Огромное спасибо, и я понимаю твою подростковую боль...

Для ясности, про физические подключения USG и ErX. USG настроен как обычный роутер, смотрящий в интернет, то есть WAN-порт подключён к моему кабельному модему и отвечает за интернет-соединение. Порт LAN1 назначен на мою внутреннюю сеть (192.168.10.1), он подключён к остальной части внутренней LAN через порт №1 коммутатора UniFi 24 Port. Также я настроил вторую «корпоративную сеть» на USG (192.168.55.0/24) и привязал её к порту LAN2 USG, поэтому LAN2 имеет IP 192.168.55.1.

ErX настроен так, что первые 4 порта (eth#0-eth#3) объединены в один коммутатор с IP-адресом 192.168.10.253 (то есть в моей основной LAN). Пятый порт (eth#4) работает как WAN-порт и получает IP по DHCP. Физически eth#0 подключён к порту №2 UniFi Switch, а eth#4 - к LAN2 на USG.

Как я писал в предыдущем посте, ErX настроен на VPN-подключение к NordVPN, так что любой трафик, проходящий через порты коммутатора (eth#0-eth#3), идёт в интернет через NordVPN. А как это работает, если единственный доступ к интернету есть только у USG? WAN-подключение ErX — это на самом деле IP в моей второй «корпоративной сети». Когда WAN ErX запрашивает адрес, DHCP-сервер USG выдаёт ему один из второго LAN — обычно 192.168.55.2. Со стороны USG всё происходит как в обычной внутренней сети, и USG маршрутизирует все внешние IP-адреса в интернет.

Это часто называют «двойным NAT», что может создавать проблемы при входящих соединениях, но для исходящих через NordVPN это работает отлично.

Пример на пальцах, как устроено подключение:

               <<------- USG --------->>  
               <<------------- ErX ----------------->>  
Интернет ---[WAN] [LAN1] [LAN2]==========[eth#4][eth#3][eth#2][eth#1][eth#0]
                     ||                     ||  
             [Port#1]                      [Port#16]
             <<----------------------- UniFi Switch ------------------------------------->>

У меня также подключены другие устройства и ПК к остальным портам UniFi Switch. Все они с IP в основной сети 192.168.10.0. Важно, что DHCP даёт им основной шлюз 192.168.10.1 (USG LAN#1). Обычно весь интернет-трафик с устройства идёт через UniFi Switch на порт #1, затем к USG LAN#1, откуда USG выводит его в интернет.

Если я хочу, чтобы устройство использовало NordVPN, просто вручную меняю у него шлюз по умолчанию на 192.168.10.253 (ErX Switch#0, физически eth#0-3). Тогда весь интернет-трафик с этого устройства идёт через UniFi Switch и выходит через порт #16 к ErX. Там VPN-клиент перехватывает трафик и направляет его через VPN, физически через eth#4 в LAN#2 USG, а потом уже в интернет через WAN.

Надеюсь, это отвечает на недавние вопросы.

Замечу, что похожую схему можно настроить на базе VLAN, чтобы физически использовать только LAN1 порт USG. Сейчас я экспериментирую с этим, чтобы использовать свободный порт LAN2 USG как резервное WAN-подключение. Пускай это и кажется излишним для домашней сети, но кто воспитывает подростков, тот знает, какой кошмар начинается, когда их «связь с интернетом» рухнет 🙁.

Опиши цепочку своих устройств. В твоём описании я немного запутался: какой роутер идёт первым, а какой вторым, и в какой из них приходит интернет? Спасибо.

Проверяю, работает ли это уже или над этим ещё работают? Не хотелось бы, чтобы сервис был доступен только на конкретном компьютере. Спасибо.

Мне удалось это настроить. Но соединение работает очень медленно. Гораздо медленнее, когда VPN подключается через USG, чем на моём компьютере (тот же сервер NordVPN).

Связано ли это с тем, что USG не справляется с шифрованием AES-256 из-за аппаратных ограничений?