Свич с вланами и транком к серверу, у меня так работает.

через wifi раздавай, ну или заморочься на vlan (хотя проще купить вторую сетевуху)

VLAN и нет никаких проблем.

проще купить вторую сетевуху

Плюсую. И не надо будет дорогих коммутаторов с vlan.

А что такое «транк»?
Почему я не могу сделать, например, так -

koot@gateway:~$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo eth0 eth1 eth1:0 eth0:0 eth0:1 eth1:1
iface lo inet loopback

# The Internet network interface
iface eth0 inet static
        address 192.168.10.2
        netmask 255.255.255.0
        nameserver 8.8.8.8
        gateway 192.168.10.1
        up ip route add 192.168.10.0/24 via 192.168.10.1
    
iface eth0:1 inet static
        address 192.168.3.1
        netmask 255.255.255.0
        broadcast 192.168.3.255
        network 192.168.3.0
        nameserver 8.8.8.8

iface eth0:2 inet static
        address 192.168.55.1
        netmask 255.255.255.0
        broadcast 192.168.55.255
        network 192.168.55.0
koot@gateway:~$ cat /etc/rc.local 
#!/bin/sh -e
#
# rc.local
#
iptables -F
iptables -X
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
exit 0

С двумя сетевухами магия какая-то - при пинговании внешки потери 20%-80% в зависимости от времени суток. Вот и решил перевесить все на одну.

Магия в говёной сетевухи небось. Купи УСБшную, к примеру.

А транк это несколько вланов в одном проводе.

Если ты просто воткнёшь комп в свич а свич к провайдеру и себе в локалку, то огребёшь много геморроя, не надо так делать.

А что мешает машинке из 192.168.3.0 обратиться напрямую к машинке из 192.168.55.0, минуя твой шлюз, твои правила iptables, если они есть и так далее? Какой смысл тогда заводить несколько независимых сетей?

Плюсую. И не надо будет дорогих коммутаторов с vlan.

Микротики — недорогие. И даже с аппаратным L3.

Да любой роутер домашний умеет вланы. У меня тплинк гигабитный за 2т.р. с опенврт отлично режет сеть на вланы. В одном влане - провайдер и тв-приставка мультикастная, в другом - моя сеть.

Между ними сервер-нас-роутер одним проводом с транком подключенный.

Всё пашет отлично.

DIR-100 за 6$ с рук - дорого?

А, вот как. Уже понятнее. Спасибо, подумаю.

Тут надо, чтобы весь интернет-трафик (на eth0 висит адсл-модем) шел через шлюз. На 55ую сетку можно не смотреть, в ней висят компы, которым от этого «шлюза» нужна только самба да джаббер-сервер

Просто какой смысл тогда в нескольких сетях? Если для заведения некоторых ограничений - то с одним интерфейсом далеко не уйдешь. Настоящий шлюз имеет их хотя бы 2 - не важно, отдельная это будет сетевая карта или интерфейс, выведенный через VLAN.

В твоем случае может хватит и одного. Модем работает в режиме моста?

Работало как-то у меня такое дома где-то более чем год. Никаких нареканий, подводных камней не заметил. Вот моя тема.

ovpn

Делал так: 1 Поднимал ovpn сервер в офисе 2 Подключался к нему из общественной [wi-fi] сети (с помощью ovpn-клиента на Андройде) (в твоём случае наоборот — из частной сети, на серваке нужен шлюз) 3 Профит. Имел офисный ИП в нэте.

да, сабинтерфейс на отдельную подсеть (eth0:1 192.168.0.1/24 например), iptables snat/masquerade + включаем роутинг

гугли на предмет router on stick

Почему я не могу сделать, например, так -

Потому, что никто за пределами локалхоста не в курсе, чем отличаются пакеты, выпущенные им с алиаса eth0 от оных с eth0:1 и eth0:2. Вместо различия по подсетям тут нужна какая-то дополнительная маркировка уровнем пониже, понятная для всех и стандартизированная. VLAN tagging как раз и решает эту задачу.

Вторя сетевуха стоит рублей двести. Уже бы сходил купил.

Нет, в режиме шлюза, но в подсети 192.168.10.0/24

Спасибо :)

Колюсь: в качестве шлюза еееха с разбитым экраном, у которой, ясное дело, лишь один Ethernet-интерфейс

Так есть же сетевые карты с усб-интерфейсом. Ведро их по идее держит.

Никогда не видел в продаже, вот правда.