Tu as bien compris.
Il manque juste table 100 et table 200 à la fin de tes commandes ip route.

À mon sens, ces trois étapes devraient suffire dans la mesure où les paquets que tu essayes de router correctement sont des paquets UDP (donc pas de subtilités avec les TCP FIN en vue).

bon ben c'est plus compliqué que prévu.
Le problème c'est dhclient ne peut pas tourner sous un autre user que root.
J'ai essayé plusieurs choses, sudo, setcap, etc... pas moyen d'avoir le process dhclient qui tourne correctement sous un autre user que root.
Donc ip rule add uidrange ne semble pas être la bonne solution...

J'ai vu qu'il est possible d'utiliser ip rule iif ou oif pour matcher une interface. Je me demande si c'est possible d'utiliser cela plutot que l'uid ?

Ensuite pour les namespace, j'avoue ne pas trop connaitre, mais cela n'a pas l'air simple au premier abord.

J'ai imaginé d'autres solutions au cas où :

1. utiliser nft skgid (j'ai migré de iptables à nftables il y a qques mois).
sachant que je mangle mark dejà les packets fonction de leur route/source/destination etc..., je pensais simplement essayer d'ajouter les regles nft à ma table de mangle multiwan :
meta skgid dhcp-orange1 ct mark set 0x100 counter
meta skgid dhcp-orange2 ct mark set 0x200 counter
100 et 200 étant mes tables de routage respectives pour les interfaces orange1 et orange2. Je ferais bien entendu tourner mes dhclient sous les GID dhcp-orange1 et dhcp-orange2. Simplement, je ne sais pas s'il faut ajouter des ip rule à cela ? Je ne pense pas...

2. ajouter une route globale avec des nexthop
80.10.247.48 nexthop via 82.xxxx  dev orange2 nexthop via 83.xxxx dev orange1 onlink
mais ca me semble un peu hazardeux...

3. ta solution décrite dans ton dernier message
ip rule add ipproto udp sport 68 dport 67 oif orange1 lookup 100
ip rule add ipproto udp sport 68 dport 67 oif orange2 lookup 200

Je pense que la dernière (la tienne) semble la plus élégante, à voir si c'est suffisant.

ce serait tellement simple si les serveurs DHCP orange avaient des IP différentes

1. utiliser nft skgid (j'ai migré de iptables à nftables il y a qques mois).
sachant que je mangle mark dejà les packets fonction de leur route/source/destination etc..., je pensais simplement essayer d'ajouter les regles nft à ma table de mangle multiwan :
meta skgid dhcp-orange1 ct mark set 0x100 counter
meta skgid dhcp-orange2 ct mark set 0x200 counter
100 et 200 étant mes tables de routage respectives pour les interfaces orange1 et orange2. Je ferais bien entendu tourner mes dhclient sous les GID dhcp-orange1 et dhcp-orange2. Simplement, je ne sais pas s'il faut ajouter des ip rule à cela ? Je ne pense pas...

Sauf erreur d'interprétation de ma part, nft skgid n'est que l'équivalent nftables de iptables -m owner --gid-owner donc on retombe sur ma proposition de 2020-09-24 23:21:53, qui implique bien une ip rule fwmark (attention à ctmark vs fwmark par contre). À ma connaissance, nft vs iptables ne sont que deux interfaces différentes pour configurer NetFilter et le choix de l'un ou de l'autre ne change pas le mécanisme "routing decision" vs "reroute check" : ces deux étapes font toutes deux appel aux tables de routages (ip rule + ip route) pour définir/modifier l'interface de sortie. La correction de l'IP source que j'avais mentionnée précédemment reste théoriquement d'actualité mais en pratique est probablement DÉJÀ effectuée chez toi par un petit "oif orangeX masquerade" dans nat/postrouting.

2. ajouter une route globale avec des nexthop
80.10.247.48 nexthop via 82.xxxx  dev orange2 nexthop via 83.xxxx dev orange1 onlink
mais ca me semble un peu hazardeux...

par contre la route avec les nexthop semble fonctionner, au moins avec une des 2 interfaces. J'attends de tester avec les 2 en simultané.

Je doute fortement que ça fasse automagiquement ce que tu souhaites ; je m'attends plutôt à ce que ça load-balance les paquets sortants tantôt sur une gateway tantôt sur l'autre... ce qui pourrait tomber en marche dans la mesure où dhclient émet son paquet plusieurs fois d'affilée en l'absence de réponse... mais ouais, ça reste hasardeux.

bon, ip rule add ipproto udp sport 68 dport 67 oif <iface> lookup <table>, ca ne fonctionne pas.

Tu as testé sans les conditions sur ipproto, sport et dport ?

ce serait tellement simple si les serveurs DHCP orange avaient des IP différentes

C'est un beau corner case que tu nous as trouvé là, en effet... même destination, même protocole, même port source, même port de destination, même uid.
Pistes restantes :

• ip rule oif
• nft skgid (implique ip rule fwmark)
• iptables string -- je ne trouve pas l'équivalent nft, je loupe un épisode ? (implique ip rule fwmark)
• nft cgroup (implique ip rule fwmark)

1. je vais essayer de tester sans ipproto, sport et dport, uniquement avec oif.

2. effectivement iptables -m strings n'a pas encore d'équivalent coté nft. On peut jouer avec les payload, mais c'est galère...

3. enfin, je finirais avec nft skgid / ip rule fwmark

le 1. ne fonctionne pas, il ne reste donc plus que le 3. nft skgid et ip rule fwmark... je testerais semaine prochaine.