Посмотреть я пока не смог, так как нет времени.
На vpnki ничего добавлять не надо - трафик на нужные адреса в вашу сторону уходит. С этим все.
В каждом пакете есть адрес источника, порт источника, адрес получателя и порт получателя.
Когда на ваш рутер приходит пакет из сети vpnki, который направлен на адрес модема, то у него будет адрес источника 172.16.x.x, порт источника (какой-нибудь динамический), адрес получателя - 192.168.11.1 и порт получателя (например 80)
Ваш модем получает этот пакет, обрабатывает его и посылает ответ. Куда он его посылает? Тому кто и прислал - адрес получателя 172.16.x.x. Но вот беда - маршрута к этому адресу нет, а раз его нет, то нужно отправить ответ по "маршруту по умолчанию" - то есть в Интернет.
Чтобы исправить эту ситуацию вам необходимо сделать правило NAT. На вашем рутере нужно сделать правило для трафика исходящего в сторону модема, а точнее сделать подмену адреса источника на адрес интерфейса рутера, который смотрит в сторону модема.
Для того, чтобы модем принимал пакет не с адресом источника 172.16.x.x, а с адресом интерфейса - 192.168.11.100. Ведь он его знает, как подключенный напрямую.
Тогда ответы пойдут не в Интернет, а к рутеру, который в свою очередь знает что "в ту сторону" работал NAT, поэтому переделает этот ответный пакет и даст ему реальный адрес получателя в 172.16.x.x, который уйдет в сеть VPNKI и достигнет получателя.
Такое правило называется трансляцией адреса источника (все-все-все пакеты, которые проходят через интерфейс в сторону модема меняют адрес источника на адрес рутера - 192.168.11.100). "Вешается" такое правило на интерфейс, который "смотрит" на модем.
