Вот именно по этому мануалу и настраивал. И даже отдельную тему завёл, не найдя этой. Сначала на 2.12.A.6.0-0, потом убоялся выраженных интерфейсных глюков и откатился на 2.11.C.1.0-3. Результат и там, и сям прискорбно одинаковый:
"ip rule add fwmark 1 table 1" и "ip route add default dev ovpn_br0 table 1", настроенные в /opt/etc/ndm/fs.d, слетают в процессе дальнейшей загрузки устройства.
Если указанные команды применить руками, запросы к нужным сайтам таки перенаправляются в туннель и tracert показывает, что положено. Но в браузере это работает дико медленно или не работает вовсе ( "Соединение было сброшено" и т.п.).
VPN-подключение само по себе вполне рабочее, если гнать весь трафик через него, работает в меру своих 10-15 Мбит/с и от 50 мс пинга. И выборочно - с настройкой пользовательских маршрутов на http://192.168.1.1/_/controlPanel/staticRoutes - тоже получается не хуже. Вот пока живу с последним вариантом, но хотелось бы, конечно, задавать "разблокируемые" сайты именами, а не ip.