Добрый день!
Развернут контейнер LXD. Все сделал по инструкции отсюда, чтобы один инстанс мог работать и как антизапрет, и как полный впн. Теперь пытаюсь подключить оба конфига на роутере Keenetic Peak(прошивка 4.0.2), но одновременно работать они отказываются. Первый включенный(порядок роли не играет) отрабатывает нормально, но второй всегда выдает “Конфликт IP-адреса с интерфейсом «название-другого-конфига» (192.168.104.2/22)”. В логах роутера это отображается как “Network::Interface::Ip: “OpenVPN1”: network 192.168.104.0/22 conflicts with interface “OpenVPN0”.”.
Весь этот колхоз нужен для того, чтобы по политикам часть устройств за роутером всегда ходила только как через полный впн, а часть как через антизапрет. Подскажите, пожалуйста, возможно ли так вообще настроить, не поднимая другой инстанс OpenVPN’a и если да, то как
Вам необходимо поднять одно VPN-соединение и настроить разные policy-based routing (разные таблицы маршрутизации) для разных клиентов: одни не маршрутизируют весь трафик в VPN, а другие маршрутизируют.
Так ведь чтобы антизапрет работал нужно в него по-любому весь трафик заворачивать, а дальше он уже сам решает. И, как я понимаю, после той дополнительной настройки будет ли антизапрет отрабатывать “штатно” или заворачивать в себя все подряд зависит только от клиентского конфига и я не очень понимаю как это в рамках одного подключения должно уживаться
При обычной конфигурации клиенту сообщается большой внутренний маршрут, а DNS-сервер отдаёт IP-адреса из этого диапазона, если домен нужно проксировать. Если клиент попробует смаршрутизировать какой-то другой IP-адрес или диапазон, серверный фильтр отсеет такое подключение.
Вы убрали серверный фильтр, теперь любой клиент может маршрутизировать любой диапазон. Нужно настроить роутер так, чтобы маршрутизировал необходимый вам трафик в VPN. DNS там, где нужно маршрутизировать произвольный трафик, можно использовать любой, не обязательно антизапретовский (но и с ним будет работать).
На столько в вопросе не разбираюсь 
Можно, пожалуйста, пример какой-нибудь как это должно выглядеть?
Нужно настроить роутер так, чтобы одни клиенты (которым не нужно проксировать весь трафик) не использовали маршрут по умолчанию через VPN, а другие использовали. В Linux это осуществляется двумя таблицами маршрутизации (ip route ... table ...) и правилами маршрутизации (ip rule). Как это сделать в рамках интерфейса Keenetic не подскажу, см. документацию.