup local
32765:  from all fwmark 0x65 lookup nordvpn
32766:  from all lookup main
32767:  from all lookup default
[root@cerberus ~]# ip route ls
default dev ppp0 scope link 
10.0.0.1 dev ppp0 proto kernel scope link src <my public IP address> 
10.8.0.0/24 dev nordvpn proto kernel scope link src 10.8.0.12 
192.168.2.0/24 dev lan proto kernel scope link src 192.168.2.1 
[root@cerberus ~]# ip route ls table nordvpn
default via 10.8.0.1 dev nordvpn 
10.8.0.1 dev lan scope link src 10.8.0.12 
192.168.2.0/24 dev lan scope link src 192.168.2.1 
[root@cerberus ~]# ip rule ls
0:      from all lookup local
32764:  from all fwmark 0x5 lookup nordvpn
32766:  from all lookup main
32767:  from all lookup default

Quando habilitados, os clientes atribuídos à VPN apresentam falha nas pesquisas de DNS. Parece que as solicitações são enviadas pelo túnel VPN, mas as respostas chegam na cadeia de entrada e não na cadeia de encaminhamento e não chegam aos clientes. Onde eu estou errando?

Agradecemos antecipadamente por qualquer ajuda :)