Ok, raphik !!
Vuelvo con novedades y 4 comentarios:
1) Acabo de volver a CASA2 (ZeroTier en PC con Win7) y haciendo pruebas, investigando.... por lo visto alguna vez falla ZT aquí (no sé quién tendrá la culpa, pero hay varias quejas en algún que otro foro). He desinstalado ZT, vuelto a instalar ....; él me añade en dispositivos de red una tarjeta de red virtual nueva y un puerto virtual nuevo. Lo pruebo y OK. Ya funciona.
2) En cuanto al tema de seguridad, te cuento mi punto de vista. Según entiendo, el firewall tiene 2 funciones: una es la de seguridad y la otra la de enrutar conexiones de una zona a otra (función de router propiamente dicha, ya sea entre WAN y LAN, o la que sea). En cuanto a seguridad.... piensa que una red (zona) es como tu casa. Si confías en todos los miembros de la red, el firewall en principio no es necesario, pero claro, cuando dejas la puerta abierta (conectas con otra red), ahí el firewall ya tiene que vigilar quién puede entrar y quién no, etc (input/output/forward). Al usar este cacharro (llamado router, pero que no hace ninguna función de router, sino que simplemente es un miembro de la red), no necesito activarle el firewall, con lo que le mejoro el rendimiento. Otra cosa es que un día venga un Señor de Troya y me la líe parda, eso ya es responsabilidad mía (y la asumo). De todas formas, si tenemos el firewall por defecto con la zona LAN en verde, todo el input abierto y output abierto, de nada serviría a nivel local. Hay que ponerle una contraseña fuerte. Piensa también que al estar este cacharro ("router") dentro de la vpn, sólo los miembros de la vpn tienen acceso, que son de confianza. En el caso de la red vpn, tenemos conexión directa y no es necesario enrutar nada a nivel de firewall. Otra cosa será el enrutamiento interno que haga zerotier, que se encarga de configurar ruta estática diciéndole al cacharro: "todo lo que vaya a la red 192.168.192.0/24 (mi red IPv4 ZT), lánzalo por este dispositivo de red: ztxxxxxx5".
Así es como entiendo yo su funcionamiento.
3) Interesante todo esto, además de seguir aprendiendo y/o refrescando conocimientos de redes.
Este tema me ha recordado a
otro que me picó en su día, sobre tener un openwrt WIFI cliente y CABLE cliente conectadas ambas al mismo tiempo a la misma red lógica. Algunos decían que era imposible, que no se podía o que no tenía sentido. No me rendí y lo conseguí. Tiene sentido porque al tener 2 interfaces conectadas, tenemos 2 posibilidades de acceso por si una de ellas cae. (Al fin y al cabo, esa filosofía fue uno de los pilares de la invención de arpanet, el "padre" de Internet, la red de redes.) En cierto sentido esto de la vpn es algo relativamente similar: una forma alternativa de acceso.
4) Ah, no. Eran sólo 3 comentarios. (

)
Edito: estaría interesante conseguir que los PCs (ó hosts, vaya), naveguen de forma transparente por la vpn, conectados a través del router openwrt. No sé si es la idea que tienes para el próximo tuto que has dejado en pendiente (cuidado, no vaya a resbalar

(perdón

)). En principio no lo veo muy difícil....
De hecho.... creo que sólo habría que indicarle las rutas estáticas.... manualmente una a una, o bien toda la red.
Es decir: decirle al router openwrt: "Las peticiones a la red ZT, lánzalas por la interfaz ZT"