Por que o roteamento deste endereço único falha?

Resumo : gostaria de encaminhar o tráfego iniciado de um IP específico para uma VPN

Respostas existentes : existem várias perguntas e respostas ( 1 , 2 ) que abordam esse problema exato, mas não funcionam para mim.

Detalhes :

A configuração está no Debian 8. Eu tenho uma conexão OpenVPN em 10.8.8.134 (com um controle remoto 10.8.8.133 ) através do qual eu gostaria de rotear o tráfego de 192.168.10.10 .

192.168.10.10 é um IP criado manualmente em eth0 , que também recebe via DHCP um endereço ( 192.168.0.107 ) e uma rota padrão ( 192.168.1.1 ).

Eu configurei o OpenVPN para

• recusar rotas do servidor ( --route-noexec )
• remover a "rota padrão falsa" adicionada pelo OpenVPN (duas faixas abrangendo todo o IPV4)
• adicione o roteamento para 10.8.8.1/255.255.255.255 (servidor OpenVPN gw) via 10.8.8.133 (o endereço OpenVPN atribuído)

Para forçar o tráfego de 192.168.10.10 a passar pela VPN, tentei

• ip route add 192.168.10.10 dev tun0
• ou ip route add 192.168.10.10 via 10.8.8.133

A tabela de roteamento resultante

root@debian-testing:~# ip route
default via 192.168.1.1 dev eth0
10.8.8.1 via 10.8.8.133 dev tun0
10.8.8.133 dev tun0  proto kernel  scope link  src 10.8.8.134
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.107
192.168.10.0/24 dev eth0  proto kernel  scope link  src 192.168.10.10

A rota extra é equivalente a usar route 192.168.10.10 255.255.255.255 no arquivo de configuração do OpenVPN.

Em ambos os casos em execução

traceroute -s 192.168.10.10 www.google.com

envia os pacotes para o gateway padrão real:

root@debian-testing:~# traceroute -s 192.168.10.10 www.google.com
traceroute to www.google.com (173.194.112.20), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *

Como visto por tcpdump (e wireshark)

Por que esse roteiro não funciona?