De ce contează pentru routerul meu ordinea conexiunilor de rețea în /etc/network/interfaces ale mașinii client?

Am o mașină virtuală care rulează Debian 11 și trebuie să se conecteze la două VLAN-uri. Din interiorul clădirii din rețeaua locală, o pot accesa bine prin ambele IP-uri, dar când sunt în afara rețelei folosind fie VPN-ul routerului, fie NAT-ul 1:1 pe router, mă pot conecta doar la prima rețea listată. în /etc/network/interfaces (din VPN nici nu pot da ping la al doilea).Nu sunt sigur dacă acest lucru este legat de router în mod specific sau dacă este un alt tip de „sursă mai externă”.
De ce ar conta ordinea? Și pot face ceva pentru ca ambele să funcționeze? Dacă le schimb și repornesc, ceea ce a fost primul în fișier când a pornit pare să funcționeze bine, iar ceea ce este al doilea în ordine funcționează doar de pe un computer local.

O mare parte din instalare a fost prin instrucțiuni pe care nu le înțeleg, așa că voi include aici ceea ce pare relevant, dar este posibil să fi făcut ceva greșit.

Am instalat software-ul vlan (cred?) cu

# apt install vlan
# modprobe 8021q && lsmod | grep 8021q

Și a dezactivat NetworkManagerul lui Gnome

În /etc/sysctl.conf am adăugat

net.ipv4.ip_forward=1
net.ipv4.conf.all.arp_filter=0
net.ipv4.conf.all.rp_filter=2

Trebuie să redirecționez porturile 80 și 443 la peste 1024

# iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-ports [port nou]
# iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-ports [port nou]
# iptables -t nat -I OUTPUT -p tcp -o lo --dport 80 -j REDIRECT --to-ports [port nou]
# iptables -t nat -I OUTPUT -p tcp -o lo --dport 443 -j REDIRECT --to-ports [port nou]
# iptables-save | sudo tee /etc/iptables.rules

Și /etc/network/interfaces se pare ca

# Acest fișier descrie interfețele de rețea disponibile pe sistemul dumneavoastră
# și cum să le activezi. Pentru mai multe informații, consultați interfețe(5).

sursa /etc/network/interfaces.d/*

# Interfața de rețea loopback
auto lo
iface lo inet loopback

# Un client VPN poate trimite ping la acesta
auto ens18.200
iface ens18.200 inet dhcp
    pre-up iptables-restore < /etc/iptables.rules

# Dar nu acesta
auto ens18.40
iface ens18.40 inet dhcp
    pre-up iptables-restore < /etc/iptables.rules

Routerul este un Meraki MX250 dacă asta contează

Ieșiri solicitate

root:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue stare UNKNOWN grup implicit qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
    inet6 ::1/128 scope host
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:50:56:--:--:-- brd ff:ff:ff:ff:ff:ff
    altname enp0s18
    inet6 fe80::---:----:----:----/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
3: ens18.200@ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue stare UP grup implicit qlen 1000
    link/ether 00:50:56:--:--:-- brd ff:ff:ff:ff:ff:ff
    inet 10.26.1.100/22 brd 10.26.3.255 scope global dynamic ens18.200
       valid_lft 623197sec preferred_lft 623197sec
    inet6 fe80::---:----:----:----/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna
4: ens18.40@ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue stare UP grup implicit qlen 1000
    link/ether 00:50:56:--:--:-- brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.114/24 brd 192.168.1.255 scope global dynamic ens18.40
       valid_lft 623198sec preferred_lft 623198sec
    inet6 fe80::---:----:----:----/64 scope link
       valid_lft pentru totdeauna preferred_lft pentru totdeauna

root:~# ip ru
0: din toate căutările locale
32766: din toate căutările principale
32767: din toate căutările implicite

root:~# ip r
implicit prin 10.26.1.1 dev ens18.200
10.26.0.0/22 ​​dev ens18.200 proto kernel scope link src 10.26.1.100
192.168.1.0/24 dev ens18.40 proto kernel scope link src 192.168.1.114

root:~# iptables -vnL
INTRARE în lanț (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination

Lanț FORWARD (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination

Ieșire în lanț (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination

root:~# iptables -vnL -t nat
PRERUUTARE în lanț (politica ACCEPTĂ 39528 pachete, 7495K octeți)
 pkts bytes target prot opt ​​in out source destination
  166 8509 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 porturi redir [port nou]
  215 10964 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 porturi redir [port nou]

INTRARE în lanț (politica ACCEPTĂ 38823 pachete, 7422K octeți)
 pkts bytes target prot opt ​​in out source destination

IEȘIRE în lanț (politica ACCEPTĂ 249 pachete, 15870 octeți)
 pkts bytes target prot opt ​​in out source destination
    3 180 REDIRECT tcp -- * lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 porturi redir [port nou]
    3 180 REDIRECT tcp -- * lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 porturi redir [port nou]

POSTROUTING în lanț (politica ACCEPTĂ 255 de pachete, 16230 de octeți)
 pkts bytes target prot opt ​​in out source destination

root:~# tcpdump
-bash: tcpdump: comanda nu a fost găsită