openvpn server и две сети: зайти через одну, выйти через другую

мне необходимо подключаться к серверу openvpn по каналу eth0, а выходить в мир через vpn через eth1
для этого клиенту отдается push default gateway def1

Да, так и сделать. Вопрос то в чём? Что не получилось?

Схему в студию.

И мне необходимо подключаться к серверу openvpn по каналу eth0, а выходить в мир через vpn через eth1

Я правильно понял, что Вам нужно два туннеля - один от клиентов к Вашему серверу, второй - Ваш сервер в качестве клиента соединяется с удаленным сервером? Вот и настраивайте два канала, там все стандартно, инструкций полно в Сети...

Нет. Грубо говоря - есть два провайдера, подключенные к одному серверу. Нужно к серверу openvpn подключиться через одного, а выйти со второго, скажем, в клиенте прописано remote 1.1.1.1 9001, он туда коннектился, получает пуш «default-gateway def1», заворачивает весь траффик в openvpn, но выходит при этом через 2.2.2.2 (ip, который предоставляет второй провайдер).

Моя проблема - не понимаю логику процесса. В моём понимании - нужно сделать metric гейтвея первого провайдера (скажем, 1.1.1.254) больше, чем второго (2.2.2.254). Но тогда на весь траффик, который приходит через первого провайдера, сервер будет отвечать через второго, и ничего работать не будет. Верно?

В моём понимании - нужно сделать metric

Господи откуда вы все беретесь (откуда известно) Без обид, но слишком часто последнее время стала упоминаться метрика не по теме.
Может все-таки почитаем теорию прежде чем «прыгать»?
iproute2+iptables(возможно понадобиться, но не факт) «спасет отца русской демократии» (с)
И вы так и не «озвучили» полный конфиг ovpn, вариантов больше одного. Если это L2 с tap одно, если L3 tun другое.

Я бы с удовольствие почитал, но увы - я не знаю что именно в данной ситуации читать. Посему надеюсь на помощь ЛОРа и советы что читать.

server.conf

# general
mode server
port 27772
proto udp
dev tun

# security
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
tls-auth /etc/openvpn/ta.key 0
cipher AES-128-CBC
auth SHA512
persist-key
persist-tun

# networking (/24 subnet, hostmax - 172.30.5.255)
server 172.30.5.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo

# client routes
push "redirect-gateway def1"

# logging
verb 3

netfilter

iptables -t nat -A POSTROUTING -s 172.30.5.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.30.5.0/24 -o eth1 -j MASQUERADE

ip a

inet 172.31.17.221/20 brd 172.31.31.255 scope global dynamic eth0
inet 172.31.10.229/24 brd 172.31.10.255 scope global dynamic eth1
inet 172.30.5.1 peer 172.30.5.2/32 scope global tun0

ip route

default via 172.31.16.1 dev eth0 
default via 172.31.10.1 dev eth1 metric 10001 

https://habr.com/ru/post/67209/

Как-то так

ip rule add from 172.30.5.0/24 table 500
ip r add default via 172.31.10.1 table 500

anc верно советует, тебе нужен policy based routing(статья старая, но от этого не менее актуальная), метрики не трогай - оно не для этого

Ну если уж читать то https://www.lartc.org/lartc.html Но это долго и нудно. :)

Спасибо всем за помощь в срочном вопросе и за мануалы! Надеюсь на досуге осилить.

Случайно обратил внимание на параметр comp-lzo, он уже deprecated. Так что рекомендую заранее поправить, что бы после очередного обновления не создавать новую тему «Шеф все пропало».