Denis P

interface Bridge0 ip alias 192.168.2.10 255.255.255.0 где 2.10 любой свободный адрес из "новой" подсети, а Bridge0 интерфейс "домашней сети" или той к которой у вас подключен свич

делаем crypto map VirtualIPServerIKE2 virtual-ip interface Bridge1 Bridge1 c недефолтной политикой, клиенты всё равно следуют дефолтной воспроизводится на 4.3.3 и выше, в т.ч на 5A4 на 4.2.6.3 - всё ок self-test в следующем сообщении

Это решается с помощью ip alias

Нужно указывать <адрес вашего пира>/32

У вас изначально не корректно настроен "сервер" пирам для доступа в интернет не нужно указывать 0.0.0.0/0 в allow-ips это требуется только на стороне пира-клиента

Для KN-1110, 1210, 1310, 1410, 1510, 1511, 1610, 1710 версии 5 не будет даже там

@eraldeспасибо, теперь с разделителями порядок в многопирном wg

Это другой случай и решается он без cli, назначением нужной политики сегменту к которому выборан доступ в параметрах SSTP сервера

Потому что "фича" полнейший бред, если вы этого еще не поняли.

никак не могу воспроизвести поведение которое вы описываете, проверил даже на серверах с разными версиями ПО, 4.2.6 4.3.3 и 5A3 клиенты win (родной sstp и openconnect GUI) и на android (SSTP client и cisco anyconnect)

уточню момент, чекбокс "nat для клиентов" отмечен?

давайте еще раз - сервер на роутере oc/sstp - статический маршрут до условного узла 8.8.8.8 через условный интерфейс Wireguard0 подключаемся к серверу, делаем трассировку до узла 8.8.8.8 и видим что пакетики идут через нужный интерфейс (wireguard0), убираем маршрут, пакеты идут по дефолту. Вы о каких-то других маршрутах говорите или внешних таблицах заведенных через entware?

отлично работают статические маршруты, указанные на роутере, при подключении к серверу через sstp и OC, точно речь о статике?

вот и вбейте любой и спите спокойно, делов то

Использование transmission remote gui или tremotesf избавило бы вас и роутер от лишней нагрузки