dd-wrt оказалось говном - попытка обработать напильником vlan завершилась неудачей и я долго ебался с ее последствиями: во-первых у свитча портов 6 (int + wan + lan), а в настройках dd-wrt их почему-то 5. во-вторых активация tagged на порту включает теггирование для всех пакетов, дефолтная, не теггированная сеть не доступна. в-третьих iproute2 рулит